3 セキュリティ上の課題

スマートフォンが有する特性や機能は、企業・組織に、プラスの影響だけでなくマイナスの影響も及ぼします。例えば、スマートフォンの携帯性の高さは、盗難や紛失、落下や水没による故障、公共の場での覗き見などのリスクを高めます。また、ネットワークへの常時接続により外部サービスへ容易にアクセスできるようになっているため、盗難・紛失等が発生した際には、情報漏えいの範囲がデバイス内のデータのみならず、外部サービスを利用して保有するデータにまで広がる可能性があります。 

この他、タッチパネルの操作ミス、信頼できないサイトからのアプリのダウンロードによるマルウェア(ウイルス、スパイウェアなどの悪意あるソフトウェアやプログラム)の感染、利用者による改造、カメラ機能やGPS機能の不適切利用・誤操作等による情報漏えいのリスクもあります。スマートフォンを業務用ツールとして利用するにあたっては、これらのセキュリティ上の課題があることを認識したうえで、対策を講じることが必要とされます。 

企業組織のセキュリティ対策としては、・規程やルールを整備し、教育・研修を通してスマートフォンの業務利用に伴うリスクを従業員に周知させ、加えて、モバイルデバイス管理(MDM)ツールの導入などによるパスワード強制、紛失時における遠隔操作によるロックや初期化、アプリ利用制限などの技術上の対策を整えることが挙げられます。こうした対策をなんら取らないままスマートフォンの業務利用を進め、情報漏えいなどの問題を発生させた場合、企業・組織の情報管理体制について責任を問われる可能性があります。

4労務管理上の問題
(1)労働時間の管理
スマートフォンの業務利用は、従業員の働き方にも影響を及ぼします。たとえば、以前は報告書を作成するためにわざわざ事業所に戻っていた営業担当者が、外出先でスマートフォンを利用して上司への報告を済ませてそのまま帰宅できることで、労働時間が短縮され、ワークライフバランスがとり易くなります。 

その一方で、新たな問題の発生も懸念されます。1つには、外回りの営業担当者にスマートフォンを携帯させた場合、労働基準法第38条の2による「事業場外のみなし労働時間制」を適用できるかという問題があります。事業場外労働のみなし労働時間制とは、労働時間の全部または一部について事業場外で業務に従事した場合において、労働時間を算定することが難しいときは、所定労働時間または通常必要とされる時間を労働したものとみなすことができる制度です。ただし、この制度の適用については、「事業場外で業務に従事する場合であっても、使用者の具体的な指揮監督が及んでいる場合については、労働時間の算定が可能であるので、みなし労働時間制の適用はない」とする行政通達(昭63.1.1 基発第1号)があります。 

この点については、たとえスマートフォンを携帯させていても、営業担当者の自由裁量により業務が行われているのであれば、事業場外のみなし労働時間制の適用が認められ得るものと思われます。他方で、あらかじめ訪問先を決めて、上司の指示を受けたうえで外出し、外出中もスマートフォンを使って随時上司と連絡を取りながら営業活動を行い、GPS機能を使って居場所も把握できているような場合には、「労働時間の算定が困難な場合」とは言い難く、事業場外のみなし労働時間制の適用が認められない可能性があります。

(2)従業員のプライバシーの問題 

スマートフォンの携帯については、従業員のプライバシーの問題もあります。GPS機能付きスマートフォンを従業員に携帯させれば、その従業員がいつ、どこにいるか常時確認でき、決められた件数の顧客先をきちんと回っているかなど管理することが可能となります。他方で、従業員にしてみれば、常に自分の居場所を知られてしまうことになります。 

この点について、過去の裁判例では、会社が携帯電話をナビ機能に接続させて時間を問わず従業員の居場所を確認するなどした行為について、「原告(従業員)が、労務提供が義務付けられている勤務時間帯及びその前後の時間帯において、被告(会社)が本件ナビシステムを使用して原告の勤務状況を確認することが違法であるということはできない。反面、早朝、深夜、休日、退職後のように、従業員に労務提供義務がない時間帯、期間において本件ナビシステムを利用して原告の居場所確認することは、特段の必要のない限り、許されないというべきである」(東京地裁 平24.5.31判決)と判示しています。 

つまり、GPS機能を利用した従業員の管理については、労働時間(残業時間を含む)およびその始業・終業時刻の前後の時間帯であれば、企業組織の労務管理権の・範囲内の行為として許される一方、それを超えた時間帯における管理については、従業員のプライバシーを侵害する行為として違法とされる可能性があります。 

このように、スマートフォンの業務利用を巡っては、セキュリティ対策だけでなく、労務管理のあり方についての見直しも必要とされることを認識しておくことが大切です。

5 スマートフォンの有効活用のために
スマートフォンを業務用ツールとして導入するにあたっては、可能な限りその目的、用途、利用局面を明確化するとともに、スマートフォンの導入が業務に及ぼす影響を分析し、必要とされる対策を事前に講じることが求められます。スマートフォンの利用目的は、企業・組織によってさまざまですが、大切なのは利用目的とリスク対策のバランスです。目的達成のために求められるリスク対策をよく検討したうえで、企業・組織の実情に適った対策を選択して実施することが求められます。 

ただ、スマートフォンを業務システムの中にどう組み込むかについては、そのメールが、必ずしも確立されていない状況です。このような状況の下、一般社団法人日本スマートフォンセキュリティ協会(JSSEC)では、業務上でスマートフォンを利用する場合の情報漏えい対策など、業務利用における情報セキュリティ上の脅威とその対策の検討を行い、「スマートフォン&タブレットの業務利用に関するセキュリティガイドライン∼その特性を活かしたワークスタイル変革のために∼【第2版】」を公開しています。また、特定非営利活動法人日本セキュリティ協会(JNSA)も、「スマートフォンの安全な利活用のすすめ∼スマートフォン利用ガイドライン∼1.0版」を公表しています。これらのガイドラインでは、スマートフォンの現状の課題を整理し、スマートフォンの利用における企業・組織の責任とユーザリテラシーの境界線を明確にし、実施すべきセキュリティ対策などが紹介されていますので、スマートフォンの業務利用化を検討するに当たっては、これらを参考にすることがよいと思います。