図3　サイバーセキュリティとプライバシーリスクの関係（クリックで拡大）出典：National Institute of Standards and Technology (NIST)「SP 1800-22 Mobile Device Security:Bring Your Own Device (BYOD) Draft」（2021年3月18日）

　サイバーセキュリティリスクが、機密性（Confidentiality）、完全性（Integrity）または可用性（Availability）の損失に起因したサイバーセキュリティインシデントに関連するのに対して、プライバシーリスクは、データ処理に起因するプライバシーインシデントに関連するものであり、両者が重なる部分に、サイバーセキュリティ関連のプライバシーイベントがあるとしている。

　上記の関係をBYODに当てはめると、BYOD環境を通して、権限のない機器による組織のネットワークへの接続が可能になることがあるが、そのセキュリティリスクが、プライバシーに影響を及ぼすとは限らない。他方、雇用主（例：医療機関）が、従業員（例：医療従事者）の個人利用アプリケーション（例：個人の連絡先、カレンダー）へのアクセスを拡大しようとした場合、セキュリティおよびプライバシー双方のリスクが高まると考えられる。また、雇用主が、従業員の訪問先などの位置情報を追跡するためにBYOD機器を利用する場合、セキュリティに直接起因するリスクではないが、プライバシーリスクとなる可能性がある。

　このようなことから、BYOD環境を利用する場合、セキュリティ管理策とプライバシー管理策を連携させて、漏れがないように心掛ける必要がある。特に、米国の医療では、本連載第64回で取り上げたHIPAA（Health Insurance Portability and Accountability Act of 1996：医療保険の携行性と責任に関する法律）に基づくプライバシー規則（関連情報）およびセキュリティ規則（関連情報）双方の順守が必須である。BYOD環境下に、医療データ保護支援機能などを組み込めれば、テレワークを行う医療従事者の負荷も軽減されることになる。

　次に、NCCoEの草案では、BYODアーキテクチャについて、以下のような点を整理している。

BYODアーキテクチャに対する脅威
BYODアーキテクチャに対する脅威を低減するソリューション事例の目標
組織が事例シナリオを活用できる方法
ソリューション事例目標の支援技術
ソリューション事例のアーキテクチャ
ソリューション事例の製品を統合する方法
モバイルデバイスデータの収集

　これらのうち、BYODアーキテクチャに対する脅威および軽減策に関連して、図4に示すような形で、セキュリティとプライバシーの目標を達成するためのアーキテクチャを例示している。

図4　セキュリティとプライバシーを目標達成するためのアーキテクチャ（クリックで拡大）出典：National Institute of Standards and Technology (NIST)「SP 1800-22 Mobile Device Security:Bring Your Own Device (BYOD) Draft」（2021年3月18日）

　このアーキテクチャ上では、以下のようなセキュリティおよびプライバシーに関する留意事項が示されている。