社内規程等で従業員が会社から許可を得ずに自分のスマホなどの利用を禁止している企業は多いかと思います。内部統制的な言葉をつかうと、ルール上で規制等を「整備」していることと、「運用」上そうできないようにされていることは全く別物です。
実際にシステム的な対応をしていない場合、勝手に私物端末を業務利用する勝手BYODがされていたり、DropboxやGoogle ドライブといったサービスが個人用のアカウントで利用されていたりという「シャドーIT」が発生している可能性は高いと考えられます。
このようなシャドーITに対して、どう対応をすべきか。
ひとつの考え方をご案内いたします。

もくじ
  1. 制限には上限がある
  2. すでに発生しているシャドーITへの対応
  3. シャドーITから、会社の認めているシステムへ
  4. それぞれのシャドーITに適切なサービス

制限には上限がある

ルール上で、またシステム的にアクセスを制限したりしたとしても、従業員の私物端末や個人アカウントの利用を制限しきるには限界があります。
例えば、執務エリアに私物の持ち込みを一切禁止し、業務は執務エリアでのみ行うといった業種であれば可能かもしれませんが、営業で外に出たりといろいろな業務のすべてで有効なやり方はありません。

営業スタッフ同士のやり取りで、いちいちメールを送るのは面倒なので個別にLINEを交換して業務のやり取りを行う。
USBポートは塞がれているがメールからデータを転送すれば、自分のGoogle ドライブにデータを置くことが出来る。
このようなことはルール上で規制をしたとしても、実際防ぐことは難しいものです。

これらの行動も一種の「不正」につながるものではあるのですが、これらの行動の裏には「仕事をする為」という大義名分があるため、行為自体が悪いことと認識されず正当化されてしまうのです。

不正のトライアングル

また、その正当化だけでなく、実施することができる環境があることや、仕事が多くなんとか手間を省きたいといった動機が揃った場合にこれらの行動は取られます。

つまりシャドーITの場合、以下のような状態にあると考えられます。

■動機
 仕事が多い
 めんどくさい

■機会
 ルールはあるけれど、システム的に制限されていない
 自分の端末を使えば実現可能である

■正当化
 仕事をしないわけにはいかないので、背に腹は代えられない
 他の人もやっている

これらが揃ったがためにシャドーITが起こってしまうのであれば、これらのどこかだけでも塞ぐことができれば、発生はしなくなるといえます。

すでに発生しているシャドーITへの対応

ここでよくあるケースが「機会」を潰して対応をするケースです。
とにかくシステム的にも不可能にしてしまうのは、抜けがなく完璧に見えるかもしれませんが、一切のモレもなく対応をするのは正直難しいでしょう。

また、ここで強硬な手段をとった場合、いくらだめなことであったとしても現場からの反発も免れる事はできません。

そもそも不便なのが悪い。
効率が下がり、労働時間が増える。
これらの言い分も、ある意味ごもっともです。
そして、これらの言い分がある以上は、押さえつけても抜け道を探されてしまいます。
会社としてすべき重要なことは、リスクを下げつつも利便性を下げすぎない事なのです。

シャドーITをなくす場合には、まず何が利用されているのかを調査します。
そして、それらがどうして利用されることになったのかも併せて確認をします。
そうすることにより、会社として何を対応する必要があるのかが見えてきます。

社内のやり取りをするのに、電話やメールでは相手とすぐに連絡が取れるかどうかが確実ではない点で不便なのでLINEが利用されていたという場合、LINEを使う必要をなくさなければならないのです。

社内のメールをスマートフォンのメーラーに設定して読まれていた場合、社外でもメールを読む必要がある従業員には安全に見せる手段を用意する必要が業務上あるのです。

ただし、従業員が必要だと思いこんでしまっているケースがないわけでもありません。
本当にその業務が必要なのかという事も合わせて見直していくと、効率化にもつながります。

シャドーITから、会社の認めているシステムへ

さて、いざ会社が必要と認めて、シャドーITで利用されていたもののかわりを用意しても、利用されなければ意味がありません。また、利用されない場合には、またシャドーITに戻ってしまう可能性もあります。
そうならないようにするためにも、従業員への教育は重要です。

乗り換え時に全従業員へ利用の案内をすることはもちろんですが、さらにそれと併せて、年に1回程度、全従業員に対してシャドーITを禁止していること、またその危険性等の教育とあわせて、シャドーITをしないことを誓約書に署名をしてもらうというのも効果的です。

誓約書も入社時にとっている会社は多いとはおもいますが、人は忘れる生き物ですので、この署名は毎年取り直すこともおすすめです。毎年署名をすることで思い出してもらうという効果があります。
ぜひ、こういった運用も検討してみてください。

それぞれのシャドーITに適切なサービス

■スマートフォンのメーラーでメールが読まれている
会社のメールがスマートフォンのメーラーで読まれてしまっている場合、メールの情報はさておき、添付ファイルなどもスマートフォン自体に保存されており、セキュリティ的にはかなり問題があります。
業務上、いつでもメールが確認できないと困るという場合は、リモートメールを利用するという手段もあります。
法人契約でなくても、端末に情報は残らなくなりますので、小さく運用することもできるのがメリットです。さらに、効果を高めたい場合には、メールサーバーへのアクセスを社内からとリモートメールのIPだけに制限すれば、それ意外の手段では見に行くことができなくなりますので、より安全に運用ができます。

■従業員がLINEを使って業務のやりとりをしている
どういった情報が送られているのか、会社でも把握ができない状態になっているのは危険です。LINEのようなチャットの場合、応答が早いといったところが使っている側の一番のメリットだと考えられます。
また、スマートフォンのアドレス帳に取引先の情報が入っている場合には、気づくとLINEに登録があり、誤送信のリスクも上がってしまいます。
気軽にスタッフ同士が連絡を取り合うことが出来るというものがあれば良いということであれば、ビジネスチャットの導入がおすすめです。リモートトークであれば、LINEのように既読も付くので相手が見てくれたかどうかの確認も必要ありません。

■ファイルを個人のUSBに入れて持ち歩いている
小さな端末というのは、それだけで紛失のリスクが高いものです。また、個人情報が入っていた場合、漏洩事故になったときのダメージは計り知れません。
しかし、どうしても社外に持ち出す必要がある場合も当然あります。
このような業務がそれなりにある場合、どうすれば安全に持ち出せるかを考える必要があります。
ユーザー毎にアクセス権を細く設定でき、ファイルも閲覧のみ、また、第三者に見せる必要があるときにも、ダウンロードさせるず、更に、キャッシュに残らず時間を指定して会議の間だけファイルにアクセスできるリモートカタログがおすすめです。

■会社のノートPCを持ち出してしまっている
会議などの利便性を考えると、仕事ではデスクトップPCよりはノートPCの方が便利という方はそこそこ多いとおもわれます。
しかし、そのために社外にまで持ち出すことが出来るようになってしまいますが、ノートPC自体のリスクはとても大きいものです。
この場合には、持ち出すノートPC自体には何のデータもなく、社外から社内のパソコンにアクセスをして利用するリモートデスクトップが便利な場合があります。
リモートデスクトップの仕組みであればfonfun AnyClutchリモートで利用可能です。WOL(Wake On LAN)を使えば、オフになっているコンピュータの電源をいれることもできますので、いつでもどこからでも会社のパソコンにアクセスをすることができるようになります。

その他にも色々とありますので、是非検索をしてみてください。
ご覧の皆様のなにかのヒントになれば幸いです。