なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 労働法

kojinjouhou_rouei_businessman
1.事案の概要
1か月以上たっても公表・通知などを実施していない?
「プレジデントオンライン」サイトの7月13日付の記事「人材派遣のアスカが最大3万件の個人情報を流出」などによると、人材派遣業の株式会社アスカは、自社システムに仮登録されていた派遣社員の個人情報が最大3万件分が本年5月中旬にサイバー攻撃により漏洩したにもかかわらず、1か月以上経過しても公表、被害者本人への連絡などを行っていないそうです(7月16日現在)。

取材に対して、アスカ側は「調査を行っている途中」などと回答しているそうですが、1か月以上も個人情報の大規模な漏洩事故があったのに公表などを行わないことは法的に許されるのかが問題となります。

・人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず|プレジデントオンライン

2.法的に考えてみる
(1)労働者派遣法
労働者派遣法24条の3は、派遣元事業者の個人情報保護について規定しています。そして、「派遣元事業主が講ずべき措置に関する指針」(平成11年労働省告示第137号・平成30年厚生労働省告示第427号)の「11 個人情報等の保護」は、個人情報の収集、利用、保管、安全管理などともに、「(3)個人情報の保護に関する法律の遵守等」において、個人情報保護法「第4章第1節に規定する義務を遵守しなければならない」と規定しています。

(2)個人情報保護法
個人情報保護法第4章第1節は、個人情報を取り扱う事業者の義務を定めていますが、同法20条から22条までは、事業者の安全管理措置、従業員への監督、委託先への監督を規定しています。そして、個人情報保護委員会の個人情報保護法ガイドライン(通則編)は安全管理措置について規定しています。その上で、同委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データの漏洩などの事故が発生した場合の対応についてつぎのように規定しています。

■個人データ漏洩事故が発覚した場合の対応(概要)
①事業者内部における報告及び被害の拡大防止
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び実施
⑤影響を受ける可能性のある本人への連絡
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係等について、「速やかに」本人へ連絡し、又は本人が容易に知り得る状態に置く。
⑥事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係及び再発防止策等について、「速やかに」公表する。
⑦個人情報保護委員会または監督官庁への報告
扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、「速やかに」報告する
このように個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データ漏洩事故が発生した場合には「速やかに」、⑤本人に連絡し、⑥事実関係などを自社サイトや記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告することを事業者に求めています。

ここで、「速やかに」の文言の意味が問題となりますが、多くの業法・行政法規が個人情報漏洩事故が発生した場合に、その発覚から1か月以内の報告を求めていることとの整合性から、少なくとも1か月以内に⑤本人に連絡し、⑥記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告しないと、事業者は同委員会の通達の趣旨に違反していることになると思われます(例えば保険業法127条など)。当該事業者は、個人情報保護法の趣旨に違反しているおそれがあることになります。

そもそも、このように個人情報漏洩事故が発生した場合にスピード感をもった本人への連絡や公表、監督官庁などへの報告の対応を事業者に法令が求めて趣旨・目的は、「二次被害の防止、類似事案の発生の防止」です。つまり例えば、顧客の個人情報が拡散してしまうことやクレジットカード情報などが第三者に利用されてしまうリスクの防止や、同じ業界で類似のサイバー犯罪が行われてしまうようなリスクの防止です。そうすると、個人情報漏洩事故が発覚したのに漫然と事業者が何週間も、あるいは何か月も対応を行わないことは、個人情報保護法の趣旨にも反しますし、顧客の信頼を裏切ることにもなります。

もし事業者が事実確認などに何週間もかかってしまうということになったら、当該事業者は「第一報」や「暫定版」などの連絡・報告・公表などを随時行うべきです(段階的な報告)。

こう考えると、個人情報漏洩事故が発覚してから1か月以上も顧客への連絡などを行っていない株式会社アスカは、個人情報保護法に違反しているおそれがあります。

(なお、EUのGDPR(一般データ保護規則)33条は、個人データ漏洩事故が発覚した事業者に対して72時間以内の個人データ保護当局への報告を義務付けています。EU国籍の顧客の個人データなどを取扱っている事業者はより迅速な対応が求められます。)

