>
>
公開日
情報システム部門にとって、従業員によるPCやスマートフォンの紛失は、いつ発生してもおかしくない重大なリスクです。本記事では、万が一の事態に備えたデバイス紛失対策フローの構築方法から、情報漏洩を最小限に抑える技術的手段、そして事故を未然に防ぐ組織づくりまで、実務に直結する知識を包括的に解説します。
【監修者情報】本記事は、企業向けセキュリティコンサルティングおよびMDM導入支援の実務経験を持つ情報セキュリティ専門家の監修のもと作成しています。情報処理安全確保支援士(登録セキスペ)資格保持者が内容の正確性を確認しています。
デバイス紛失対策フローとは
この記事でわかること
企業インシデントの40.7%を占めるデバイス紛失・盗難リスクの実態がわかる
個人情報保護法に基づく報告義務と2026年法改正への対応方法を学べる
MDM・eSIM・OS標準機能を組み合わせた多層防御の具体的な構築手順がわかる
JIPDEC(日本情報経済社会推進協会)の「企業IT利活用動向調査2024」によると、過去1年間に企業が直面したセキュリティインシデントで最も多かったのが「データや情報機器(スマホ、タブレット、PC、USBなど)の紛失・盗難」で40.7%に上り、マルウェア感染(34.7%)を上回る最大の脅威となっています(出典:JIPDEC「企業IT利活用動向調査」。※最新データはJIPDEC公式サイトにて随時更新されています)。さらに、Verizonの「2024 Data Breach Investigations Report」では、データ侵害の68%に「人的要因(紛失、設定ミス、誤送信など)」が関与していると報告されています(出典:Verizon DBIR公式サイト。※最新年度版はVerizon公式サイトより入手可能です)。あらかじめ明確な紛失対策フローを定めておくことで、現場のパニックを防ぎ、個人情報保護法などの法令に基づいた適切な事後対応が可能になります。なお、アクティブディレクトリ(Active Directory)などによるID管理と紐づけた迅速なアカウント停止については、後述の緊急対応フローの中で詳しく解説します。
紛失対応の「初動」が命運を分ける理由
デバイス紛失における最優先事項は、物理的な端末回収ではなく「確実な初期化・ロックによるログ保全」です。
IBMの「Cost of a Data Breach Report」等によると、データ侵害を封じ込める平均日数は277日ですが、認証情報の紛失・盗難を伴う場合は「328日」と、対応にさらに長い時間を要する傾向にあります(出典:IBM「Cost of a Data Breach Report」公式サイト。※数値は報告年度により異なるため、最新レポートをご確認ください)。この統計が示すように、初動の遅れが被害期間を大幅に長期化させます。
見落とせないのが、個人情報保護法における報告義務への影響です。個人情報保護法により義務化された「漏えい等報告(速報:概ね3〜5日以内、確報:原則30日以内/不正アクセス等の場合は60日以内)」は、2026年の法改正(課徴金制度の導入や罰則強化)に向けて監視の目がさらに厳しくなっています(出典:個人情報保護委員会公式サイト)。スマホ紛失時、「本当にデータが漏えいしたか」を確認できない(暗号化の有無が不明、ワイプ完了のログが取れない)場合、漏えいの「おそれあり」と判断され、報告・本人通知義務が強制的に発生します。そのため、初動でMDMからリモートワイプの「完了ログ」を確実に取得・保全することが、法務リスクを回避する上で必須の手順となります。
▲ 個人情報保護法に基づく紛失時の漏えい報告義務の判断フロー
紛失・盗難における対策の3つの柱
デバイス紛失対策は「事前・事後・組織的」の3つのアプローチを組み合わせ、最新OSが備えるセキュリティ機能を多層的に配置することが求められます。
最新のOS(iOS 17.3以降、Android 15以降)には、人間のミスや予期せぬ盗難被害をAI・機械学習でカバーする高度な自律防御機能が標準搭載されています。これらを組織の標準ポリシーとして設定しておく必要があります。
1. 事前対策(プロアクティブ):最新OSセキュリティの強制適用
ディスク暗号化やMicrosoft Entra IDなどを用いた多要素認証(MFA)の導入はもちろん、以下の最新OS機能をポリシーで有効化します(出典:Apple公式サポート・Google公式サポート)。
