働き方改革とクラウドサービス
働き方改革の一環として、クラウドサービスの活用がビジネスの現場で進んでいます。
ただ、多くの企業では、クラウドサービスをビジネスで使った方が効率化が進みそうとは感じているものの、安全なのかどうかわからないと思って二の足を踏んでいる企業も少なくありません。
とはいえ彼らも、ビジネスで一切ITを活用しているわけではありません。
少なくともオンプレミスのソフト(注:ユーザーのパソコンなどにインストールして利用するソフト)は使っているはずです。
では、自分の手元(パソコンなど)にデータが存在するオンプレミスソフトのほうが、クラウドサービスよりも安全なのでしょうか。
その考えは必ずしも正しくはありません。
近年はパソコンなどがコンピューターウィルスに感染してデータが漏洩する事件が多発していますし、端末を紛失したり故障する(それによってデータを失う)リスクもあります。
一方でクラウドサービスの場合、基本的にはデータはクラウドサービス事業者の管理するサーバ内に存在します。
もちろん、コンピューターウィルスに感染したり故障するリスクもあるでしょうが、オンプレミスソフトと比べて、そのリスクが明らかに高いとはいえないでしょう。
では、クラウドサービスを利用することは、情報セキュリティの観点から妥当と言えるのでしょうか。
そもそも、これから使おうと考えているITツールやサービスが情報セキュリティの観点から妥当と言えるかどうかは、どう判断すればいいのでしょうか。
情報セキュリティの三要素
判断に際して基本となるのは、「情報セキュリティの三要素」です。
情報セキュリティの三要素は、以下の三つからなります。
1.「機密性」(アクセスを認可された者だけが情報にアクセスできる特性)
2.「完全性」(情報が破壊、改ざん又は消去されていない特性)
3.「可用性」(必要時に中断することなく情報にアクセスできる特性)
では、クラウドサービスの利用は、この三要素から見てどうなのでしょうか。
まずは「機密性」ですが、大規模なクラウドサービスを運営する大手事業者は、それまでの経験や実績から、高度な情報システムや機密性に関するノウハウを有する場合が多いでしょう。
一企業が大手システムインテグレーターの支援を受けずに、自らシステムを構築する方が、機密性のリスクは高いと思われます。
次に「完全性」ですが、サーバ上のデータは事故により容易に消失します。
オフィスで火災や地震が起きて、オフィス内のサーバが焼失や破損するケースを想定してください。
一方でクラウドサービスでは、AWS(Amazon.comにより提供されているクラウドコンピューティングサービス)のような世界最高レベルの堅牢なデータ保護体制が構築されたサーバが利用されていることが多く、完全性が確保されている場合が多いでしょう。
最後に「可用性」ですが、一企業が緊急時を想定して必要な人員を常時確保しておくことは人件費の観点から困難です。
一方で大規模なクラウドサービスを運営する大手事業者は、緊急時に対応することが可能な高度なスキルを有する人員を確保している場合が多く、可用性が確保されている場合が多いでしょう。
このように、クラウドサービスの利用を情報セキュリティの三要素から検討してみると、情報セキュリティの観点から妥当と言えるケースが多いと考えられます。
ちなみに、情報セキュリティを検討する際は、コストとのバランスも考慮すべきです。
もちろん、情報セキュリティのレベルは高いほうが良いですが、レベルを上げるためにはコストがかかり、ゼロリスクを追い求めればコストは際限なく膨らんでしまいますので。
そこで次は、情報セキュリティの観点でとくに問題になりやすい、「BYOD」について解説したいと思います。
BYODを導入する会社が増えている
BYODとは「Bring Your Own Device」の略語です。ようは、従業員が私用端末(スマートフォンなど)を業務上で利用することですね。
このBYODを導入することは、会社にとって色々とメリットがあります。
従業員が利用する端末のイニシャルコスト・ランニングコストの削減、業務効率の向上、災害等の非常時での事業継続性などです。
そのため、BYODを導入する会社が増えていますが、その一方で、セキュリティをコントロールしにくい従業員の私用端末から、社内データへのアクセスが可能になることから、色々な問題がおきる可能性があります。
例えば、従業員がうっかり端末を紛失したり盗難されたり、さらには悪意ある従業員による不正アクセスが起きたりして、情報漏洩の危険があります。
また、BYODに伴い、従業員の私用アプリ(SNSやメッセンジャー)が業務で利用されることになりがちです。
これも、誤送信やアカウントの乗っ取りによる情報漏えいの危険があります。
このようなリスクから、BYODの導入に二の足を踏んでいる会社が多いのも事実です。
ですが、単にBYODを禁止さえすれば、この問題が解決するわけではないのですね。
本当に効果的なBYOD対策
各種調査によると、近年、従業員が非公式に(会社に許可なく)私用端末や私用アプリを業務で利用する例が急増しているようです。
つまり、会社の意向に関係なく、今どきの従業員は、事実上BYODを実行しているわけです。
このような、会社が把握していない従業員によるIT活用を、「シャドーIT」といいます。
これは、会社のコントロールがまったく利かないため、非常に危険な状況です。
このような状況からすれば、会社としては、いたずらにBYODのリスクを恐れて一律禁止とすべきではありません。
むしろ、私用端末のセキュリティ対策や、私用アプリではなくセキュリティの観点から妥当なアプリを業務で利用させるなどして、BYODを正式に導入した方が、むしろ安全とさえ言えるでしょう。
それでは、BYODを導入するにあたって、会社が気をつけなければいけないポイントについて、解説をしたいと思います。
就業規則の改訂
