外部エンジニアのMDM・BYOD・会社支給PCの選び方｜業務委託で偽装請負にしない端末管理ポリシー

外部のフリーランス・業務委託エンジニアに「自分のMacで作業します」と言われたとき、すぐに「はい、どうぞ」と答えられるでしょうか。逆に「会社支給PCをお願いします」と聞かれたとき、即決できるでしょうか。多くの発注担当者がこの一問に詰まります。

詰まる理由は単純です。BYOD（個人端末を業務に使うこと）を許可すれば端末調達コストはゼロですが、情報が漏洩したときに発注者の責任が問われそうで怖い。逆に会社支給PCを送れば管理はできますが、端末調達・キッティング・回収の手間と、「業務委託相手に端末を貸与すると偽装請負と見なされないか」という労務リスクの両方が頭をよぎります。コスト・安全性・労務リスクが三角形を作り、どこを動かしても別の不安が増す状態です。

正社員向けのBYODルールはすでに社内にあるかもしれません。しかしそれを外部エンジニアにそのまま当てるのは無理があります。雇用契約と業務委託契約では、発注者が指示できる範囲がそもそも異なるためです。「外部の人だから安全側に倒して全部禁止」も「相手の善意に任せて何もしない」も、どちらも極端で運用が回りません。

本記事では、発注者が外部エンジニアの作業端末をどう選び、どこまで管理するかを意思決定するためのフレームを提示します。具体的には、BYOD・会社支給PC・VDI（仮想デスクトップ）の3つの選択肢を、コスト・運用負担・安全性・偽装請負リスクの4軸で整理し、自社の契約形態と扱う情報の機密度に応じて選択肢を絞る判断フローを示します。読み終えたあと、上長や経営層に「この基準でこう判断しました」と説明できる状態を目指します。

なお、本記事は「端末（PC・スマホ）」というレイヤーに絞った内容です。同じ外部エンジニアへの発注セキュリティでも、認証情報の受け渡しやアクセス権限の設計は別レイヤーの論点になります。それらは関連記事として末尾でご案内します。

外部エンジニアの「自分のPCで作業します」に発注者が答えられない理由

「自分のPCで作業します」という申し出は、フリーランスエンジニアからすればごく自然です。普段使い慣れた開発環境をそのまま持ち込めますし、契約終了後も自分の道具として使い続けられます。一方、発注者からするとこの瞬間にいくつもの判断が同時に求められます。許可してよいのか、ダメと言える根拠は何か、自社のセキュリティポリシーに照らして整合が取れているか、上長に説明できるか——。

なぜ即答できないのでしょうか。それは、外部エンジニアに対する端末の決め方が、社内に明文化されていないことが多いからです。正社員向けには情報セキュリティ規程があり、社給PCを使うのが原則と決まっているのが普通です。しかし外部人材は社員ではなく、契約形態も雇用ではありません。社員向けの規程を持ち出しても当てはまらない部分が多く、その場で判断するしかない状態に置かれてしまいます。

正社員のBYODルールはそのまま外部人材に使えない

正社員のBYODルールを外部エンジニアに流用できない理由は、契約の前提が違うところにあります。雇用契約では使用者（会社）が労働者に対して指揮命令する権利を持ちます。「業務時間中はこの端末で作業すること」「就業規則のセキュリティ条項に従うこと」を就業ルールとして命じることができます。

一方、業務委託契約（請負・準委任）は対等な事業者間の契約です。発注者が受託者に対して「作業手順」を細かく指示することはできません。指示できるのは原則として「成果物の要件」や「納品物の仕様」までであり、「いつ・どこで・どの端末で」を指示するのは指揮命令にあたる可能性があります。社員向けに作ったBYODポリシーをそのまま外部エンジニアに渡すと、形式的に守らせること自体が偽装請負の傍証になりかねません。

「自分のPCで作業します」と言われたときに発注者が考えるべき4つの軸

外部エンジニアの端末選択を考えるとき、漠然と「安全か危険か」で判断しようとすると、結論が出ません。実際には次の4つの軸が同時に絡んでいます。

• コスト: 端末調達費・MDM/VDIのライセンス費・運用人件費
• 運用負担: キッティング・パッチ管理・トラブル対応・回収を誰がやるか
• 安全性: 情報漏洩の発生確率と、漏洩したときに統制できる度合い
• 労務リスク: 端末や運用ルールの指定が「指揮命令」「偽装請負」と見なされないか

