業務でスマートフォンを使う場面は増えています。
営業先でメールを確認する。
現場写真を撮影する。
チャットで連絡する。
クラウドストレージの資料を見る。
オンライン会議に参加する。
認証アプリで多要素認証を行う。
このように、スマートフォンは便利な業務端末になっています。
一方で、スマートフォンは、パソコン以上に紛失しやすい機器でもあります。外出先、車内、店舗、駅、飲食店、現場、ホテルなど、社外へ持ち出す機会が多いためです。
特に中小企業では、次のような運用になっていることがあります。
- 社用スマホを誰が何に使っているか一覧化していない
- 私物スマホで業務メールやチャットを見ている
- 現場写真を個人スマホで撮影している
- 顧客情報を含む写真が個人の写真アプリに残っている
- 機種変更時に業務アプリや認証アプリの移行ルールがない
- 紛失時に誰へ連絡するか決まっていない
- 退職時に私物端末内の業務データを確認していない
IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、自社診断の25項目の中に「個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?」という項目があります。また、スマートフォンなどのOS・ソフトウェアを最新にすること、盗難・紛失対策を行うこと、セキュリティ事故への対応手順を作ることも確認項目に含まれています。
この記事では、中小企業や小規模事業者が、社用スマホ・私物端末の業務利用について決めておきたいポイントを整理します。
1. まず「業務で使っているスマホ」を把握する
最初に行うべきことは、業務で使っているスマートフォンやタブレットを把握することです。
社用端末だけでなく、私物端末も確認対象です。
たとえば、次のような使い方がないでしょうか。
- 私物スマホで業務メールを見ている
- 私物スマホに業務チャットアプリを入れている
- 私物スマホで顧客や現場の写真を撮っている
- 私物スマホでクラウドストレージにアクセスしている
- 社用スマホを複数人で共用している
- 退職者が使っていた社用スマホを初期化せず再利用している
- 古いスマホを認証アプリ専用として使い続けている
「会社が支給した端末だけ」を見ていると、実際のリスクを見落とします。
業務で利用している端末については、最低限、次の項目を台帳化しましょう。
| 項目 | 記入例 |
|---|---|
| 端末区分 | 社用スマホ、社用タブレット、私物スマホ |
| 利用者 | 氏名、部署、役割 |
| 用途 | メール、チャット、写真撮影、認証アプリ、クラウド閲覧 |
| OS | iOS、Androidなど |
| 業務アプリ | メール、Microsoft 365、Google Workspace、LINE WORKSなど |
| 端末ロック | 設定済み、未確認 |
| 紛失時対応 | 遠隔ロック可、遠隔消去可、未確認 |
| 管理者 | 社内担当者、外部ベンダー |
| 備考 | 機種変更予定、退職予定者、共用端末など |
重要なのは、端末の台数を数えることではありません。
業務データにアクセスできる端末がどれだけあるかを見える化することです。
2. 私物端末は「禁止」か「許可制」かを決める
私物端末の業務利用、いわゆるBYODをどう扱うかは、会社として明確に決めておく必要があります。
現実には、完全禁止にしていても、急ぎの連絡や外出先対応で私物スマホを使ってしまうことがあります。逆に、黙認したままにすると、会社が業務データの保存先や削除状況を把握できなくなります。
IPAの「5分でできる!情報セキュリティ自社診断」では、個人所有端末の業務利用について、許可制にし、利用時のルールを決めること、テレワークで個人所有端末や家庭のインターネット回線を使う場合のルールを決めることが対策例として示されています。
中小企業では、まず次のどちらかを決めましょう。
A. 私物端末の業務利用を原則禁止する
この場合は、業務メール、チャット、クラウド、写真撮影を私物端末で行わないようにします。必要な人には社用スマホを支給します。
B. 私物端末の業務利用を許可制にする
この場合は、利用できる人、利用できるアプリ、保存してよいデータ、紛失時の対応、退職時の削除確認をルール化します。
避けたいのは、**「禁止とも許可とも言っていないが、実際には使われている」**状態です。
この状態では、紛失時や退職時に、会社が何を確認すべきか分からなくなります。
3. 画面ロックは最低限の入口対策
スマートフォンを業務で使う場合、画面ロックは必須です。
IPAは、スマートフォンやタブレットを紛失した際に不正使用されないよう、画面ロック機能を有効にし、ロックまでの時間を短めに設定することを推奨しています。
