Share

シャドーITとBYODは違う

  • 2022年10月20日

情シスが頭を悩ませる「シャドーIT」
これは会社で認められていないツール(個人スマホや個人契約のサービス)
を使って仕事を行う行為です。

具体的に言うと、
”個人で契約したメールやLINEで会社のファイルを送信する”
だとか、
”メールで送信できない大容量のファイルを、
会社で認められいないファイル交換サービスで送信する”
というところが一般的(?)でしょうか。

一方、「BYOD」という言葉があります。
これは、Bring Your Own Device の略で、
直訳すると”自分のデバイス(機器)を持ち込む”
という意味になります。
要は自分で所有しているスマホやPCを
会社の仕事で使用する運用ですね。

この二つは一見似ているように思うかもしれませんが、
全くの別物です。

共に自分のデバイスを使うとところは同じですが、
自分のデバイスを仕事で使うことを”会社が認めているか?”
と言う部分が大きく違います。

シャドーITは会社の認識や許可なしにツールやデバイスを使用します。
なので使うツールが危険なものかどうかのジャッジもされていませんし、
そもそもライセンスとして使っていいのかも不明なものです。
(個人利用はOKだけど業務利用はNGとかね)
万一そこで漏洩や紛失が発生した場合、そのすべての責任は
使用した個人に降り掛かります。
会社が認めていないやり方で会社に損害を与えているので
会社から損害賠償請求される可能性も十分に高いでしょう。

対してBYODは会社がその運用方法を確立しています。
一般的なセキュリティ対策やデータ保護の方法など、
個人デバイスに会社のデータを表示させることに対して、
検討された結果としてBYODの運用が許可されています。

ただ、BYODの範囲には気を付ける必要があります。
BYODで個人スマホの使用OKになったからといって、
個人マホに入っているアプリ全部を仕事に使用していいわけではありません。
当然そこからアクセスするサイトも同様です。

そういった部分も含めて、BYODで個人デバイスを使用する際には、
会社に対して誓約書を提出する場合もありますね。

あなたが普段仕事で使用しているツールはBYODですか?それともシャドーITですか?
会社提供のツールであればそれが一番でしょうけど。
ただ、”効率が悪い”や、”使い勝手が悪い”というのを理由にして、
シャドーITに手を染めるのは得策ではありません。
そのためにリスクを負うのはあなたです。