企業の中には、各従業員に社用スマホを支給し、業務の効率化を図っているところもあります。
しかし、社用スマホには企業にとってのあらゆるリスクが潜んでいるため、情報セキュリティ対策は徹底的に実施しなければいけません。
今回は、具体的にどのような対策を取るべきなのかについて解説したいと思います。
社用スマホにおける主な情報セキュリティ対策
社用スマホは、パソコンとあわせて利用することで、従業員の出先での業務、在宅勤務などにおける利便性が飛躍的に向上します。
しかし、不正アクセスやウイルス感染、紛失や物理的な窃取といったさまざまなリスクを抱える端末であるため、企業は以下のような情報セキュリティ対策を取らなければいけません。
・目的、適用範囲の明確化
・機能、サービスの利用要件の策定
・利用手順の整備
目的、適用範囲の明確化
社用スマホの利用目的が曖昧な状態だと、従業員は闇雲に業務用アプリを導入してしまう可能性があります。
このような状況が続くと、不要なコストが増加するおそれがあり、利用に伴うリスクが増大することにもなりかねません。
そのため、企業は社用スマホの業務利用の目的を明確化し、目的に合った業務利用の形態を定めることが重要です。
また、対象とする業務の範囲についても、明確にしなければいけません。
具体的には、以下のように範囲を決定します。
・要機密情報を取り扱う業務を禁止し、それ以外を利用可能とする
・機密性1情報のみ取り扱い可能にする など
もちろん、前述のルールについては、どの従業員にまで適用するのかも明確にする必要があります。
例えば、企業に属するすべての従業員を対象とするのか、対象とする業務や情報等に応じて対象者を限定するのかといったポイントは、必ず押さえておかなければいけません。
機能、サービスの利用要件の策定
社用スマホを導入する企業は、情報セキュリティ対策として、機能やサービスの利用要件も策定しなければいけません。
例えば、利用する端末の機種やOSの種類、バージョン等の要件を定めることで、情報セキュリティリスクはある程度軽減させることができます。
社用スマホは、可能な限り最新バージョンのOSを使用することで、情報セキュリティ対策を長期的に維持することが可能です。
また、利用する端末やOSの種類を限定することで、すべての端末において同等の情報セキュリティ対策を講ずることができる上に、管理工数やコストの削減効果も期待できます。
ちなみに、その他の社用スマホにおける機能、サービスの利用制限の例は以下の通りです。
| 社用スマホの機能、サービス | 利用制限 |
| 音声通話 | 府省庁が契約する通信事業者提供の音声通話サービスのみ利用する など |
| 電子メール | 通信事業者のメールサービスを利用または業務用アプリを導入する など |
| ウェブブラウザ | 業務用アプリを導入し、ウェブサイトフィルタリングを設定する など |
| アドレス帳 | 秘匿性を確保できる専用アプリを導入した上で利用する など |
| 無線LAN、Bluetooth、赤外線通信等 | 業務上不要であれば、利用を禁止して機能を無効化する など |
| 撮影、録画、録音等 | 業務用不要であれば無効化またはレンズにセキュリティシールを貼付する など |
| 外部電磁的記録媒体(SDカード等) | 利用可能な端末については、利用を禁止または媒体の接続ポートを停止し、機能の無効化を図る など |
| その他(GPS測位、クラウドへのデータバックアップ、テザリングなど) | 業務上不要であれば、利用を禁止して機能を無効化する など |
利用手順の整備
社用スマホを各従業員に支給する場合は、利用手順の整備も欠かせません。
具体的には、利用の原則や利用手順、端末管理や禁止事項などのルールについて整備し、従業員に周知・遵守させる必要があります。
具体的には、以下のような内容にするのが望ましいです。
| カテゴリ | 内容 |
| 利用の原則 | ・業務の遂行以外の目的で端末を利用しないこと ・不要不急な業務においては極力利用しないこと ・不要な情報は端末に残さず、早急に消去すること ・他の手段がない場合に限り利用すること など |
| 利用手順 | ・利用手順を遵守すること ・定められた手順以外の方法で業務を行わないこと ・手順外の処理を行う必要が生じた場合は、事前に責任者の許可または承認を得ること ・利用を終了した場合は、速やかに手続きすること ・利用中にインシデントが発生した場合は、手順に従って管理者等へ速やかに連絡し、必要な措置を講ずること など |
| 端末管理 | ・盗難や紛失が起こらないよう、日常的に端末の管理を厳重に行うこと ・家族や友人、第三者が端末操作や画面をのぞき見する行為に注意すること など |
| 禁止事項 | ・管理責任者の許可なく、端末の設定を変更しないこと ・安全性が確認できないアプリケーションや、利用が禁止されているソフトウェアをインストールしないこと ・許可された通信回線以外に接続しないこと ・家族や友人、第三者に端末を貸与しないこと など |
まとめ
ここまで、企業が社用スマホを導入するにあたって、最低限実施すべき情報セキュリティ対策について解説してきました。
冒頭でも触れたように、社用スマホの導入は、企業全体の生産性向上につながる反面、あらゆるリスクを生じさせるものでもあります。
具体的な対策がなければ、企業は経済的にも社会的にもダメージを負ってしまう可能性があるため、注意してください。
