編集部注:「リスク対策.com」本誌2014年11月25日号(Vol.46)掲載の連載を、Web記事として再掲したものです。(2016年6月2日)

2014年7月、業務委託を受けていた企業から3000万件を超える顧客情報を持ち出した元システムエンジニア(SE)が、不正競争防止法第21条に規定される営業秘密侵害罪(10年以下の懲役又は1000万円以下の罰金)の容疑で逮捕されました。元SEは常駐していた企業のパソコン室に私物のスマートフォンを持ち込み、USBケーブルでパソコンに接続して充電する振りをしながら、約1年間にわたり顧客データの複製・持出しを繰り返し、名簿業者に売り渡していました。 

国内のスマートフォン保有率が上昇する中、私物のスマートフォンが当たり前のように職場に持ち込まれていますが、私物スマートフォンの持ち込みには、情報セキュリティ上、さまざまなリスクがあります。また、従業員の私物スマートフォンの利用に関しては、職場への持ち込みの問題だけでなく、私物スマートフォンを業務目的で利用することについての問題もあります。最近では、個人所有のスマートフォンなどの私物端末を業務に利用するBYOD(Bring Your Own Device:ビー・ワイ・オー・ディー)が広まりつつありますが、BYODにはさまざまなリスクがあることが指摘されています。 

そこで、今回は、私物スマートフォンの職場への持ち込みのリスクとその対策、およびBYODの留意点について説明します。

1 私物スマートフォン持ち込みのリスク
(1)従前のルールの形骸化 
職場への私物の持ち込みは、通常、服務規律や情報セキュリティ規程などで制限されています。一般的に、携帯電話の持ち込みについては可とする一方で、パソコンやUSBメモリ、カメラなど、記録媒体としての機能を有するものについては、持ち込み禁止とする企業や組織が多いと思われます。しかし、最近では従来の携帯電話に替えてスマートフォンを所持する従業員が大半を占めるようになり、従前のルールの適用が難しくなっています。スマートフォンは、携帯電話とパソコンの両方の機能を併せ持ち、記録媒体としての機能やカメラ機能も備えていることから、従前のルールに照らした場合、記録媒体としての機能を有するものとして持ち込みが禁止されると考えられます。しかしながら、実際にスマートフォンの職場への持ち込みを全面禁止とすることは難しく、従前のルールが形骸化しているケースが少なくないものと思われます。

(2)不適切利用のリスク 
スマートフォンが有するさまざまな機能は、利用者にとって利便性が高いものである一方で、それが職場に持ち込まれて不適切に利用された場合は、企業等に多大なリスクをもたらすおそれがあります。職場における私物スマートフォンの不適切利用としては、盗聴・盗撮による業務関連情報の漏えい、私物スマートフォンを可搬媒体としたデータの持ち出し、不正プログラムに感染した私物スマートフォンの業務システムへのアクセスにより生じる業務システムのプログラム汚染や情報漏えいなどが想定されます。 

実際に、私物スマートフォンを利用したデータの持ち出しによる顧客情報漏えい事件が発生していることは前述の通りです。この他にも、退職勧奨を受けた元従業員が私物スマートフォンに上司や人事担当者との面談内容を録音して退職後にインターネットで流したり、従業員が職場内で撮影した写真に業務関連情報が写り込み、その写真をソーシャルメディアにアップしたことで内部情報が社外に漏れてしまったなどのトラブルも起きています。