iOS 17.3以降「盗難デバイスの保護」:万が一端末のパスコードが盗み見されても、Apple Accountのパスワード変更や「探す」機能の無効化を、生体認証(Face ID/Touch ID)の必須化と「1時間のセキュリティ遅延(待機時間)」の2重ロックで防御します。
Android 15以降「盗難検出ロック」:AIと加速度センサーが「ひったくり(急激な移動)」を検知すると、自動的に画面を即時ロックします。また、通信遮断時に作動する「オフラインデバイスロック」なども併用し、端末がオフラインになってもデータへのアクセスを自動遮断します。
2. 事後対策(リアクティブ):迅速なデータ保護体制
紛失発生時、即座にリモートロック・ワイプを実行し、携帯回線の停止、警察への遺失届出、さらにログデータを収集して証拠を固める仕組みを整備します。具体的な対応手順は「緊急対応フロー」セクションで詳しく解説します。
3. 組織的対策(ガバナンス):ルールと運用の整備
セキュリティポリシーの策定に加え、従業員への定期的な教育、報告しやすい窓口整備、そして「紛失を責めない心理的安全性」を確保した運用規定を整備します。詳細は「人的ミスを防ぐ予防策」セクションで解説します。
デバイス紛失が発生した際の緊急対応フローはどう進めるべきか?
デバイス紛失時の緊急対応は、夜間・休日などの「セキュリティの空白時間」を発生させない仕組みの構築が成功の鍵を握ります。
情シス担当者が不在の休日や深夜に紛失が発生した場合、対応が翌営業日に持ち越されることで被害が拡大します。これを防ぐためには、24時間365日の緊急代行窓口を整備するか、運用をアウトソーシングする対策が有効です。
ステップ1:従業員からの紛失報告と状況の迅速な把握
従業員が紛失に気づいた際、速やかに報告できるフォーマット(いつ・どこで・どの端末・何を紛失したか)を社内ポータル等に用意します。特に個人データや取引先機密の有無を即座に申告させ、公表判断の材料とします。
ステップ2:MDMによるリモートロック・ワイプの即時実行
情報漏洩を防ぐため、MDMの管理画面からリモートロックを即時実行します。機密情報が含まれると判断したら迷わずワイプに移行し、工場出荷状態への初期化を実施して完了ログを保存します。
ステップ3:通信キャリアへの回線停止依頼
各通信キャリアの法人窓口へ連絡し、SIMカードによるデータ通信や音声通話を停止します。物理SIMの場合、抜き取られたSIMカードが他の端末に挿し替えられて不正利用されることを防ぎます(eSIM契約済みの端末では物理的な抜き取りリスクは発生しません)。
ステップ4:警察への遺失届と受理番号の取得
最寄りの警察署や交番へ「遺失届」を提出させ、必ず「受理番号」を取得・記録します。これは会社として適切な管理努力(善管注意義務)を怠っていなかったことを証明する客観的証拠となり、万が一の損害賠償や保険請求でも必要となります。受理番号は会社側でも必ず記録・保管しておくこと。
ステップ5:個人情報保護委員会等への報告
流出した可能性のあるデータに個人情報が含まれる場合、個人情報保護法に基づき、速やかに(発生から3〜5日以内)個人情報保護委員会への「速報」と、本人への通知を実施します。さらに詳細な状況を特定後、30日(不正アクセス等の場合は60日)以内に「確報」を提出します。
【参考事例】24時間対応アウトソーシングの活用
夜間・休日の紛失対応という情シス最大の弱点を、外部サービスの活用で克服した事例を紹介します。
企業名:株式会社オータム(人材派遣・アウトソーシング事業)
課題:派遣先やリモートワーク環境におけるモバイルデバイスの紛失・情報漏洩リスクに大きな課題感を持っていたが、夜間や休日に情シス担当者が対応できない「空白の時間」が生じる懸念があった。
施策:24時間365日の「緊急時操作代行サポート」が標準提供されているMDM製品「SPPM3.0」を導入(出典:SPPM3.0公式サイト掲載の導入事例)。
成果:夜間や休日、年末年始であっても、紛失発生時に専門のコールセンターが従業員からの連絡を直接受け付け、即座に遠隔ロックや回線停止、ワイプを実行。情シスに負担をかけることなく、24時間体制のセキュリティを低コストで構築することに成功した。
紛失対策を強化するために導入すべき技術的手段とは?
