[クラウド活用に向けた「法律+ITセキュリティ」相談室]

【第2回】シャドーITをなくすBYODの実施ポイント

2014年3月10日(月)「法律+ITセキュリティ」相談室

企業への導入が急速に進み始めたクラウド・サービス。しかし、データがクラウド・サービス事業者のサーバー上で保存・管理されることから、データの消失・流出といったリスクを考え、導入に二の足を踏む企業も少なくありません。クラウド・サービスの導入・活用の留意点を法律とITセキュリティの両面から解説していく本連載。弁護士の藤井総先生とシスコシステムズの楢原盛史セキュリティソリューションスペシャリストのそれぞれが回答します。前回は、クラウドの導入を検討している段階での疑問点を取り上げました。第2回は、クラウド活用では切り離せないモバイル活用、なかでも社員などが自ら所有するデバイスを業務用途に利用する「BYOD」に対する疑問を取り上げます。

【経営者の疑問】

 クラウドのメリットを活用するためには、社員の働き方をモバイルに変えていかなければならない。とはいえ会社で全端末を支給するにはコストも掛かるし、社員からは「使い慣れた端末を使いたい」という声が強い。「BYOD(Bring Your Own Device)」という考え方があるようだが、どうなのだろう。顧客情報が彼らの端末に格納されても良いのだろうか。

【藤井 総 弁護士から回答】

関連する主な法律:労働基準法

 私用端末を業務用途でも利用するBYODの導入は、会社に様々なメリットをもたらします。一方で、リスクももたらされるため、BYODを禁止する企業が少なくないようです。しかし、BYODに関する実態調査によれば、従業員は会社の意向に関係なく私用端末を業務で利用していることが明らかになっています。

管理されない「シャドーIT」こそ危険

 会社が把握していない従業員によるIT活用を「シャドーIT」と呼びます。これは非常に危険な状況です。会社としては、BYODのリスクをいたずらに恐れるのではなく、セキュリティ対策などを実施したうえで、BYODを導入したほうが、むしろ安全と言えるのです。

 BYODを導入するうえで法的に考えるべきポイントは、就業規則に規定されている会社と従業員の雇用契約の中身です。以下、「就業規則の改訂」「BYOD利用規程の策定」「誓約書の提出」「時間外労働」のそれぞれについて解説します。

■就業規則の改訂

 会社と従業員の雇用契約の内容を規定する就業規則は、法的な拘束力を持っています。BYODを導入する場合は、関連する規定を改訂する必要があります。

 一般的な就業規則では、(日常携行品以外の)私物の事業場内への持ち込みや、その業務利用が禁止されています。以下のように改訂が必要です。

・日常携行品以外の私物の持ち込みを禁止する規定を、『日常携行品及び「会社の許可を得た私用端末」以外の持ち込みの禁止』にする

・私物の業務利用を禁止する規定を、『「会社の許可を得た私用端末以外の」私物の業務利用の禁止』にする

 最近の就業規則には、業務上利用される端末に対して、通信履歴の監視や、そのためのソフトウェアを端末にインストールするなど、会社がモニタリングすることが規定されています。もし、モニタリングに関する規定がなければ、早急に訂正すべきです。

 規定されているとしても、モニタリングの対象は、会社貸与の端末とされているのが通常ですから、私用端末もモニタリングの対象にするように、以下のように改訂することになります。

・業務上利用される会社貸与端末に対してモニタリングを行う規定を、『業務上利用される会社貸与端末及び「会社の許可を得た私用端末」へのモニタリング』にする

 私用端末へのモニタリングは、従業員の個人情報保護、プライバシーの問題があるので、あくまでも、業務に関係する通信履歴などのモニタリングに限定する必要があります。

 BYODで利用される端末の通信費や、業務用アプリケーション・セキュリティソフトウェアなどのインストールに要する費用は、会社が負担する場合が多いでしょう。会社が負担するのであれば、就業規則の経費に関する規程に追加します。

 従業員に費用を負担させることは、そのこと自体は禁止されませんが、やはり就業規則に規定する必要があります。従業員に「作業用品その他の負担」をさせる場合は、これに関する事項を、就業規則に規定する義務があるからです(労働基準法89条5号)。

■BYOD利用規程の策定

 BYODの具体的な承認手続き、利用手順などについては、就業規則とは別に、BYOD利用規程を策定して、その中で取り決めた方が良いでしょう。

 BYOD利用規程のサンプル、としてコンピュータソフトウェア協会(CSAJ)が2013年7月11日に公表した、『私有スマートデバイス取扱規程サンプル第1版』が参考になります。これを参照して、自社のBYODの利用手順に合わせた内容の規程を策定してください。

■誓約書の提出

 情報漏洩を防止するためには、従業員の遵守事項・禁止事項について、BYOD利用規程の中で細かく規定することになります。そのうえで、従業員への意識付けを徹底するためにも、遵守事項・禁止事項をピックアップして規定した誓約書を用意し、従業員に署名・押印してもらい、提出してもらったほうが良いでしょう。

 前記のとおり、私用端末へのモニタリングは、従業員の個人情報の保護、プライバシーの問題があります。モニタリングについても、従業員から明確な同意を得ておく必要があります。誓約書には、私用端末へのモニタリングに同意するという内容の規定も、盛り込んでおくべきです。

■時間外労働の把握

 労働基準法上、従業員が所定労働時間外に会社の指揮のもと労働した場合は、時間外労働手当(残業代)を支払う必要があります。BYODの導入により、社内にいなくても労働ができる環境になることから、時間外労働の問題が起こりやすくなります。

 「労働時間」とは、「労働者が使用者の指揮命令下に置かれている時間」だとされています。現実に何か労働作業をしていなくても、使用者から、いつでも労働の要求があるかもしれない状態で待機している時間(いわゆる手待ち時間)は、「労働時間」に当たるとみなされます。

 つまり、所定労働時間外に、会社の指示のもと、私用端末を利用して業務を行っていれば、それは時間外労働になります。労働時間をきちんと把握して、時間外労働手当を支払う必要があります。所定労働時間外に、私用端末に会社からの連絡が頻繁に入るような状況では、「労働時間」に当たる(時間外労働になる)可能性があることに注意が必要です。

 一方、従業員が会社の指示なく、勝手に私用端末を所定労働時間外に業務利用したからといって、時間外労働としては認められにくいでしょう。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
バックナンバー
クラウド活用に向けた「法律+ITセキュリティ」相談室一覧へ
関連キーワード

BYOD / シャドーIT

関連記事

トピックス

[Sponsored]

【第2回】シャドーITをなくすBYODの実施ポイント企業への導入が急速に進み始めたクラウド・サービス。しかし、データがクラウド・サービス事業者のサーバー上で保存・管理されることから、データの消失・流出といったリスクを考え、導入に二の足を踏む企業も少なくありません。クラウド・サービスの導入・活用の留意点を法律とITセキュリティの両面から解説していく本連載。弁護士の藤井総先生とシスコシステムズの楢原盛史セキュリティソリューションスペシャリストのそれぞれが回答します。前回は、クラウドの導入を検討している段階での疑問点を取り上げました。第2回は、クラウド活用では切り離せないモバイル活用、なかでも社員などが自ら所有するデバイスを業務用途に利用する「BYOD」に対する疑問を取り上げます。

PAGE TOP