当社では、従業員が、グループウエアと営業支援ツールを個人が持っているスマホ(スマートフォン端末)やタブレット上で利用しています。業務効率も良くなるので、会社も予算を組んで正式に導入しようと思いますが、どのようなことに気をつければよいでしょうか。

スマホはPCに比較すると最近発達してきたものなので、セキュリティ対策の面で、PCよりも脆弱性や危険性が高いといわれており、いわゆるマルウェアによる被害なども報告されています。また、モバイルするものなので端末ないしデータの盗難、滅失、紛失なども懸念されます。

スマホの業務利用の仕方としては、従業員が自分で所有しているスマホを使い、会社はこれに一定の補助を行う方法(BYOD・Bring Your Own Device)と、会社が購入したスマホを利用させる方法、従業員にいずれかを選択させる方法があります。 会社が購入したスマホを利用させる場合には、その端末には業務に関連したデータしかないので、盗難や紛失などの事故が生じた場合に従業員個人の端末上のデータに配慮することなくワイプ(初期化)することができますが、従業員は端末を2つ持つことになり煩雑になる、費用の多寡など両者にはそれぞれメリット・デメリットがありますので、利用者である従業員の意見も良く聞いて方針を決められるとよいでしょう。

業務効率のために、スマホの利用を正式に解禁するとしても、それに対しては、適切なモバイル端末管理(MDM・Mobile Device Management)を行う必要があります。 情報管理の基本的なフレームは、組織的管理、人的管理、物理的管理、技術的管理です。 貴社における営業秘密、個人情報などの情報全般の管理システム(現在、適切なものがなければ構築する必要があります。)に追加する形で、これらのフレームをスマホに当てはめた以下のような管理システムを構築することになります。

組織的安全管理措置

スマートフォンの私的利用に関する管理責任者の設置 スマートフォンの私的利用の管理、ルールの策定 定期的な管理状況の確認スマートフォンからの情報漏えいの監視、情報漏えい事故発生時の対処手順の策定

人的安全管理措置

従業員との間の秘密保持契約の締結や誓約書の取得
スマートフォンの適切な利用方法や漏えい事故が発生した場合の報告手順等の従業員への周知教育・訓練の実施

物理的・技術的安全管理措置

  • スマートフォンのパネル部分ののぞき見防止シールの貼付
  • 企業のネットワークに対するアクセス権の制御
  • アクセス制限領域におけるアクセスログの取得
  • スマートフォンへの不正ソフトウェア対策ソフトの導入
  • スマートフォンの最新OSへのアップデート
  • スマートフォンの盗難、紛失の際の遠隔操作によるロック、データ消去等の実施
  • 定期的なバックアップの取得
  • 業務用データとプライベートデータの混在を防ぐための別々のフォルダへの格納

弊事務所の顧問先の1つである株式会社アイキューブドシステムズ(http://www.i3-systems.com/)は、スマートフォンのシステム等の状況の把握や、特定の機能の利用を制限する設定を管理者が遠隔で行うことのできるMDM機能の導入サービスを提供しています。このようなMDM機能を利用すれば、容易に物理的・技術的安全管理措置を講じることができるでしょう。

当事務所の「会社の個人情報対策のことならこの1冊」(自由国民社)では、企業における個人情報管理方法を分かり易く説明しています。本書に置ける考え方は、スマホ管理においても参考になります。

http://www.jiyu.co.jp/houritsugakushu/detail.php?eid=01002&series_id=s10

Category:スマートフォン