最新のデバイス紛失対策では、窃盗犯による通信遮断を想定した高度な技術対策が求められます。
「MDMを導入しているから絶対に安心」という考えは禁物です。攻撃者の手口を想定し、通信が切断されても自律的にデータを守る技術的アプローチを多重に重ねることが必要です。
eSIM移行による物理SIM抜き取り対策
スマホを盗んだ窃盗犯が最初に行うのは「物理SIMカードの抜き取り」です。SIMを抜かれると端末は圏外となり、MDMからのリモートワイプや位置情報のGPS追跡といった通信指示が一切届かなくなります。対策として、通信契約を「eSIM」に限定して強制適用します。eSIMは物理的に抜き取ることができないため、通信回線が維持され、遠隔からのワイプや位置特定が成功する確率が格段に向上します(eSIMの仕様詳細はGSMA公式サイト(eSIM仕様)を参照)。
BYOD端末における「エンタープライズワイプ」の適用
従業員の個人端末を業務利用させるBYOD(Bring Your Own Device)の場合、端末紛失時に「フルワイプ(工場出荷状態への初期化)」を実行すると、社員個人の写真や連絡先まで消去されてしまい、重大なプライバシー侵害や法的トラブルに発展します。解決策として、Androidの「仕事用プロファイル」やiOSの「ユーザー登録(MAM)」を活用します。これにより、端末内の「業務データ・業務アプリ領域のみ」を選択して消去する「エンタープライズワイプ」が可能になり、プライバシー保護と企業のセキュリティ確保を両立できます(出典:Google「Android仕事用プロファイル」・Apple「ユーザー登録(MAM)」)。
国内トップクラスのMDM選定と独自機能の活用
MDM製品の選定にあたっては、基本的なリモートロック・ワイプだけでなく、第三者による操作試行を根本から遮断する独自機能の有無を比較する必要があります。例えば、国内実績豊富なアイキューブドシステムズの「CLOMO MDM」や「CLOMO アドバンスドワイプ secured by TRUST DELETE」では、紛失時に遠隔からキーボードやマウスなどの入力デバイス自体の動作をロックする「HIDロック」や「アドバンスドワイプ」が搭載されており、ログイン画面への強制アタックを物理的に封じ込めることができます(出典:アイキューブドシステムズ公式サイト)。
主要なMDMツールの特徴と、導入すべき企業規模・アプローチを以下の表に整理しました。
製品名 | 主な強み・独自機能 | 想定対象規模 | 主な対応OS |
|---|---|---|---|
CLOMO MDM | 国内シェア最大級。HIDロック、アドバンスドワイプ機能による入力デバイス制限。 | 300名以上(大企業・地方自治体・医療機関) | iOS, Android, Windows, macOS |
SPPM3.0 | 24時間365日の緊急時操作代行サポートが標準。深夜・休日の情シス運用代行。 | 50〜300名(中堅企業・情シスリソースが少ない組織) | iOS, Android, Windows |
Microsoft 365(M365)ライセンスとの統合管理。高度な条件付きアクセス。 | 既にMicrosoft 365を利用している企業(規模問わず) | Windows, iOS, Android, macOS |
▲ 物理SIMとeSIMにおける盗難時のセキュリティ対策効果の比較
よくある誤解・失敗パターンと対策
多くの企業が「高機能なMDMツールを導入した」という事実に満足し、実際の運用フェーズで致命的な落とし穴に陥っています。
ツールが機能するためには、前提となる通信環境や人間のセキュリティ心理を理解し、あらかじめ設定を最適化しておく必要があります。以下に、よくある誤解と実効性のある対策を解説します。
誤解①:「MDMを入れているから、いつでもどこでもリモートワイプできる」
【現実】:ビル地下、トンネルなどの圏外、電源オフ、あるいは物理SIMカードを抜き取られた状態では、MDMの制御信号が端末に届かず、ワイプ指示は「保留(ペンディング)」状態のままになります。この隙にパスコードを突破されれば、データはすべて抜き取られてしまいます。