確認したい項目は次のとおりです。
- パスコード、PIN、生体認証を設定している
- 推測されやすい番号を使っていない
- ロックまでの時間を短くしている
- 通知内容がロック画面に表示されすぎていない
- 業務アプリにも追加認証を設定している
- 家族や第三者と端末を共用していない
- 紛失時に端末を遠隔ロックできるか確認している
ただし、画面ロックだけで十分と考えるのは危険です。
IPAのモバイルデバイス設定マニュアルでは、端末ロックは入出力操作をロックする機能であり、端末内の情報が自動的に暗号化されるわけではないと説明されています。端末や保存情報の暗号化を適切に行うことも、紛失・盗難時の情報漏えい防止策として重要です。
スマートフォンの機種やOSによって標準の暗号化機能は異なります。
社用端末では、購入時や初期設定時に、画面ロック、OS更新、暗号化、遠隔ロック・遠隔消去の設定を確認しておきましょう。
4. 業務データは「端末に残さない」設計にする
スマートフォンを業務で使うときは、できるだけ業務データを端末内に残さない設計にすることが重要です。
たとえば、次のような運用はリスクが高くなります。
- 顧客名簿をスマホ内に保存している
- 見積書や契約書をダウンロードしたままにしている
- 業務写真を個人の写真アプリに保存している
- 業務資料を私物クラウドへコピーしている
- チャット添付ファイルを端末内に保存している
- 退職後も端末内に業務データが残っている
望ましいのは、業務データは会社が管理するクラウドや業務アプリ上に置き、端末は閲覧・入力のために使う形です。
もちろん、現場写真、配送記録、施工記録、点検写真など、スマートフォン内に一時的に保存せざるを得ない業務もあります。
その場合でも、次のルールを決めておきましょう。
- 撮影してよい対象
- 撮影してはいけない対象
- 保存先
- アップロード先
- 端末内から削除するタイミング
- 私物クラウドへの同期可否
- 共有してよい相手
- 退職時・機種変更時の削除確認
業務データを端末に残さないことは、紛失対策だけでなく、機種変更や退職時の確認も簡単にします。
5. 写真保存ルールを決める
スマートフォン特有の注意点が、写真です。
中小企業では、現場写真、納品写真、施工前後の写真、店舗写真、顧客確認書類、ホワイトボード、名刺、事故報告、設備点検などをスマートフォンで撮影することがあります。
しかし、写真には意図しない情報が写り込むことがあります。
- 顧客の顔
- 従業員の顔
- 名札
- 車両ナンバー
- 住所表示
- 契約書や請求書
- ホワイトボードのメモ
- PC画面
- 図面や設計情報
- 鍵、入退室カード、QRコード
個人情報保護委員会は、カメラ画像・顔特徴データ等が個人データに該当する場合には、漏えい、滅失、毀損の防止その他の安全管理のために必要かつ適切な措置を講じる必要があると説明しています。業務写真に個人情報等が含まれる可能性がある場合は、単なる写真ではなく、管理すべき情報として扱う必要があります。
特に注意したいのは、私物スマホで撮影した写真が、自動的に個人のクラウドへ同期されるケースです。
たとえば、次のような状態です。
- 私物スマホで撮影した現場写真が個人の写真クラウドに同期される
- 家族共有の写真ライブラリに業務写真が混ざる
- 業務写真が個人アカウントのバックアップに残る
- チャットで送った写真が端末内にも残り続ける
- 退職後も個人端末に写真が残る
写真保存ルールでは、最低限、次の点を決めましょう。
- 業務写真は社用端末で撮影するのか、私物端末も認めるのか
- 私物端末で撮影した場合、個人クラウドへの自動同期をどう扱うのか
- 撮影後、どのフォルダやクラウドに保存するのか
- 端末内の写真はいつ削除するのか
- 顧客・従業員の顔や個人情報が写る場合の確認手順
- SNSや個人チャットへの転送禁止
- 退職時・機種変更時の削除確認
写真は「便利だから撮る」ではなく、
誰が、何の目的で、どこに保存し、いつ削除するか
を決めておくことが大切です。
6. 紛失時の連絡先と初動手順を決める
スマートフォンの紛失は、完全には防げません。
大切なのは、紛失したときに、すぐ動けるようにしておくことです。
IPAの「5分でできる!情報セキュリティ自社診断」では、重要情報の流出や紛失、盗難があった場合の対応手順書を作成し、従業員に周知すること、テレワーク中の端末紛失・盗難などの事故発生時の連絡先を決めることが対策例として示されています。
紛失時の初動として、次の項目を手順化しておきましょう。
- 利用者が責任者へ連絡する
