第2回 BYOD活用における情報漏洩問題について
BYODが求められている背景
BYODのメリットは、タブレットやスマホといった「ハードデバイス」を店舗に揃える必要がなく、デジタル化を進めるための投資を抑制できることです。正規雇用の店長や社員までなら可能でも、非正規雇用者を多数有している店舗サービス業において、その一人ひとりにスマートフォンを配布するのは現実的ではありません。さらにコロナ禍で、人件費の見直しなどのため社員が複数店舗を兼務し、実質的な店舗運営をアルバイト・パートが担う店舗も多くなってきています。「本部からの指示を徹底する」、「店舗における指示実行力を100%にする」ことが求められる中で、社員がいない店舗へのマネジメントは極めて困難な状況になっています。そこで、スタッフ自身のスマホを活用する、BYODが求められているのです。スマホを通じて、遠隔でも業務上の指示や連絡事項の共有、シフトの申請や確定、マニュアル教育を行うことができ、円滑に業務を遂行できるようになります。
「シャドーIT」とは?
皆さんの会社や店舗で、業務上の情報共有のために個人のLINEやSNSを全く使用していない(0%)と言える方はどれくらいいらっしゃるでしょうか。
アルバイト・パートの求人情報を提供するマイナビ社が行ったサービス業に対するアンケートによると、本来は禁止されているLINEを業務連絡やシフト調整などに活用しているというお店が54%に及ぶという事実が明らかになりました。(図1参照)その主な理由は、店長が勧めているから、便利だから、だそうです。
図1.店舗での無許可の個人スマホ利用の実態
つまり実態としてすでに、スタッフ個人のスマホが業務連絡等に利用されているのです。これを今から強制的に止めさせようにも、代替するものがなくては業務効率は落ちるだけになってしまいます。そのため会社としては原則禁止としながらも、見て見ぬ振りをせざるを得ないのです。この状態を「シャドーIT」と言います。
「シャドーIT」の本質的な問題は、本部が情報漏洩等のリスクマネジメントができない点にあります。個人所有のアプリ上で共有された情報はコピーやダウンロードが容易にできてしまい、制御・管理ができません。また、このようなアプリは情報をシェアしやすいようにできているため、簡単に他人に共有されたりSNSへの投稿ができてしまいます。さらに、スタッフが仕事を辞めても、本人がグループから抜ける操作をしない限り、情報が共有され続けてしまいます。しかし本部は、表向きには個人所有のアプリの使用を禁止しているため、調査することもできません。「情報リスクマネジメント」という観点で、最も危険な状況にあるのです。よって、このようにすでに水面下ではBYODが進んでいるという状況を受け止め、BYODの利便性を生かしつつリスクマネジメントすることがより建設的であり、会社を守ることになると思います。
BYODの情報漏洩・セキュリティ対策
しかし個人のスマホを積極的に業務に活用していくことに、抵抗感がなくなるわけではありません。個人のスマホに情報が残ってしまわないか、SNS等にシェアされて問題にならないかという懸念はついてまわります。
情報漏洩を防ぐ方法としてまず、セキュリティレベルの高い情報とそうではない情報をレベル分けすることが大事です。ある企業では、情報によってセキュリティレベルを5段階程度に分けています。(図2.参照)例えば、マイナンバー等の個人情報に値するものは最も高いレベルの設定、次に給与情報、企業固有のマニュアル、最も低いのがシフト調整等の業務連絡です。このように「分ける」ことで、どのレベルの情報をBYODで扱うことを禁止するのか、それ以外なら全てよしとするのかを判断することが重要です。情報のレベル分けがされず、すべての情報を漏洩対象と考えて、思考停止してしまっている企業が多いと思います。
図2. 情報のセキュリティレベル
情報のレベル分けをした上で、BYODの利便性を損ねないようなレベルでのセキュリティ対策を構築していきます。例えば、業務に使用するアプリは個人IDで登録し、アカウントを共有しない。そうすることにより、何か怪しい動きがあった時も、本部側で把握・対応が可能です。また権限設定によって機能(閲覧のみにする、個人端末に情報をダウロードできる・できないなど)に制限をかけたり、スクリーンショットが撮れないようにすることなどが「情報漏洩」対策として有効です。
もう一方で、デバイスとしてのセキュリティ対策も必要になります。個人のスマホを活用する場合、スマホのウイルス感染リスクに対処する必要もあります。ウイルス感染の確認がされたら、本部側で即時アプリの利用をストップさせ、店内の専用回線で利用する等の対策ができます。また、アプリソフトウェア会社に外部からの攻撃に対する脆弱性診断結果を求めることで、外部攻撃に対するセキュリティを担保することができます。
セキュリティの強化と利便性の天秤
前述のようにBYODはセキュリティ対策を強化しすぎると、業務での利便性を失うというトレードオフの関係にあります。そこで情報漏洩のリスクを最小化し、業務の利便性や効率化を最大化できるポイントを探ることが必要になります。その適切なバランスを確立できれば、BYODでの店舗業務のDXが果たされていくことになります。店舗ではすでにシャドーITによるコントロール不能なBYODがスタートしてしまっています。利便性が高いが故に、今後もBYODが加速していく状況は変えられません。だとすれば、放置することなく、適切にマネジメントができる体制を構築し、店舗の業務効率向上に積極的に活用していくことが求められていると思います。
★過去のこの著者の連載
第1回 サービス産業のデジタルシフトを目指して
第3回 サービス産業の「収益構造」から考えるBYOD活用
第4回 BYODで可能になる、画像を活用したリモートマネジメント
第5回 BYODアンケートから見えてくる、スタッフの本音
ナレッジ・マーチャントワークス株式会社 代表取締役 染谷 剛史
1976年 茨城県生まれ。1998年 リクルートグループ入社、中途・アルバイト・パート領域の求人広告営業に従事。2003年 株式会社リンクアンドモチベーション入社(東証1部上場)、大手小売・外食・ホテルといったサービス業の採用・組織変革 コンサルティングに従事。2012年 執行役員就任、新規事業開発(グローバル事業立ち上げ、健康経営部門の立ち上げ)を経て、サービス業に特化した組織人事コンサルティングカンパニー長。2017年 ナレッジ・マーチャントワークス株式会社を設立、代表取締役に就任。
◆店舗改革プラットフォーム「はたLuck®️」 https://hataluck.jp/
◆染谷代表のブログ「染谷のSWX総研」 https://kmw.jp/column/
▼お問合せやセミナーのご依頼はこちらまでお気軽にご連絡ください。
▼デジタルシフト実践者から学ぶ「デジタルシフト塾」塾生募集中です。