【対策】:前述のeSIM移行を徹底するほか、Android 15の「オフラインデバイスロック」のように、一定時間通信が遮断された際に端末自体が自動で自律ロック・データ保護を行うOS標準のローカルセキュリティ機能を併用します。
誤解②:「複雑なパスコードを設定しているから中身は見られない」
【現実】:電車内やカフェなど、背後からパスコードの入力を盗み見される「ショルダーハック」により、あっさりとロックを解除されるケースが多発しています。
【対策】:パスコード入力を不要にするため生体認証(Face IDやTouch ID、指紋認証)を社内ポリシーで必須化します。さらに、信頼できない場所での認証においてパスコードによる代替入力を許可しない「盗難デバイスの保護(iOS)」(Apple公式:盗難デバイスの保護)や「アイデンティティチェック(Android)」(Google公式:アイデンティティチェック)を強制有効化します。
失敗パターン③:「紛失した本人からの連絡が遅れて被害が拡大する」
【現実】:紛失した従業員が「怒られたくない」「探せば見つかるはず」と、半日から丸一日、自分で遺失場所を探し回った末に、手遅れになってから報告するパターンです。この空白の時間に、端末内の認証情報を使って社内システムに不正アクセスされる二次被害が発生します。
【対策】:後述の「心理的安全性」を確保したポリシー設計を行い、従業員がペナルティを恐れず、即時報告できる組織づくりを徹底します。
人的ミスを防ぐ!組織的な予防策と教育のポイントは?
情シスが整備できるのは仕組みまで。実際に報告するかどうかは従業員の判断に委ねられる。だからこそ、従業員のセキュリティリテラシーと報告文化の醸成が重要です。
情シス部門が目指すべきは、厳罰をちらつかせて従業員を萎縮させることではなく、「トラブルを即座に共有し、全社で早期解決できる文化」を組織内に根付かせることです。
紛失時の「15分ルール」と緊急連絡先カードの配布
「自己解決のための時間」に上限を設ける社内ルールを制定します。「紛失に気づいて15分経っても見つからなければ即報告する」という明確な基準を設けます(報告先や手順の詳細は社内ポリシー文書に委ねます)。この際、連絡先を記載した「緊急連絡先カード(紙製、または財布に入るサイズ)」を全社給端末の裏や社員証ホルダーに同封し、デバイス自体を紛失してもすぐに連絡先が分かるように工夫します。
心理的安全性の担保:報告した社員をペナルティの対象にしない
デバイスを紛失したこと自体に対して、過度な懲戒や始末書の強要、査定の減点といった「ペナルティ」を科すルールは百害あって一利なしです。罰を恐れるあまり「隠蔽」や「報告遅れ」が生じ、会社全体が数億円規模の漏えい被害を被ることになります。「紛失そのものはペナルティの対象外。ただし、15分ルールを破って意図的に報告を遅らせた場合は処罰対象とする」という、一歩進んだ規定設計を行うことで、心理的安全性を担保し早期報告率を100%に近づけます。
継続的な改善が事故を最小限に抑える
デバイス紛失対策フローやポリシーは、一度作成したら終わりではありません。OSのアップデート、テレワーク制度の拡充、採用拡大による従業員数の増加などに伴い、定期的な点検と改善が求められます。
マニュアルを形骸化させない最も有効な手段は、年1〜2回の頻度で実施する「デバイス紛失シミュレーション(避難訓練)」です。情シス部門だけでなく、一般従業員や役員、経営陣も巻き込んで実施します。
【実践ステップ】デバイス紛失シミュレーションの手順
ステップ①(抜き打ち訓練):特定の従業員に対して、事前に上長合意の上で「端末が手元にない状態」を模擬的に作り出し、従業員が15分以内に緊急連絡先へ報告できるかを検証。
ステップ②(情シスの初動検証):報告を受領した情シス担当者が、MDMのデモ環境やテスト端末を用いて、実際に1分以内にリモートロックやeSIM情報・位置情報の特定を実行できるかを検証。
ステップ③(振り返りとフロー改善):連絡窓口の繋がりにくさ、MDMコマンドの遅延、報告フォーマットの不備などを抽出し、翌月までにマニュアルをブラッシュアップします。
技術と文化の両輪を整備しておけば、紛失が起きても致命的な漏えいには発展しない。それがインシデント対応の本質です。
▲ 形骸化を防ぐデバイス紛失シミュレーションの3つの手順
よくある質問
Q:eSIMと物理SIMで、スマホ盗難時の対策にどのような差が出ますか?
