【専門家に聞く】業務用携帯がない…スマホ紛失時にまず行うべき対応とリスク管理方法

仕事をする上で欠かせないツールとなったスマートフォン（スマホ）。職場内外のコミュニケーションはもちろん、業務アプリの利用など、スマホが業務に与える影響は年々増加しています。

だからこそ業務用携帯として使用するスマホの「紛失」は、個人の業務だけでなく、自治体にとって大きなリスクを伴います。紛失による個人情報や機密情報の漏えいがあれば、自治体全体の信用に影響を及ぼします。

多くの自治体では業務用携帯の紛失が発生した場合、紛失者に対して厳しい対応が取られることもあり、最悪の場合はプレス発表による謝罪が求められることさえ考えられます。とはいえ、紛失は誰にでも起こり得ること。人的ミスは完全に防ぐことは難しいからこそ、事前にリスクを予見し、適切な対応策を準備することが重要です。

今回は万が一スマホを紛失してしまった場合のリスクや、その際に取るべき対応、そして効果的な対策について、スマホセキュリティの専門家の意見も交えてご紹介します。

スマホ紛失が引き起こすリスクと自治体の対策

スマホの紛失は個人にとっても自治体にとっても大きなリスクを伴うもの。ひとたび情報漏えいが発生すれば、住民の信頼を損ねるだけでなく、自治体の信用にも多大な影響を与えてしまいます。

また、業務用携帯の紛失により損害が発生した場合、その責任が自治体だけでなく紛失した当人に問われる可能性もあります。実際に2022年12月には兵庫県尼崎市の市役所職員が職場の会食でスマホを紛失し、紛失した当人は減給1カ月の懲戒処分を、管理監督者2人は口頭厳重注意を受けています。

参考 >>>個人情報を含む公用スマートフォン紛失の経緯及び今後の対応について / 尼崎市

しかし、スマホの紛失は誰にでも起こり得ることであり、完全に防ぐことは難しいものです。このようなリスクを最小限に抑えるために、自治体は事前に適切な対策を講じる必要があります。

例えば、業務用携帯にアクセス制限や暗号化を施したり、「MDM」（Mobile Device Management：モバイルデバイス管理システム）を導入することで、万が一紛失してもデータの保護が可能になります。MDMを利用すれば、遠隔でのロックやデータの消去ができるため、紛失や盗難によるリスクを大幅に低減できるのです。

業務用スマホのセキュリティリスクと「MDM」の役割

業務用スマホを紛失した際の影響は大きく、いざ紛失となった場合、個人の対策だけでは対応しきれない場面もあります。そのような状況を未然に防ぎ、対策を取るために役立つのが「MDM」です。
MDMとは実際にどのようなものなのか？弊社サービス「CLOMO MDM」を熟知したスマホセキュリティの専門家である粟田（あわた）に、MDMの役割やメリットを聞いてみました。

MDMで業務用スマホ紛失時のリスクを低減

——個人でスマホを使っているだけだと、あまり聞きなれない「MDM」。実際どのようなことができるのでしょうか？

粟田：MDMとは、業務用スマホを一元管理し、リモートでのデバイス制御ができる仕組みのことをいいます。MDMを導入すれば、次のようなセキュリティ対策を実施できますよ。

1.遠隔ロックとデータ消去

スマホを紛失した際、最も懸念されるのは情報漏えいです。MDMを利用すれば、紛失したデバイスを遠隔からロックすることができ、不正なアクセスを未然に防ぎます。
もし悪意のある第三者にデバイスが渡った場合でも、MDMを使って遠隔からデバイス内のデータを全て消去することが可能です。これにより、情報の漏えいリスクを最小限に抑えることができます。

2.位置追跡機能

MDMには、紛失したスマホの位置をリアルタイムで追跡できる機能があります。これにより、スマホが職場内にあるのか、それとも外部に持ち出されたのかを迅速に確認できます。

3.アプリの管理とインストール制限

紛失とはまた別のリスクですが、近年「ランサムウェア」によるスマホへの攻撃が増えています。このようなリスクを減らすために必要なのが、業務とは関係のないアプリや不審なアプリをインストールさせないこと。MDMを活用することで特定のアプリのインストールを制限し、システム担当者などが許可した安全なアプリのみを利用させることができます。また、アプリの更新状況も管理できるため、脆弱性のあるアプリが残ることも防げます。

参考記事 >>>スマホも要警戒！ランサムウェアの脅威と感染時の最適な対応方法とは

4.セキュリティポリシーの一元管理

自治体のセキュリティポリシーを一元管理し、自治体で保有しているスマホに適用できるのもMDMの強みです。パスワードの強制設定や自動ロックの時間設定など、自治体のセキュリティ基準に沿ったポリシーを統一的に適用することができます。これにより、利用者・各課ごとに異なるセキュリティ設定のリスクを排除できます。