この4軸を1枚の表に並べて初めて、3つの選択肢を比較できる状態になります。次のセクションで、まず3つの選択肢そのものを整理します。

外部エンジニアに渡せる端末の選択肢は3つしかない

発注者が現実的に取れる選択肢は、突き詰めると次の3つだけです。

• 選択肢A: BYOD（個人端末で作業させる）
• 選択肢B: 会社支給PC（自社で調達した端末を物理的に渡す・MDMで管理する）
• 選択肢C: VDI / シンクライアント / クラウドPC（個人端末から仮想環境にアクセスさせる）

「BYODだけど一部ツールを入れさせる」「会社支給PCだけど管理は緩め」といった派生はありますが、本質的にはこの3つのどれかに分類されます。順番に仕組みと前提を見ていきます。

選択肢A: BYOD（個人端末で作業させる）

BYOD（Bring Your Own Device）は、外部エンジニア自身が所有するPCで業務を行う方式です。発注者は端末を用意しません。フリーランスエンジニアにとっては最も自然な選択肢で、契約締結から稼働開始までのリードタイムが短く、双方の事務負担も最小です。

ただし「無条件のBYOD」と「条件付きBYOD」では意味が大きく異なります。条件付きBYODでは、たとえば「OSバージョンは最新のメジャーバージョン-1以内」「ディスク全体の暗号化（FileVault・BitLocker）が有効」「OSログインパスワードが設定済み」「業務データのローカル保存禁止」といった最低要件を契約書または覚書で合意します。要件を満たさない場合は作業開始できない、という運用です。

条件付きBYODの限界は、要件を満たしているかを発注者が直接確認できない点にあります。受託者の自己申告に依存することになり、検証コストをどこに置くかが運用設計の鍵になります。

選択肢B: 会社支給PC（自社で調達した端末を物理的に渡す）

発注者が自社でPCを調達し、外部エンジニアに貸与する方式です。多くの場合、MDM（Mobile Device Management、モバイルデバイス管理ツール）を導入して、端末のセキュリティ設定や利用状況を遠隔から管理します。

MDMで実現できることは製品により幅がありますが、代表的には次のとおりです。

• ディスク暗号化・パスワードポリシーの強制
• OSアップデート・パッチ適用の遠隔指示
• 紛失・盗難時のリモートワイプ（端末データの遠隔消去）
• 業務に不要なアプリのインストール制限
• 端末の利用ログの取得

会社支給PC方式の強みは、発注者が統制レベルを直接コントロールできる点です。一方、端末調達費・MDMライセンス費・キッティング工数・契約終了時の回収という運用コストが発生します。後述するように、業務委託相手に端末を貸与する場合は「端末管理は情報セキュリティ目的であり、労務管理目的ではない」ことを契約書に明示しておくのが安全です。

選択肢C: VDI / シンクライアント / クラウドPC（仮想環境にアクセスさせる）

VDI（Virtual Desktop Infrastructure、仮想デスクトップ基盤）やクラウドPC（Microsoft の Windows 365 や Azure Virtual Desktop、Amazon WorkSpaces など）は、業務用のデスクトップ環境をサーバー側（クラウド）に置き、外部エンジニアは自分の端末からネットワーク越しに「画面だけ」を操作する方式です。

この方式の最大のメリットは、業務データが受託者のローカルPCに残らない点です。コードもファイルもクラウド上のVDI内にしか存在せず、画面に映る映像が転送されているだけ、というイメージです。受託者の個人端末がマルウェアに感染しても、業務環境とは隔離されています。契約終了時はVDIの仮想マシンを削除するだけで、業務データを発注者側で確実に消去できます。

デメリットは、ネットワーク遅延や仮想環境のスペック制約により、開発業務によっては動作が重くなる場合があることです。ローカルで重いビルドを回す、専用のハードウェアアクセラレーションが必要、といった用途では VDI が向かないこともあります。MicrosoftのWindows 365クラウドPCのプランと価格によれば、開発用途で現実的に検討できる構成（2vCPU/8GBメモリ/128GB等）でも月額数千円台から提供されており、初期費用ゼロで始められる点が中小企業にも導入しやすい背景です。

