BYODは「私物端末の業務利用」のことで、ブリング・ユア・オウン・デバイス(Bring Your Own Device)の略称です。
政府の推進する働き方改革や、コロナ禍の影響で、在宅勤務、テレワークをはじめとしたリモートワークが急速に普及しました。リモートワークでは、会社の端末ではなく、個人所有のPCやスマートフォンを業務に利用する「BYOD」も多く見られます。通常のオフィスワークでも、BYODの導入は会社のコストを軽減できるメリットがあります。
一方で、BYODには、セキュリティ意識の低い社員による情報漏洩のリスクがあります。社員任せにして導入すれば、デメリットもあると理解しなければなりません。
今回は、BYOD導入時の企業側の注意点について、企業法務に強い弁護士が解説します。
- BYOD(私物端末の業務利用)は企業のコストカットなどのメリットがある
- 導入時に、セキュリティ面の危険を加味したガイドラインの作成が不可欠
- BYODに関する誓約書を取得し、端末を登録させるなど労務管理を徹底する
\お気軽に問い合わせください/
BYOD(私物端末の業務利用)とは?
BYODとは、「Bring Your Own Device(ブリング・ユア・オウン・デバイス)」の略称であり、社員が個人で所有する「私物端末」を、会社の業務に利用する仕組みのことです。
海外では一般的ですが、近年の働き方の多様化に伴い、日本でも導入が進んでいます。
働き方改革では、業務の効率化や長時間労働の是正、柔軟な働き方が推奨され、その実現手段の一つとしてリモートワーク(テレワーク)が導入されるようになりました。
リモートワークでは、会社のオフィス以外(例えば、自宅やカフェ、シェアオフィスなど)で業務を行うことになります。その際、会社が業務用端末を支給する方法もありますが、社員自らの私物端末を業務に利用するBYODの導入も、有効な選択肢となっています。
BYOD自体のルールを定める法律はありませんが、適切な導入・運用にあたっては、情報漏洩リスクや労務管理、セキュリティ体制など、法務・労務の両面からの検討が不可欠です。
例えば、業務に使用する私物端末を通じて機密情報が外部に漏れた場合、経営上の損失が生じる上に、会社が情報管理の責任を問われる可能性があります。リモートワークによって業務と私生活の境界が曖昧になると、労働時間の把握が難しくなる問題も生じます。
スタートアップやベンチャーなどの小規模事業者にとって、パソコンやスマートフォン、タブレットなどを会社で一括購入するのは負担が重くなりがちです。BYODを導入することで、初期コストを削減し、かつ、社員の自主性や柔軟な働き方を尊重する企業風土にも合致させることができます。
BYODのメリット
BYODは、働き方の一形態に過ぎませんが、適切な制度設計と運用を行えば、企業・従業員の双方にとって大きなメリットがあります。
以下では、企業がBYODの導入によって得られるメリットを解説します。
コスト削減
全社員にパソコンやスマートフォンを支給するのは、企業にとって初期投資と維持コストがかかります。とはいえ、在宅勤務やリモートワークが普及する中、端末の貸与は欠かせません。
一方で、現代ではほとんどの社員が、高性能なスマートフォンやノートパソコンを私物として所有しています。既存の私物端末を業務に活用することで、端末購入費や管理コストを大幅に削減できる点は、企業にとって大きなメリットとなります。
BYODを活用することで、地方在住者や育児・介護と両立を希望する人材の活用が進み、人手不足への解消策としても有効です。
業務効率化・生産性向上
BYODを導入し、モバイルワークを実現すれば、時間や場所にとらわれない柔軟な働き方が可能となります。通勤時間を節約することで業務の効率化、生産性の向上が期待できます。
特に、外回りの多い営業職、社外での業務が多い職種では、「社外から業務資料を提出できる」「オフィスと同様の環境で作業できる」といったメリットがあります。
業務の効率化によって労働時間を短縮できれば、長時間労働の是正や残業代の削減に繋がるなど、労務管理の面でもメリットがあります。
慣れた端末を利用できる
BYODを導入するメリットは、社員側にもあります。
BYODによって、使い慣れた端末やアプリケーションを利用できるため、新たな操作方法を覚える手間が省け、作業のストレスが軽減されます。また、社用と私用で端末を使い分ける必要がなくなり、「2台持ち」の煩わしさも解消できます。
従業員の利便性や満足度が向上すれば、モチベーションの維持・向上にも繋がり、長期的な目線で見れば、定着率の向上にもなるでしょう。
シャドーITの対策