(3)個人情報保護法上の違反があった場合
上でみたように、労働者派遣法23条の3などは派遣元事業者に対して個人情報保護法上の事業者の義務を遵守することを求めています。

そして、同法などの違反があった場合について、労働者派遣法50条、51条は厚労大臣は派遣元事業者に対して報告徴求と立入検査を行う権限があることを定めています。さらに同法48条、49条は、厚労大臣は派遣元事業者に対して、指導・助言および改善命令・業務停止命令などを発出する権限があることを規定しています。 また、個人情報保護法も、同法40条以下において個人情報保護委員会は事業者に対して報告徴求、立入検査を行う権限があり、また個人情報保護に関して指導・助言を行う権限があることを規定しています。

(4)まとめ
つまり、個人情報漏洩事故を起こし、漫然と顧客への連絡や事実の公表などを1か月以上実施していない株式会社アスカは、監督官庁である厚労省だけでなく個人情報保護委員会から報告徴求、指導・助言などの行政指導等を受ける行政上の法的リスクが存在することになります。

(5)個人情報漏洩の場合の対応の法的義務化
なお、7月15日付の日経新聞によると、政府は2022年にも一定規模以上の個人情報漏洩事故が発生した場合に、事業者に対して顧客への連絡・通知を行うことを義務付ける方針であるとのことです(日経新聞「サイバー被害、全員に通知 個人情報漏洩で企業に義務」2020年7月15日付)。

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・小向太郎・石井夏生利『概説GDPR』106頁

個人情報保護法〔第3版〕

概説GDPR

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.はじめに
最近の日経新聞によると、日立の子会社「ハピネスプラネット」は、新しい「ハピネス事業」において、従業員の「幸福」度を向上させ、職場・会社の業務の改善を行うという目的のために、日立は従業員にスマホの各種センサー類を活用するスマホアプリを導入させて、常時、広範な個人データを網羅的に取得し、それらの個人データをコンピュータ等で分析し、従業員の幸福度のモニタリングを実施しているようです。

・日立、幸福度を測るアプリ提供で新会社|日経新聞
・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立|日立製作所

この日立の取り組みに対しては、そもそもの「幸福度」、「ハピネス度」などの概念への疑問や、そもそも会社が従業員に会社が考える「ハピネス」「幸福」を押し付けてよいのかという問題や、会社が従業員をスマホアプリにより常時網羅的にモニタリングするというやり方に手段に相当性があるのかなど多くの疑問がSNSなどのネット上に投稿されています。

2.プライバシー権・自己決定権・人格権と指揮命令権
何が自分にとって「幸福」かについては、従業員(国民)個人個人の内心の自由の問題(憲法19条)であり、第三者や使用者たる企業等や国が安易に介入を許されない、従業員・国民の私的領域のプライバシーや自己決定権・人格権の問題です(憲法13条)。

しかしその一方で、会社等で働く従業員は使用者たる会社と労働契約を締結している関係にあり、この労働契約に付随して使用者たる会社は条業員に対する指揮命令権をもっています。そのため、一般的に会社の上司などが、従業員に対して指示・監督などを行うために観察などを行うことは、原則としては許容されるとされています。

3.日立・ハピネスプラネットの業務は法的に問題はないのか
とはいえ、日立の新しい「ハピネス事業」においては、従業員の「幸福」度を向上させ、職場・会社の業務の改善を行うという目的のために、日立は従業員に本件スマホアプリにより、スマホのセンサーを使って常時、広範な個人データを取得を網羅的に取得し、それらの個人データをコンピュータ等で分析し、従業員の幸福度のモニタリングを実施しているようです。このような日立の従業員に対する新しいモニタリング手法は法令上問題がないのでしょうか。