3つの選択肢をコスト・運用・安全性・労務の4軸で比較する

3つの選択肢を発注者の判断軸（コスト・運用負担・安全性・労務リスク）で並べると次のようになります。

比較表

※ 金額レンジは2026年6月時点の代表的な相場感です。実際の費用は製品・契約形態・台数により変動します。

コストの実感値

会社支給PC方式の初期コストは、開発用途のPC1台あたり10〜20万円が目安です。これに加えてMDMライセンス料が発生します。たとえばMicrosoftのMicrosoft Intuneのプランと価格では、Intune単体プランが月額数百〜千円台/ユーザーで提供されており、Microsoft 365 Business Premium に含めて契約する企業も多くあります。中小企業でも導入のハードルは下がっています。

VDI / クラウドPC方式は、初期端末費がかからない代わりに月額ライセンスが発生します。前述のとおり、Windows 365 などのクラウドPC は構成によって月額数千〜1万円台/ユーザーのレンジで提供されています。

BYOD方式は端末費・ライセンス費ともゼロですが、インシデント（情報漏洩・端末紛失）が発生した場合の損害額・対応コストが期待値に乗ります。漏洩が起きたときの調査費用・顧客への報告対応・信用毀損まで含めれば、長期では会社支給PCより高くつくケースもあります。

運用負担の実感値

運用負担の差は、稼働開始時と稼働終了時の業務量に最も表れます。

• BYOD: 稼働開始時は要件のチェックリスト確認のみ。稼働終了時は「業務データを削除してください」と依頼するだけ。発注者側の手間は小さい一方、削除の確実性は受託者の善意に依存する
• 会社支給PC: 稼働開始時に端末調達・キッティング（OS初期設定・必要ソフトのインストール・MDM登録）・配送が必要。稼働終了時は端末回収・データ消去・再キッティング。1人あたり半日〜1日相当の工数が発生する
• VDI / クラウドPC: 稼働開始時に仮想マシンを払い出してアカウントを発行。稼働終了時に仮想マシンを削除すれば終わり。物理端末の郵送・回収が不要なため、リモート前提で運用負担は中程度

長期・複数人で外部エンジニアを起用する場合、運用負担の差はそのまま固定コストの差になります。

業務委託で「端末を貸与・指定する」と偽装請負になるのか

発注者が外部エンジニアの端末に関与しようとするとき、必ずぶつかるのが「偽装請負と見なされないか」という不安です。本セクションでは、この論点に正面から答えます。

業務委託で許される指示の範囲

業務委託契約（請負・準委任）と労働者派遣契約の区分は、厚生労働省告示第37号（労働者派遣事業と請負により行われる事業との区分に関する基準、いわゆる「37号告示」）で定められています。同告示は、発注者が受託者の労働者に対して直接の指揮命令を行う場合、契約の名称が請負・委託であっても実態は労働者派遣（または偽装請負）にあたると判断する基準を示しています。

要点を実務レベルに翻訳すると、業務委託で発注者が指示してよい範囲はおおむね次のように整理できます。

• OK: 成果物の仕様・要件・品質基準を指定する／納期・納品物の形式を指定する／成果物が満たすべきセキュリティ要件（暗号化・保管場所・取り扱いルール）を指定する
• NG: 個別の作業手順・進め方を細かく指示する／始業終業時刻・勤務時間を指定する／作業場所を発注者の指揮下に置く／受託者の労働者を発注者の組織秩序に組み込む

つまり「成果物のセキュリティ要件として何をどう守るか」を契約上の要件として書くのは問題になりにくい一方、「毎朝9時に出社して」「このツールを開いて作業して」のように手段や時間を細かく指示するのは指揮命令と見なされる可能性があります。判定は実態で行われるため、契約書の文言だけでは免責されない点に注意が必要です。