シャドーITとは、会社の管理や承認なく、私物端末を利用する状態を指します。
例えば、「緊急で自宅のパソコンを使った」「会社のスマートフォンが使いづらいので、個人用のもので対応している」といったケースが典型例です。なし崩し的なシャドーITが蔓延すると、ルールが徹底されず、セキュリティ対策が不十分なまま進めた結果、情報漏洩や不正アクセスなど、重大な損害が発生しかねません。
BYODを会社が正式に導入し、ルールを整備した上で私物端末の業務利用を認めることで、シャドーITを抑制できます。BYODを制度として認め、私用端末を管理すれば、会社の知らないところで危険が増大することを防げるメリットがあります。
BYODのデメリット
メリットがある一方で、誤った運用や準備不足のままBYODを導入すると、デメリットやリスクもあります。以下ようなBYODのデメリットを最小限に抑える努力をしましょう。
紛失・盗難による情報漏洩
私物のパソコンやスマートフォンを業務に利用する以上、紛失や盗難による情報漏洩リスクは避けられません。オフィスの環境にリモートアクセスできる設定にしていると、更に危険は増大します。スマートフォンは常に携帯するので、紛失や置き忘れ、盗難のリスクは高くなります。
家族や友人が端末にふれることで、業務データへの不正アクセスや誤操作が発生する危険もあります。万が一、私物端末からパスワードが流出した場合、社員になりすまして会社のデータを盗んだり、顧客に誹謗中傷メールを送信されたりといった重大なトラブルに発展するおそれもあります。
このようなリスクに備えるためには、BYODの導入時に私物端末を会社に登録させ、紛失や盗難の際には速やかに報告するよう義務付けておく必要があります。
セキュリティの低さによる情報漏洩
私物端末では、会社支給の端末に比べてセキュリティ意識が低くなりがちです。
特に、セキュリティソフトが未導入である、OSやアプリがアップデートされていない、不適切なサイトの閲覧など、従業員のリテラシー次第では、情報漏洩のリスクが増大します。
実際に、BYODのデメリットとして、以下のような問題が生じています。
- セキュリティソフト未導入のまま業務に使用した。
- フリーWi-Fiや不正なアプリを通じてマルウェアに感染した。
- アップデートを実施せず脆弱性を放置していた。
- アダルトサイトを閲覧してウィルスに感染した。
- 私物PCで違法ダウンロードをしていた。
インターネット上には、予想外に多くの危険があります。会社が端末の購入費や通信費を負担しない場合、社員がコストを節約するためにセキュリティレベルを下げてしまうことがあり、その結果、重大な情報漏洩に繋がる危険があります。
費用負担の不公平感と社員の不満
BYODでは、端末の購入費や通信費を負担しない企業も少なくありません。会社にとってはコストカットになりますが、デメリットもあります。
私物端末やネットワーク環境を業務に利用するのに、会社が費用を一切負担しないという運用は、従業員にとって不満の原因となります。自費で購入した端末を業務に使用し、増加した通信費も自己負担なのでは、モチベーションが低下し、業務効率化も無意味になってしまいます。
このデメリットを解消するため、BYODを導入するに際しては、就業規則や社内規定を整備して、次のような配慮をすることが求められます。
- 端末の購入費の一部を補助する。
- 通信費の一部を会社負担とする。
- 業務時間や範囲を明確化し、過度なプライベート干渉を防止する。
統一的なルールが作りづらい
BYODを導入すると、社員ごとに使用する端末やメーカー・OS・アプリなどが異なり、社内での統一的な運用ルールやサポート体制の構築が難しくなります。
各自で対応できる社員はよいですが、ITリテラシーが低い社員がいると、個別サポートや教育が手間となるデメリットがあります。その結果、IT部門の負担が増加するケースも少なくありません。
BYODを導入するとき会社側の注意点
次に、会社がBYODを導入する際の注意点について解説します。
BYODは、働き方の柔軟性を高め、生産性向上に繋がりますが、導入時のルール整備や管理が不十分だと、情報漏洩や労務トラブルなど、重大なリスクを招きかねません。「なんとなく社員が私物のPCやスマートフォンを使っている」というのは、最も危険な状態と言わざるを得ません。
会社として正式にBYODを導入するなら、メリットを最大化し、デメリットを回避するための体制整備が不可欠です。
BYODガイドライン・社内規程を整備する
BYODのリスクを抑止するには、ルール作りが欠かせません。
