BYOD解禁で個人情報が丸見えに――原因と対策は?:”ビッグブラザー”があなたを監視している?
私物端末の業務利用(BYOD)の大きな課題となるのが、従業員のプライバシー保護だ。端末の位置情報や個人情報を把握する技術の普及が背景にある。有効な対策はあるのだろうか?
従業員に私物端末の業務利用(BYOD)を認めている企業は、プライバシー問題の他、BYODに伴う各種の法的な懸案事項に対処する必要がある。
モバイルデバイス管理(MDM)製品を使えば、企業が従業員の行動や端末の動作を追跡するのは簡単だ。だが従業員の5人に4人は、こうした追跡を「プライバシーの侵害」と考えている――。これは、米調査会社Harris Interactiveが2012年9月に実施した調査の結果だ。
さらにこの調査では、「雇用主が写真や音楽など従業員の個人的なデータを削除したり、従業員のサイト閲覧履歴を調べたりできること」に対する懸念も明らかとなった。BYODに伴うプライバシーの問題について、「ほとんどあるいは全く懸念していない」とした回答者は、全体の15%にとどまった。
プライバシーをめぐる懸念
企業ではBYODの動きが活発化している。経営陣と従業員がどちらも等しく積極的にBYODの流れを受け入れる一方で、IT部門は、私物端末が職場に持ち込まれることに伴うセキュリティとプライバシーの問題への対応に追われている。
従業員がBYODのプライバシー問題を懸念するのはもっともなことだ。モバイル技術やMDM製品を使えば、企業は勤務時間中か勤務時間外であるかにかかわらず、従業員の全ての行動を追跡できる。BYODプログラムに参加する従業員は、「IT部門がアプリケーションをインストールしたり、データを消去したり、利用状況を監視したり、個人情報を収集したりといった各種の行為を実行すること」について、そうとは知らずに同意している可能性もある。
実際、米MicrosoftのExchange ActiveSyncを利用するだけで、IT部門はユーザーの端末から個人的なデータを消去することが可能だ。また、MDM製品はどれも、従業員の個人情報に少なくともある程度はアクセスする必要がある。従って、「連絡先データやインストールされているアプリケーション、Facebookアカウントのデータ、Webブラウザの履歴などに雇用主がアクセスするかもしれない」という懸念は、あながち考えすぎともいえない。
何も、IT部門や企業の誰かしらが必ず、ユーザーの個人情報を見たがるはずだと主張しているのではない。むしろ多くの場合、管理部門と法務部門は、従業員のプライバシーを守ることに対して従業員自身と同じくらいに強い関心を抱いているはずだ。なぜなら、法律上の面倒な問題につながりかねないからである。例えば、従業員が何か違法な行為にかかわっていることを企業が発見した場合、経営者側は行動を起こすべきなのだろうか? 経営者側が何も手だてを講じなければ、どうなるのだろうか?
また、たとえ企業が個人的なデータと業務データを分離させる措置を講じたとしても、訴訟との関連で従業員が証拠開示(ディスカバリ)請求を受ける可能性は残る。米国では弁護士は、従業員に対して端末の提出を請求できる。そうなれば、Webブラウザ履歴、資産情報、ソーシャルメディアのアカウント、ユーザーの家族/友人に関する情報など、さまざまな個人データに何人もの第三者がアクセスすることになりかねない。裁判所は実際、訴訟に適用可能だと見なされる場合には、証拠保全/分析(フォレンジック)調査の実施も要求できる。
プライバシーをどう保護するか
雇用主には、従業員の私物端末がフォレンジック調査用に押収されるのを防ぐ手だてはほとんどない。だが、BYODのプライバシーをめぐる従業員の懸念を解消し、同時にセキュリティの問題にも対処できるような対策を講じることは可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.