01 情報セキュリティ, 個人情報保護法, 外国法

前回第60回までで、GDPRと、ePrivacy指令に基づくCookie規制の全体を解説しました。今回からは、実務上特に重要な以下の事項について、GDPRやePrivacy指令がどのように適用されるかについて解説していきます。今回は、以下の「A.従業員データの処理」の第1回解説です。

A.従業員データの処理

B.監視活動(surveillance, monitoring)

C.ダイレクトマーケティング

D.インターネット技術

-クラウド・コンピューティング

-Cookie

-IPアドレス

-検索エンジン

-SNS

-モバイル機器アプリケーション（アプリ）

-IoT（Internet of Things）

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 「従業員データ処理意見書」とは?

Q2: 「従業員データ処理意見書」の基本的見解は?

Q3: 同意以外の処理の適法性の根拠は?

Q4: 雇用関連の処理の適法性判断の具体例は?

Q1: 「従業員データ処理意見書」とは?

A1: 「従業員データ処理意見書」とは、2017年6月8日、WP29 が採択公表した"Opinion 2/2017 on data processing at work" （職場における個人データ処理に関する意見書）（本稿において「従業員データ処理意見書」）です。

本意見書は、例えば、2020 年 5 月 4 日に採択された"Guidelines 05/2020 on consent under Regulation 2016/679(Version 1.1)"（PPC和訳「規則 2016/679に基づく同意に関するガイドライン 05/2020(バージョン 1.1)」）（以下「GDPR同意ガイドライン」）でも、頻繁に引用されており、現在でも有効と考えられます。

この意見書は、職場において雇用主が従業員の個人データについて行う処理の適法性判断に関し、具体例を挙げてWP29の意見を述べています。主にデータ保護指令に関するものですが、GDPRで追加された管理者の義務についても検討しています(p3)。

なお、本意見書によれば、本意見書における見解は、フリーランスベースの雇用を含め、全ての雇用関係に適用されます（p4）。

page top

Q2: 「従業員データ処理意見書」の基本的見解は?

A2：本意見書では、以下のWP29の従来からの基本的見解を再度述べています(p3～)。

(a)従業員の同意は、同意拒否により何らの不利益（adverse consequence）も受けないという特殊な場合でない限り、自由意思による同意と認められず処理の適法性(6)の根拠とならない（脚注[1]の通り、「GDPR同意ガイドライン」でも同趣旨のことが述べられている）。

(b)正当利益、契約履行の必要性等を適法性根拠とする場合は、処理が以下の要件を満たすことを要す。

-当該目的等のために不可欠(strictly necessary)であること

-比例性(proportionality)：目的に照らし必要かつ最小限であること

-補完性(subsidiarity)： 他に侵害の程度がより低い手段(less invasive means)がない場合に限りその処理を行うこと

(c)特に従業員の監視（モニタリング）については、従業員に対し十分な情報提供がなされるべきである。

[監視による個人データの取得はデータ主体からの直接取得であるから、情報提供の時期は正にその監視の時である(13(1))。従って、実務的には監視開始前に情報提供が必要である。]

(d)従業員の個人データのEU域外への移転には、適切なレベルの保護が確保されなければならない。

page top

Q3: 同意以外の処理の適法性の根拠は?

A3: 本意見書では、給与支払いのための銀行口座データの処理等、処理が従業員との雇用契約の履行または締結のため行われる場合や、税額計算等、処理が雇用主の法的義務履行のため行われる場合等の例が挙げられています(p7～)。

更に、従業員の監視を、正当利益を適法性の根拠として行うには、当該正当利益と従業員の権利自由との間に適切な均衡が保たれるよう、例えば、以下のように監視範囲を適切に限定し従業員のプライバシー侵害を防止しなければならないとされています。

(a)場所的な限定：宗教的な場所、トイレ、休憩室での監視は不可

(b)対象データの限定：私的ファイルや私的コミュニケーション(personal electronic files and communication)等の監視は不可

(c)時間的限定：常時監視ではなくサンプリング監視を選択すること

page top

Q4: 雇用関連の処理の適法性判断の具体例は?

