スマホを活かすリスク管理規程とITユーザー規程

スマートフォンを業務で利用できるようにするか否かによって、スマホの業務利用に関する管理規程の整備方法は異なります。 BYOD導入の是非を判断する前に、簡単な確認事項を。

【追記 20130710】

一般社団法人コンピュータソフトウェア協会(略称「CSAJ」、東京都港区赤坂)のセキュリティ(BYOD)研究会(主査:小屋晋吾 トレンドマイクロ株式会社 執行役員 統合政策担当)は、私有スマートデバイス等を業務で利用する際に必要な、就業規則に紐づく私有スマートデバイス取扱規程及び申請書類サンプル、スマートデバイス・セキュリティポリシーの第1版を策定し、公開しました。
http://www.csaj.jp/info/13/130711_byod.html

検討の方向性

従来のリスク管理規程及びITユーザー規程について これまでのITユーザー規程は、ノートPC(ラップトップPC)の持ち運びに関する取り決めを中心に策定されている場合がほとんどです。

この場合、業務利用の環境及びアプリケーションやWEBサービスの利用に制限を与え、アクセスできない状況を作ることによって管理をするという考え方でした。

また、個人情報保護の観点から、USB等による大容量記憶媒体へのアクセスを禁止し、情報漏洩リスクを軽減するという措置もとられている場合が多くあります。

まず、ITユーザー規程の記載項目に下記内容が含まれているかどうかの確認が必要です。

禁止/制限事項

  1. インストール
    • 会社が定めたアプリケーション以外のインストール
  2. アクセス・接続
    • SNSやWEBサービスサイトへのアクセス
    • WEBメール(gmail等)サイトへのアクセス
    • クラウドサービス(Evernote等)へのアクセス
    • WEBストレージサービスへのアクセス
  3. メール
    • 外部メディア(USB接続)へのアクセス
  4. デバイス
    • メールソフトのパスワード管理
    • メールのフィルタリング
    • メールの添付ファイル種類制限
  5. ログ管理
    • PC利用履歴の削除
    • WEB閲覧履歴の削除

スマートフォンを業務で活用する場合のITユーザー規程について

日本スマートフォンセキュリティ協会(http://www.jssec.org/)では、スマートフォンの業務利用に関するガイドラインを公開しています。 当社が提供する規程体系とは趣がやや異なり、どちらかというと業務利用マニュアルのような立てつけになっているガイドラインです。

BYODのリスクは、紛失および情報漏えいの確率が他のデバイスと比較しても格段に高い状態にあるということで、そのリスクをどのように回避するかを決めるところから、規程作成の方向性が決まります。加えて、ログ管理が正しく行われるかどうかについてもOSやアプリの確認が必要となります。

  • スマートフォン=超大型USBメモリーという認識を持っているか
  • 画像編集機能およびメール・SNS機能による情報漏えいの可能性をどこまで認識しているか
  • 関連法令、特に米国のIT利用に関する法令に準拠し、モバイルデバイスの選定を行っているか

これらの条件に合った管理方策を決めてから、規程を策定していくことになります。

BYODを認められる業種、認められない業種

準備中

2010.10.1公開