4.使用者は従業員の私的領域にどこまで侵入できるか
(1)西日本鉄道事件
この点に関しては、従業員が退社する際に会社が所持品検査を行うことが許されるかどうかが争われた事件において、最高裁(西日本鉄道事件・最高裁昭和43年8月2日判決)は、「使用者が従業員に対して行う所持品検査は、これは被検査者の基本的人権に関する問題であって、その性質上、常に人権侵害のおそれを伴うものであるから、たとえそれが企業の経営・維持にとって必要かつ効果的な措置(略)であったとしても、そのことをもって当然に適法視されるものではない」とのスタンスを示した上で、所持品検査が適法となるための要件として、

①検査を必要とする合理的な理由のあること
②一般的に妥当な方法と程度であること
③職場従業員に画一的に実施されていること
④就業規則その他の規定に明示の根拠があること
の4要件をあげています。

(2)検討
ここで日立とハピネスプラネットの新事業をみると、①冒頭でもみたように、「なにが自分にとっての幸福か」とは、国民個人個人が自己の内面(私的領域)において考えるべき事柄であり、企業(あるいは国)が安易に介入すべきものではありません。そのため、合理的理由があるとはいえません。また、②本記事などを読む限り、本アプリは従業員のごく微細な動きなどのデータから本人の内心を読み取るなど、性格検査あるいはうそ発見器など装置・アプリであり、そのような機微な個人データを大量に常時モニタリングを行うことは、社会一般から見て妥当な方法と程度であるとはとてもいえません。

(3)結論
このように上の最高裁判決が示した4要件のうち、少なくとも2つを満たしていないので、日立とハピネスプラネットのこの新ビジネスは違法のおそれがあると思われます。

5.個人情報保護法の観点から
なおNHKの記事によると、日立は従業員のプライバシー・個人情報について、「計測されるのはあくまで本人も気付かないような体の細かな動きで、プライバシーに関わるようなものが取得されるわけではありません。」と主張しているようです。

・幸せって測れるの?サクサク経済Q&A|NHK

しかし、本人も気づかないような細かな体の動きも「動作」であり、個人情報保護法2条1項1号は「動作」も個人情報の一類型と例示しているので、日立がこれをデータとして収集したものは個人データです。



したがって、日立などは「動作」の個人データを収集・利用などしてこの新事業を行うためには、本人たる従業員に、個人情報の利用目的などを定めて(15条)、通知し(18条)、利用目的の範囲内でしか原則として利用できません。当然、それらの個人データには安全管理措置を講じなければなりません(20条)し、第三者提供も原則として従業員本人の同意が必要となります(23条)。日立がこのような各法的義務を履行しているのか気になるところです。

*注
はてなブックマークのコメント欄で、ごくわずかな「動作」は個人情報ではないとのご意見をいただいたようです。この点、個人情報保護法2条1項1号は、

個人情報を「氏名、生年月日その他の記述等(文書、図画もしくは電磁的記録(略))に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

と定義しています。つまり、氏名、住所、生年月日などだけにとどまらず、「特定の個人を識別」できる一切の事項が個人情報です。日立の新事業においても、ある従業員・被験者個人個人の「幸福度」「ハピネス度」を測定するためにスマホやウェアラブル端末を利用して当該従業員・被験者個人個人の「ごくわずかな動作」などを測定しているので、この動作も特定の個人を識別できる情報であるため、やはり個人情報となります。


6.GDPRと旧労働省の個人情報保護に関する行動指針
EU憲法(EU基本権憲章)8条は、「すべての者は、それぞれ自らに関する個人データの保護の権利を有する」と個人データ保護が基本的人権(基本権)であることを明示しています。これを受け、2018年5月に欧州では、GDPR(一般データ保護規則)が施行されています。そしてGDPR22条は、「コンピュータ等による個人データの自動処理の結果のみによる評価に服さない権利」を定めています。

スマホとスマホアプリで個人データを収集して自動処理を行う日立の「ハピネス」事業は、もろにDGPR22条の適用範囲に入っているように思われます。日本に対して十分性認定を行ったEUの個人データ保護当局がこの日立の取り組みをどう考えているのかは非常に興味があるところです。また、これまで日立が実施した本事業の被検査者に、EU国籍の人間がいなかったのかどうかも気になるところです。

