前回、職場持ち込み私物パソコンの管理は難しく、そろそろ内部ルールで持ち込み自体を禁止すべき時代が来ているのではないかと述べた。ところが、実際に内部ルールを作ろうとすると、社内から「不便になる」「業務効率が落ちる」「使い勝手が悪い」といった反発が起きる。このためシステム管理者が板挟みになることが少なくない。

 そこで今回は、なぜ持ち込みを止めるべきなのか、その理由を法的な観点から改めて整理してみたい。

 端的に言うと、私物パソコンの持ち込みにより、所有権やプライバシーとの関係で、企業――公的機関でも同様――の側でシステムにコントロールできない部分が発生する。それが大きなセキュリティ・ホールになるためである。

 企業が支給する業務用のパソコンであれば、どのようなソフトウエアをインストールすべきか、管理規程などの内部ルールを定めてコントロールすることができる。それは対象となる業務用パソコンが企業の所有物だからにほかならない。リースで導入している場合にも企業側に管理権があることには変わりがない。

 まず、インストールを指定ソフトに限定することが可能になる。これによって、業務に無関係なソフトのインストールを排除することができる。一部のセキュリティ専門家を除けば、Winnyは業務に関係がないはずだ。それに、ウイルス、スパイウエアのようなmalware(悪意あるプログラム)が混入するケースも多い。そうしたソフトでなくても、導入を無制約に放置するとシステムを不安定にするおそれもある。こういった、インストールするソフトをコントロールするツールは多数あり、すでに技術的手段は整っている。

 逆にインストールを強制すべきソフトもある。典型例はウイルス対策などセキュリティ関連のソフトだ。もちろん、こうしたソフトも万全ではないかもしれない。しかし、それがインストールされ、かつウイルスパターンが最新のものとなるように自動更新を設定していれば、多くのケースでは感染を防止しやすくなる。

 ところが、私物パソコンの場合、所有権は当然の事ながら持ち込んだ個人の側にある。そのため、私物パソコンの内部には、その個人の判断で、さまざまなソフトがインストールされていたり、もしくはインストールされていなかったりすることは当然である。

 これがさらに顕著になるのは、ハードウエアのシステム構成を変更する場合などだ。業務用データを外部記憶装置に保存できないようにUSBポートを無効化したり、内蔵リムーバブル・ディスクを読み出し専用ドライブで統一している企業もある。しかし、個人所有の私物パソコンに、このような仕様を期待することは難しい。

 問題は持ち込み時点だけとは限らない。日常における点検・監査の面でも問題が生じる。プライバシーマークやISMSのようなマネジメントシステムを導入している企業の場合はもちろん、導入していない企業にとっても、セキュリティ管理規程の遵守状況などに対する定期・不定期の「チェック」が重要となるはずだ。

 内部ルールとして、業務用パソコンの私用を禁止している企業は多い。あわせて、そうした措置を講じておけば、業務用パソコンの内部をチェックすることがプライバシー侵害とされる危険性も減る。こうしたルールを定めていなかった企業について「電子メールの私的使用に一切のプライバシー権がないとはいえない」とした判例(東京地裁平成13年12月3日判決・労働判例826号76頁)がある。

 ところが、私物パソコンの場合、日常における点検・監査のためシステム管理者が内部を見てチェックしようとしても、後述のように従業員から所有権やプライバシーを理由に拒絶されると、これに反論することは困難となる。これでは十分な点検・監査ができなくなる。

 以上の点については、「私物であっても、持ち込む際にはルールを守らせる」という考え方もありうるところだ。しかし、個人の所有物に対し、どの程度の強制が可能か、疑問が残る。それに、持ち込みを認めた場合、「私物パソコン職場持ち込みの事前許可制」などの条件面について本当に実効性が保てるのか、大きな問題があることは前回述べた。また、セキュリティやポリシー徹底のためにWindows OSをHome EditionからProfessional Editionに変更するといったことも、現実問題として難しい。

 さらに悲惨なのはインシデントの発生時だ。情報漏洩が発生した際には、流出ルートを解明しなければならない。ところが私物パソコンの内部をチェックしようとしても、「内部に私的メールなどプライベートなデータが入っている」としてプライバシーをたてにされると、手を出すのは難しい。通常、嫌疑のあるパソコンをシステム部などに渡すことになるが、「俺には所有権がある」などと主張されれば反論することが困難となる。

 もちろん本人の同意が得られれば検査は可能である。だが、「どうせ懲戒を受けるなら」と従業員が居直ったらどうなるか。逆に「パソコンを奪われた」として訴えられる可能性もある。システム管理者としては頭が痛い問題となる。訴訟には至っていないとしても、こうした問題は、すでに漏えいの現場で発生している。

 私物パソコンには、以上のような特殊性と問題が存在する。このことが認識されれば、経営層や従業員の反発も、少しは説得しやすくなるはずだ。

 私も20年来のパソコンユーザーである。自分が使うパソコンには、かなりのこだわりがある。組み立てることも大好きだ。だから、「私物パソコンを禁じられると使い勝手が悪くなる」と言いたい気持ちは痛いほど分かる。ましてソフトやハードの専門家にとってパソコンは、板前さんが使う包丁のようなものだ。

 しかし、これほどパソコンの業務利用が広まっている現在、それとトレードオフの関係で、残念ながら社内ユーザー全体のスキルが低下していることは避けられない。こうした一般の社内ユーザーを、一部の専門家と同視することには無理がある。

 何も私物パソコンの職場持ち込みを取り締まるため、新たに法律を制定せよと主張しているわけではない。禁止しなければ「違法」になると言っているのでもない。ただ、重要情報を扱う企業であれば、そうした内部ルールを設けることが適切だと言いたいのである。

 実際に漏えい事故の処理にかかわっている弁護士という立場からすれば、事故発生によって関係者が受ける損害はもとより、ちょっとした不注意で重大な漏えいを起こしてしまった従業員が苦悩する姿は痛々しい。「後悔先に立たず」では済まされない。「魔法の杖」など存在しないことは分かっているが、どうしても「転ばぬ先の杖」を考えざるをえないはずだ。