リスクがゼロではないですね。
VPN接続するまでは暗号化されてませんから。
無理Wi-Fiでも店舗がただ暗号化してないからどうぞって感じのは使いたくないですね…
持ち出しとWi-Fi接続は別で考えた方がいいかと(持ち出して何をするのか、どう使うのか) 個人的には思います。

端末の脆弱性を付いて攻撃される、端末内部の情報を抜き出される、通信が傍受される、などのリスクがあると思います。

対策は、基本的には、端末を保護するために セキュリティ対策ソフトを入れる、ファイアウォール機能を有効化する、ファイル共有を無効化する、暗号化されてないWiFiには繋がない、セキュリティアップデートを欠かさない、といった対策が必用だと思います。

予算がつくなら、VPN接続用のSIMとモバイルルーターを使うのが良いんじゃないですかね。

無料wifiは怖いですね。ユーザがvpn接続まで忘れずにやるとは限らないし、システム的にvpn張らないと接続出来ないような仕組みがあればいいかもですが。(そんなのあるのかな？)

無難なのはモバイルルーター+vpn接続じゃないですかね。対象者が何人いるかわかりませんが。

＋＞会社のパソコンをカフェやホテルで使いたい
ということと
＋＞危ないので現状は持ち出し禁止にしています。
を分けて考えてはどうでしょう

外で使う　イコール　社内にＶＰＮでつなぐ
ではないと思います　

（すみません　PCの自動シャットが働き出したので［送信］しちゃいました）

ウチの場合
外で会社のパソコンを使う　についての規制
　・秘文やビットロカーでHDDを暗号化してあること
　・持ち出し申請を出して許可された機器であること
　・データの持ち出し、機器の持ち出しの記録をつけていること　データについては同じものが社内にあって持ち出し記録にその場所を記載すること
　・（当然ながら、PCはユーザID・パスワード、スクリーンセーバー復帰ロックがあること）
社内に接続するVPNの利用の規制
　・社外接続申請を出して許可されたもの　（その場合、合理的・具体的理由が必要　「メールが見たい」は不可　社内のストレージか業務システムに接続する理由が必要）
　・（営業マンのように）常時使用する場合はその人専用IDで、さらに”持ち出し許可機器”を使用する
　・（海外出張などで）一時的に利用する場合は共有IDで毎回異なるパスワードを使う。さらに”持ち出し許可機器”を使用する。
　・接続設定など自分で面倒が見れる者であること（”だれかにやってもらった”はダメ）
としています。
「社外で使いたい」のが単に「Googleマップが見たい」ときもあるでしょう

あまり厳しく「すべて禁止」などとすると、個人の機器で勝手にデータを持ち出したりするので”ほどほど”がいいです。（私がセキュリティ委員会を離れてからは”よく知らない者がやたらに厳しく”しているのが気になります）
といって放置もダメです　（本社から離れたところで新事業を始めたときはそこの者が勝手にゆるゆるのセキュリティ規制を作って運用してしまいました　「本社の規制に従え」と言ったら「そうします」というので安心してたら、本社に１０人ほど来て会議をやったときに７人くらいが私物PCを持ち込んできたので”全部没収”して帰るときに返しました。）

同一のアクセスポイントに複数の端末が接続した際に通信がセパレートされるかが、ポイントになるかと。セパレートされていない場合は、ネットワーク的に他の端末と接続している状態となるので、ウイルス感染等のリスクが発生します。VPNの通信は暗号化されるので、拠点-リモートPC(Wifi接続のPC)間の通信に限れば、漏えいリスクは低いと思いますよ。

ご回答頂いた皆さんありがとうございます。
やはり私が思っていたことと一緒で良かったです。
もし再度回答頂けたなら幸いですが、例えばホテルやカフェだと不正APによるリスクで禁止されるのはわかるが自宅ならいいでしょと上司に言われました…
一応自宅であろうとリスクは変わらないと説明しましたがイマイチ納得されませんでした
皆さんなら自宅Wi-Fiを禁止する理由はどのように説明されますか？

＋＞自宅Wi-Fiを禁止する理由はどのように説明されますか？
というのは話が逆で　「自宅Wi-Fiはこれこれのことで危険だから禁止します」となるべきです。

ウチの場合、私が情シス長、セキュリティ委員会だったときは「なるべく自由に使いましょう　ただし規制（ルール）や対策は取ります」という姿勢でした。なので自宅でもどこでもメールは見れましたし、出張でBYODの使用も（申請して許可があれば）できました。　ところが
私が歳を取って情シス長、セキュリティ委員会から降りると、「社外でメールを見るのは禁止。社外で使用できるのは会社所有のPCのみ」という意見が委員会で台頭してきて、今ではガンジガラメです。（営業マンは自宅やBYODでメールが見られず、休日にお客からクレームが入っても稼働日まで対応できず。 出張のきの今までは自分のスマホでメールが見れたのに今は会社の古い重いPCを持っていかないといけない。）
禁止する理由なんてなんとでもつけられます。「セキュリティ上の危険があるので禁止」と言えばそれで理由になります。どんなことでも100％はあり得ないのでセキュリティ上の危険が0.00001%（注１）でもあれば禁止と言っても理屈上はとおります。問題は「リスクはあるけど利便性を考えたら使いたいよね」にどう向き合うかです。　
＋＞ホテルやカフェだと不正APによるリスクで禁止されるのはわかるが自宅ならいいでしょ
ホテルやカフェのようにAP管理者がはっきりしているなら危険は少ない（自宅と同程度）と思います。
怖いのは街中に氾濫している”どこのだかわからないがセキュリティのかかっていないAP”でしょう。ひょっとしたらワナかもしれません。こういうのに接続するのは禁止する必要があります。

注１：0.00001とはエバンゲリオンに出てくる数字です。「ゼロではないわ」なんてね。
「危険があるから やらない」だったらコロンブスはアメリカ大陸を発見できなかったし、ガガーリンは「地球は青かった」とは言えなかったでしょうね。

セキュリティと利便性はトレードオフですし、
厳しすぎると抜け道を探し始めるので
会社の社員モラル、文化に合わせたルールと対策が必要と思います。

ウチは
・PCの持ち運びは恒常的に許可

・ポケットWi-Fiは会社レンタル品あり
　（そんなに数は無いので、来客用が専らですが）

・ホテル、カフェなど無料Wi-fiへの接続は、情シス相談抜きに接続不可
　（上述の通りリスクがありますが、牽制＆折衷案として）

しかし、外出時にノートPC持っていくのも重くしんどいらしく
最近はタブレット、スマホで仕事できるようにして欲しい要望が
強くなりつつあります。

アクセスポイントにはつながせない。
PC使いたいなら、支給品のiPhoneにVPNはってテザリングしろ

...といいたいなあ

追加回答ありがとうございます。
大変参考になりました。

確かに管理者がいることで危険性は変わってくるかもしれませんね。
あと自分としては外のAPと自宅のAPまで管理しきれないという都合をつけてモバイルの貸与にしようかと思っています。