テレワークが普及して以降、モバイルPCやスマートフォンなどのモバイル端末について会社外で業務に使用される機会が増えています。
このようなモバイル端末については、
- 不適切な使用
- 紛失・盗難
- マルウェアへの感染
などにより会社の機密情報や個人情報が漏洩するリスクがあり、セキュリティ対策が不可欠です。
特にスマートフォンについては、私有の端末を業務に用いる、いわゆるBYOD(Bring Your Own Device)の形態も一般的です。
BYODの場合、業務上のデータと私的なデータが共存しており混在するおそれがあります。
また私的利用と業務上の利用いずれも行うため誤操作のおそれがあることから、前述のような情報漏洩リスクはより大きいといえます。
こうした情報漏洩を防ぎ、また生じた際の会社の責任を最小限とすることを目的として、業務に用いるモバイル端末の取扱いについてルールを定める会社が増えています。
そこで今回は、モバイル端末の取扱い規定に定めるべき事項を紹介します。
モバイル端末の取扱い規定に定めるべき事項
まずBYODの場合は、使用するモバイル端末について基準を定めたうえ、登録制として会社が使用を認めたモバイル端末個体のみ使用できるものとすべきです。
そうしないと管理の対象が膨大なうえ不明瞭となってしまうからです。
次に、使用・管理について、会社貸与のモバイル端末の場合には、
- 業務目的外の私的利用
- 第三者の使用
- 保存されたデータについて外部の許可されていない領域への転送
- 会社の認めるソフトウェア以外のインストール
- 端末自体の改造
などを禁止します。
BYODの場合には、前述のようなデータの混在を防止すべく、
- 業務上のデータと私的なデータを分けて保存すること
- 私的なインターネット利用等において業務上のアカウントやメールアドレスを使用しないこと
などを定めます。
さらに、モバイル端末について適切な使用・管理がなされているか調査・確認するため、
- モバイル端末それ自体や、そのデータ、メール等に関し、モニタリングの実施が可能である旨
を定めます。
ただしモニタリングについては従業員のプライバシーに特に配慮する必要があり、実際にモニタリングを行うかは分かりません。
あくまで規定違反を疑う根拠があることを前提として、調査の必要性がある場合に、社会的に許容される態様において行われるべきであり、違反を未然に防止する目的でのモニタリング規定の作成になります。
モバイル端末を紛失やマルウェア感染したときの対応も規定
あわせて、モバイル端末を紛失もしくは盗難し、またはマルウェアに感染したおそれがある場合等における対応も規定すべきです。
たとえば会社にその事実を報告すること、必要に応じてリモートロックやデータ消去を実施すること等です。
こうした事項を規定するだけでは実際にあったおきに適切な対応ができませんので、普段から従業員に周知・教育することも大切です。
まとめ
以上、今回はモバイル端末の取扱い規定について紹介しました。
結論としては、
- 会社が使用を認めたモバイル端末個体のみ使用できる登録制にする
- 会社貸与のモバイル端末の場合orBYODの場合の禁止事項を規定する
- モバイル端末の場合はモニタリングの規定も念のため作成する
- 紛失やマルウェア感染したときの対応を規定する
以上になります。