「BYOD」導入に向け、まず企業が取り組むべき課題とは
ここ数年、スマートフォンの普及は目覚しい。実際にMMD研究所が実施した調査によれば、「スマートフォンを業務利用することで、どのような効果を感じていますか?」という問いに対して、43.0%が「仕事の効率、スピードが上がった」と回答。33.4%が「社内のコミュニケーションがとりやすくなった」、27.6%が「情報収集力があがった」と回答するなど、実際に、利用効果を感じているユーザーは多い。
PCに代表されるように、これまでは業務で利用する端末は、会社側で用意して、従業員に支給するのが一般的なやり方であった。しかし、スマートフォンの普及が拡大するにつれ、「BYOD」という言葉が注目されつつある。
BYODとは、「Bring your own
device:私的端末の業務利用」の略で、社員が個人的(私的)に購入したデバイスを、業務でも利用しようという取り組みだ。
BYODは、端末代の導入コストを削減できるという企業側のメリットだけでなく、従業員にとっても、普段使い慣れた端末を利用できる、業務用と個人用で端末を2台持つ必要がないという利点も生まれる。そのため、今後、BYODが急速に普及していくだろうと予測されている。
◆利用頻度に比べ、低いセキュリティ意識
しかし「BYOD」には課題もある。最大のものが「セキュリティ」だ。スマートフォンを業務利用する最大のメリットは、外出先でも業務を行える点なので、常に会社の重要情報が漏洩するリスクを抱えることになるのだ。
MMD研究所の調査によれば、私用スマートフォンで「会社のメールサーバに接続している」という人は37.4%、「会社のメールを個人メール等に転送し、メールを利用」している人は30.0%いた。逆に「会社のメールを個人のスマートフォンでは見ていない」という人は、半数以下の41.0%に留まっている。
また、私用スマートフォンを社員同士や取引先とのコミュニケーションに利用しているという例も多い。MMD研究所の調査では、「コミュニケーションツールとして、利用していない」という人は、わずか18.2%で、8割以上の人がコミュニケーションに利用しており、取引先の連絡先を私有端末に登録されている人も3割以上いる状態だった。
メールや電話などのコミュニケーションだけでなく、資料参照で利用している人も多い。
「資料を個人メールに送信し、閲覧や修正に利用」している人は約3割で、「資料をDropboxやEvernote、iCloud等に保存し、閲覧や修正に利用」している人も24.4%いた。意外に多いのが、「ホワイトボードや紙の資料を撮影し、閲覧に利用」している人で、3割以上いる。会社内へのアクセスであれば、システム的にアクセスできないように制御することも可能だが、資料を撮影して持ち出す、録音するというような手法は止めようがない。
しかし、これだけ多くの業務情報に私用端末からアクセスされながら、きちんとしたセキュリティ対策を行っているというユーザーは予想以上に少ない。
端末利用を制限する「パスワードロックの設定」を行っている人は半数以下の49.8%、紛失時の重要な対策の1つである「リモートロックの利用」は27.4%、「リモートで情報が消去できるサービスの利用」(リモートワイプ)は、わずか13.0%でしかない。つまり、半数以上の端末は、紛失時に簡単に情報を閲覧できる状態にあるということだ。
遠隔地にある端末を利用不能にする「リモートロック」や、遠隔地の端末内データを消去する「リモートワイプ」は、端末の紛失・盗難時に内部情報が漏洩することを防ぐための必須機能だ。しかし、「自分は大丈夫」と考えるためか、紛失時への対策は進んでいない。
しかも、過去に端末を紛失した経験を持つ人は、あとで見つかった場合と見つからなかったケースを合わせると15%を超える。端末を紛失している人は意外に多いのだ。
こうしたセキュリティに対する不安から、個人所有端末の業務利用を禁止しているという企業も多い。では、単に私用端末の利用を禁止すれば、問題は解決するのかといえば、そうでもない。
