「すぐ見つかる」は甘い。スマホの1割は戻らない
友人や同僚との飲み会やクライアントとの会食など、楽しい時間を過ごしているときに気をつけたいのが、スマホの紛失です。
無くしてもスマホならすぐに見つかるだろうと安易に考えているかもしれませんが、警視庁遺失物取扱状況(令和4年中)によると、携帯電話の紛失届けは126,514件あり、戻ってきたのは110,525件。約13%の携帯電話は見つかってないのです。
また、日本情報経済社会推進協会(JIPDEC)と株式会社アイ・ティ・アール(ITR)が2022年に行った調査によると「あなたの勤務先において、過去1年間に経験した情報セキュリティ・インシデントは何ですか?」という問いに対して、1位は「従業員によるデータ、情報機器(PC、タブレット、スマホ、USBメモリなどの記録媒体)の紛失・盗難」となっています。
もしも仕事で使っている社用スマホを無くしてしまったら、大きな事件となることもありえるのです。にもかかわらず、なぜ社用スマホの紛失があとを絶たないのでしょうか?今回は、社用スマホの運用の実態と、紛失の防止法などについて、東北大学特任教授/危機管理コミュニケーション専門家の増沢隆太先生にお話を伺いました。
増沢隆太(ますざわ りゅうた)先生
東北大学特任教授/危機管理コミュニケーション専門家。人事コンサルタント、産業カウンセラー。コミュニケーションについて企業研修や大学講義と続けるなか、危機管理コミュニケーションとして解説した「謝罪」に注目が集まり「謝罪のプロ」として数々のメディアから取材を受ける。コミュニケーションとキャリアデザインに加え、ハラスメント対策、就活、再就職支援など、あらゆる人事課題で、上場企業、巨大官庁から個店サービス業まで担当する。著書に『謝罪の作法』(ディスカヴァー携書)、『戦略思考で鍛える「コミュ力」』(祥伝社新書)など。
「認証コードも入れていない!?」あまりにもずさんなスマホ管理の実態
──じつは、私も個人のスマホをお店やタクシーで落としてしまった経験はあるんですが、実際に仕事で使っているスマホを紛失したという話は聞いたことがありますか?
増沢先生:社用スマホを無くしたという話は本当によく聞きますよ。
──やっぱり、あるんですね!
増沢先生:まあ、スマホは小さいですからねえ。さすがにパソコンはよほどうっかりしないと無くしませんが、スマホは外出時に無くしてしまいがちですよね。私もうっかりものなので、どこに置いたのかしょっちゅうわからなくなる。あちこちを探して、ポケットに入っていたみたいなことはよくあるんです。
──どこに置いたかわからなくて「誰か電話を鳴らして」ということもよくありますもんね。でも、スマホを紛失しないためにはどうするのがいいんでしょうか?
増沢先生:じつはスマホの紛失対策は、個人でできることは限られているんですよ。物理的なこと以外で何か対策をしようとしても、現実的には難しい。個人に頼るよりも会社側が「スマホは無くしてしまうこともあり得る」という前提で、社員にスマホを貸与することが本来やるべきことなんですね。
──仕事用に社員にスマホを渡すなら、まずは会社側がそれに対して準備をしないといけないということですね。
増沢先生:私はテクノロジーの専門家ではないんですが、セキュリティは組織管理の一部なんです。セキュリティの方法は色々とあるのですが、会社によって意識に大きな差があります。社用スマホに関しては管理がずさんな会社が多いのが正直なところです。
なぜかというと、社用にスマホを提供されても、会社も個人も電話という感覚がどうしても抜けないんです。スマホは電話ではなくてパソコンですよね。この感覚を持つことがとても大事なんです。でも、日本の企業は偉い人が高齢だったりして、いまだにスマホは電話という意識が抜けない人が多いんですね。ですからスマホに対してのセキュリティの意識が乏しくなりがちなんです。
──実際に増沢先生がコンサルをされているなかで、スマホのセキュリティが甘いと感じるのはどのような点ですか?