端末貸与・MDM強制が「指揮命令」と見なされないための線引き

端末の貸与やMDM導入を業務委託で要求する場合、次の整理を踏まえることで「労務管理目的の指揮命令」とは異なることを明確にできます。

• 貸与の目的を「情報セキュリティ要件の充足」に位置づける: 端末を貸与する理由は、扱う情報の機密性を守るためであり、受託者の働き方を管理するためではないと明示する
• 管理項目は情報セキュリティ事項に限定する: ディスク暗号化・パスワード・OSアップデート・リモートワイプといった、漏洩防止に直接関係する項目に絞る。勤務時間の記録・操作ログによる労働時間把握など労務管理を連想させる機能は使用しない／使用しないと契約書に明記する
• 作業時間・場所は受託者の裁量とする: 端末は管理しても、いつ・どこで使うかは受託者が決める。VDIへの接続時間帯を制限する場合も、業務上の必要性（本番環境への接続時間制限など）で正当化できる範囲に留める
• 代替手段を許容する: 受託者が同等のセキュリティ要件を満たす別の方式（自前のVDI、暗号化済み端末等）を提案できる余地を契約上残しておく

これらを踏まえれば、端末貸与・MDM導入はあくまで情報セキュリティ目的の合理的な要請として運用でき、指揮命令とは別物として整理できます。なお、最終的な判定は実態に基づくため、不安が大きい案件では事前に労務専門の弁護士・社労士に相談することをおすすめします。

契約書・覚書に書いておきたい条項例

業務委託契約に追加する条項の方向性として、次のような要素を盛り込みます（具体的な文言は自社の法務・顧問弁護士と擦り合わせてください）。

• 端末貸与の目的が情報セキュリティ要件の充足である旨の明示
• 貸与端末の利用範囲（本業務に限定するか、副次的利用を許容するかの線引き）
• 受託者が遵守すべきセキュリティ要件（暗号化・パスワード・OSバージョン等）
• 契約終了時の端末返却・データ消去の手順
• 受託者の作業時間・作業場所・作業手順については受託者の裁量で定める旨の確認条項

「指揮命令を否定する確認条項」を入れておくと、契約全体の趣旨が明確になります。

自社の状況から選択肢を絞る判断フロー

ここまでの整理を踏まえて、自社の状況に当てはめて選択肢を絞る判断フローを示します。次の4つの問いに答える形で進めます。

4つの問い

1. 契約形態は何か？ 請負／準委任／業務委託のいずれか。雇用契約に近い実態がある場合は本記事のフレームの前に契約形態の見直しが必要です
2. 扱う情報の機密度は？（高: 顧客の個人情報・決済情報・本番DBに触れる／中: 開発環境・テストデータ・社内ドキュメント／低: 公開リポジトリ・OSSコントリビューションに近い領域）
3. 稼働期間と予算は？（短期: 〜3ヶ月／中期: 3〜12ヶ月／長期: 12ヶ月以上。月額の許容予算）
4. 稼働形態は？（フルリモート／一部出社／常駐）

パターン別の推奨選択肢

4つの問いの組み合わせから、代表的なパターンと推奨選択肢を示します。

• 機密度: 高 × 短期 → 選択肢C（VDI / クラウドPC）: 本番DB・個人情報に触れる業務は、端末側にデータを残さないVDIが第一候補。月額数千〜1万円台で短期間限定して使い切れるため、コスト効率もよい
• 機密度: 高 × 長期 → 選択肢B（会社支給PC + MDM）または C: 長期で同じ人に発注し続ける場合、初期コストを償却できるため会社支給PC + MDMが現実的。常駐に近い稼働形態なら会社支給PCが自然で、フルリモートならVDIも併せて検討
• 機密度: 中 × 中期〜長期 → 選択肢B または C: 案件の重要度に応じてどちらでも可。社内の運用負担が許容できれば会社支給PC、リモートワーク中心ならVDI
• 機密度: 中 × 短期 → 選択肢C または条件付きA: 短期で会社支給PCのキッティング工数を回収しにくい場合、VDIまたは厳格な条件付きBYODが現実的
• 機密度: 低 × すべて → 条件付きA（BYOD）: 公開リポジトリ中心・本番アクセスなしであれば、最低限のセキュリティ要件をクリアしたBYODで十分。発注者・受託者ともに最も負担が小さい

なお、機密度の判定が難しい場合は「漏洩したら顧客に説明できないもの」「漏洩したら法的義務（個人情報保護法の漏洩報告等）が発生するもの」を扱うかを基準にすると分かりやすくなります。判定がはっきり「中」と決めにくい場面では、安全側に倒して「高」相当の選択肢を選ぶのが原則です。

