通信環境の整備や働き方の多様化が進んだことなどにより、BYODを導入する企業が増えています。BYODとは、従業員が個人所有のデバイスを持ち込んで業務に利用することです。企業にとって利点が多い一方で、セキュリティ面のリスクには十分な注意が必要です。

この記事では、BYODの概要やメリット・デメリット、具体的なセキュリティ対策などについて詳しく説明します。

BYODとは「Bring Your Own Device」の頭文字を取った用語で、直訳すると「自分のデバイスを持ち込む」という意味です。

企業でBYODというときは、従業員が私物のデバイスを業務に使うことを意味します。持ち込むデバイスはスマートフォンに限らず、PCやタブレットでも同様にBYODと呼びます。インターネットを介して企業情報にアクセスできることが条件のため、広義ではUSBフラッシュメモリやSDカード、HDDなどの外部メディアも含まれます。

なお、BYODは、従業員が無断で私物を持ち込んで仕事に使っているケースには当てはまりません。企業側が私物のデバイスの使用を許可している場合に限ります。

BYODと似ている用語にBYADがあります。BYADは「Bring Your Assigned Device」の頭文字を取った用語です。

ビジネスでBYADというときは、企業が指定するデバイスを従業員が購入し、仕事に使用するケースを指します。BYADは教育現場でよく見られる状況です。学校が指定するデバイスを生徒が購入し、同じ条件・環境で学習できます。BYODとは異なり、BYADは業務や学習に無関係なアプリのインストールを制御可能といったメリットがあります。

スマートフォンの普及や通信環境の整備、働き方の多様化などの要因で、日本でもBYODを導入する企業が増えています。とはいえ、欧米に比べればまだBYODを認めている企業の割合は高くありません。総務省が行った調査によると、欧米諸国が23～28％ほどあるのに比べ、日本は10％程度です。

BYODにはさまざまなメリットが存在します。ここでは、企業側と従業員側に分けてどのようなメリットがあるか見ていきましょう。

大きなメリットの1つが、端末を用意する初期費用を大幅にカットできる点です。従業員が個々の私物を持ち込むので、企業は自社で用意する必要がありません。

また、従業員が普段使い慣れている端末を業務でも使用できるので、生産性や満足度の向上も期待できます。事務作業1つとっても、扱いなれていない端末ではうっかりミスが起きやすくなるものです。扱いなれている端末であれば、作業自体をスムーズに進められるでしょう。リモートワークなどの多様な働き方にも対応できます。

従業員側の大きなメリットの1つが、使い慣れた自分好みの端末を仕事でも使える点です。企業が支給する端末では、苦手な仕様や好きになれないデザインの場合もあるでしょう。使いづらさを覚え、モチベーションの低下につながりかねません。自分が好きな端末を使えるなら、それだけでやる気も出ます。私物の端末を業務に使えるのであれば、移動中や客待ちなどのすきま時間を活用して作業でき、時間の有効活用も可能です。

また、会社支給のPCと私物のPCの2台所有をしなくて済むこともメリットになるでしょう。

BYODには、メリットだけでなくデメリットもあります。デメリットについても企業と従業員に分けて解説していきます。

もっとも懸念すべきデメリットは、セキュリティリスクです。企業が用意し従業員に貸与している端末であれば、事前に十分なセキュリティ対策を施し、適宜アップデートすることもできるでしょう。しかし、私物の端末の場合は管理の目を行き届かせるのは容易ではありません。

また、従業員は私物の端末を使っていつでもどこでも仕事ができます。それだけに正確な労働時間を把握しきれず、適切な労務管理ができない恐れもあります。

プライベートで使い、業務でも使うため、通信・通話料金が著しく増加します。企業がどこまで負担してくれるのか、確かめることが必要です。また、端末内に業務データが入っていることから、紛失した場合は大きなリスクを伴います。

従業員の端末を業務で利用する際、知っておいたほうがよいのが「シャドーIT」です。

シャドーITとは、従業員が正式な許可を得ずに私物のスマートフォンやPCなどを仕事で使う行為や状況を指します。たとえば「帰宅後に気になって、自宅にある個人所有のPCから会社のメールを確認し、連絡した」などもシャドーITに含まれる行為です。企業の許可を得ず、ファイル共有サービスなどを利用する行為も該当します。

シャドーITが起こっていると、従業員が勝手に会社の情報にアクセスしている状況を企業側は知ることができません。内容によっては会社の機密情報の漏えいが起きかねず、非常に大きなリスクがあります。企業はシャドーITを禁止するルールを作り、従業員に対して周知徹底することが必要です。シャドーITにはどれだけのリスクがあるのかも、きちんと説明するようにしましょう。

BYODを導入するのであれば、十分なセキュリティ対策を講じ、従業員が遵守すべき運用ルールを作り、徹底することが必要です。具体的なセキュリティ対策については後ほど詳しく説明しますが、最低限、従業員には業務で使用する私物デバイスにはすべてウィルス対策ソフトを入れるよう周知しましょう。紛失時の機密情報漏えいリスクを軽減するため、すべてのデバイスにパスワード設定することも不可欠です。

BYODを導入するなら、セキュリティ対策を十分に講じることが欠かせません。ここでは、具体的な対策を紹介します。

まずはBYODのルール作り・ガイドラインの作成が必須です。私物のデバイスを使用できる業務範囲、使用可能なアプリやサービス、企業が実施する監視範囲や制御範囲、通信にかかる料金の規定などについて決めておきましょう。トラブルが発生した場合、どのように対処するかも明確化しておくことが大切です。

従業員所有のデバイスは、MDM（モバイルデバイス管理）ツールで管理しましょう。MDMを導入すると、従業員のデバイスに対し「ネットワークの設定」「インストールできるアプリの制限」「インストール済みアプリのアップデート」などが自動で可能です。従業員がうっかりスマートフォンなどを紛失した場合は、遠隔でロックすることもできます。

端末のセキュリティ強化には、EDR（Endpoint Detection and Response）が有効です。EDRとは、PCやスマートフォンといったエンドポイントを監視し、不審な挙動があれば検出して管理者に通知するシステムを指します。通知を受けた管理者は、速やかにログを分析することで、適切な対応が可能です。広く一般に知られるウィルス対策ソフトだけでは防ぎきれないセキュリティ上の脅威を軽減できます。

ただし、MDMやEDRなどのソフトウェアを私物の端末にインストールさせるのは、それなりにハードルが高いです。プライベートで使用しているデバイスが会社の管理下に置かれるというのは、抵抗のある人も多いでしょう。BYODを許可する場合は、ある程度の強制力を持ってセキュリティ対策を講じることも必要になります。