A4:本意見書では以下の例が示されています。

(1).採用候補者のSNS情報取得

取得するデータは採用選考に必要な情報のみに限定し（他の私的生活に関する情報は取得しない）、事前に応募者に十分情報提供し、選考終了後直ちに消去しなければならない(p11～)。

(2).元従業員の競業避止義務遵守確認のためのSNS閲覧

企業が競業避止（non-compete）義務を負う元従業員の義務遵守を確認するためSNS（LinkedIn等）を閲覧する場合、(i) 閲覧がこの目的に必要な限度であり、(ii) 他により侵害の程度が低い手段がなく、かつ、(iii) 元従業員に適切に予告されていなければならない。

(3).従業員の不正アクセス、情報漏えい等の監視

【従業員の不正アクセス、情報漏えい等の監視の具定例】

(a)携帯端末管理（Mobile Device Management : MDM) (*)：(*)筆者注：企業が従業員にスマートフォン、タブレット等の携帯端末を業務使用させる場合に、企業が遠隔から端末を一元管理し、紛失・盗難時の情報漏えい対策／不正利用の防止／端末情報の取得等を行うことをいう。

(b)DLP（Data Loss Prevention）ツール（情報漏えいの可能性がある社外へのデータ送信を検出するためのソフトウェア等）の利用

(c)従業員のソフトウェア、クラウド・サービス、デバイス等の使用状況のログデータ自動取得、追跡（tracking）等

(d)従業員持込機器（Bring-Your Own Device：BYOD）の業務使用の監視

(e)企業が従業員の健康増進のため無償提供する、心拍数等を自動送信するウェラブル機器（Wearable Devices）によるデータ取得

【従業員の不正アクセス、情報漏えい等の監視の制限】

これらの監視は、不正アクセス防止等の正当目的達成のために必要な範囲に限定すべきである。

または、疑わしい（suspicious)着信または発信のブロック／不正検出時のみログを保存する／特定のWebサイトをブロックする等、目的達成のため他に侵害の程度がより低い手段(less invasive means)があればそれを採用すべきである。

また、私的ファイルや私的コミュニケーション等にはアクセスしてはならない。

電子メールのモニタリングは、(i) 不正送信（顧客情報等の外部送信等）の疑いありとしてコンピュータが検出する基準を事前に従業員に十分説明すること、(ii) 検出されたメールを従業員が送信する前に警告メッセージを出し送信キャンセルを選択できるようにすること等の措置を講じるべきである。

(4).在宅勤務者の監視

監視目的で、在宅勤務者のパソコンのキーストロークおよびマウスの動きを記録することは、過剰(disproportionate)な手段であり、従業員の私的生活を侵害し、適法でない。

(5).従業員のサーバールームへの入退出管理

事業上重要なデータ（business-sensitive data）、従業員・顧客の個人データ等を格納するサーバー・コンピュータが設置されているサーバールームへの入退出（entrance and exit）の管理を、不正アクセス等の検知等を目的として行う場合、従業員への適切な情報提供、入退出記録の利用目的制限等の条件を満たすときは「正当利益」(6(1)(f))を処理の適法性の根拠とすることは可能。

(6).監視カメラの顔認識(facial recognition）機能による従業員の表情（facial expressions)の異常パターン検出

従業員の権利自由に対し不均衡であり(disproportionate)、正当性を欠く。

(7).従業員の会社車両運転状況モニタリング

車両位置の追跡、運転行動のモニタリング等は、車両位置の把握、従業員の安全等の正当目的があっても、データ処理の比例性、補完性、目的外使用禁止、適切な情報提供等の条件を満たさなければならない。