- 端末の種類、利用者、紛失時刻、紛失場所を記録する
- 端末に入っている業務アプリを確認する
- 遠隔ロック・遠隔消去の可否を確認する
- メール、チャット、クラウドのセッションを無効化する
- 必要に応じてパスワードを変更する
- 認証アプリを使っている場合はMFAの再設定を行う
- SIM停止や通信停止を携帯会社へ依頼する
- 警察や施設への届出を検討する
- 個人情報・顧客情報が含まれる可能性を確認する
- 対応内容を時系列で記録する
端末の遠隔ロック・遠隔消去については、iPhoneやiPadではAppleの「探す」機能によりリモート消去が可能であり、AndroidでもGoogleのFind Hubにより位置の特定、ロック、データ消去が可能です。ただし、実際に利用できる条件や手順は、端末設定、アカウント、OS、通信状態によって異なります。
会社でMicrosoft IntuneやGoogle Workspaceなどの管理機能を使っている場合、管理者が端末をロックしたり、企業データをワイプしたりできる場合があります。Microsoft Intuneには紛失モードやワイプのデバイスアクションがあり、Google Workspaceでは管理対象デバイスが紛失した場合やユーザーが組織を離れた場合に、仕事用データ等をワイプできる機能があります。
ただし、遠隔消去は万能ではありません。
端末が通信できない状態ではすぐに実行できない場合がありますし、個人端末の場合は個人データへの影響もあります。
そのため、紛失時対応は技術だけに頼らず、事前設定、連絡手順、データを残さない運用を組み合わせる必要があります。
7. 機種変更時に業務データを残さない
スマートフォンの機種変更も、情報漏えいのきっかけになります。
新しい端末への移行に集中し、古い端末の確認が後回しになるためです。
確認したい項目は次のとおりです。
- 古い端末に業務メールが残っていないか
- 業務チャットの履歴が残っていないか
- クラウドストレージの同期が残っていないか
- 業務写真が写真アプリに残っていないか
- 認証アプリを移行できているか
- MFAのバックアップコードを適切に管理しているか
- 古い端末から業務アカウントを削除したか
- 端末を初期化したか
- 下取り・譲渡・廃棄前にデータ消去したか
- SIMやeSIM、SDカードの扱いを確認したか
特に注意したいのは、認証アプリです。
スマートフォンを多要素認証に使っている場合、機種変更時に認証アプリを移行していないと、メール、クラウド、管理画面、会計システムなどにログインできなくなることがあります。逆に、古い端末にも認証アプリが残ったままだと、管理上の不安が残ります。
機種変更時は、次の順番で進めると安全です。
- 業務で使っているアプリを一覧化する
- 認証アプリ、MFA、パスキーの移行方法を確認する
- 新端末でログインできることを確認する
- 旧端末から業務アカウントを削除する
- 写真、ファイル、チャット添付を確認する
- 必要なデータが会社管理の保存先に移っていることを確認する
- 旧端末を初期化する
- 台帳を更新する
機種変更は、単なる端末入替ではありません。
業務アカウント、認証、写真、クラウド同期の棚卸しの機会として扱いましょう。
8. 退職時・異動時の確認項目にスマホを入れる
退職者や異動者のアカウント削除は重要ですが、スマートフォン側の確認も忘れてはいけません。
特に私物端末を業務に使っていた場合、会社が端末そのものを回収できないことがあります。
そのため、退職前に確認すべき項目を決めておく必要があります。
確認項目は次のとおりです。
- 私物端末で業務メールを見ていなかったか
- 業務チャットアプリを使っていなかったか
- クラウドストレージにアクセスしていなかったか
- 顧客・現場・書類写真が残っていないか
- 業務データを個人クラウドへ保存していないか
- 認証アプリに会社アカウントが残っていないか
- 会社アカウントのセッションを無効化したか
- アプリからログアウトしたか
- 必要に応じて会社側でパスワード変更やトークン無効化をしたか
退職者対応では、アカウント削除だけでなく、端末内に残った業務データや写真も確認対象に入れましょう。
私物端末の場合、会社が無断で中身を見ることはできません。
そのため、事前にBYODルールとして、退職時に何を削除・確認するか、本人にどのような協力を求めるかを明文化しておくことが重要です。
9. 家族共用端末・子どもが使う端末は業務利用しない
私物端末を業務に使う場合、家族共用端末には特に注意が必要です。
次のような端末は、業務利用に向きません。
- 家族と共用しているタブレット
- 子どもがゲームや動画視聴に使うスマホ