BYODは法律上の制度ではないので、企業が独自にルールを定め、社内に明示する必要があります。全社的に適用されるものなので、就業規則などの社内規程に記載するのがよいでしょう。運用上の柔軟性を持たせるために、基本方針を就業規則に盛り込みつつ、細部についてはBYODガイドラインを策定するのが望ましいです。
BYODガイドラインには、次の事項を定めます。
保護すべき情報の範囲
BYODガイドラインでは「保護すべき情報の範囲」を定義してください。
保護すべき情報について、社員個人の知識やモラルに一任してはなりません。「どのような情報が漏洩したら損失になるか」は企業ごとに異なるので、ルールで縛るべきです。
例えば、顧客や取引先などの営業情報、研究開発情報などの技術情報、財務情報、人事情報など、企業ごとの実態に応じて具体的に列挙します。
私物端末の利用範囲と用途
次に、BYODにおける私物端末の利用範囲と用途を定めます。
一部社員のみBYODを認めるケース、BYODで行ってよい業務の範囲、社内システムへのリモートアクセス権限の有無など、詳細に決めておいてください。
BYODにおける行動規範
BYODにおける行動規範として、基本方針と、具体的に推奨される行為を定めます。
BYODのリスク軽減のため、最低限導入すべきセキュリティ対策(パスワード設定、暗号化、画面ロック、遠隔操作など)や、紛失・盗難時の届出、買い替えや故障時の手続きなどについて定めておきます。
BYODにおける禁止行為
セキュリティ遵守のための禁止行為も定めておきます。
業務外での不適切利用、第三者への端末貸与、無断のクラウドサービス利用などといったリスクの高い行為を、禁止事項として列挙します。特に、ITリテラシーの低い世代の社員がいる場合、理解できるよう具体的に定めなければなりません。
ルール違反の制裁
行為規範や禁止事項に違反した場合の制裁についても定めます。
就業規則に懲戒規定がある場合、違反時にどのような懲戒処分を行うか、程度に応じて明確にします。譴責・戒告などの軽い懲戒処分から、諭旨解雇・懲戒解雇などの重度の懲戒処分のうち、違反の程度に応じてどのような制裁があるか、事前に周知すべきです。
私物端末を登録制とする
BYODを進める際に重要なのが、私物端末を「登録制」とすることです。
私物端末を無制限に業務に利用できる状態では、管理も監督も困難でしょう。担当窓口を決め、BYODの開始時、端末の変更時などのタイミングで必ず届出をするよう社員に指導します。
私物端末を定期的にチェックし、危険がないか監視するにも、BYODに利用する私物端末を特定しなければなりません。登録したパソコンやスマートフォンを機種変更したり、故障などで修理・買い替えしたりするときは、データを完全に消去し、利用不能な状態にしてから廃棄させます。
「会社は社員のメールを監視できる?」の解説
セキュリティ対策を徹底する
セキュリティの低下による情報漏洩のリスクを回避すべく、BYODの導入時はセキュリティ対策を必ずしましょう。
BYODにおける最大のリスクは情報漏洩であり、セキュリティ対策は欠かせません。
- セキュリティソフトの導入(必要であれば会社が費用負担)
- OS・アプリの定期的なアップデート
- リモートワイプ機能の設定(遠隔でデータ消去が可能)
- MDM(モバイルデバイス管理)の導入による端末監視・制限
- オフライン利用を制限し、リモートアクセスのみに限定する運用
社員任せの運用だと、ITリテラシーの低い社員がセキュリティを徹底しなかったり、費用を節約しようとして対策を講じなかったりする危険があります。会社側で一定のセキュリティ基準を設け、これを満たす端末のみを業務利用させることが重要であり、監視すると共に、必要に応じて費用負担をすることも検討してください。
「SNS投稿監視サービス」の解説
社員のITリテラシーを教育する
BYODを安全に導入するには、社員の情報セキュリティ意識の向上が必須です。
セキュリティ対策は、制度や技術だけでは不十分であり、社員の理解が不可欠です。そして、会社が教育をせず、「違反したら処罰する」というのでは不満が生じやすくなってしまいます。
「なぜBYODにはリスクがあるのか」「どのような行為が会社に損害を与えるか」「違反時にどのような制裁が下るのか」といった点を、社員に明確に伝える必要があります。ITリテラシーの低い社員が「知らずに違反する」という事態を防ぐには、入社時研修や定期的な社内研修、弁護士などの外部専門家による研修の実施を検討してください。
誓約書を取得する
BYODの導入時、対象社員から個別に「BYOD誓約書(秘密保持誓約書)」を取得しましょう。
