緊急措置として利用を許可した支給外(私物)端末利用(BYOD)の利用実態の調査方法とアンケート書式例

IT・情報セキュリティ
小柏 光毅弁護士 弁護士法人片岡総合法律事務所 秋元 勇研弁護士 弁護士法人片岡総合法律事務所

 当社では、コロナ禍を機に緊急措置として支給外端末を利用したテレワークを許可したため、支給外端末の利用実態に関する調査を行う予定です。具体的にどのような方法で調査を実施すべきでしょうか。特に、従業員がテレワークに利用した支給外端末を提出させて調査を行うことは可能でしょうか。

 緊急措置として支給外端末を利用したテレワークを導入した場合には、セキュリティ面の問題、課題等についての振り返りの調査を行うことが重要と考えます。もっとも、支給外端末の提出を受けての調査は難しいため、具体的な調査方法としては自己申告(アンケート)方式によることが検討できます。

解説

目次

  1. はじめに
    1. 調査事項について
    2. 調査を主導すべき部門について
  2. セキュリティ面の調査項目の調査方法
    1. 支給端末の調査
    2. 支給外端末の調査の限界
    3. 支給外端末の調査方法
    4. 自己申告(アンケート)方式の調査における留意点
    5. セキュリティに関する調査項目
  3. アンケートの書式例
  4. まとめ

はじめに

調査事項について

 前稿で述べたとおり、支給外端末を利用したテレワークを許可した場合、その利用実態については「セキュリティ面の調査項目」を中心に調査をするのが適切です。

調査を主導すべき部門について

 「セキュリティ面の調査項目」を中心に調査を実施する場合には、情報のセキュリティやシステム管理に携わる情報システム部門が主導し、労務管理部門と連携して調査を行うのが適切と考えます。

セキュリティ面の調査項目の調査方法

支給端末の調査

 前提として、会社支給の端末は、会社が所有し管理する物的施設であり、会社の施設管理権 1 が及ぶと考えられます(国鉄札幌運転区事件・最高裁昭和54年10月30日判決・民集33巻6号647頁)。
 そのため、セキュリティ面の調査のために、従業員から支給端末の提出を受けて当該端末にマルウェア感染や情報漏えい等の痕跡がないか等を調査することも可能です。

支給外端末の調査の限界

 他方で、支給外端末は、会社が所有し管理する物的施設とは異なり、これに対する会社の施設管理権は及ばないため、施設管理権の行使として支給外端末の提出を求めることはできません。

 また、判例等(西日本鉄道事件・最高裁昭和43年8月2日判決・判タ226号82頁)において、企業秩序維持の観点から従業員に対する所持品検査が認められたケースもあるものの、企業による所持品検査の指揮命令に対する従業員の協力義務の外延要件等は必ずしも明確ではありません 2
 よって、支給外端末については、セキュリティリスクの発生が疑われる事案において、利用者本人の同意を得て行う場合でない限り、提出させて調査を行うことは困難と考えます

支給外端末の調査方法

 以上のとおり、支給外端末を提出させて利用実態を調査することは困難であるため、支給外端末の調査方法としては、自己申告(アンケート)の方法によることが適切と考えます

自己申告(アンケート)方式の調査における留意点

 まず、アンケートについては、テレワーク時のセキュリティ面の課題等について、従業員からできるだけ率直な意見を聴取することが重要と考えます。このような率直な意見を聴取するためにはアンケートの実施目的(たとえば、「テレワークを恒常施策に切り替えるために調査を行う」など)を明示することが適切です。

 また、テレワークは全社的な取組みであり、導入を推進するうえでは従業員全体で課題等を共有することが有効と考えられるため、アンケートの集計結果を社内に公表することが考えられます。
 さらに、アンケートは、記名式とする一方、氏名等やプライバシーに関係する事項については公表されない(秘匿される)旨を明示することでより実態を反映した正確な情報が得やすくなると考えます。

セキュリティに関する調査項目

 前稿で解説したとおりセキュリティ面については、以下の項目について調査することが考えられます。

取扱情報などテレワークの業務内容に関する調査項目
  1. 個人情報の取扱状況、保存方法
  2. 営業秘密の取扱状況、保存方法
  3. 1および2以外の重要情報の取扱状況、保存方法
  4. 支給外端末の利用実態

技術的・物理的セキュリティ対策に関する調査項目
  1. セキュリティ対策の状況
  2. ネットワークの接続、使用の状況
  3. 端末紛失時の対策の状況
  4. 無許可ソフトウェアのインストールの状況
  5. マルウェア感染の有無

 なお、調査項目を検討するにあたり、①前稿で紹介した特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「緊急事態宣言解除後のセキュリティ・チェックリスト」やその「解説書」に加えて、②令和2年9月11日に総務省より公表された「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)3 が参考になります。
 特に②では、支給端末利用か従業員所有端末(支給外端末)利用かで区別し、テレワークの方式ごとに場合をわけてセキュリティに関するチェックすべき事項を整理しており、自社が導入するテレワークの方式に応じた調査事項を選定のうえ、アンケートを作成することができると考えます。

アンケートの書式例

 参考として、2−4で述べた留意点を踏まえ、2−5で紹介した①および ②(「第2部.1.(ウ)⑤従業員所有端末・VPN/リモートデスクトップ方式」)の資料を参考に作成したアンケートの書式例を示します。  



コロナ禍に伴うテレワークに関するアンケート


令和2(2020)年●月●日

◯◯◯◯(株)