「選択肢を選んだ後」に決めるべきこと

選択肢が決まれば終わり、ではありません。次の事項も合わせて決めておく必要があります。

• 業務データのローカル保存の可否・例外（BYOD・会社支給PCの場合）
• 業務外利用の可否（会社支給PCを私用に使ってよいか）
• 紛失・盗難時の連絡フローと初動対応
• 契約終了時のデータ削除・端末回収の手順とタイムライン
• 監査・確認の方法（自己申告か、受託者からの証跡提出か、MDM/VDIのログ確認か）

これらを覚書または契約書の付属資料として明文化しておくと、稼働中・終了後のトラブルを減らせます。

中小企業でも導入できるMDM・VDIの実情とコスト感

「MDMやVDIは大企業のもので、自社の規模では運用できない」という思い込みは、ここ数年で実情と乖離してきています。本セクションでは、中小企業が現実的に検討できる選択肢の名称とおおよそのコストレンジを共有します。製品比較そのものは本記事の主題ではないため、名称レベルの紹介に留めます。

中小企業向けMDMの現実的な選択肢とコスト感

主要なMDM製品としてはMicrosoft Intune、Jamf（macOS/iOS特化）、CLOMOといった名前がよく挙がります。中でもMicrosoft Intuneは、すでにMicrosoft 365を利用している企業であれば Microsoft 365 Business Premium プランに含まれる形で導入できるケースが多く、別途MDMだけを契約するより費用効率がよくなることがあります（参考: Microsoft Intuneのプランと価格）。

価格レンジの目安（2026年6月時点）:

• MDM単体ライセンス: 数百〜千円台/ユーザー・月
• Microsoft 365にバンドルされる場合: 既存のM365ライセンス費に吸収される

中小企業の場合、5〜10人程度の対象であれば月額数千円〜数万円のオーダーで運用可能です。「専任の情シスがいないと運用できない」という懸念に対しては、初期セットアップを外部のIT支援サービスに依頼し、運用は最小限のポリシー（暗号化・パスワード・リモートワイプ）に絞る形で運用負担を抑える選択もあります。

VDI/クラウドPCの現実的な月額レンジ

VDI/クラウドPC領域では、MicrosoftのWindows 365・Azure Virtual Desktop、AmazonのWorkSpacesなどが代表的です。前述のとおり、Windows 365 Business は開発用途で検討できる構成でも月額数千円台から提供されており、初期費用なしで始められます（参考: Windows 365 クラウド PC のプランと価格）。

VDI/クラウドPCのもう一つの利点は、契約終了時の処理の簡潔さです。物理端末の郵送・回収が不要で、仮想マシンを削除するだけで業務データを発注者側で確実に消去できます。短期間・スポット的に外部エンジニアを起用する場合、運用上の最適解になることが少なくありません。

外部エンジニアに提示する端末管理ルールのたたき台

選択肢を決めたら、外部エンジニアに具体的に提示する端末利用ルールが必要になります。本セクションでは、契約書または覚書に盛り込むルールのチェックリストを選択肢別に整理します。自社の状況に合わせて取捨選択してください。

全選択肢共通の最低限ルール

選択肢A/B/Cいずれの場合も、最低限次の項目を明文化しておきます。

• 業務に使う端末のOS種別とバージョン要件（例: 最新メジャーバージョン-1まで）
• ディスク全体の暗号化（FileVault / BitLocker等）の有効化
• OSログイン時のパスワード必須・推奨文字数
• スクリーンロックの自動起動時間
• マルウェア対策ソフトの稼働
• 業務関連ファイルを業務外端末・USB等にコピーすることの禁止
• 紛失・盗難時の発注者への即時連絡義務
• 契約終了時の業務データ削除義務とその確認方法

BYOD条件付き許可の場合に追加するルール

BYODの場合、発注者が直接統制できない範囲が広いぶん、自己申告と監査の仕組みで補います。

• 稼働開始前にチェックリスト（OS・暗号化・パスワード等）に対する自己申告書を提出
• 業務データを保存できるディレクトリ・クラウドストレージの限定
• 業務専用ブラウザプロファイル・業務専用アカウントの使用
• 契約終了時に業務関連データの削除を実施したことの誓約書提出
• 監査時に必要に応じて画面共有による設定確認を受け入れる旨の同意