なお、日本も欧米の個人情報保護法制の動きを参考にしつつ立法等を行ってきた経緯から、例えば2000年の旧・労働省の「労働者に関する個人情報の保護に関する行動指針」6(6)は、「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。」と、GDPR22条を先取りしたような規定が置かれていました。

このような個人データ・プライバシーの保護により国民の基本的人権や幸せを守ろうとする世界的な流れに対して、日立の新事業は真っ向から逆行しているように思われます。

■参考文献
・菅野和夫「労働法 第12版」262頁
・労務行政研究所「新・労働法実務相談 第2版」549頁
・堀部政男「プライバシー・個人情報保護の新課題」163頁(高野一彦)


人気ブログランキング

労働法 (法律学講座双書)

第3版 新版 新・労働法実務相談 (労政時報選書)

AIと憲法

このエントリーをはてなブックマークに追加 mixiチェック

hellowork_mendan
1.ネット版ハローワークがバージョンアップ
厚労省サイトによると、ハローワークのネット版(ウェブサイト)が1月6日より大幅にバージョンアップしたとのことです。そこで見てみたのですが、ログイン画面のプライバシーポリシーが非常に残念な出来栄えで驚きました。

・ハローワーク・インターネットサービス利用規約・プライバシーポリシー|厚労省

2.求職情報公開サービス
(1)個人を特定できない情報
このプライバシーポリシーによると、求職者がこのハローワークのネットサービス(「求職者マイページ 」)を申込む際に、ハローワーク窓口に「求職情報公開」および「求職情報公開サービス」を拒否(オプトアウト)しないと、 求職者の個人情報・個人データが求人企業、自治体および民間人材ビジネス企業提供・第三者提供されるとさらっと書かれており、ぎょっとします。

ここで、求人企業や民間人材ビジネス起業などに提供される個人情報について、このプライバシーポリシーは、「(個人を特定できない情報)」とかっこ書きをつけています。

しかし、このネット版ハローワークや現実のハローワークで登録され取り扱われている求職者の氏名・住所・生年月日・学歴・職歴・資格などのデータは、どう考えても厚労省職安局(あるいは委託されたIT企業)のサーバーの求職者個人DBの一部の個人データのはずです。

行政機関個人情報保護法2条2項1号は、個人情報とは、「特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 」と定めています。

このかっこ書きの部分(「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」)に照らすと、ハローワークの求職者データベースの一部のデータを民間企業に提供する際にそれを「個人を特定できないから個人情報ではない」というこのプライバシーポリシーは間違っています。

厚労省職業安定局は、これは非識別情報(匿名加工情報)なのだと主張するのかもしれませんが、それならそれでプライバシーポリシーにしっかりと明示するべきです。(統計データについては明文化されていますが、ここで明示されていないので、統計データでもないようです。)

(2)「民間人材ビジネス企業」に個人データを第三者提供?
また、第三者提供先が「民間人材ビジネス企業」としか書かれておらず、求職者本人からみてあまりにも漠然・広範囲であり、第三者提供の同意のための透明性がまったく保たれていません。これでは求職者は、自分の個人情報がどこのどんな事業者まで転々と流通してしまうのかまったく分かりません。

ハロワPP
(厚労省サイトのネット版ハローワークのプライバシーポリシーより)

なお、ハローワークや民間人材ビジネス会社を規制する職業安定法も、個人情報の定義につき行政機関個人情報保護法と同様の規定を置いており(4条11号)、またハローワーク等に対して利用目的を特定しその範囲内で個人情報を収集・利用するよう規定し(5条の4第1項)、さらにハローワークなどに対して安全管理措置を講じることを義務づけています(5条の4第2項)。加えて、ハローワークなどの職員には求職者の個人情報などについて守秘義務が課せられています(51条、51条の2、国家公務員法100条参照)。 にもかかわらず、職業安定法の所管である厚労省職業安定局・ハローワーク自身が、職業安定法の各規定に抵触しているおそれがあります。

このような状態でプライバシーポリシーに「企業などからメールなどが送信されることがあります」とあるのは、CCCのTポイントなのか、リクナビのような民間サービスを目指しているのかと目が点になってしまいします。

医療データほどセンシティブではないものの、学歴・職歴などがまとまったハローワークの求職者の個人情報・個人データは非常にデリケートな情報のはずですが、厚労省職業安定局は、そのような認識を持っていないのでしょうか?

