BYODの利用による社外からのクラウド利用について
BYOD(個人のPC、スマートフォン)の利用による社外からのクラウド利用について質問します。
なし崩し的に、ポリシーも規定もないままLINEやSKYPEなどを社として導入し、プライバシーマークの個人情報保護責任者としてまずいと思い、規定に加え、利用希望者には同意と申請書の提出を求めていますが、意思決定者が「業務で利用するのと同じ感覚で私物も使うべきでそこに境目はない。社の利用と同じ立場で個々が考えるべき」の意見で申請書の意義を疑い当惑しています。
実質、社員全員が勤怠などでのBYODによるクラウド利用となっているので、「誰」が利用しているかの把握は無意味であると…。
情報セキュリティの観点として疑問があり、論理的な説明や参照となる論拠があれば教授してもらえればと思います。
BYODでの利用による社外からのクラウド利用に関して、お答えいたします。
関連するインシデントとして、例えば「電話帳からの個人情報の漏えい」や「なりすましによる詐欺被害」、「退職した者からの情報漏えい」などといったものがあり、標的型攻撃メールやビジネス詐欺メール、フィッシングといった脅威からのインシデントの報道も多く見受けられるようになりました。
まず、利用端末に関してですが、私物端末の利用を禁止することは実務的に難しくなっている場合であれば、従業員の私物の携帯端末を業務で使うようにする場合は、例えば、「原則として私物端末の利用禁止、組織が貸与する端末を使う」とした上で、「定めたBYODルールに同意した者のみ私物を利用できる」といった仕組みなどにして、端末を管理することがポイントとなるかと思います。
その際の同意事項としては、「私物端末を利用する際、事前に会社に申請して承認を得ること」、「ウィルス対策ソフトをインストールすること」、「外部メディア(SDカード等)への情報保存の禁止」、「紛失した場合のリモートワイプ実行に同意すること」「会社の監査実施がある場合の承諾」「信頼できないアクセスポイントでの接続禁止」などを盛り込むと良いかと思います。
LINEやSkype等のクラウドサービスの利用に関してですが、電話やメールと同じ、通信手段として使われていると思います。よって、アプリの利用に関しては、携帯電話やメールと同じような対策として考えられた方が分かりやすいかと思います。
電話やメールと同様に、これらのアプリ利用には、十分な注意が必要になってくるかと思います。
ご質問の中にあるような、規定の策定や同意書(機密保持など)に文言を追加する等の他、利用における教育(脅威など)といった対策。もしくはアプリの利用方法のルール化や組織が管理できる指定アプリのみの使用にするといったことも踏まえて対策を検討されることをお勧めします。