まず、最初に取り組む必要があるのは、就業規則の改訂です。
そもそも、就業規則は、会社と従業員の雇用契約の内容を規定したものです。
そのため、BYODの導入にあたって、従業員が守らなければいけないことに関しては、就業規則に新たに規定(就業規則の改定)をする必要があります。
一般的な就業規則では、(日常携行品以外の)私物の事業場内への持ち込みや、その業務利用が禁止されています。
そこで、その規定を以下のように改訂します。
・日常携行品以外の私物の持ち込みを禁止
→日常携行品及び「会社の許可を得た私用端末」以外の持ち込みの禁止
・私物の業務利用を禁止
→「会社の許可を得た私用端末以外の」私物の業務利用の禁止
また、最近の就業規則には、業務上利用される端末に対して会社がモニタリング(通信履歴の監視や、そのためのソフトウェアを端末にインストールすることなど)を行うことが規定されています。
ですが、これはあくまでも対象は会社貸与端末になっています。
そこで、その規定を以下のように改訂します。
・業務上利用される会社貸与端末に対してモニタリングを行う
→業務上利用される会社貸与端末及び「会社の許可を得た私用端末」へのモニタリングを行う
ただ、私用端末へのモニタリングは、従業員の個人情報保護、プライバシーの問題があります。
そこで、あくまでも、業務に関係する通信履歴などのモニタリングに限定しないといけません。
それから、BYODで利用される端末の通信費や、業務用アプリケーション・セキュリティソフトウェアなどのインストールに要する費用は、会社が負担する場合が多いでしょう。
そして、会社が負担するのであれば、就業規則の経費に関する規程に追加することになります。
一方、従業員に負担させることは、そのこと自体は禁止されませんが、やはり就業規則に規定する必要があります。
というのは、労働基準法上、従業員に「作業用品その他の負担」をさせる場合は、これに関する事項を、就業規則に規定する義務があるからです。
そこで、従業員に負担させる場合は、以下の規定を新たに設けることになります。
・業務上利用される会社の許可を得た私用端末の、業務利用に関する通信料及び会社指定の各種アプリケーション・セキュリティソフトウエアの利用に関する料金は、従業員の負担とする
以上、BYOD導入にあたって必要になる就業規則の改定箇所の内、代表的なものを説明しましたが、これはまだ第一段階です。
次は、BYODの具体的な承認手続き、利用手順に関して解説をします。
BYODの承認手続き、利用手順
BYODの具体的な承認手続き、利用手順については、就業規則とは別に、BYOD利用規程を作成して、その中で取り決めた方が良いでしょう。
というのは、BYODに関して、取り決めておく事項は多いですし、急速に進んでいる分野なので、改訂することも多いことから、就業規則の中に規定してしまうと、就業規則のバランスが崩れたり、改訂が面倒になってしまうからです。
では、具体的に、どのような内容にすればいいのでしょうか。
これに関しては、BYOD利用規程のサンプルとして、一般社団法人コンピュータソフトウェア協会(CSAJ)が公表しているサンプル規程(http://www.csaj.jp/activity/support/sample/byod.html)が参考になります。
こちらを参照して、自社のBYODの利用手順に合わせた内容の規程を作成してみるのがいいでしょう。
さて、BYODの一番のリスクである「情報漏洩」の防止のために、BYOD利用規程の中で、従業員の遵守事項・禁止事項について、細かく規定することになります。
さらに、従業員への意識付けのためにも、遵守事項・禁止事項をピックアップして規定した誓約書を用意して、従業員に署名・押印をしてもらい、提出してもらった方が良いでしょう。
また、私用端末へのモニタリングは、従業員の個人情報の保護、プライバシーの問題があるため、モニタリングを行うことについて、従業員から明確な同意を得ておく必要があります。
そこで、誓約書の中で、私用端末へのモニタリングに同意する、という内容の規定も、盛り込んでおくべきです。
どうでしょう。BYODの承認手続き、利用手順に関して、イメージがついたでしょうか。
ただ、話はここで終わりません。
情報漏洩と並んで、会社にとって重大なリスクである「残業代」について、対策が必須なのです。
BYODと残業代対策
労働基準法上、従業員が所定労働時間外に、会社の指揮の下に業務を行った場合は、時間外労働手当を支払う必要があります。
そして、BYODを導入すれば、オフィスにいなくても業務ができるようになるため、時間外労働の問題が起こりやすくなってしまいます。
とはいっても、「労働時間」とは、「労働者が使用者の指揮命令下に置かれている時間」をいいます。
そのため、従業員が、会社の指示なく勝手に私用端末を所定労働時間外に業務利用したからといって、直ちに時間外労働として認めらるわけではありません。
ただ、気をつけないといけないのは、現実に何か業務をしていなくても、会社からいつでも業務命令があるかもしれない状態で待機している時間(いわゆる手待ち時間)は、「労働時間」にあたるとされています。
そのため、所定労働時間外に、私用端末への会社からの連絡が頻繁に行われるような状況では、「労働時間」にあたる(時間外労働になる)可能性があることに、注意してください。
また、当然のことながら、所定労働時間外に、会社の指示の下に私用端末を利用して業務を行っていれば、それは完全に時間外労働になります。
会社として、そのようなことをする場合は、従業員の労働時間をきちんと把握して、時間外労働手当を支払わないといけません。
というわけで、クラウドサービスをビジネスで使う際の注意点から始まって、BYODの導入の注意点まで、だいぶ話が膨らみましたね。
今回の記事が、皆さんの会社でクラウドサービスのビジネス利用やBYODを導入する際の参考になれば幸いです。