就業規則や情報セキュリティ規程、BYODガイドラインだけでなく、個別に文書で合意を得ることで社員の意識を高め、違反があったときの懲戒処分や損害賠償請求の根拠にもなります。
BYODに関する誓約書では、次のことを定めます。
- 私物端末の契約名義人が社員本人であること
- 私物端末を登録制とし、変更時は届出義務を守ること
- 私物端末の利用範囲・用途の制限
- 会社による監視に同意すること
- 私物端末のOS・アプリを最新の状態に保ち、セキュリティ環境を整備すること
- 私物端末で不適切な行為、禁止行為をしないこと
- 第三者に貸与せず、使用させないこと
- 違反時の制裁(BYODの中止・懲戒処分など)
BYODを禁止・制限するときの会社側の注意点
最後に、企業がBYODを禁止または制限する際の注意点について解説します。
BYODは、柔軟な働き方を実現する手段の一つとして注目されていますが、業務の性質や企業のセキュリティ体制によっては、あえてBYODを禁止または制限する判断も必要です。この場合、禁止といいながら実際には黙認されている「シャドーIT」にならないよう注意が必要です。
禁止・制限の範囲を明確に定める
BYODにはメリットとデメリットがあるので、一律に禁止するのではなく、業務内容やリスクの度合いに応じて禁止・制限の範囲を定めるのが有効です。例えば、守秘性の高い部署や業務に限って、BYODを禁止する運用が考えられます。
- 新製品の研究開発部門では、私物端末の業務使用は禁止する。
- 重要な顧客情報、個人情報を社外に持ち出す行為は禁止する。
- 人事評価情報などの個人情報は社外で使用しない。
このように、リスク評価に基づいた柔軟な対応が、実務上はより現実的で有効です。
就業規則などで禁止を明示し、懲戒規定を定める
BYODを禁止する場合、その旨を就業規則に明記すべきです。
会社がBYODを禁止しているのに、それに違反して私物端末を業務に利用した場合、懲戒処分の対象とすることも検討してください。懲戒処分を適法に行うには、懲戒権の根拠についても、あらかじめ就業規則や雇用契約書に定め、労働契約の内容としておくことが不可欠です。
就業規則などに記載すべき内容は、例えば次の通りです。
- BYOD(私物端末の業務利用)を原則禁止する旨
- 例外的に認める場合の条件(承認や許可の手続きなど)
- 違反行為に対する懲戒処分の内容とその範囲
これらの事項を明確に定め、事前に社員に周知しておかなければ、禁止されたBYODを行った社員に対する制裁が無効となるおそれがあります。
違反時の懲戒処分は、漏洩された情報の重要性と処分の重さのバランスに注意しなければなりません。処分が過度に重いと、不当処分として違法と評価されるおそれがあります。
社員教育を徹底する
BYODを禁止する場合には、単にルールを定めるだけでなく、その目的と必要性について、社員に対して丁寧に説明し、教育することが重要です。
禁止のルールがあるにもかかわらず、現場では私物端末の業務利用が黙認され、シャドーITの温床となっては、かえって情報漏洩のリスクが高まってしまいます。
したがって、以下のような観点からの教育・啓発が不可欠です。
- なぜBYODが禁止されているのか(重要な機密情報の保護と、その責任など)。
- 禁止される情報の範囲はどのようなものか(例:個人情報、顧客情報など)。
- 万が一漏えいが起きた場合にどのような損害があるか。
- 企業の社会的信用への影響がどれほど大きいか。
また、BYODを禁止するケースでは、入社時や重要な役職への就任時に「秘密保持誓約書」を取得するのも有効です。守秘義務を徹底し、機密情報の取扱いに関する意識を高めることで、情報漏洩を抑止できるからです。
まとめ
今回は、BYODを導入する際、企業側で注意すべきポイントを解説しました。
BYODは、業務の効率化、コスト削減といったメリットがあります。しかし、ガイドラインなどでルール作りを徹底し、誓約書を取得して社員を教育するといった適切なプロセスを踏まずに安易に導入すれば、情報漏洩に繋がるデメリットもあります。
企業の経営では、製品の研究開発情報、顧客情報、社員の個人情報といった重要な情報を扱います。これらが流出すれば大きな損失であると共に、企業の信用を失墜させることを意味します。
BYODをはじめ、リモートワークにおける社内のルール作りにお悩みの経営者、人事担当者は、ぜひ一度弁護士に相談してください。
- BYOD(私物端末の業務利用)は企業のコストカットなどのメリットがある
- 導入時に、セキュリティ面の危険を加味したガイドラインの作成が不可欠
- BYODに関する誓約書を取得し、端末を登録させるなど労務管理を徹底する
\お気軽に問い合わせください/