BYODとは
BYOD(ビーワイオーディー)とは、Bring Your Own Device の略。私物のパソコンやスマホといったデバイスを会社に持ち込んで仕事に使いなさい!という意味。この方式であれば、会社は社員にデバイスを支給する必要がない。会社がするべき設備投資を社員に肩代わりさせようという邪悪なやり方。しかし、普段、自分が使っている私物のデバイスで仕事もしたい、PC支給はいらんから給料多めにくれ、という社員達であれば、会社側と利害の一致を見る場合もある。
会社にとってのメリット・デメリット
会社にとってのメリットは先述の通り、デバイス支給のための費用を抑制できること。しかし、あくまで私物なので、管理に限界がある。特にノートPCの場合、仕事関係のデータが保存、蓄積されてしまうことは避けられない。もし、それを社員が紛失した場合、会社に報告してくれればいいけれど、黙って新しいPCを買い直されてしまったら、会社側は、PC紛失の事実さえ把握できないことになる。(私物なので、勝手に買いかえるな、とも言えない)また、そのPCが就業時間外で、どのような環境で使われているかがわからない。例えば自宅で使用中にウィルスに感染し、気づかずに会社に持ち込んで、ウィルスを会社のネットワークにばらまいてしまう危険性もゼロではない。スマホも同様で、私物だから休日に私用の長電話をしようが、ゲームをやっていようが取り締まる必要はない。しかしご存知の通り、スマホは携帯電話よりもむしろPCに近いものだ。例えばブラウザでクラウド上の顧客管理用のデータベースにアクセスしてる場合もあるだろう。(しかもIDとパスワードをブラウザに保存して)そしてスマホはPCよりも紛失しやすい。会社支給で会社の管理下にあるスマホなら、MDMと呼ばれる端末の管理システムを利用することで、遠隔でスマホを止めたり、初期化してしまうことも可能だが、私物ゆえ、会社側が紛失という事実を把握するまでに時間がかかったりすると、手遅れになり、情報流出につながるリスクがある。また、管理ツールを導入するにあたっては、当然のことながらデバイスへのインストールが必要であり、デバイスの持ち主である社員の同意を得る必要もある。
社員にとってのメリット・デメリット
PCについては、自分好みの機種を勝手に選べるので、会社から支給された低性能のPCをイライラしながら使う、といった悲劇は避けられる。しかし、故障も含めてメンテナンスは社員の自己責任となってしまうだろう。スマホについては、会社支給のスマホを持つ=スマホ2台持ちになってしまうので、意外とBYODを歓迎する人もいるようだ。しかし当然のことながら、電話をかけると相手に個人の番号でかかってしまうので、プライバシーが侵食される。スマホを会社の内線電話化するサービスを利用すれば解決できる問題だが、この方法は会社の通信環境によっては、設備投資が必要になる。またスマホの使用料については、キャリアの方で、会社と個人で請求金額を按分するサービスを用意している。あるいは毎月、一定額をスマホの使用料として会社から補助するという方法も良いかも知れない。そうした配慮がないと、社員側から不満の声が出る可能性がある。
BYODで必要になる配慮
まとめると、BYOD導入で配慮が必要になるのは、主に2つ。1つ目は、セキュリティ上のリスク管理。2つ目は社員のプライバシー保護の問題である。セキュリティの問題はMDM系のセキュリテイ製品やサービスによる管理で、ある程度解決するが、製品によってはデバイスの位置情報も把握できてしまうなど、プライバシーの侵害につながる部分がある。会社支給のデバイスであれば、サボり対策になっていいかも知れないが、個人所有のスマホで、休日もどこにいるか(調べようとすれば)わかってしまう、というのは、社員にとって受け入れがたい話だろう。ここからは私見になるが、BYODは、小規模で労使のコミュニケーションもうまくいっている、アットホームな事業所でなければ、お薦めしない。少なくとも労使間に、ある程度の信頼関係がなければ、良い結果にならないと思う。また、離職率が高い職場の場合も、お薦めできない。BYODの場合だと退職時、デバイスに仕事関係のデータやログイン情報が残っていないか確認させていただき、またサーバアクセスのための証明書などがあれば、無効化しなければならない。会社のものではないので、回収し、初期化して終わり、ではない。手間がかかる。私の勤務先のように、IT係が最低限の人数しかいない場合(私のところは私一人だけ)は、ちょっと管理しきれなくなるのでは、と思う。
BYOD、もう一つの心配
BYOD導入に当たって、もう一つ心配するべきことは、多要素認証に関する問題だ。セキュリティの仕組みとしては、優れたものだし、今後もさらに普及していくと思う。しかし、2重認証を利用する際、よくあるのは、登録したスマホの電話番号宛にSMSでコードが送られてくるもの。あるいは、Google のAuthenticatorなどのアプリを利用するものだが、いずれにしても、その端末と紐付けられるものだ。これを社員が「私物」で勝手に利用し始めてしまったら、収集がつかない。さらに、スマホの設定(紐づけ)そのままで、退職されてしまったら、かなり面倒なことになる。退職時にちゃんと引き継ぎが行われていれば、問題ないが、ある日、ある管理サイトにログインしようとして、「スマホに届いた4桁のコードを入力」ってなメッセージを見て、初めて、2重認証が設定されていることに気がつき、さらにその端末が社内に存在しないことがわかって、愕然とする。そんなお間抜けな状況は、避けたい。私が、BYODに否定的な理由の一つがこれ。お薦めできません。