15 情報セキュリティ, 個人情報保護法, 外国法

今回は、従業員データの処理の第2回解説です。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 従業員の個人データの処理に関する加盟国国内法とは?

Q2: 労使協議会による従業員データの処理への関与とは?

Q3: ドイツ国内での従業員個人データの取扱いの特色は?

Q4: フランス国内での従業員個人データの取扱いの特色は?

Q1: 従業員の個人データの処理に関する加盟国国内法とは?

A1:　GDPR上、以下の通り規定されています。

EU各加盟国は、従業員(employee)の採用から雇用関係終了までその雇用主(employer)により行われる個人データの処理に関し、従業員の権利・自由保護のため、法律または労働協約（collective agreement）により、GDPRよりも詳細なルールを規定することができる(88(1))。

この規定には、特に、処理の透明性、企業グループ等における個人データの移転、職場における監視システムに関し、データ主体の保護のための適切かつ具体的な規定を含めなければならない(88(2))。

各加盟国は、欧州委員会に対し、上記の加盟国国内法を、2018 年5 月25 日（GDPR施行日）までに、また、その後の改正を遅滞なく、通知しなければならない(88(3))。

欧州委員会のサイト^[1]によれば、この第88条第3項について通知をしている加盟国は次の通りであり、通知内容は同サイトから確認できます。

- Austria, Bulgaria, Cyprus, Czech, Denmark, Estonia, Finland, France, Germany, Hungary, Ireland, Italy, Lithuania, Luxembourg, Poland, Slovakia, Spain

従って、これらの加盟国における従業員の個人データの処理に関しては、GDPRだけでなくその国内法も確認する必要があります。

page top

Q2: 労使協議会による従業員データの処理への関与とは?

A4: 欧州諸国では、会社と労働条件その他の事項に関し協議調整するための従業員代表組織である「労使協議会」(works council）（少なくともいくつかの国では労働組合から独立）が雇用主による従業員データの処理に関し一定の権利を有している場合があります。

【欧州各国における労使協議会による従業員データの処理への関与の状況】[2]

雇用主は、従業員の個人データの処理に関し、労働法、および、労働組合または労使協議会との労働協約を遵守しなければなりません。労使協議会は、仏独伊等で活動的です。

通常、雇用主は、各国の国内法に従い、雇用関係の問題に関し次の次のいずれかの方法で労使協議会を関与させなければなりません。

(a)労使協議会への通知：国によっては、従業員の労働環境に影響を及ぼす事項について、雇用主に労使協議会への通知を義務付けている場合があります。

(b)労使協議会との協議：国によっては、雇用主がデータ処理について事前に労使協議会と協議することを義務付けている場合があります。労使協議会は当該処理に関し意見を述べる権利を有します。但し、雇用主はこの意見に拘束されません。

(c)労使協議会の承認：国によっては、労使協議会に雇用主によるデータ処理を承認しまたは拒否する権利を与えている場合があります。これは、共同決定の権利（a right to codetermination）と呼ばれます。

個人データの処理に関し労使協議会に必要な関与をさせない場合、国によっては、その処理は違法とされ、労使協議会は差止命令を請求でき、また、雇用主は制裁金を課される場合があります。

page top

Q3: ドイツ国内での従業員個人データの取扱いの特色は?

A3:以下の通りです。

１．連邦データ保護法第26条

ドイツでは、雇用関連目的での従業員の個人データの処理に関し、「連邦データ保護法」^[3]第26条に、要旨以下の通り規定されています。

(a)「従業員」(employee)の範囲：正社員、臨時社員、試用中の者、求職者・退職者等を含む(26(8))。

(b)適用対象の処理：雇用関連目的の従業員の個人データの処理

(c)処理が許される場合：以下の目的で必要な範囲内で処理することができる（26（1）第一文）。

(i)採用決定および雇用契約の履行・終了のため

(ii)法律または雇用主と従業員協議会（staff council）の間の労働協約（collective agreements）その他協定に定める従業員代表（employees’ representation）の権利・義務の行使・履行のため

(d)従業員の雇用中の犯罪調査のための処理:以下の要件を満たす場合のみ行うことができる（26（1）第二文）。

(i)データ主体（従業員）が雇用中に罪を犯したと信じる証拠があること。

(ii)その犯罪調査のため処理が必要であること

(iii)その処理をすることの利益を、これをしないことについてのデータ主体の利益が上回らないこと（特に処理の範囲が調査目的と均衡がとれていること）

(e)従業員の同意の自由意思性の判断:(26(2))

(i)その従業員の雇用関係への依存度および同意が与えられた状況を考慮しなければならない。

(ii)次のいずれかの場合は自由意思性ありと判断できる。

-同意が、従業員の法的・経済的利益に関しなされた場合

-雇用主と従業員の利益が一致する場合

(f)同意の形式と情報提供：(26(2)後段）

原則として書面でなされなければならない。雇用主は、従業員に処理目的と、GDPR(7(3))の同意撤回権について、書面で情報提供しなければならない。

(g)特別カテゴリーの個人データ(GDPR第9条)の処理:(26(3))

次の両要件を満たす場合に処理することができる。

(i)労働法・社会福祉法（social security and social protection law）上の権利行使またはその遵守に必要であること。

(ii)その処理をすることの利益を、これをしないことについてのデータ主体の利益が上回ると信ずべき理由がないこと。

従業員の同意の自由意思性の判断および同意の形式と情報提供については上記(e),（ｆ）に同じ。

(h)労働協約の遵守：(26(4))