勤務時間外の私的使用を許可する場合、勤務時間外のモニタリングは、指定圏外に車両が出た場合を除き、行うべきではない。

(8).イベント・データ・レコーダー（ドライブレコーダー）

イベント・データ・レコーダー（「IDR」)は、事故時の映像、音声等を記録するが、常時記録することも可能である。営業用車両等に設置する企業もある。

しかし、IDRの使用は、目的の正当性、比例性および補完性の条件を満たす場合のみ適法性が認められる。

運送会社が、従業員の運転技能向上、安全確保等を意図し、急ブレーキ、急な方向転換等の把握のために常時モニタリングすることは、従業員のプライバシーの権利に対する重大な侵害である。

運転中の携帯電話使用防止装置、自動ブレーキ、車線逸脱警報装置等、他のより適切な手段があるから、処理の適法性を満たさない。

(9).配達先への配達員氏名等送信

宅配会社等が、配達先に配達員の氏名、写真等まで送信することは、必要性を欠き処理の適法性がない。

(10).人事情報のEU域外への移転

クラウドベースの人事データアプリケーション、オフィスアプリケーション等の利用に伴い、従業員の個人データの国際的移転が生じる場合がある。

この場合、適切なレベルの保護措置等、EU域外への移転の適法要件を満たし、かつ、移転先でのアクセスは必要最小限に制限しなければならない(p22～)。

page top

今回はここまでです。

【筆者の最近の個人情報保護関連書籍】

「香港からの個人データ越境移転モデル契約条項(改訂版)の概要・全文訳」2022/6/6, 訳PDF

“China Data and Personal Information Laws” 2022/1/31

「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[2]

【注】　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

[1] PPC訳「GDPR同意ガイドライン」(p 17-19)では以下のように述べられている。

「力の不均衡は、雇用の文脈でも生じる。労使関係から生じる従属関係を前提にすれば、データ主体は、同意拒否の結果として不利益を受ける怖れ又はその現実的リスクを経験せずに、雇用者に対しデータの取扱いについての同意を拒否できる可能性は低い。たとえば、職場での監視カメラのようなモニタリング・システム導入について、雇用者からの同意要請に、従業員が自由に対応しまた何らかの同意圧力を感ぜずに、回答用紙のマス目を埋める可能性は低い。

したがって、EDPB は、自由に同意できる可能性が少ないことから、同意を根拠として現在又は将来の従業員の個人データを雇用者が取扱うことには問題があると考える。職場でのそうしたデータの取扱いの大多数について、従業員と雇用者の関係の性質から、従業員の同意を法的根拠とすることはできないし、またそうすべきではない（第 6 条（1a））。

しかしこれは雇用者が取扱いの法的根拠として同意に依拠することが絶対できないということを意味しているわけではない。同意が実質上自由に与えられていることを証明することができる状況があるかもしれない。雇用者と従業員の間の力の不均衡があるとしても、同意を与えるかどうかにかかわらず、悪影響を全くもたらさない例外的な状況であれば、その状況に限って、従業員は自由に同意を与えることができる(See also Opinion 2/2017 on data processing at work (WP249), paragraph 6.2).

事例5：ある映画制作のクルーがオフィスの一部で映画を撮影する。オフィスをもつ雇用者は、従業員が映像の背景に写るかもしれないため、関係するエリアに座っている全ての従業員に撮影についての同意を求める。写されたくない者は罰則を受けず、また撮影の期間中、代わりに、建物のほかのどこかに同等のデスクが設けられる。

力の不均衡は、公的機関及び雇用者の例に限らず、他の状況でも起こりうる。第 29 条作業部会がいくつかの意見の中で取り上げたように、同意は、データ主体が真の選択を行うことができ、同意しない場合にごまかし、脅迫、強制又は重大なネガティブな結果（たとえば、大きな追加費用）を受けるリスクがない場合にのみ、有効となりうる。同意は、強制、圧力又は自由な意志の行使を不可能にする要素がある場合には、自由ではない。」

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録