- 家族もロック解除できる端末
- 複数人で同じアカウントを使っている端末
- OSやアプリが更新されていない古い端末
- 画面ロックがない端末
業務メール、チャット、クラウド、写真、認証アプリを使う端末は、本人だけが管理できる状態であることが前提です。
私物端末を許可制にする場合は、次の条件を入れることを検討しましょう。
- 本人専用端末であること
- 画面ロックを設定していること
- OSとアプリを更新していること
- 業務アプリに追加認証を設定すること
- 業務データを個人クラウドへ保存しないこと
- 家族や第三者に端末を貸さないこと
- 紛失時はすぐ会社へ連絡すること
- 退職時は業務アプリ・業務データ削除に協力すること
これらは従業員を疑うためではありません。
会社の情報、顧客情報、従業員本人を守るためのルールです。
10. 小規模事業者でも決めておきたい最低限のルール
専任の情報システム担当者がいない会社でも、最低限のルールは作れます。
まずは、次の10項目だけでも決めておくとよいでしょう。
- 業務で使ってよい端末
- 私物端末の利用可否
- 利用してよい業務アプリ
- 端末ロックの必須化
- 業務写真の保存先
- 個人クラウドへの同期禁止または制限
- 紛失時の連絡先
- 機種変更時の確認項目
- 退職時の削除・ログアウト確認
- ルール違反や事故が起きた場合の相談先
最初から完璧な規程を作る必要はありません。
重要なのは、現場が迷わないことです。
たとえば、次のように具体的な表現にします。
悪い例
「スマホの利用には十分注意すること」
よい例
「業務写真は社用スマホで撮影し、当日中に会社指定のクラウドフォルダへ保存する。保存後、端末内の写真は削除する。私物クラウドへの同期は禁止する。」
悪い例
「紛失時は速やかに対応すること」
よい例
「社用スマホまたは業務利用中の私物端末を紛失した場合は、発覚後すぐに上長と管理担当者へ電話で連絡する。メールやチャットだけの報告で済ませない。」
ルールは短くても構いません。
実際に使えることが重要です。
社用スマホ・私物端末チェックリスト
最後に、中小企業向けの確認項目をまとめます。
- 業務で使っているスマホ・タブレットを一覧化している
- 社用端末と私物端末を区別している
- 私物端末の業務利用を禁止または許可制にしている
- 業務で使ってよいアプリを決めている
- 端末ロックを必須にしている
- OSとアプリを最新状態にしている
- 業務データを端末内に残さない運用にしている
- 業務写真の撮影・保存・削除ルールを決めている
- 私物クラウドへの自動同期を確認している
- 顧客や従業員の顔、書類、ナンバー等の写り込みに注意している
- 紛失時の連絡先を従業員に周知している
- 遠隔ロック・遠隔消去の可否を確認している
- メール、チャット、クラウドのセッション無効化手順を決めている
- 認証アプリの機種変更手順を確認している
- 旧端末の業務アカウント削除・初期化を確認している
- 退職時に私物端末内の業務データ削除を確認するルールがある
- 家族共用端末での業務利用を禁止している
- 端末紛失や情報漏えい時の対応記録を残すようにしている
すべてを一度に整える必要はありません。
まずは、私物端末の利用可否、業務写真の保存先、紛失時の連絡先、機種変更時の確認項目から決めてみましょう。
まとめ
社用スマホや私物端末は、今や多くの業務に使われています。
しかし、スマートフォンは、メール、チャット、クラウド、写真、認証アプリなど、会社の重要情報へアクセスできる端末でもあります。
特に注意したいのは、次の5点です。
- 業務で使っている端末を把握する
- 私物端末の業務利用を禁止または許可制にする
- 業務写真の保存先と削除ルールを決める
- 紛失時の連絡先と遠隔ロック・アカウント停止手順を決める
- 機種変更・退職時に業務データを残さない
スマートフォンのセキュリティ対策は、特別な大企業だけの話ではありません。
中小企業でも、スマホ1台の紛失が、顧客情報の漏えい、取引先への説明、業務停止につながる可能性があります。
ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者を対象に、情報セキュリティの現状診断を行っています。同診断では、パソコン、スマートフォン、クラウドサービス、メール、ファイル共有、バックアップ、アカウント管理、退職者対応、情報資産、インシデント対応体制などを確認し、今すぐ対応すべきことやITベンダーに確認すべきことを整理します。
自社の社用スマホや私物端末の使い方に不安がある場合は、まずは「誰が、どの端末で、どの業務データにアクセスしているか」を確認するところから始めてみてください。