増沢先生:とくに中小企業に多いんですが、個人が使用する携帯機器を仕事に持ち込むということに対する問題意識がなくて、MDM(Mobile Device Management=モバイルデバイス管理)の費用がもったいないと思ってやっていない会社がすごく多いんです。
※MDM(Mobile Device Management):スマホなどのデバイスを遠隔管理するシステム。デバイスの利用状況を把握・管理できる。紛失した場合にも、端末ロック、データ消去もできるので社用スマホには必須の機能。(参考:CLOMO MDM )
ひどいところだと、会社で携帯を支給するのも面倒だし、お金をかけたくないから「自分のスマホを使え」ということになる。それでも「仕事の電話には出ろ」と言われる。これは労働時間管理上、違法性の問題もありますし、セキュリティに関しては、ほとんど無防備に近いのが現状ですね。信じられないかもしれませんが、会社支給のスマホなのに、認証パスワードすら入れていないケースもあるんですよ。
スマホの紛失防止にはストラップが一番有効
──それはもはやセキュリティ以前の問題ですね。でも、どうしてもスマホは無くしてしまいがちですが、何か対策はあるのでしょうか?
増沢先生:誰でもできるのは、物理的に無くしにくくすることですね。私もそうですけど、スマホを大きめの保護ケースに入れるといいです。それからストラップ。ストラップはかなり大事ですね。
──ストラップを使っている人は少ないですね。なんかおじさんっぽいイメージがあって。
増沢先生:いやいや、ストラップはものすごく効果が高いんです。物理的な抑止力が高い。例えば首から必ずかけておくだけで、無くす可能性はものすごく減ります。どこかに置いたとしてもストラップがあるとすぐに目につきます。ひもが長いから、ポケットに入れていてもすぐ気がつきます。
増沢先生:この辺の対応は、個人でも簡単にできますし、しかもかなり効果があるので、スマホを無くさない防御方法という点では、仕事で使うスマホではぜひやっておくべきでしょうね。
スマホを無くしたときに個人ができる対処法は?
──そのような対策をとっていたとしても、無くしてしまった場合はどうしたらいいんですかね?
増沢先生:まずは、スマホの探索機能は使えるようにしておきましょう。iPhoneなら「iPhoneを探す」、Androidなら「デバイスを探す」は仕事で使うスマホなら常時オンにしておくことですね。
これももはや常識の機能なんですが、電池の消耗が早いということで嫌がる人もいるんです。でも、そういう油断がリスクを招いてしまう。セキュリティソフトを入れるのは面倒だし動作が重くなる、電池も早くなくなるというデメリットもありますが、仕事で使うんだったら、やはり欠かせないものです。
「iPhoneを探す」「デバイスを探す」機能を利用できるようにしていれば、スマホの位置情報を探すと同時に、遠隔操作で機能を停止してしまえばいい。
または、携帯の会社に連絡して止めることもできますが、その番号もスマホがないとわからないんですよね。社用スマホだとしたら、携帯会社の電話番号もプリントして財布に入れておくように勧めています。
緊急時に必要な情報が全部スマホに入ってしまっているというのはありがちです。危機管理のためには、アナログとデジタルを両立させることがすごく大事で、デジタルだけに絞っちゃうのはリスク管理上も非常に危険なんです。
LINEも仕事で使ってるケースが多いですが、LINEのバックアップはパソコンでできるので、LINEはパソコンでもアクセスできるようにしておいたほうがいいですね。
やはり、スマホにデータをダウンロードしてしまうのは危険だからやらないに越したことはないです。流出したらまずいものは基本的にダウンロードをしないことを徹底しておく。
でも、見落としがちなのは写真データです。本当に秘密のデータは、会社でもダウンロードを禁止にしていることはよくあるんですが、業務上必要で写真を撮ることはよくありますよ。この辺りのリスク教育は必要ですね。写真はあらゆるセキュリティを突破できてしまうので、画面を撮られたら終わりなんです。
──忘れないようにメモとして写真は撮ってしまいますもんね。
増沢先生:だから結局ヒューマンエラーはどうしても起きるので、それを前提とした危機対策をしておくことが大切ですね。
「無くしたら連絡しろ」はスマホ紛失の事後処理には意味がない
──社員がスマホを無くしてしまった場合、会社は何をすればいいんでしょうか?