——個人個人で細かくスマホを設定する必要がないのは、利用する職員としてもメリットがありますね。

粟田：そうですね。「アプリの管理とインストール制限」の面でいうと、業務に必要なアプリだけを適切に管理しつつ端末のメンテナンスも一括で行えるので、端末を管理している情報システム部（情シス）などのIT部門の負担も、大幅に軽減できるんですよ。

セキュリティの強化だけでなく、業務の効率化も同時に行えるのも、MDMの大きなメリットの一つといえますね。

避けられない人的ミス、スマホセキュリティの専門家はどう対策する？

——盗難でない限り、業務用スマホの紛失は人的ミスだと思いますが、完全に防ぐことができないものが人的ミスです。スマホセキュリティの専門家として、どのような対策が考えられますか？

粟田：MDMの活用とあわせて、できる限りシステム上で防ぎきること、また運用ルールの徹底が大切ではないでしょうか。

1.紛失防止用アクセサリーの活用

スマホの落下や置き忘れを防ぐために、スマホ用のストラップやホルダーなどのアクセサリーを導入することも有効です。特にスマホを外部へ持ち出すことが多い職員に対して、こういった物理的な防止策を提供することで、紛失の確率を下げることができます。

2.定期的なセキュリティ監査

MDMの設定やセキュリティポリシーが実際に遵守されているかを定期的に確認することも重要です。監査では、すべての端末が適切に管理されているか、重要な設定が確実に有効化されているかを確認します。こうした監査を定期的に行うことで、運用ミスや設定漏れを防ぐことができます。

3.二要素認証（2FA）の導入

スマホで利用するアプリやシステムへのアクセスにおいて、二要素認証を義務化することも効果的です。たとえば、アカウントへのログイン時に、パスワードに加えてワンタイムパスワード（OTP）や認証アプリによる確認を必要とすることで、不正アクセスのリスクを低減できます。

4.業務終了時の確認プロセス

業務終了時や帰宅前に、必ずスマホの所在を確認するプロセスを定めることも有効です。出勤時、休憩などデスクから離れる際、退勤前など、必ずスマホの確認を行うようにルールを設定しましょう。特に出勤時や退勤前などのタイミングでチェックリストを活用すれば、紛失に気づかずそのままにしてしまうリスクを減らせます。

5.万が一の際の責任明確化

紛失時の対応手順や責任の所在を課内や係で明確化することも重要です。スマホ紛失時の報告フローを事前に決めておき、迅速に対応できる体制を構築しましょう。

6.職場内のセキュリティポリシーの整備

eラーニングなどを通じて定期的に職員に対してセキュリティ教育を実施し、紛失防止策やスマホの取り扱いについて周知徹底させるなど、セキュリティポリシーの整備も大切です。

粟田：重要なのは、対策の内どれか一つだけやるのでなく、対策を組み合わせることです。さらに継続的に運用課題を洗い出していけば、人的ミスによる紛失リスクを軽減することができるはずですよ。

 業務用スマホ紛失時の緊急対応

——各種対策を行った上でも業務用スマホを紛失してしまった場合、どのような対応が必要でしょうか？

粟田：各自治体で紛失時のルールが決まっているはずなので、事前に確認しておきましょう。その上で考えられるのは、まずは「iPhoneを探す」機能や、Android端末の「Google デバイスを探す」機能を使って、GPS情報の取得による所在地の確認です。

それでも見つからない場合は、即座に会社のIT担当者や管理者に報告してください。MDMを導入していれば、紛失した端末に対する遠隔操作ができるので、遠隔ロックやデータ消去の機能を利用し、第三者の不正アクセスを防止できます。

——MDMがあれば心強いですね。とはいえ、いざ紛失したとなると、やはり言い出しにくそうです…。

粟田：IT担当者や管理者がスマホ紛失による情報漏えいの可能性を評価し、場合によっては住民や関係者に対して速やかな情報共有を行う必要があるので、報告スピードは重要なんです。常日頃からすぐに上長へ報告できるような体制構築が大切ですね。

システム化することで、リスクを限りなく低くする

スマホの紛失は、個人でも自治体でも、誰にでも起こりうる問題です。しかしそのリスクを適切に管理し、迅速な対応を心がけることで、被害を最小限に食い止めることができるようになります。

大切なのは、自治体と職員がそれぞれの役割を認識し、セキュリティを強化するための具体的な対策を共有すること。日頃からの準備と体制の整備が、万が一のリスクを回避するカギとなるはずです。

※本記事は、株式会社アイキューブドシステムズ が運営するWEBメディア「なるモ」に掲載された記事を編集・転載したものです。
　原文はこちら：https://narumo.jp/article/047/