個人でスマホを所有するのが当たり前になった現在、その扱いが悩みの種となっているIT管理者は多いだろう。特に今年入社してくる若者は、中高生のころからスマホを使っていた世代だ。何の疑問も持たずに、私物のスマホを業務に利用しようとするはずだ。
だがスマホはPCと形こそ違えど、データを作成したり加工したり、転送したりできるコンピュータである。私物を自由に使った結果、情報漏洩などの事故を起こしてしまう可能性がある。そこで今回は、私物スマホの扱いについて新入社員に注意しておくべきポイントを挙げていく。
基本は「私物禁止」、だがBYODが問題だ
通話やメール送受信、地図の確認などさまざまな作業ができるスマホは、今や業務に欠かせないデバイスだ。業務用のスマホを社員に貸与している会社もある。スマホではなく従来型の携帯電話機かもしれないが、いずれにせよ業務用であれば必要な機能だけを使用可能にして、会社が認めたアプリ以外はインストール不可などの注意を与えたうえで渡すのが基本だ。そのうえで新入社員には、会社支給のデバイス以外を業務に使わないよう命じておけばよい。
問題は、私物のスマホの業務利用を条件付きで許可する「BYOD(Bring Your Own Device)」だ。端末の支給コストを削減できたり、使い慣れた機器で効率よく業務を進められるといったメリットを考慮して、導入に踏み切った企業もある。ただしBYODには、私物のスマホで社員が何をしているのかを把握しづらく、情報漏洩のリスクが高まるというデメリットもある。
私物スマホを使わせる場合は、企業が運用ルールを定める必要がある。なおざりになっている企業もあるかもしれないが、新入社員への教育にも利用できる良いタイミングだと考えてルールがなければ作り、順守させよう。
例えば運用ルールがない状態でBYODを導入すると、どのような事態になり得るか。新入社員は私物のスマホに推測しやすいパスコードを設定して、取引先との通話に使うかもしれない。この状態で紛失すると、取引先の連絡先などが漏洩する可能性が高い。かつ新入社員は、私物だからという理由で紛失を会社に届け出ないかもしれない。そうなると企業は情報漏洩に対処するどころか、把握もできないだろう。
ここからスマホをパスコードでロックすることや、そのパスコードの条件(桁数、英数字と記号の混在など)、紛失時の連絡体制についてルールを設けて新入社員に守らせることが必要だと分かる。
企業向けに、スマホを紛失した際に遠隔からロックをかけたり、スマホ内のデータを消去したりできる管理システム(MDMという)もある。必要に応じて検討するとよい。