ちょっと前に大量の就活生の個人データを不正に利用・加工・第三者提供するなどして大炎上したリクナビ事件で、リクルートグループやトヨタ等に対し、職安法に基づき行政指導などを行ったのは厚労省職業安定局・東京労働局ですが、その厚労省職安局がリクナビの真似してどうするのかと思います。

3.その他
その他にも、このプライバシーポリシーは、

・利用目的が「ハローワーク業務に使う」と漠然としておりまったく特定されていない
・開示・訂正等請求の手続きに関する条文が存在しない
・安全管理措置について組織的・人的・物理的安全管理措置の規定がない
・そもそも条文構成になっていない

等などざっと見ただけでもツッコミどころ満載です。

利用規約を読むと、このネット版ハローワークはマイナンバー(個人番号)も利用可能のようで、つまり個人情報保護委員会の管轄に含まれるようであり、同委員会はぜひ、厚労省職業安定局・ハローワークに対して助言・指導などを行っていただきたいと思われます。

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・厚労省の障害者向け「就労パスポート」を法的に考える-個人情報保護法・プライバシー・憲法

ブログランキング・にほんブログ村へにほんブログ村

人気ブログランキング

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法〔第3版〕

このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.はじめに
NHKの報道番組「クローズアップ現代+」が、「人事・転職ここまで!? AIがあなたを点数化」という番組を10月29日に放送しました。そのなかで、”AI人材紹介会社”のLAPRAS(ラプラス)が取り上げられ、その恐ろしさがネット上で反響を呼んでいます。

・人事・転職ここまで!? AIがあなたを点数化|NHK

LAPRASは、インターネット上のウェブサイト、ブログ、SNSなどの記載、書き込みなどをAIプログラムが収集し、データベータ化し、プロフィールなどを作成して人材紹介を行う会社であるようです。同社は、同事業を行っていたscoutyの後継会社です。

2.オプトアウト手続き
scoutyがLAPRASになって、大きく変わったのは、LAPRASからの求人企業への個人情報の第三者提供などについてオプトアウト制度を採用することとしています(個人情報保護法23条2項)。

つまり、"当社から求人企業に個人情報(データ)を第三者提供されたくないお客様は、当社にお申し出ください。”とする制度を明示したことであると思われます。

このように、個人情報の第三者提供という、“出口”の部分についてオプトアウト手続きが明確化されたことは大きな一歩前進ですが、”入口”にあたる、個人情報の収集・管理・利用などについてはどうなっているのでしょうか。

3.職業安定法5条の4
この点、個人情報の取得については、職業安定法5条の4、厚労省通達平成11年141号第4は、「本人から直接取得」することを原則とし、つぎに「本人の同意」を得た上で紹介会社等が本人以外のものから情報を収集することができるという仕組みになっています。

にもかかわらずLAPRASは、本人から直接個人情報を取得するのではなく、また、本人からあらかじめ同意も得ず、勝手にこっそり本人のネット上の書き込み等から個人データ取得して人材紹介業を行っていますが、これは職業安定法5条の4等に抵触しているのではないでしょうか。

4.個人情報保護法18条2項
また、個人情報保護法18条2項は、事業者が本人から「書面(電磁的記録を含む)」により個人情報(データ)を取得するときは、「あらかじめ本人に利用目的を明示」せよと規定しています。

(取得に際しての利用目的の通知等)
第十八条
    (略)
 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

この点、ラプラスは、AIプログラム等が、個人・本人のネット上の書き込み等から個人データの収集を始める段階では本人への利用目的の明示を行ってないようです。(NHKのクロ現+や数年前のニュース記事等によると。)これは明らかに個人情報保護法18条2項に反しているのではないかと懸念されます。

