仕事で使うスマホ・タブレットのセキュリティ対策の必要性と運用ルールの9つのチェックポイント

仕事で使うスマホ・タブレットのセキュリティ対策の必要性と運用ルールの9つのチェックポイント

こんにちは。プライバシーマークコンサルタントの勝部です。

 

これからPマークを取得するクライアントとの打ち合わせの際、

まずはその会社にあったセキュリティ運用ルールの策定から行います。

 

これは、取り扱う個人情報の種類やボリューム、会社の規模感などをもとに、

その会社が求めるセキュリティレベルとPマークを取得するために必ず必要となる

セキュリティレベルを盛り込んだルール作りを行うものです。

 

その打ち合わせの際、よくクライアントから質問・相談を受けるのが

スマホ・タブレット端末の取り扱いルールについてです。

 

たしかに最近のスマホやタブレットは少し前のパソコンとほぼ同じ性能が

あるため、持ち運ぶことが常であることを考えると、セキュリティ上のリスクは

看過できないものですよね。

そこで今回はこのPマーク企業のスマホ・タブレットの運用ルールについてお話します。

 

自社の現状を把握する

企業のセキュリティ上、スマホやタブレットの取り扱いは以下の3つに分類されます。

1.従業員の個人端末の業務利用を認める

2.会社が推奨端末を提示し、従業員が利用端末を選ぶ
(回線契約は会社)

3.会社が選定・購入した端末を従業員に貸与する

明確な運用ルールがない場合でも、実態はこのいずれかに該当しているかと思います。

『端末使用を一切禁止』としている企業はありますが、その場合は運用ルールを

作り込む必要はなく、この一文を盛り込めばいいだけなので今回は省きます。

 

ちなみに

「1.従業員の個人端末の業務利用を認める」は、
BYOD(Bring Your Own Device)

「2.会社が推奨端末を提示し、従業員が利用端末を選ぶ」は、
CYOD(Choose Your Own Device)

「3.会社が選定・購入した端末を従業員に貸与する」は、
COPE(Corporate Owned, Personally Enabled)

とそれぞれ表現されることもありますね。

この内どの状態がベストであるかは一概には言えないため、

『会社としてどうしていくか』を決めていく必要があります。

 

スマホ・タブレット運用ルールの具体例

それではつぎに具体的にどのような運用ルールを定めておく必要があるのかを見ていきましょう。

一般的なルール・注意点としては以下のようなものがあります。

①入れることができる情報を限定する

②端末のロックのルールを定める
 →(パスワード、指紋認証等)

③盗難や紛失時のルールを定める
 →(リモートロックやリモートデータ削除)

④OS、アプリの最新版へのアップデートルールを定める

⑤インストールアプリを限定する

⑥ウイルス対策ソフトをインストールする

⑦ネットワーク利用のルールを定める

⑧アカウント管理ルールを定める
(利用サービスにおいてプライベートアカウントと業務用アカウントを分ける)

⑨退職時のルール

①入れることができる情報を限定する

これは情報セキュリティの基本ですね。
会社として取り扱う個人情報のうち、『どの情報を端末に入れてよいか定める』ことで
いざというときのリスクが軽減します。

②端末のロックのルールを定める

おもに盗み見などを防止するために端末ロックについてのルールも明確にしておきましょう。最近の端末だと指紋認証によるロックが解除時の手間が少ないことで利用されていることがありますが、これを会社として許容するか(ナンバーロックのみとするか)も定めておいたほうがいいでしょう。

③盗難や紛失時のルールを定める

いくら気をつけていても盗難や紛失は起きることがあります。
その際、遠隔操作(リモート)でロックを行う、またはデータ削除を行うといったルールを定めておきましょう。

④OS、アプリの最新版へのアップデートルールを定める

OSやアプリのアップデートは機能面での追加以外にセキュリティ上の脆弱性(穴)をケアすることがあります。
「すみやかにアップデートを行う」といったように本人に任せることもできますが、アップデートが完了していることを会社が定期的に行うルールにしたほうがセキュリティレベルは上がります。

⑤インストールアプリを限定する

日々さまざまなアプリがリリースされており、いちいち提供元がどのような会社・組織かといったことを確認している人は少ないでしょう。
会社の情報を入れる端末には、会社として精査の上で許可したアプリのみインストール可とすることも重要です。

⑥ウイルス対策ソフトをインストールする

まず、Androidにおいてウイルス対策ソフトのインストールは必須と考えてよいでしょう。
また、これまでiphoneなどのiOSは安全性が高いとされていましたが、これはあくまで”androidと比較して”という意味です。最近になってiOS用のウイルス対策ソフトを提供するベンダーが増えてきているため、iOSにおいてもウイルス対策ソフトの導入を検討したほうが良いといえます。
有料のものとするか、無料のものとするか会社として判断し、少なくとも「本人に任せる」という形にはしないように注意しましょう。

⑦ネットワーク利用のルールを定める

その端末で利用できるネットワークを限定します。
特にフリーのWifiについては使用不可としておいたほうがよいでしょう。
日本はまだ海外ほどではないようですが、海外ではフリーのWifiに接続しただけで
データが抜かれる事例が多発しています。

⑧アカウント管理ルールを定める

これはおもにBYODの場合に必要となるルールです。
利用するサービスのなかには、仕事で利用するけど個人(プライベート)としても利用しているものもあるかと思います(Gmailなど、Googleのサービスなんかが代表的ですね)。
しっかり業務用とプライベート用のアカウントを分けて使用することを明確にしておきましょう。

⑨退職時のルール

退職の際には端末に入っているデータの引継ぎをどうするのか、データの削除についてはどのように確認をとるのか、といった点について定めておきましょう。

以上のようなルールを定めていくことになります。

冒頭にあげたように、まずは従業員個人の端末を使用するのか(BYOD)、会社として契約した端末を貸与する形とするのか(COPE)といったところから定めていきましょう。

その上で上記の9つのポイントに留意しながらルールを明文化していくとよいでしょう。

例えば従業員個人の端末を使用する(BYOD)とした場合、『③盗難や紛失時のルールを定める』にあったリモートデータ削除ルールについては事前に従業員の同意を得ておかなければ、実際にデータを削除する際に「自分のプライベートの情報も消えるのはイヤです」と言われてしまいトラブルになりかねません。

その点会社が貸与する形(COPE)にしておくと、すみやかにリモートデータ削除を行うことができます。
コストが絡んでくるところなので悩ましいところですが、こういったメリットとデメリットを1つずつ比較検討していくことで自社にあった運用ルールを策定することができます。

Pマーク取得セミナーを開催します
 

Pマークは難しいと誤解していませんか?

Pマークの取得を検討している方の多くが、Pマークについて誤解をしています。実はPマークの取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「Pマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。

セミナーの詳細や日程については下記よりご参照ください。

The following two tabs change content below.
勝部隆太

勝部隆太

大手社会保険労務士法人のコンサル部門にて、年間1000名以上の経営者・総務担当者のサポートに携わる。 これまでにプライバシーマークやISOの認証取得・更新をサポートした企業は150社以上。 社内で多岐にわたる業務をこなす必要のある人事・総務担当者や経営者を減らすべく「分かり易いコンサルティング」をモットーとしている。

コメントする

*
*
* (公開されません)