業務に従業員が私物のデバイスを持ち込むことで、コスト削減や業務効率の向上を実現するBYOD（Bring Your Own Device）。
『ICTによるイノベーションと新たなエコノミー形成に関する調査研究』（総務省）によると、2018年時点でBYODを許可している日本企業は全体の10.5％と決して多くはありません。
そこには、セキュリティ上の不安やルール・制度をどのように設計すればよいのか分からないという思いも影響しているのではないでしょうか。

本記事では、BYODを実施している方もそうでない方も押さえておきたいBYODのルール設定・ガバナンスのポイントやそのまま使えるサンプル・解説書についてご紹介します。

BYODのルール設定・学習にそのまま使えるサンプル・解説書

まずご紹介したいのが、BYODのルール設定・学習にそのまま使えるサンプル・解説書です。

一般社団法人日本ソフトウェア協会はウェブサイト内に「「BYOD」導入検討企業向け情報提供ページ」を作成し、以下の書類サンプルを配布しています（2025年1月30日時点）。

1. 私有スマートデバイス取扱規程サンプル＜第2版＞
2. 私有スマートデバイス利用許可申請書サンプル【新規】＜第1版＞
3. 私有スマートデバイス利用許可申請書サンプル【機器追加】＜第1版＞
4. 私有スマートデバイス利用解除申請書サンプル＜第1版＞
5. 私有スマートデバイス利用許可決定通知書サンプル＜第2版＞
6. スマートデバイス・セキュリティ・ポリシーサンプル＜第2版＞

いずれのサンプルもCC BY-SA 2.1 JP ライセンスが設定されており、適切なクレジットの表記や改変の提示といったルールさえ守れば、営利目的も含めた共有や翻案が許可されています。

それぞれの概要は以下の通り。

（1）BYODのルールを明記した取扱規定サンプルです。
善管注意義務から監査、緊急措置、懲戒にいたるまで網羅的に明記されており、社員の意識向上や企業のリスク軽減につながります。

（2）スマートデバイス利用許可を新規に申請する場合に用いるためのサンプルです。
デバイス情報や希望する利用範囲、同意事項などを記載した上、本人と上長による署名捺印が行われる様式となっています。

（3）スマートデバイス利用許可を追加で申請する場合に用いるためのサンプルです。内容は新規の場合と相違ありません。

（4）スマートデバイスの利用解除を申請する場合に用いるためのサンプルです。
申請理由やスマートデバイス情報、情報の消去にまつわる同意事項を記載した上で、本人と上長による署名捺印が行われる様式となっています。

（5）スマートデバイスの利用許可決定を通知するために発行される書類のサンプルです。

BYODにまつわるセキュリティ・ポリシーのサンプルです。
「MDM（モバイルデバイス管理）を利用している場合／利用していない場合」「リムーバブルメディアの使用を禁止する場合／限定的に認める場合」など、各企業の事情に合わせてパターンが用意されています。

（1）と（6）すなわち、BYODデバイスの取扱規定・セキュリティに関しては解説書も発行されており、一読すればBYODの前提条件・知識や注意すべきポイントについて押さえられるでしょう。

シャドーITを防ぐためにもBYODのルール設定・ガバナンス強化は重要

ここからは、BYODのルールを設定したり、ガバナンス強化に取り組んだりする上で前提として持っておくべき知識について解説します。

これは、BYODを実施していない、取り組む予定がない企業も含めて全企業が押さえておくべき知識といえるでしょう。
なぜなら、BYODに関する施策や知識はそのまま勝手BYOD（シャドーIT）の対策にもつながるからです。社員が個人所有の端末を企業の許可を得ることなく業務に利用するシャドーITのリスクは、ITツールの普及やコロナ禍などによるテレワークの普及により高まりました。
その内容についてより詳しく知りたい方は『セキュリティを脅かす「シャドーIT」のリスク どのように防ぐべき？』をぜひご一読ください。

シャドーITを防ぐためには、「企業が端末を準備して貸与する／BYODを実施する」の二つの方向性がありますが、企業のDXにあたっては基本的に両方のオプションを準備できる体制が望ましいと考えられます。
社員個人の意向や労働時間管理、通信料や端末料金はどれだけ負担するのかなど、諸々の事情を勘案すれば前者がベターな場合、後者が合っている場合のいずれも発生することになるでしょう。BYODに合っている働き方があり、それに合わせてルール設定やガバナンス強化に取り組むという意識がまず求められます。

さて、その上でセキュリティと利便性のバランスを取る上で何より重要なのがまずは「BYOD端末の利用について報告すること／セキュリティのルールを確認すること」が当たり前の社内文化をつくるということです。
統制を取ることを重視し過ぎて用途が極端に限定されるなどの状況になっては結局社員の中に不満が生まれ、シャドーITの温床となってしまいかねません。

そのため、ルールやガバナンスを重視しつつも社員が「これでは生産性が上がらない」と私的なIT利用を行うことにつながらないような、ある種の余裕のあるルールを規定や申請書で設けることが重要といえるでしょう。

これまで、日本企業のIT利用においてルール・ガバナンスのバランスではどちらかといえばルールが重視される傾向にあったように思われますが、BYODにあたっては強化するための仕組みづくりにより力をいれることが大切です。

BYODはどのような場合に適しているのか？

BYODは必ずしもすべての従業員に実施しなければならないものではなく、社用デバイスの貸与とも組み合わせながら適材適所に導入することが重要だとすでに述べてまいりました。

では、どのような場合にBYODは適しているといえるのでしょうか？

従業員にIT理解がありMDM導入にも同意が得られている場合

ITセキュリティを支える上で最も重要なのは従業員一人一人のITリテラシーです。企業のデータには資産として大きな価値があり、その管理にあたってMDM（Mobile Device Management：モバイルデバイス管理）ツールの導入なども重要であることが理解できているならば、不満やシャドーITにつながることなく、BYODの効果が発揮されると考えられます。
例えば、リモートワーク実施の条件として、MDMのインストールなど規定と合わせたBYOD促進に取り組む企業も存在します。

セキュリティ上のリスクが少ない業務に活用される場合

個人情報や顧客情報に関わらない社内のコミュニケーションや自己研鑽など、セキュリティ上機密性の高いデータをやり取りしない範囲でBYODを実施するパターンです。
まずはセキュリティ上のリスクが限定される範囲でBYODを「小さく」はじめることで、社内のBYOD理解が促進され、その後のコア業務での活用や社員からのアイデアの創出にもつながったケースが見受けられます。

「CYOD」などデバイス利用のパターンはほかにも まずは自社のBYOD調査からはじめよう

まだまだ日本では普及しているとはいえないBYODのルール・ガバナンスやその導入のポイントについて解説してまいりました。

企業指定のラインアップから従業員が選んだ端末が支給される「CYOD（Choose Your Own Device）」など、デバイスの貸与と利用のパターンはほかにも存在します。
まずはBYODに対する社内の意識や、シャドーITの状況についてリサーチした上で自社の取るべき方針を策定するところから始めてみてください。