会社支給PC・VDIの場合に追加するルール

発注者側で統制できる範囲が広いため、ルールは技術的に強制可能な項目が増えます。

• 端末（または仮想マシン）の利用範囲を本業務に限定する旨
• MDM/VDI管理コンソールへの端末/アカウント登録の義務
• ソフトウェアインストールの可否・申請フロー
• 契約終了日時点での端末回収・データ消去の手順とタイムライン（例: 契約終了後5営業日以内に着払いで返送、受領後3営業日以内に発注者側でワイプ実施）
• リモートワイプを業務上の必要性で実施することがある旨と、その対象範囲（業務データに限る旨の明示）

これらをすべて並べると重く見えるかもしれませんが、扱う情報の機密度に応じて省略・簡略化してかまいません。重要なのは「決めてある」状態を作ることです。決まっていない項目が、稼働中・終了時のトラブルの種になります。

端末選択の意思決定をする前に確認しておきたい3つの隣接論点

ここまでで端末の選択は固まりますが、外部エンジニアへの発注セキュリティはこれだけで完結しません。最後に、本記事と隣接する3つの論点を共有し、関連記事をご案内します。

認証情報・APIキーの渡し方は別レイヤーの設計

端末を決めたあと、外部エンジニアに対してどのように認証情報（IDパスワード・APIキー・SSHキー）を渡すかは別の設計が必要です。端末がいくら安全でも、メール本文に平文でAPIキーを貼って送ってしまえば、その時点でリスクは大きく上がります。共有手段・有効期限・ローテーション・回収まで含めた運用設計が必要です。詳しくは外部エンジニアへの認証情報・APIキーの安全な渡し方を参照してください。

情報共有体制（権限設計）も併せて設計する

「どの端末を使わせるか」と「どの情報にアクセスさせるか」は別レイヤーの論点です。GitHubリポジトリ・Slack・Notion・本番DBなど、それぞれのツールでどの権限を付与するか・付与しないかを、業務上の必要性とNDA整合の観点から設計する必要があります。詳しくは外部エンジニアへの情報共有体制を設計する方法を参照してください。

発注セキュリティポリシー全体の見取り図

端末・認証情報・権限といった個別論点を統合して、入場前・稼働中・退場時の時系列で発注セキュリティポリシーの全体像を整理した記事もあります。本記事の上位レイヤーとして、まず全体像を押さえたい場合はフリーランスエンジニアへの発注セキュリティポリシー設計を参照してください。

また、生成AI（ChatGPT・GitHub Copilot等）の利用許可・禁止条件は、端末管理とは別軸ですが「外部人材の作業環境を発注者がどこまで管理するか」という意思決定の延長線上にあります。関連論点として外注エンジニアの生成AI利用に対する発注者の対応方針も併せてご覧ください。

まとめ：迷ったら「会社支給PC + MDM」か「VDI」を出発点に検討する

外部エンジニアの端末選択は、コスト・運用負担・安全性・偽装請負リスクが絡む難しい意思決定です。それでも判断軸を整理すれば、選択肢は3つに集約できます。

• BYOD（条件付き）: 端末費ゼロ・運用負担小だが、安全性は受託者の自己申告に依存
• 会社支給PC + MDM: 統制レベルは高いが、初期費・運用負担が大きい
• VDI / クラウドPC: 端末側にデータを残さず、契約終了時の処理がシンプル

業務委託相手への端末貸与・MDM強制は「情報セキュリティ目的」と位置づけ、作業時間・場所・手順への指揮命令を伴わなければ、偽装請負と見なされる可能性は低くなります。契約書の文言だけでは免責されないため、実態の運用とのセットで設計してください。

迷った場合の出発点は「機密度が中以上の業務なら、会社支給PC + MDM か VDI のどちらかから検討を始める」です。そこから自社の稼働期間・予算・稼働形態に応じて絞り込んでいきます。本記事をきっかけに、外部エンジニアへの端末利用ルールのたたき台を一つ用意しておくと、次回以降の発注時の意思決定が大幅に楽になります。