従業員の私物の携帯端末を業務に利用する場合の留意点
IT・情報セキュリティ従業員の私物の携帯端末を業務で使えるようにしたいと考えています。どのような点に留意すべきでしょうか。
「原則として私物の利用は禁止し、会社貸与の端末を使う」としたうえで、「会社が定めたBYODルールに同意した者のみが例外的に私物を利用できる」という仕組みにしておくことが重要です。
解説
目次
従業員の私物の携帯端末を業務に使用させてよいのか
私物の携帯端末を業務に使用させるか否かについては、会社によってポリシーが180度違っています。たとえば、情報管理を厳格にするためにこれを厳しく禁じている会社もあれば、なし崩し的に利用されていて今更禁止することが実務的に難しくなっている会社もあります。
そもそも、私物の携帯端末を利用させることのリスクや法的問題点はどこにあるのでしょうか。
個人情報保護法の問題
私物の携帯端末を利用させることのリスクは、大きく2つあります。
1つ目は、携帯端末は紛失が日常的に発生しますので、電話帳に登録された個人情報などが漏えいする危険があることです。
取引先の担当者や顧客の氏名と電話番号などは、「特定の個人を識別することができる」情報ですから、個人情報に該当します。したがって、営業担当者が飲み会の帰りに携帯電話を紛失して情報が漏えいする、というのは情報漏えいの典型的インシデントなのです。
この場合、会社としては、個人情報保護法20条の安全管理措置の義務違反、および同法21条の従業者の監督義務違反を問われる可能性があります。
(1)安全管理措置の義務違反(個人情報保護法20条)
まず、個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「ガイドライン」といいます)によれば、個人情報取扱事業者は、個人情報保護法20条の安全管理措置の一貫として、以下の措置を講じる義務があるとされています。
個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。
(2)機器及び電子媒体等の盗難等の防止
個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
このように、個人データを取り扱う機器の紛失防止策は法的な義務とされています。
にもかかわらず、従業員が個人データを自由に私物の携帯端末に保存できるようになっており、紛失したときのリモートワイプの機能等も備えていない場合などには、安全管理措置を適切に講じていないと判断される可能性があります。
(2)従業者の監督義務違反(個人情報保護法21条)
次に、従業者に対する監督義務を定めた個人情報保護法21条に関して、ガイドラインは以下のとおり述べています(ガイドライン3-3-3 従業者の監督)。
事例1)
従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合
事例2)
内部規程等に違反して個人データが入ったノート型パソコン又は外部記録媒体を繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合
これによれば、たとえば、私物の携帯端末の業務での利用を禁止する内部規程があっても、なし崩し的に違反が横行しており、それを放置した結果、個人データが漏えいした場合には、従業者に対する監督義務違反を問われることになります。
営業秘密の漏えいの問題
また、顧客リストは営業秘密として守らなければならない情報の典型ですが、従業員が転職する際に顧客リストを持って行ってしまう事件は後を絶ちません。
私物の携帯端末を利用させていると、たとえば営業担当者がライバル企業に転職する際に、そのまま顧客リストを持って行ってしまうリスクが高くなります。
また、そもそも、従業員が自由に私物の携帯端末に保存できる顧客リストは、不正競争防止法2条6項でいう秘密管理性の要件を満たしておらず、営業秘密にあたらずに保護されないのではないか、という疑問も生じてしまいます。
私物の携帯電話を業務に利用させるために必要なこと
以上から、個人情報保護法の義務を果たすためにも、自社の営業秘密を守るためにも、従業員の私物の携帯端末の業務での利用が自由に行える状態は避けるべき、ということがいえます。
他方で、従業員の私物の携帯電話を業務に使わせることは、従業員にとっては複数の携帯端末を持ち歩く状況から解放されるなど働きやすい環境を実現することができますし、会社にとっては経費の削減や生産性の向上などのメリットもあります。
そこで、一定のルールの下で私物の携帯端末を利用させることが考えられます。これを「BYOD:Bring Your Own Device」(私物デバイスを業務で活用すること)と呼びます。
自由に私物の携帯端末を使わせることは問題がありますので、BYODに関する社内ルールを策定したうえで運用することが必要とされているのです。
BYOD規程の実務
BYODポリシーに盛り込むべき項目
BYODの実務は、典型的には、会社で「BYODポリシー」を決めた上で、従業員から「BYOD同意書」を徴求するという体制をとります。
まず、BYODのポリシーに盛り込むことを検討すべき項目として、以下があげられます。
- 私物デバイスを利用する際に、事前に会社に申請して承認を得る
- ウィルス対策ソフトをインストールすることを義務づける
- 端末・外部メディア(SDカード等)への情報の保存の禁止
- 私物デバイスの紛失があった場合には、リモートワイプを実行することに同意する(リモートワイプのソフトを導入しておく)
- 会社が監査を行うことがある
- 信頼できないアクセスポイントでの接続は禁止
- デバイスの改造、ルート化(ジェイル・ブレイク)等は禁止
- 通信費用、端末費用は個人の負担
このうち重要なポイントについて説明すると、まず、「2」については、これを義務づける場合に費用負担をどうするかを考える必要があります。
次に、「3」については、そもそも保存することができないアプリでのみ会社の情報にアクセスさせる方法を採るのが最も安全ですので、検討の余地があります。
さらに、「4」については、プライベートな情報も削除されることを明記しておく必要があります。この点は重要なので、後述します。
BYOD同意書に盛り込むべき項目
以上のとおりポリシーを決めたうえで、以下のような同意書を提出した従業員のみに、BYODを許すという形で運用します。
運用のポイント
最も重要なことは、携帯端末を紛失した際に内容を消去するリモートワイプのアプリを導入して有効化しておくことにあります(上記同意書4.)。これにより、情報漏えいに対応することができるからです。
もっとも、リモートワイプを実行すると、私物の携帯電話に保存されている情報は、プライベートなものも含めてすべて消去されてしまいます。
したがって、「原則として私物の利用は禁止」としたうえで、「ルールを前提にBYODを例外的に許す」という建て付けにしておくことが実務上のポイントです。すなわち、リモートワイプが嫌であれば、従前どおり会社貸与のデバイスを使えば良い、という前提を置いておくのが重要ということになります。
【関連するBUSINESS LAWYERS LIBRARYの掲載書籍】
『Q&Aとチェックリストでよくわかる! 改正 個人情報保護法対応ブック』
発売日:2017年06月10日
出版社:ぎょうせい
編著等:影島 広泰
BUSINESS LAWYERS LIBERARYで読む
『第3版 インターネット新時代の法律実務Q&A』
発売日:2017年02月13日
出版社:日本加除出版
編著等:田島 正広、足木 良太、上沼 紫野、梅田 康宏、大倉 健嗣、長田 敦、亀井 源太郎、柴山 将一、鈴木 優、中島 麻里、平林 健吾
BUSINESS LAWYERS LIBERARYで読む
『これからはじめる在宅勤務制度』
発売日:2018年07月10日
出版社:中央経済社
編著等:毎熊 典子
BUSINESS LAWYERS LIBERARYで読む
無料会員にご登録いただくことで、続きをお読みいただけます。
1分で登録完了
牛島総合法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー