ITパスポート 令和4年度 問17：情報セキュリティ管理に関する問題

答えは c「会社が許可した“自分の”スマホを仕事で使う」 です。

BYODは英語の Bring Your Own Device（自分の機器を持ち込む）の略。つまり『私物のスマホやパソコンを、会社の許可のもとで仕事に使う』ことです。

👉 覚え方：BYOD＝『自分の（Your Own）機器を持ち込む（Bring）』。ポイントは“私物”を“仕事”で使うこと。

ほかの選択肢：a 会社のスマホを私用に使う→会社の機器なので違う。b 会社のスマホを仕事で使う→ふつうの貸与で私物じゃない。d 私物を私用に使う→仕事じゃない。「私物×仕事×許可あり」が揃うのはcだけ。

なぜこれが正解か

正解は c。BYOD（Bring Your Own Device）とは、従業員が個人所有（私物）の端末を、会社の許可のもとで業務に利用すること。cの「会社が利用を許可した私物のスマートフォンを業務で使用する」がこれに合致する。

各選択肢の解説

• a 会社貸与端末を私的に使用：会社の機器であり私物ではない。
• b 会社貸与端末を業務で使用：通常の業務利用で、BYODではない。
• d 私物端末を業務中に私的に使用：業務利用ではなく、許可の前提もない。

覚え方・ひっかけ注意

BYODの2条件は「①私物の端末である」「②会社の許可を得て業務で使う」。a・bは「会社の端末」で①を満たさず、dは「業務利用でない」で②を満たさない。私物×業務×許可の3点が揃うのはcだけ。

理論的背景

BYOD（Bring Your Own Device：私物デバイスの業務利用）は2009〜2010年頃にアメリカのインテルやCitrixが先行導入したことで注目を集め、スマートフォン・タブレットの普及とともに世界的に広まったIT管理ポリシーである。従来の「会社支給端末のみ業務利用可」というCOPE（Corporate Owned, Personally Enabled）モデルに対し、私物端末の業務利用を組織が明示的に「許可・管理する」のがBYODの本質。

本問の選択肢の比較で重要なのは「会社支給か私物か」と「業務利用か私的利用か」の2軸による4分類。

• 選択肢c（正解）：私物端末を会社が許可して業務使用 → BYOD
• 選択肢a：会社支給端末を業務中に私的使用 → COPE端末の不正使用（就業規則・情報セキュリティポリシー違反）
• 選択肢b：会社支給端末を業務使用 → COPE（通常の会社端末管理）
• 選択肢d：私物端末を業務中に私的使用 → 単なる私的利用（BYODとは無関係）

BYODの「会社が利用を許可した」という条件が正解判断の核心。単に私物を勝手に使うことはBYODではなく、組織のポリシーに基づいた管理下での利用が前提となる。

実務での使われ方

BYODを導入する際には以下の管理要件の整備が必須となる。

MDM/MAM/MCMによる管理：MDM（Mobile Device Management）で端末全体を管理する方法と、MAM（Mobile Application Management）でビジネスアプリだけを管理する方法がある。後者は従業員のプライバシー（私物端末の個人データへのアクセス制限）への配慮から採用が増えている。MCM（Mobile Content Management）は業務データへのアクセスを制御する。

VPN/コンテナ化：業務データと個人データを分離する「コンテナ化（Samsung Knox・BlackBerry Dynamics等）」技術により、業務領域と個人領域を仮想的に隔離する。業務コンテナへのアクセスにはPINや生体認証が必要で、端末紛失時は業務コンテナのみリモートワイプできる。

就業規則・情報セキュリティポリシーの整備：BYODポリシーでは「業務に利用可能なOSバージョン・セキュリティパッチの条件」「会社の設定プロファイルの導入義務」「業務データの持ち出し禁止規定」「端末紛失時の報告義務」などを明確化する。

試験での位置づけ

ITパスポートのストラテジ系・情報セキュリティ管理分野で出題。「Bring Your Own Device」の頭文字の意味から定義を導くことで正答できるが、「会社が許可した」という組織の承認要件を見落として選択肢aやdを選ぶミスが多い。4選択肢を「端末の所有者×利用目的」の2×2マトリクスで整理して選ぶ解法が確実。

上位資格では、COPE/CYOD（Choose Your Own Device）/BYOD各モデルの比較、MDM・MAM・MCM・EMM（Enterprise Mobility Management）の機能差、BYODのセキュリティリスクとその対策（コンテナ化・VPN・証明書認証）、プライバシー保護との両立（GDPR・個人情報保護法との関係）まで踏み込んだ問題が出る。

選択肢の発展補足

選択肢a（会社支給端末を業務中に私的使用）：COPE端末の目的外利用であり、多くの企業の情報セキュリティポリシーで禁止されている。SNSへの個人投稿・ゲーム・私的メールの閲覧等が該当。セキュリティリスクとしては、私的サイトへのアクセスによるマルウェア感染、機密情報と個人情報の混在による情報漏えいリスクがある。BYODとは方向性が逆で、「会社所有→私的利用」は管理の逸脱、「私物→業務利用」がBYODという対比で覚える。

選択肢b（会社支給端末を業務使用）：最も標準的な「COPE（Corporate-Owned, Personally Enabled）」または「COBO（Corporate-Owned, Business Only）」モデル。管理者が端末を完全に制御できる一方、端末調達・維持コストが組織負担となる。MDMによる一元管理が容易で、セキュリティポリシーの強制適用がしやすい。BYODコスト削減効果（端末費用の個人負担化）の対比として理解する。

選択肢d（私物端末を業務中に私的使用）：BYODとは無関係の純粋な私的利用。従業員が勤務時間中に私物スマートフォンで個人的なSNS・動画視聴等を行う行為は、職務専念義務違反として就業規則上の問題となりうる。これをBYODと混同する誤りは「Bring Your Own Device＝私物デバイスを持ってくる」という語義の表面的な理解から生じる。BYODの本質は「業務利用のための管理下での私物端末活用」にある。