上記の各処理は労働協約（collective agreement）に従い行わなければならない。

２．その他[4]

(1)従業員の監視(Monitoring)

会社が従業員の電子メールやインターネットの利用状況を監視する場合、会社が会社のITシステムを従業員が私的目的で利用することを許可しているか否かにより以下の通りとなる。

(a)会社が私的利用を許可している場合：雇用主は、ドイツの電気通信法（Telekommunikationsgesetz）上、電気通信サービスの提供者に該当すると認定される可能性がある。その場合、監視が可能なケースは、従業員による会社ITシステムの不正使用が合理的に疑われる場合等、非常に限定的・例外的なケースに限られると思われる。

(b)会社が私的利用を禁止している場合：雇用主は少なくともランダムサンプリングによる利用監視はできる。しかし、電話での会話を監視・録音することはできない。

但し、ITセキュリティ上の脅威の検知は、雇用主が電気通信サービスの提供者とみなされる場合でも許容されると解されている。

(2) ITセキュリティ上の措置と従業員の個人データ処理

雇用主は、例えば、ウェブサイトへのアクセスのブロック、ファイアウォール利用等により、ITシステムを保護することができる。場合によっては、ITシステム保護措置を講じる法的義務が発生する場合もある。これらの措置は、可能な限り、従業員の個人データを処理することなく実施されなければならない。ITシステム保護のため従業員の個人データを処理する場合には、GDPR第6条・第9条に定める処理の適法性の根拠（例：6(c):法的義務/6(f):正当利益）がなければならない。

(3) 労使協議会による従業員の個人データ処理への関与

会社による従業員の行動を監視する全ての機器の利用については、労使協議会の承認を要する（Betriebsverfassungsgesetz：労働基本法87（1）-6）。対象機器には、監視カメラ、インターネットログ取得等だけでなく、勤務態度を監視可能な全ての装置、個人単位の印刷状況を記録するコピー機、建物に出入りする従業員の個人識別情報を記録する入退室管理装置等も含まれる。労使協議会は、更に、同法（80(1)-2）上、会社による従業員の個人データ保護に関する情報を得る権利を有する。

(4) 従業員による公益通報（内部通報）

次回以降解説

page top

Q4: フランス国内での従業員個人データの取扱いの特色は?

A4:以下の通りです。[5]

１．フランス労働法

フランスでは、雇用関連目的での従業員の個人データの処理に関し、フランス労働法(Labor Code)に、要旨以下の通り規定されています。

L.1222-3：雇用主は、各従業員の業務評価の方法・技術について、評価実施前に、明示的に通知しなければならない。その評価方法・技術は、評価の目的に対し妥当なものでなければならない。

L.1222-4：雇用主は、従業員に事前に通知していないシステムを用いて従業員個人に関する如何なる情報も収集してはならない。

２．その他

(1)従業員の監視：CNIL（仏個人データ監督機関）のガイドラインの内容

によれば、雇用者は、職場における従業員の私的目的でのインターネットやメッセージング使用を管理・制限すること、ネットワークのセキュリティを確保すること、職場における従業員のインターネットや業務用メールボックスの不正使用を防止することは許される。但し、雇用主は、業務用機器・インターネットの私的利用に関する規則を定め、従業員に通知しなければならない。更に、セキュリティ上の強い要請がある例外的な状況を除き、キーロガーを使用してコンピュータで実行された全てのアクションを遠隔で記録することはできない。

雇用主は、例えば研修目的や提供するサービスの向上のために従業員の通話を録音する場合、従業員が使用するパソコン画面のキャプチャシステムと通話を連動させることはできない。

また、雇用主は、緊急の場合等を除き、恒久的・システム的に盗聴・録音装置を設置することはできない。雇用主は、従業員による私的通話のために、録音システムに接続されていない電話回線、または、録音をオフにできる技術的装置を従業員に提供しなければならない。

(2)労使協議会

フランスでは労使協議会が積極的な役割を担っており、雇用者が、公益通報、従業員の車の位置情報、従業員の職務遂行監視システム等に関連して行う個人データの処理について、事前に労使協議会での協議が必要となる場合がある。

(3)従業員による公益通報（内部通報）

次回以降解説

page top

今回はここまでです。

【筆者の最近の個人情報保護関連書籍】

「香港からの個人データ越境移転モデル契約条項(改訂版)の概要・全文訳」2022/6/6, 訳PDF

“China Data and Personal Information Laws” 2022/1/31

「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[6]

【注】

^[1] 【加盟国からの通知に関する欧州委員会サイト】　"EU Member States notifications to the European Commission under the GDPR"

[2] IAPP "European Data Protection" 2018, Executive Editor: Eduardo Ustaran, CIPP/E, Partner, Hogan Lovells, An IAPP Publication Executive Editor

^[3] 【ドイツ連邦データ保護法】 英訳

[4] Philip Kempermann, Thomas Jansen "Data Protection & Privacy 2022 - Germany" March 10, 2022, - 2.4 Workplace Privacy

[5] Patrice Navarro, Julie Schwartz, Sihem Hassani, Gabriel Lecordier "Data Protection & Privacy 2022 - France" March 10, 2022, - 2.4 Workplace Privacy

[6]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録