BYODにまつわるリーガルリスク
みなさんはBYODという言葉を聞いたことがありますか?
Bring Your Own Deviceの略で、従業員が個人で所有しているスマートフォンやタブレット、ノートパソコン等を職場に持ち込んで仕事に使うことを指すそうです。
会社にしてみれば、IT機器の購入費用やメンテナンス費用の負担が減りますし、従業員にしてみれば、会社支給の古くさいスマホやパソコンは使ってられない、普段から使っているデバイスを使った方が効率的という肯定的な考え方もありますが、以下のような問題もあります。
1 デバイスの費用負担
会社としてはコスト削減という意識でBYODを導入する事が多いとおもいます。さすがに従業員に対して新しいスマホやノートパソコンを業務用に個人で買えと業務命令を出すブラックな会社はないと思いますが、スマホであれば通信費の負担の問題もありますし、ノートパソコンもある意味消耗品ですから、その費用負担をどうするのかという問題があります。
また、業務中に使っていた個人のデバイスが故障・破損した場合にその費用負担をどうするのかということも問題になりえます。
2 情報漏洩の問題
これもよく言われることですが、BYODを導入すると、情報漏洩のリスクは一般に高まります。業務で使用した個人のデバイスは、退社時に従業員と一緒に社外に出るわけですから、盗難や紛失のリスクがあります。
また、会社支給のデバイスであれば統一したセキュリティ対策を取ることが出来ますが、個人のデバイスということになると、個人によってセキュリティ意識は異なりますから、もしかしたらウィルス対策ソフトを入れていないPCを使おうとしたり、怪しいアプリをインストールしようとしたりする従業員なんていうのもいるかも知れません。
3 労働時間の管理
個人のデバイスを仕事で使うようになるとどうしても労働時間の管理が難しくなります。
退社後や休日にも業務に関するメールを受け取るようになり、すぐに返信する事が期待されるようになったり、自宅で業務をしたりというようなことに繋がりやすくなります。
また逆のことも起こりえます。会社支給のデバイスであれば、インストールするアプリを制限することによってデバイスの個人使用を防ぐ事が出来ますが、個人のデバイスではなかなかそうはいきません。SNSやゲームのアプリも当然入っているでしょうから、業務時間中にこれらのアプリでサボっているなんていうことを心配しなければならなくなります。
4 保存されたデータの問題
また、個人のデバイスに業務のデータが保存されるようになると、そのデータをどのように管理するのかという情報漏洩の問題とは別の問題が生じます。
つまり、BYODで個人のデバイスを使っている従業員が、何か不正を行ったのではないかという場合、通常社内調査でPCなどのデバイスを調査しようということになりますが、個人のデバイスが対象になるとプライバシーの侵害にならないの?ということになりかねません。
また、従業員が退職する際に円満退社であれば問題はないでしょうが、何か揉めた上で辞めたり、あるいは、不慮の事故で亡くなった場合、従業員の協力が得にくかったり、ご遺族が状況を理解してくれないと、従業員が個人で所有しているデバイスから業務に関するデータを回収するのは難しいということになってしまいます。
ここまで読むと、BYODなんて大変で面倒くさそうだと思ってしまうかも知れませんが、会社として公式にBYODを導入していない場合でも、個人が勝手に会社のメールを個人スマホで受信していたり、会社の業務データを自宅に持ち帰って作業を続けるということは実際には起こっているかも知れません。
なので、リスクを管理するという観点から、BYODを積極的に導入しないという場合にも、このような勝手に個人のデバイスを業務で利用しているという可能性も踏まえて、社内規則を整備する必要があります。