増沢先生:じつは社用スマホを無くした時の対応をちゃんと取ってる会社は非常に少ないんです。支給するときに「無くしたら連絡しろ」とはもちろん会社は言ってるんです。でも、実際には形骸化していて、社員の頭には全く残っていない。
「無くすな」と言われても、無くしたくて無くす人はいないわけですから「無くすな」と言うことに意味はないです。ですから無くしたときはどのようにフォローしてあげるかが大切なんです。それが社員にきちんと伝わっていて浸透していることが、危機管理のシステムとしては1番大切なことなんです。
「とにかく会社に連絡しろ」というのは正しい対処ではあるんです。でも人は臆病なものなので、すぐに会社に連絡をさせようとするのはあまり現実的じゃないんですよ。まずはスマホの機能を止めるといった個人でできるところからやらせるべきなんです。
まずこれを自分でやりなさい。それをやったあとで会社に必ず連絡するという手順を作ってあげて、それを別途紙に書いて財布に入れておくといい。
──まずは個人でできることをやらせて、それでも見つからないなら会社に報告するというフローにしておくんですね。
増沢先生:ここで重要なのは社員が報告することを躊躇させないようにすることです。普通は自分のミスが会社にばれたら、怖いと思うじゃないですか。もちろん無くしてしまったわけだから、なんらかの罰は必要です。でも、会社側としてはスマホを無くした事実を隠されるほうが困るのです。むしろ紛失した場合の報告は奨励するようにしないといけないんです。
社員に向けて「無くすなよ!」と強く言っているだけだと、無くしてしまったら「お前はクビだ」と言われるのではないかとプレッシャーをかけてしまい、問題がどんどん地下に潜っていってしまうんです。
マニュアルやフローも一度社員に渡したら終わりということではなく、避難訓練と同じように定期的に教育して、無くすこともありえることを前提に手順を覚えさせるほうがいい。
会社にとってはスマホを無くすことは恐くはありません。むしろ、情報が漏洩してしまうことを恐れているわけです。大事な情報を流出させないことのほうが、よっぽど大切なんです。
──報告を奨励するっていうのは、報告するまでを行動化させなければいけないんですね。
増沢先生:そうですね。でもこれができる企業は少ないですよ。「報告しろ」ということはわかるけど、それが簡単にできるのならば、誰も困らないんです。結局、怒られることが怖いから一晩中探していて、それで見つかりませんでしたということになり、どんどん事態が悪化していくんです。
スマホに限らずあらゆる危機についても同じです。事態を隠そうとするからどんどん広がってしまうので、異常な事は少しでも早く報告しないといけない。 いち早く報告させるのは組織の義務なわけです。でも、ダメな組織は無くしたことを報告する時点で怒り出しちゃう「なんでお前はそんなことしてしまったんだ!」と。
怒っている場合じゃないんですが、そういう大組織は本当に多いですよ。危機管理の担当者は、始末書を書くとか責任のことばかりを言う。全く本質がわかってない人が危機管理をやっていることは非常によくあります。
「証人を連れてこい」とか「警察への届出の用紙を持ってこい」とか、そんなことを言ってしまうんです。それより前にやらないといけないことがたくさんあるのに。
──でも、最終的にスマホが見つからないという時には、会社は謝罪をしなければいけないんじゃないでしょうか?
増沢先生:それは内容次第ですね。ただ単にスマホが無くなっただけなら、スマホの費用だけの損害ですから、会社が謝罪する必要はないです。でも、問題なのはダウンロードしたデータがある場合です。無くしたスマホにダウンロードしたデータがある時には、当然クライアントさんなど外部の人にまで迷惑がかかってしまう。
──デジタルデータの防衛はますます重要になることは明白ですね、中小企業は費用を惜しまず、今後はMDMを導入していかないといけないですね。
増沢先生:いやいや、今後も何も、仕事で使ってる以上は、すぐにでもMDMは導入しなければダメですよ。それができないなら社用スマホを配るなということです。
──社用スマホを渡される側としても、気軽に受け取ってしまっては危険ですね。利用する側としても会社側と相談しようと思いました。今回はありがとうございました。
取材・文:D★FUNK 編集:木崎・稗田/なるモ編集部