業務用テクノロジーの利用規約

利用規約（AUP）の概要

大小問わず会社を経営（あるいは会社に勤務）したことがある方なら、利用規約（AUP：Acceptable Use Policy）をご存知でしょう。 利用規約の作成を任されるか、もしくは（ほとんどの方は）利用規約を読み、雇用主から期待される行動を理解した証拠として署名するよう求められたと思います。

利用規約を見かける場面は、仕事に限りません。 ソフトウェアライセンス契約から各種ウェブサイトの情報アクセス規定に至るまで、今日では利用規約はありふれたものであり、多くの組織で実施されています（中には、要点をごまかすように「細かな文字」で書かれているため、見落とされるものもありますが）。

とはいえ、ユーザが注意深く見ようが見まいが、利用規約が製品/サービスの提供者とユーザ間で結ばれる拘束力のある契約であることに変わりはありません。

さて、利用規約（AUP）が重要である理由やその内容について細々と説明する前に、まずは利用規約（AUP）とは何かをざっと定義してみましょう。

現状では（少なくとも辞書には）利用規約の明確な定義は存在しないため、英語の「Acceptable Use Policy」を「Acceptable Use」と「Policy」に分解して考えます。

前者の「Acceptable Use」の意味は簡単で、「好ましい、申し分のない、望ましい、または許される利用法」といったところです。

後者の「Policy」は、「現在および将来の判断の指針として、所定の条件を考慮し複数の案の中から選ばれた明確な手順または手法」という意味です。

この2つを組み合わせると、利用規約（Acceptable Use Policy）の基本的な意味は、「製品またはサービスについて許容される利用法を制限するとともに、同製品/サービスの適切な利用方針を定める一連のルール」であるとわかります。

利用規約の内容

ほとんどの利用規約では、製品の利用法を制限する具体的な行動や措置を表す用語が使われます。

利用規約は職場でのテクノロジーの利用にかかわるものであり、企業、教育機関、サービスプロバイダ（ISPなど）、クラウドベースアプリケーション、ウェブサイトなどで用いられています。ほとんどの場合、その目的は以下のとおりです。

• 訴訟で生じる責任を軽減する
• サービス品質（QoS）を確保する
• 利用法の期待水準を設定する
• 規制を遵守する
• ビジネス慣行および事業継続性を強化する

利用規約の例：データとストリーミング

ある企業では最近リモートワークに移行し、ビジネスの継続性を確保するために各従業員に生産性を管理してもらうことにしました。そのために、従業員にデバイスの私的利用を許可するCOPE(Croporate Owned, Personally Enabled)オーナーシップモデルを導入し、組織所有のMacBook ProとApple iPhoneを支給しました。

企業で通信プランを導入する際によく想定されることとして、全従業員でキャリアのデータ通信量を共有することが挙げられます。 そのため、ストリーミング動画を長時間視聴して1か月のデータ容量の半分を消費するような従業員が出てしまうと、次の2つの問題につながりかねません。

1. この従業員は就業時間内にほとんど仕事をせずストリーミング動画を見るため、担当業務を完了できない
2. 帯域幅の使いすぎでデータ通信量が想定より早く枯渇した結果、ほかの従業員が仕事をしようとしても帯域幅をほとんど、あるいはまったく利用できなくなる

この例では、以下の内容を盛り込んだ利用規約に全従業員の署名を義務付け、ルールの確認と同意を得ることで、上記のような行動を抑制できます。

1. 就業時間中におけるストリーミングプラットフォームへのアクセスの制限
2. データ利用の仕組みの説明、および従業員ごとの想定通信量上限の設定

利用規約に記載すべきこと

利用規約には「すべて」を記載すべきです。 ただし、文字通りの「すべて」ではなく、従業員向けの規定として効果を発揮させるために必要な「すべて」です。利用規約に「これさえ書いておけば良い」という答えはありません。 参考となる利用規約テンプレートは存在しますが、要件は企業ごとに異なるため、利用規約も自然と企業によって違うものになります。

とはいえ、簡潔で効果的な利用規約を策定するための指針として、以下のようなポイントが挙げられます。

• 例や代替案を示す
• 意図的な違反と不注意による違反の両方を考慮する
• 利用規約の遵守状況を監視する方法と遵守を徹底させる方法を記載する
• 違反への対応法と違反によって生じる結果を詳しく説明する
• すべてのユーザを対象とする（例外を設けない）
• ソーシャルメディアの利用法と禁止事項を示す
• 自社に合わせた内容にする
• 明白な言葉を使う（解釈の余地を残さない）

デスクトップコンピュータとモバイルデバイスでの利用規約の内容の違い

一般的には、デスクトップコンピュータとモバイルデバイスで利用規約の内容に違いは「ありません」。ほとんどの利用規約では、社内データの保護に関する範囲または許容事項について、ユーザによるデータおよびシステムの取り扱いに対する企業の想定基準を明確に定めています。 これは、ユーザが個人所有のデバイスを業務に利用する場合にも適用されます。個人所有デバイスでの社内データの利用が認められている場合でも、従業員には利用規約に定められた（自分の所有ではない）社内データを保護するための規則を遵守することが求められます。