IDC Japanは今年の1月17日、国内のBYODの利用状況の調査(2012年11月実施)をもとに、BYOD導入率/導入課題/メリットとデメリット/生産性向上等について分析を行い、その結果を発表しているが、それによると、BYOD導入率/シャドーIT利用率は、スマートフォン29.2%、タブレット19.3%、モバイルPC19.6%、携帯電話(スマートフォン除く)39.1%となり、携帯電話とスマートフォンのBYOD/シャドーITが進んでいる実態が明らかになっている。
IDC Japanでは、シャドーITを「企業が業務において、私物端末の使用を許可しない状況で、従業員が使用するケース」と「BYOD利用規定を定めないで使用するケース」を指すと定義している。シャドーITの割合はそれぞれのデバイスにおいて、BYODの約6割から8割で、シャドーITの存在は大きい。
IDC Japanでは、国内BYOD/シャドーITユーザー数は、2011年の192万人から、2016年には1,265万人まで拡大するとみており、特にシャドーITは急激に増加していくと分析している。
つまり、会社で利用禁止しようとも、業務で私用端末を利用する社員は今後増える傾向にあり、それにつれて、情報漏洩リスクも増大していくことが予想される。
しかも、MMD研究所の調査では、業務利用しているスマートフォンを紛失した場合に会社に報告するかどうかという問いに対して、「報告する」という回答は全体で61.5%に留まり、3割は紛失しても届け出ない可能性があるという実態が浮かびあがっている。
利用を禁止しているにもかかわらず勝手に利用され、紛失の届け出もないまま情報が流出するという最悪のケースが十分起こりえる状況なのだ。
これらのことを踏まえると、企業はBYODを認めないのではなく、セキュリティ対策を実施した上で私用端末の業務利用を認めていくことが、もっとも現実的な対策になるという結論になる。とくに、パスコードロックを強制する機能や、紛失時のリモートロック/リモートワイプは必須の機能といえるだろう。
なお、これらの機能は、MDM(Mobile Device Management:モバイルデバイス管理)というソフトウェアで提供されるケースが多いので、まずはMDMを導入し、あわせて、パスワードロックやアプリのインストールなどを禁止するポリシー制御、データを閲覧する際、端末にデータを残さないしくみ、ウィルス対策ソフトなどの採用も検討すべきだろう。
◆「BYOD」のもう1つの悩み「公私分計」
BYODの課題は、セキュリティだけかというと、そうではない。BYODの導入の障壁となるもう1つの問題が、業務で利用した通信料と私用で利用した通信料をどのように区別し、支払っていくかという「公私分計」の問題だ。
一定額を手当として支払っている企業もあるが、実態とかけ離れてしまうという問題がある。これは、BYODの場合だけでなく、会社支給の端末でも起こる問題だ。
MMD研究所の調査では、私用端末を利用している人で、会社からスマートフォンかフィーチャーフォンのいずれかを支給されている人(いわゆる2台持ち)は、合計44.1%だった。つまり、残る約66%の人は、自分のスマートフォンを業務に利用する「BYOD」状態ということになる。
これらの人が、不満として挙げたものの上位には、「業務で利用した電話料金やパケット料金が個人負担となること」、「端末購入の費用補助が出ないこと」、「業務に必要なアプリの料金が個人負担となること」といったコストが個人負担になることが並んでいる。また、プライバシーの観点から、プライベートな電話番号やメールアドレスが、取引先に知られてしまうことへの不満も大きい。これにより、休日や深夜など、業務時間外においても連絡があり、業務への対応を求められるケースも出てくる。
ただ、企業が「BYOD」を認め、こうした不満を解消対応しようと考えるならば、比較的簡単に対応することは可能だ。それは「公私分計」サービスを利用すればよいのだ。「公私分計」サービスとは、同じ端末を使いながら、業務用とプライベートの通話をきっちり分離し、業務用の通話料は会社側に、プライベートな通話料は個人に分割して請求できるサービスだ。
このような公私分計サービスをセキュリティ対策とあわせて導入することで、社員の満足度も高くなり、スマートフォンの業務利用が促進されれば業務効率化も一層進むはずだ。