ai_pet_family
1.はじめに
最近の日経新聞によると、日立の子会社「ハピネスプラネット」は、新しい「ハピネス事業」において、従業員の「幸福」度を向上させ、職場・会社の業務の改善を行うという目的のために、日立は従業員にスマホの各種センサー類を活用するスマホアプリを導入させて、常時、広範な個人データを網羅的に取得し、それらの個人データをコンピュータ等で分析し、従業員の幸福度のモニタリングを実施しているようです。

・日立、幸福度を測るアプリ提供で新会社|日経新聞
・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立|日立製作所

この日立の取り組みに対しては、そもそもの「幸福度」、「ハピネス度」などの概念への疑問や、そもそも会社が従業員に会社が考える「ハピネス」「幸福」を押し付けてよいのかという問題や、会社が従業員をスマホアプリにより常時網羅的にモニタリングするというやり方に手段に相当性があるのかなど多くの疑問がSNSなどのネット上に投稿されています。

2.プライバシー権・自己決定権・人格権と指揮命令権
何が自分にとって「幸福」かについては、従業員(国民)個人個人の内心の自由の問題(憲法19条)であり、第三者や使用者たる企業等や国が安易に介入を許されない、従業員・国民の私的領域のプライバシーや自己決定権・人格権の問題です(憲法13条)。

しかしその一方で、会社等で働く従業員は使用者たる会社と労働契約を締結している関係にあり、この労働契約に付随して使用者たる会社は条業員に対する指揮命令権をもっています。そのため、一般的に会社の上司などが、従業員に対して指示・監督などを行うために観察などを行うことは、原則としては許容されるとされています。

3.日立・ハピネスプラネットの業務は法的に問題はないのか
とはいえ、日立の新しい「ハピネス事業」においては、従業員の「幸福」度を向上させ、職場・会社の業務の改善を行うという目的のために、日立は従業員に本件スマホアプリにより、スマホのセンサーを使って常時、広範な個人データを取得を網羅的に取得し、それらの個人データをコンピュータ等で分析し、従業員の幸福度のモニタリングを実施しているようです。このような日立の従業員に対する新しいモニタリング手法は法令上問題がないのでしょうか。

4.使用者は従業員の私的領域にどこまで侵入できるか
(1)西日本鉄道事件
この点に関しては、従業員が退社する際に会社が所持品検査を行うことが許されるかどうかが争われた事件において、最高裁(西日本鉄道事件・最高裁昭和43年8月2日判決)は、「使用者が従業員に対して行う所持品検査は、これは被検査者の基本的人権に関する問題であって、その性質上、常に人権侵害のおそれを伴うものであるから、たとえそれが企業の経営・維持にとって必要かつ効果的な措置(略)であったとしても、そのことをもって当然に適法視されるものではない」とのスタンスを示した上で、所持品検査が適法となるための要件として、

①検査を必要とする合理的な理由のあること
②一般的に妥当な方法と程度であること
③職場従業員に画一的に実施されていること
④就業規則その他の規定に明示の根拠があること
の4要件をあげています。

(2)検討
ここで日立とハピネスプラネットの新事業をみると、①冒頭でもみたように、「なにが自分にとっての幸福か」とは、国民個人個人が自己の内面(私的領域)において考えるべき事柄であり、企業(あるいは国)が安易に介入すべきものではありません。そのため、合理的理由があるとはいえません。また、②本記事などを読む限り、本アプリは従業員のごく微細な動きなどのデータから本人の内心を読み取るなど、性格検査あるいはうそ発見器など装置・アプリであり、そのような機微な個人データを大量に常時モニタリングを行うことは、社会一般から見て妥当な方法と程度であるとはとてもいえません。

(3)結論
このように上の最高裁判決が示した4要件のうち、少なくとも2つを満たしていないので、日立とハピネスプラネットのこの新ビジネスは違法のおそれがあると思われます。

5.個人情報保護法の観点から
なおNHKの記事によると、日立は従業員のプライバシー・個人情報について、「計測されるのはあくまで本人も気付かないような体の細かな動きで、プライバシーに関わるようなものが取得されるわけではありません。」と主張しているようです。

・幸せって測れるの?サクサク経済Q&A|NHK

しかし、本人も気づかないような細かな体の動きも「動作」であり、個人情報保護法2条1項1号は「動作」も個人情報の一類型と例示しているので、日立がこれをデータとして収集したものは個人データです。



したがって、日立などは「動作」の個人データを収集・利用などしてこの新事業を行うためには、本人たる従業員に、個人情報の利用目的などを定めて(15条)、通知し(18条)、利用目的の範囲内でしか原則として利用できません。当然、それらの個人データには安全管理措置を講じなければなりません(20条)し、第三者提供も原則として従業員本人の同意が必要となります(23条)。日立がこのような各法的義務を履行しているのか気になるところです。

*注
はてなブックマークのコメント欄で、ごくわずかな「動作」は個人情報ではないとのご意見をいただいたようです。この点、個人情報保護法2条1項1号は、

個人情報を「氏名、生年月日その他の記述等(文書、図画もしくは電磁的記録(略))に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

と定義しています。つまり、氏名、住所、生年月日などだけにとどまらず、「特定の個人を識別」できる一切の事項が個人情報です。日立の新事業においても、ある従業員・被験者個人個人の「幸福度」「ハピネス度」を測定するためにスマホやウェアラブル端末を利用して当該従業員・被験者個人個人の「ごくわずかな動作」などを測定しているので、この動作も特定の個人を識別できる情報であるため、やはり個人情報となります。


6.GDPRと旧労働省の個人情報保護に関する行動指針
EU憲法(EU基本権憲章)8条は、「すべての者は、それぞれ自らに関する個人データの保護の権利を有する」と個人データ保護が基本的人権(基本権)であることを明示しています。これを受け、2018年5月に欧州では、GDPR(一般データ保護規則)が施行されています。そしてGDPR22条は、「コンピュータ等による個人データの自動処理の結果のみによる評価に服さない権利」を定めています。

スマホとスマホアプリで個人データを収集して自動処理を行う日立の「ハピネス」事業は、もろにDGPR22条の適用範囲に入っているように思われます。日本に対して十分性認定を行ったEUの個人データ保護当局がこの日立の取り組みをどう考えているのかは非常に興味があるところです。また、これまで日立が実施した本事業の被検査者に、EU国籍の人間がいなかったのかどうかも気になるところです。

なお、日本も欧米の個人情報保護法制の動きを参考にしつつ立法等を行ってきた経緯から、例えば2000年の旧・労働省の「労働者に関する個人情報の保護に関する行動指針」6(6)は、「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。」と、GDPR22条を先取りしたような規定が置かれていました。

このような個人データ・プライバシーの保護により国民の基本的人権や幸せを守ろうとする世界的な流れに対して、日立の新事業は真っ向から逆行しているように思われます。

■参考文献
・菅野和夫「労働法 第12版」262頁
・労務行政研究所「新・労働法実務相談 第2版」549頁
・堀部政男「プライバシー・個人情報保護の新課題」163頁(高野一彦)


人気ブログランキング

労働法 (法律学講座双書)

第3版 新版 新・労働法実務相談 (労政時報選書)

AIと憲法