5.正確性・安全管理措置
さらに、もしLAPRASのAIプログラムにバグなどの瑕疵があり、ネット上の他人の書き込み等を間違えて本人のものとしていること等があるとしたら、個人データの正確性の確保(19条)や、個人データの安全管理措置(20条)にも違反してるのではないかと懸念されます。

LAPRASサイトをみると、同社のAIプログラムはネット上のさまざまな個人データを収集、分析、突合し、自動で本人のプロフィールなどを作成するそうですが、このプロフィールが本人からみて本当に正しいのか等の問題も発生するものと思われます。

6.守秘義務
加えて、職業安定法51条は人材紹介会社等に守秘義務を課しています。この義務違反には罰則があります(66条9号)。

本人にとって、例えば大学・大学院研究室サイトなどに掲載された本人の業績などはあまり問題がないかもしれませんが、その一方でネット上の過去のツイッターなどのSNSにおける書き込みや、過去に本人が匿名で書いたブログ記事などは、一般論としては本人にとって「黒歴史」であり、本人が求人企業などに見せたいとは思わない「秘密」であろうと思われます。

このようなさまざまな「黒歴史」で「秘密」な個人データをLAPRASはコンピュータプログラムを使って自動的に突合・分析し、個人データベースを作成し、本人のプロフィールを作成し、求人企業に対してそれらのデータをみせた上で「こんな人いますよ」と営業を行っているわけですが、もし安易に求人企業にこれらの「秘密」を元にした個人データベースやプロフィール等を見せているとしたら、それは守秘義務違反となるのではないでしょうか。

7.厚労省職業安定局の通達
この点、リクナビ事件について厚労省職業安定局は9月6日に、「本人の同意なく…あるいは十分な同意がない…内定辞退予測の…本人のあずかり知らぬ形での募集企業への提供は…学生本人の立場を弱め…学生の不安感を惹起するもの…職安法51条に照らし違法のおそれがある」との趣旨の通達を出しています。

厚労省通知リクナビ事件
(厚労省サイトより)

・募集情報等提供事業等の適切な運営について|厚労省職業安定局(令和元年9月6日)

本人の同意を得ていない内定辞退予測の募集企業への提供が、本人の秘密侵害であるとして人材紹介会社の守秘義務違反となるのなら、本人の同意を得ずに勝手にさまざまなネット上から情報を収集し、それを分析・加工した個人データも同様に本人の秘密であるとして、その本人のあずかり知らぬところでの募集企業などへの提供は、守秘義務違反となるのではないでしょうか。

8.人材会社「の判断による選別または加工」の禁止
くわえて、本通知は、本人の個人データを、「人材会社の判断による選別または加工」を行うことも禁止しています。LAPRASは、ネット上の本人のツイッターなどのSNSやブログ記事などの個人データを収集し、LAPRASの判断により選別・加工を行い、プロフィールなどDBを運営して事業を行っていますが、この本人のさまざまな個人データを収集したうえで選別・加工を行うビジネスモデルは職業安定法に反し、個人情報保護法制の趣旨に反するものであると思われます。

(なお、「コンピュータによる個人データの自動処理」については、1996年にILOが「労働者の個人データの保護に関する行動準則」を制定し、そのなかには、「一般原則 5.6 電子的な監視で収集された個人データを、労働者の成績を評価する唯一の要素とすべきではない。」との条文があります。この考え方は欧州では、EU指令からGDPRに引き継がれています。日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」などに表れています。(堀部政男『プライバシー・個人情報保護の新課題』163頁))

9.まとめ
このように職業安定法や厚労省通達、個人情報保護法などに照らすと、さまざまな面でLAPRASの業務は、ビジネスモデルの根幹の部分で法令に抵触しているように思われます。


法律・法学ランキング

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

プライバシー・個人情報保護の新課題

このエントリーをはてなブックマークに追加 mixiチェック

computer_suit_woman
1.職場でメガネ禁止?
昨日ごろより、「#メガネ禁止」などの単語がツイッター上でトレンド入りしています。これは、最近、会社の窓口部門や秘書部門などの女性職員が、「メガネ禁止」などの趣旨の指導・指示を受けるケースがあるという話題です。ねとらぼもつぎのような記事を作成しています。労働法的にはこれはどうなのでしょうか。