A:物理SIMの場合、窃盗犯にSIMを抜かれると通信が完全に遮断され、MDMからのリモートロックやワイプ、GPS位置追跡が不可能になります。一方、eSIMは物理的に取り外せないため通信状態が維持されやすく、遠隔からのデータ消去や位置特定の成功率が飛躍的に高まります。
Q:BYOD(個人端末)を紛失してリモートワイプをかける際、プライベートの写真は消えてしまいますか?
A:MDMに搭載されている「エンタープライズワイプ(部分消去)」機能を使用すれば、業務データや社内アプリの領域のみを選択的に消去できます。プライベートの写真、動画、連絡先などの個人データは一切削除されず安全に保護されるため、社員のプライバシーを侵害することなく対策が可能です。
Q:リモートワイプを実行した後に端末が見つかった場合、データは元に戻せますか?
A:リモートワイプが完全に実行された場合、端末のデータは工場出荷状態に初期化されるため、端末単体からデータを復元することはできません。復旧するためには、事前にバックアップを取っていたクラウドストレージ(iCloud、Googleドライブなど)やPCからデータを同期して復元する必要があります。
Q:個人情報保護委員会への報告が不要になるケースはありますか?
A:紛失したデバイスが適切に暗号化されており、かつリモートワイプの完了ログによって「データが漏えいしていないこと」を証明できる場合は、漏えいの「おそれなし」と判断され、報告義務が生じない可能性があります。ただし、判断は個別の状況によるため、法務部門や専門家への確認を推奨します。
Q:警察への遺失届は従業員本人が行うべきですか、会社が行うべきですか?
A:原則として、紛失した本人(従業員)が最寄りの警察署または交番に遺失届を提出します。会社として管理責任を明示するために、受理番号は会社側でも必ず記録・保管しておくこと。なお、盗難が明らかな場合は「盗難届」として届け出ることで、保険請求や損害賠償対応に役立ちます。
まとめ
会社携帯の紛失やスマホの盗難は、初期対応の数分・数時間で事業継続と法的責任に直結する重大なインシデントです。2026年の法改正動向やOSの進化(iOS 17.3+ / Android 15+)を見据え、技術的な多層防御(MDM、eSIM、部分ワイプ)を優先的に構築しましょう。明日から取り組める第一歩として、まずは「夜間・休日の緊急連絡先が機能しているか」の確認と、「15分以内に報告すれば一切ペナルティを科さない」という心理的安全性を担保した運用ルールの周知から始めてみてください。
【今日から確認できるアクションチェックリスト】
✅ MDMのリモートワイプ「完了ログ」の取得設定を確認した
✅ 夜間・休日の緊急連絡窓口が実際に機能するか確認した
✅ 「15分ルール」と即報告ペナルティなし方針を社内に周知した
✅ 社給端末のeSIM移行状況を確認した
✅ BYOD端末にエンタープライズワイプ(部分消去)が設定されているか確認した
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
