個人のスマートフォンをビジネス利用するケースが増えつつある
1990年代に携帯電話が登場して四半世紀が過ぎ、すでに携帯電話はライフラインの一つとして所有するのが当たり前という時代です。そして、今ではフィーチャーフォン(いわゆるガラケー)ではなく、スマートフォンの時代。スマートフォンを片手に歩く社会人の姿も当たり前という時代になっています。
携帯電話が普及する以前は、ポケベルなどを支給する企業がありました。携帯電話が登場した頃でも、PHSと呼ばれる携帯端末を支給するケースが見られました。しかしいま、スマートフォンの低価格化・高機能化が進み広く普及するに伴って、個人所有のスマートフォンをビジネスに利用するケースに注目が集まっています。
その一方で、情報漏えいなどのリスク回避のために、個人所有のスマートフォンの業務利用は認めないといった規定を設ける企業も見受けられます。もちろん、個人のスマートフォンを業務に利用した場合、通信料などは誰が支払うのか? といった問題もありますが、セキュリティ面での対策として利用禁止している場合もあるようです。
ただ、実際には個人のスマートフォンをビジネスで積極的に活用する事例が増えつつあるという現実もあります。
個人のスマホをビジネスに使う「シャドーIT」
個人情報をはじめとしたビジネスで活用する情報の漏えいが社会でも問題化するにつれて、携帯電話だけでなく、パソコンやタブレットなど、個人で所有しているIT機器を仕事に利用することを禁止する企業も増えてきました。しかし、企業の方針として明確に使用を禁止しているにもかかわらず、個人の携帯電話などを隠れて使う人も少なからずいます。
このように企業で禁止されているにもかかわらず、個人のIT機器を仕事に利用する行為を「シャドーIT」や「ステルスIT」などと呼んでいます。文字通り、上司の目を盗んで“隠れて”IT機器を使っているということです。
もちろん、企業から携帯電話やノートパソコンなどが支給されていれば別ですが、支給されていないようなケースでは個人所有のIT機器を使いたくなる気持ちも分からないではありません。しかし、それによって負うリスクははかりしれません。
携帯電話が普及し始めた当初から、特に違和感なく仕事に個人用の携帯電話を利用する人も少なくはありませんでした。一般的なビジネス通話を個人の携帯電話で行うことは、利便性は感じても、デメリットはあまり感じることが少なかったからです。しかし、今は事情が異なります。
スマートフォンが広まるにつれて、携帯電話で行えることは一般通話にとどまらず、スケジュール管理やToDoリストなどの仕事管理ツールやアプリが利用できたり、文書ファイルの閲覧や編集までもできるようになっています。また、スマートフォンだけでなく、個人のノートパソコンを仕事に利用することも危険性は高いと考えられます。特に、社外から社内ネットワークへアクセスできるようなIT機器を、管理の甘い個人所有物として利用しているとすればその危険性はかり高まると考えたほうがいいでしょう。
「シャドーIT」のリスクを回避するためには
シャドーITに対して、個人所有のIT機器の仕事利用を積極的に進めようとして企業も最近では増えつつあります。この動きはBYOD(Bring Your Own Device)と呼ばれており、企業が社員に対してIT機器を支給するコストを抑えるというメリットだけでなく、社員が個々に利用しやすいIT機器を利用することで生産性を向上させるという狙いもあります。
一方、個人のIT端末の仕事利用を明確に禁止している企業もありますが、これによってシャドーITが増殖してしまっているという皮肉な現実もあるわけです。単に禁止するのではなく、何らかの代替策を用意しなければシャドーITは、今後ますます増えていくのではないかと考えられます。
ただし、もっともリスキーなケースは、個人のIT機器の仕事利用に関して、経営者が無頓着である場合です。特に何の規定も設けず、利用する・しないは社員任せ…という状況では、社員にも危機管理意識は芽生えません。個人のIT機器に企業の重要情報が保存されている…ということの重大さを感じないまま、スマートフォンを紛失してしまう…といった事件は後を絶ちません。
規約を設けているにもかかわらず、個人のIT機器を“隠れて”使用する、という人にも危機管理意識の欠落が感じられますが、企業全体が危機管理意識を欠如しているという状況がもっとも危険であるということです。
個人にとっては使い慣れたスマートフォンで仕事をこなすメリットは大きいのです。そして、スマートフォン上で利用できるアプリは、業務効率アップに非常に役立つのです。とすれば、禁止したとしてもシャドーITはますます増えていくでしょう。
したがって、経営者としては個人のIT機器利用を認める、つまりBYODを積極的に導入していくか、もしくは利用を認めないとすれば、社員が利用するIT機器を会社側から供給することになるでしょう。
そして、いずれの場合も、利用規定を適正に構築する必要があります。IT機器の持ち出しルールやUSBメモリなどの記憶媒体の管理、社内ネットワークへのアクセスルールなど、情報セキュリティに関するルールを構築するのです。また、特に重要なデータを格納しているサーバやネットワークへのアクセスに関しては、システムとして制限を設けることを検討しましょう。
同時に、これがもっとも重要なことですが、社員の危機管理意識を啓発するための教育を適時行い続けることが大切です。
スマートデバイスマネジメント
http://www.ntt-east.co.jp/business/solution/marugoto/mdm/service.html