 本アンケートは、コロナ禍により導入したテレワークを恒常的施策とするため、テレワーク及び支給外端末の利用実態を把握し、課題を明らかにする目的で行うものです 4
 本アンケートの集計結果は、必要に応じて社内公表する予定ですが、回答内容と氏名との結びつきは、原則非公表(内容についてもそれ単体で個人の特定がなされ得る事項については原則非公表)とし、プライバシーに関する事項は秘匿事項とします 5

回答者         





1 テレワークの業務内容

①−1 テレワークにおいて、個人情報を取り扱いましたか。
はい・いいえ

①−2 (「はい」の場合)どのような個人情報をどのような業務で取扱いましたか。


②−1 テレワークにおいて、営業秘密を取り扱いましたか。
はい・いいえ

②−2 (「はい」の場合)どのような営業秘密をどのような業務において取り扱いましたか。


③−1 上記①及び②以外に重要と考えられる情報を取り扱いましたか。
はい・いいえ

③−2 (「はい」の場合)どのような情報をどのような業務で取り扱いましたか。


④−1 ①、②及び③の情報をどのような媒体で取扱いましたか。
支給外端末(PC、タブレット及びスマホ等)・紙媒体

④−2 (④−1が紙媒体以外の場合)①、②及び③の情報をどのように保管・保存しましたか。
私物端末内・USB等の外部メモリ・その他


④−3 (④−1が紙媒体の場合)①、②及び③の情報をどのように保管・保存しましたか。


④−4 ④−2及び④−3で保管・保存した情報を必要がなくなる都度削除、抹消等しましたか。
はい・いいえ


2 技術的・物理的セキュリティ対策

①−1 支給外端末にウイルス対策ソフトを導入していましたか。
はい・いいえ

①−2 (「はい」の場合)どのようなソフトを導入しましたか。


①−3 当該端末についてマルウェア感染の形跡はありませんか。
はい・いいえ・分からない 6

①−4 当該端末について原因不明の動作不良等のトラブルは発生していませんか。発生している場合、どのようなトラブルが発生していますか。
はい・いいえ・分からない


①−5 当該端末のOS・ソフトウェア(ウイルス対策ソフトを含む)を最新化していましたか。
はい・いいえ・分からない

②−1 支給外端末をインターネットに接続した場合には、どのような通信手段を利用して接続しましたか。
公衆Wi-Fi 7・モバイルルーター・自宅インターネット回線

②−2 (モバイルルーターに接続した場合)当該製品についてメーカーサポートが切れているものはありますか。
はい・いいえ・分からない

③−1 支給外端末について、パスワード等のロックを設定しましたか。
はい・いいえ

③−2 支給外端末に覗き見防止フィルタを貼付していましたか。
はい・いいえ

③−3 支給外端末のOSやソフトウェアにメーカーサポート切れとなっているバージョンのものはありますか。
はい・いいえ・分からない

③−4 支給外端末をテレワーク期間中に紛失(一時的な紛失も含む)したことはありますか。
はい・いいえ

③−5 支給外端末(タブレット及びスマホ等)の紛失時に端末の位置情報を検出できる設定を行っていましたか。
はい・いいえ

④ 支給外端末について、テレワーク期間中に会社に申請せずにインストールしたアプリケーションはありますか8。ある場合には、どのようなアプリケーションですか。
はい・いいえ

⑤ 上記の他テレワーク及び支給外端末の利用に関して、懸念点や課題、提案等があれば記載してください。


まとめ

 コロナ禍はいまだ収束を見せず、テレワークのニーズは、今後も長期的に持続、拡大することが見込まれます。本稿では、緊急措置として支給外端末の利用(BYOD)を許可した場合の調査方法について解説しました。次稿では、テレワークを恒常施策とする場合の具体的プロセス、留意点等について解説します。


  1. 企業が職場環境を適正良好に保持し規律のある業務の運営態勢を確保するため、その物的施設を許諾された目的以外に利用してはならない旨を、一般的に規則をもって定め、または具体的に指示、命令することができる権限とされています。 ↩︎

  2. 上記判例は、所持品検査の要件として、①検査を必要とする合理的理由の存在、②検査の方法が一般的に妥当な方法と程度で行われること、③制度として職場従業員に対し画一的に実施されるものであること、④明示の根拠に基づくことを求めています。 ↩︎

  3. 総務省は、②のチェックリストについて、テレワークセキュリティに関する実態調査の結果や初版に対して寄せられた意見等を踏まえ、2020年内を目途に改定(第2版公表)予定としています。
    なお、上記①および②以外にも、企業等がテレワークを導入するにあたってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」が策定・公表されており(平成16年12月 初版、平成18年4月 第2版、平成25年3月 第3版、平成30年4月 第4版)本ガイドラインも2020年度内を目途として改定(第5版公表)が検討されています。 ↩︎

  4. アンケートの趣旨を明示することで、従業員からの率直な回答が得られやすくなると考えられます。 ↩︎

  5. 記名式のアンケートとしつつ、氏名等やプライバシーに関する事項が秘匿される旨を示すことで実態と合致した正確な情報が得やすくなると考えられます。 ↩︎

  6. 「分からない」との回答であった場合、セキュリティリスクが生じている可能性があるため回答した従業員に個別に状況を確認することも考えられます。以下、各調査事項について同様となります。 ↩︎

  7. 通信路が暗号化されていない公衆Wi-Fiは自宅インターネット回線等に比して、ウイルス感染や盗聴の危険性が高いため、利用につき注意が必要です。 ↩︎

  8. テレワーク導入前に支給外端末にアプリケーションをインストールする際に事前申請を求める等のルールを定めていた場合には、上記の質問をすることが考えられます。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する