BYOD（私物端末利用）ポリシーの策定と運用

背景

テレワークの普及や働き方の多様化に伴い、従業員が私物のスマートフォンやPCを業務に利用する「BYOD（Bring Your Own Device）」が中小企業でも広がっています。会社貸与端末を全従業員分用意する予算がない中小企業では、BYODは現実的な選択肢です。

しかし、明確なルールなくBYODを容認すると、情報漏洩のリスクが高まります。従業員30名のIT企業C社では、退職した従業員の私物スマートフォンに業務データが残っていたことが発覚し、BYODポリシーの策定が急務となりました。ひとり情シス担当者が中心となり、セキュリティと利便性のバランスを取ったポリシーの策定に取り組みました。

課題

• 私物端末のセキュリティ状態（OS更新、ウイルス対策ソフト等）を把握・管理できない
• 業務データと個人データが混在し、データの分離が困難
• 端末の紛失・盗難時に業務データを遠隔削除する仕組みがない
• 退職時の業務データ削除を確実に実施する方法がない
• 従業員のプライバシーへの配慮と企業のセキュリティ要件の両立が難しい
• MDM（モバイルデバイス管理）ツール導入の予算が限られている

対応方法

1. BYODの範囲と条件の明確化

まず、BYODで許可する端末の種類と業務範囲を明確に定義しました。スマートフォンではメール確認とチャットツールの利用のみを許可し、PCでの業務はVDI（仮想デスクトップ）またはクラウドサービス経由に限定しました。

2. 技術的対策の実装

高額なMDMツールの導入は見送り、以下の技術的対策を組み合わせてセキュリティを確保しました。

1. クラウドサービスの活用：業務データはすべてクラウド上（Microsoft 365 / Google Workspace）に保管し、端末にはデータを保存しない運用を基本としました
2. 条件付きアクセスの設定：クラウドサービスへのアクセスに多要素認証を必須とし、登録済み端末からのみアクセスを許可する設定を行いました
3. アプリ保護ポリシーの適用：Microsoft IntuneのMAM（モバイルアプリケーション管理）機能を利用し、業務アプリ内のデータコピー・転送を制限しました。MAM単体利用であれば追加ライセンス費用を抑えられます
4. VPNの導入：社内システムへのアクセスにはVPN接続を必須としました

3. ポリシー文書の作成

BYODポリシーには以下の項目を含めました。従業員が署名する同意書も合わせて作成し、利用開始前に必ず提出してもらう運用としました。

• 対象端末と許可される業務範囲
• 端末のセキュリティ要件（OS更新、画面ロック、ウイルス対策等）
• 禁止事項（データのローカル保存、スクリーンショット、USBメモリへのコピー等）
• 紛失・盗難時の即時報告義務と対応手順
• 退職・異動時のデータ削除手順
• 会社によるリモートワイプの権利と範囲
• プライバシーに関する方針（個人データには一切アクセスしない旨の明記）

4. 退職時の対応手順の整備

退職者の端末から業務データを確実に削除するため、退職時チェックリストにBYOD関連項目を追加しました。クラウドサービスのアカウント無効化、業務アプリのリモートワイプ実行、VPNアカウントの削除を退職日当日に実施する手順を整備しました。

判断と成果

BYODポリシーの策定・運用開始から6か月後、以下の成果が得られました。端末登録制と同意書の仕組みにより、利用状況の把握が可能になりました。クラウドベースの運用に統一したことで、端末を紛失した際もリモートワイプでの迅速な対応が可能になり、実際に1件の紛失インシデントでも業務データの漏洩を防ぐことができました。

また、会社貸与端末を全員分購入する場合と比較して、年間約200万円のコスト削減を実現しました。従業員からも「使い慣れた端末で業務ができる」と好評でした。

推奨事項

• BYODの許可範囲を明確にし、「すべて許可」「すべて禁止」ではなく段階的に管理する
• 「端末管理」よりも「データ管理」の視点でセキュリティ対策を設計する
• クラウドサービスの条件付きアクセスとアプリ保護ポリシーを活用する
• 利用開始前に必ず同意書を取得し、ルールの周知と合意を得る
• 退職時のデータ削除手順を明確に定め、確実に実行する体制を整える
• 通信費負担や補償など労務面の取り決めも忘れずに行う
• ポリシーは最低年1回見直し、新しい脅威やサービスに対応する