モバイルデバイスは本質的に「個人用」として設計されているため、必然的に、デスクトップとは別のユーザのプライバシーに関する懸念事項がしばしば発生します。また、企業公認のモバイルデバイスであっても、社外の無線ネットワークへの接続や私的な電話など、個人的な用途にユーザがデバイスを利用する場合にはプライバシーがかかわってきます。

セキュリティ維持のためにプライバシーを犠牲にする事態（またはその逆）を避けるには、運用するデバイス内のボリュームを分けることで、組織とユーザの双方が安心を得られるでしょう。 つまり、1つのボリュームは社内データ専用とし、もう1つは個人データ専用として、異なるタイプのデータが混ざらないようにするのです。この手法はモバイルデバイス用の利用規約を設定する際の追加措置として効果的であり、ハードウェアの所有者が誰であるかにかかわらず、プライバシーを犠牲にすることなく社内データの管理とセキュリティを維持できます。

利用規約の策定で考慮すべき他のポイント

会社貸与（CYOD/COPE）

組織で業務用のハードウェアを従業員に支給していますか？支給ハードウェアの私的利用を許可していますか？許可の範囲はどの程度ですか？

BYOD

従業員の個人所有デバイスを社内MDMに必ず登録するよう義務付けていますか？ 個人所有デバイスに対して管理者が行える操作はどのようなものですか？

プライバシー

エンドユーザのプライバシーの取り扱いはどのようなものですか？組織からアクセス可能なデータはどのようなものですか？データの保存場所と保存期間はどのようになっていますか？

作業環境

フルリモートワークまたはハイブリッドワークをすでに導入済みの場合、またはこれからの導入を検討している場合は、ユーザの作業場所や国ごとの利用規約の適用内容を記載してください。 その際には、地域によって法規制の厳格さに差があり、利用規約の正確性や効果に直接的な影響が生じることを考慮することが重要です。

国別の考慮事項

たとえば、ヨーロッパ内にあるデータを使用する場合、GDPR（一般データ保護規則）の対象となる可能性があります。この場合、貴社の本社がどの国にあっても、従業員がGDPR認定を受けていないソフトウェアを使用していると法令違反になりかねません。

コンプライアンス

組織および従業員には地域や国、都道府県、市区町村の固有の法律や、 地域、国、業界固有の規制の対象が適用される場合があります。 コンプライアンス違反には費用がかかり、民事罰や刑事罰を受けて多大な損失につながる可能性もあるので、違反回避のために各法規制の詳細を把握することが重要です。

利用規約が従業員にとって重要である理由

上述のとおり、利用規約を作成するのは製品やサービスを扱う組織であり、 その主目的は利益を守ることです。しかし、利用規約を適切に作成すれば、製品またはサービスの使用に関する期待事項を簡潔かつ明確な言葉で説明するだけでなく、ユーザ（この場合は従業員）に一定の保護も提供できます。

利用規約は、堅固な情報セキュリティフレームワークを実現するうえで欠かせない要素です。利用規約を自動で表示し、ユーザのできること・できないことおよびすべきこと・すべきでないことを伝えるようにすれば、ユーザが自身（および会社）に悪影響をもたらしかねない行動を取らないよう促すことができます。また、ユーザに利用規約への同意を義務付けることで、不正とみなされる事態、および行政処分や法的措置の対象となる事態の回避を支援できます。

組織で利用規約を適用する方法

これまでのシナリオを振り返ると、従業員は適切な利用法を定めた書類に署名し、明確でわかりやすいガイドラインが提供されました。しかし、この利用規約だけで、従業員が就業時間中にストリーミング動画を閲覧したり、共有データを使いすぎたりする事態を本当に防止できるのでしょうか。

一言で言えば、答えは「いいえ」です。しかし、たいていのIT系の問題では、いろいろな方法で管理手段を組み合わせて管理ポリシーを施行できるものです。利用規約も同様です。ただし、利用規約では、エンドユーザに期待される行動、すべきこと、すべきでないことを示したガイドラインを提供するのみです。

Jamf Protectのようなコンテンツフィルタリング機能とデータ通信量制限機能を備えたソフトウェアと利用規約を組み合わせれば、IT管理者は利用規約の施行に合わせて、アクセス可能なWebサイトを制限するセキュリティ措置を実装できます。また、意図的かどうかを問わず従業員が指定のデータ通信量上限に達した場合、管理者にはその旨がアラートで通知されます。そして、インターネット上のリソースへのアクセスを自動で制限したり、通信速度を大幅に下げるなどして対応できます。

利用規約をソフトウェアで実施するメリット

• 通信量の使いすぎによる「高額請求」を防止
• ユーザに対してデータ通信量上限を設定して使いすぎを防止
• 使用状況を詳細に記録
• 違法/コンプライアンス違反のWebサイトへのアクセスを制限
• 従業員の生産性を確保
• ユーザおよび管理者にリアルタイムアラートで通知
• IT担当者が必要に応じて構成を変更可能

結局のところ、利用規約に記載すべき内容と、Jamf Proのポリシー機能でコンプライアンスをどう管理するかは、組織ごとのニーズ、提供する製品やサービス、従業員に求められる振る舞いによって異なります。加えて、事業所の所在地やエンドユーザ、顧客、クライアントの活動場所も考慮に入れる必要があります。時間をかけて、製品およびサービスの利用で重要なものや組織固有の事項を確認するようにしてください。