・「女性はメガネ着用禁止」の職場に批判の声多数 「ハラスメントだ」「なぜ女性だけ?」|ねとらぼ

2.会社の服務規律などの限界
視力に問題のある労働者がメガネをかけるのか、かけるとしてどのようなメガネをかけるのか等は、個人の身じまいに関する事柄であり、基本的には労働者の自己決定権・人格権に属することがらです(憲法13条)。

ところで、事業者(=企業)においては、たとえば入退館に関する規律、遅刻・早退・欠勤・休暇などの手続き、服装規定、上司の指示・命令への服従義務、職場秩序の保持、などの服務規律が定められています。

しかし、労働者は事業者および労働契約の目的上必要かつ合理的なかぎりでのみ服務規律等に服するのであり、「企業の一般的(=包括的な)な支配に服するものではない」のです(最高裁昭和52年12月13日判決)。

具体的には、事業者・企業において制定される規則や、発せられる命令等は、事業者の円滑な運営上必要かつ合理的なものであることが求められ、たとえば、労働者の私生活上の行為は、実質的にみて企業秩序に関連性のある限度においてのみその規制の対象となるとされています。(菅野和夫『労働法 第11版補訂版』653頁)

3.メガネ・ひげ
つまり、例えばモデルなど外観を条件として雇用契約が締結されたような例外的な場合は別として、一般的な労働者が普通の職場でメガネをかけることは個人の自己決定に属することであり、企業側が「メガネをかけないで」と指示するためには、その命令に「事業の運営上必要かつ合理的」な理由が必要であり、これはなかなか難しいのではないかと思われます。

この点、ハイヤー運転手の口ヒゲが問題となった事例では、裁判所は、「ハイヤー乗務員要綱」が禁止するヒゲとは、「無精ひげ、異様、奇異なひげ」などに限定されるとした裁判例も存在します(イースタン・エアポートモータース事件・東京地裁昭和55年12月15日)。

そのため一般的には、女性職員のメガネが「異様、奇異」なものではない限りは、企業側は、これをかけるなと職員に命じることは困難なのではないかと思われます。

そもそも事業者側は労働者に対して、職務において安全で仕事ができるよう配慮する安全配慮義務などを負っており(労働契約法5条)、視力に問題のある職員に「メガネをかけるな」と命令することはこの義務からも困難と思われます。

なお、今回のメガネの件については、「われわれはマネキン扱いなのか」という声もツイッター上にあがっています。

この点、近年、性同一性障害者の別姓容姿を理由としてなされた職場からの懲戒解雇を無効とした裁判例も出されています(S社事件・東京高裁平成14年6月20日、菅野・同前)。

4.まとめ
このように、労働法の裁判例は、労働者の人格権や自由(思想信条の自由、容貌に関する表現の自由を含む)の保護の見地から、企業の服務規律上の権限を限定する立場をとっています。

したがって、ツイッターで話題になるように、もし多くの企業・官庁などの職場で、漫然と労働者に対して「メガネをかけるな」との指示・命令が出されているとしたら、労働法的に問題があります。

cf.
なお、もし「メガネをかけるな」という命令が、女性という理由だけで出されているとしたら、それは男女雇用機会均等法や職業安定法などが定める男女平等原則に抵触する可能性があります。

さらに、上でみたように、メガネをかけるか、どのようなメガネをかけるか等は個人のプライベートな領域の問題ですので、もし職場の上司などが、それをかけるな等と強く指示するようなことがあった場合、これはパワーハラスメントの6類型のなかの「個の侵害」あるいは「精神的な攻撃」に該当する可能性もあるかもしれません。

■関連するブログ記事
・大阪市営地下鉄の運転士はひげを生やすことができないのか?-髪形・服装・服務規律・公務員


法律・法学ランキング

労働法 (法律学講座双書)

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