「勝手BYOD」の蔓延(まんえん)を回避

 わが社は社用スマホを配布していないし、BYODも許可していないので、セキュリティーのリスクはない――。そう考える人がいるかもしれない。だがこのケースにもリスクは存在する。

 BYODを禁止している企業内で、社員が会社から許可を得ずに自分のスマホなどを業務に利用するケースが、近年相次いでいる。こうした利用形態を「勝手BYOD」と呼ぶことがある。また、勝手BYODや、Google ドライブ、OneDriveなどのサービスを、会社の許可を得ずに個人用アカウントで業務に利用することを「シャドーIT」という。

個人用のクラウドストレージに業務ファイルを保存するかもしれない
[画像のクリックで拡大表示]

 管理者が何も対策をしなかったり、社員へのセキュリティー教育を怠っていたりすると、社内にシャドーITがはびこる。その結果、社員が私用端末で社内システムにアクセスする、機密データを自分の端末に入れて自由に持ち出すといったことが起こり得る。本特集の別の回で紹介した、「若手社員たちが勝手にLINEグループを使って業務連絡ツールとして活用し始めた」という事例もシャドーITに該当する。

 新入社員を含む若い世代のほうがスマホなどのモバイル機器には慣れ親しんでおり、上の世代が知らないサービスを利用したり、思いもよらない使い方をしたりする可能性がある。それがセキュリティーに関する問題を招いても、上の世代はなかなか気づかないだろう。

 シャドーITが横行している場合、単に使用を禁止しようとすると「効率的なのに、なぜ禁止なのか」といった抗議を受けて同意が得られないかもしれない。あるいは、禁止が効力を持たずこっそりと使い続ける可能性もある。私物のスマホを業務で利用することがセキュリティー上どれほど多くの危険を含んでいるのか、きちんと理解してもらおう。

 他社で起きた情報漏洩事件の事例や、過去に事故を起こした社員が受けた処分などを示しつつ説明すると、より効果的だ。十分な理解を得た上で使ってもらおう。

個人の端末や個人用のクラウドストレージを勝手に業務に使うことには、さまざまなリスクがあることを説明しよう
[画像のクリックで拡大表示]
岡本 ゆかり(おかもと ゆかり)
筑波大学卒業後、日経BP社に入社。「日経クリック」「日経PC21」の編集部を経てフリーに。PCやスマートフォンなどの機器、Webサービスなどの活用術を得意分野とする。趣味はF1とWRC(世界ラリー選手権)の観戦。