東急不動産脳波センサー
(東急不動産本社。日経新聞より)

1.コロナ禍によるテレワークの進展で、PCなどによる従業員のモニタリング・監視が進んでいる
コロナ禍によるテレワークの進展にともない、自宅等で業務を行っている従業員をPCやスマートデバイスなどでモニタリング・監視しようという研究開発が進んでいるようです。

例えば最近、NHKは4月24日に、「テレワーク 働きぶりの“見える化” 導入広がる 新型コロナ」というニュースを報道しました。

このニュースで取り上げられたIT企業アイエンターのシステムは、自宅等で働いている従業員がソフトウェア上の「着席」のボタンを押して仕事をしている間の、パソコンの画面がランダムに撮影され、上司に送信される仕組みがあるとのことです。いつ画面が撮影されるか社員には分からない仕様とのことです。

また、2019年10月に、東急不動産が職場の従業員に脳波センサーのヘッドギアを着けさせて従業員のモニタリング・監視を行っているという報道は、ディストピアSFのようだと、ネット上で大きな話題となりました。東急不動産は、脳波センサーだけでなく、音圧センサーなどのスマートデバイスを従業員につけさせることにより、従業員の感情、ストレスの度合い、会話や位置情報も収集し分析しているそうです。

・東急不動産の新本社、従業員は脳波センサー装着|日経新聞
・「働き方改革」の見える化を実現し、選ばれるオフィスへ|東急不動産


日立も、スマホ等で従業員をモニタリング・監視するアプリなどを開発する「ハピネス事業」を展開しています。また、NECやパナソニック、凸版印刷なども、「働き方改革」やテレワーク対策のために、従業員をPCやスマートデバイスなどでモニタリング・監視する商品・サービスの展開を進めているようです。

・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立|日立
・残業時間が丸見え NECが働き方監視サービスを強化|日経新聞
・ニューノーマル時代のオフィスとは? パナソニックの「worXlab」を訪ねる|マイナビニュース


2.日本の個人情報保護法制・労働法
このような事業者・使用者による従業員のPCやスマートデバイス、監視カメラなどによるモニタリング・監視は、法的に問題はないのでしょうか。

この点、2000年に制定された労働省「労働者の個人情報保護の行動指針」の「第2 個人情報の処理に関する原則」の6(5)(6)は、つぎのように規定しています。
「(5)職場において、労働者に対して常時ビデオ等によるモニタリングを行うことは、労働者の健康及び安全の確保又は業務上の財産の保全に必要な場合に限り認められるものとする。」

「(6)使用者は、原則として、個人情報コンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。

・労働者の個人情報保護に関する行動指針|厚労省

また、厚労省2019年6月27日付『労政審基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』の9頁、10頁は、HRtechや人事労務分野でAIを利用することについて、つぎのように問題点を指摘しています。

プライバシーについては、AI 等の活用により、個人データから政治的立場、経済状況、趣味・嗜好等が高精度で推定できるため、企業は、労働者の権利が侵害されないよう、サイバーセキュリティの確保を含むリスク管理のための取組を進めるなど適切に情報セキュリティを確保しつつ、個人データを扱うことが求められる。

『このため、AI の活用について、企業が倫理面で適切に対応できるような環境整備を行うことが求められる。特に働く人との関連では、人事労務分野等において AI をどのように活用すべきかを労使始め関係者間で協議すること、HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること、AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること等が必要である。

このように、テレワーク等の環境下において、PCやスマートデバイス等により歯止めなく無制限に従業員をモニタリング・監視することや、収集された個人データのみにより従業員の人事考課を行うことは、「労働者の個人情報保護に関する行動指針」第2.6(5)(6)に違反しており、また、厚労省の2019年6月27日付の労政審基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁の趣旨にも抵触していることになります。

3.裁判例から考える
企業・使用者には、労働契約に基づいて従業員に対して指揮命令権(労務指揮権)があり、また職場の施設管理権も有しています。

しかし職場内においても、労働者にとって私的な領域が存在し、労働者のプライバシー権や人格権が問題となります。そのため、企業が会社の備品の保全や製品・サービスの品質管理などのために、労働者のロッカーなどの所持品検査や職場の電子メールの監視・モニタリングなどをどの程度行うことができるのかついて、裁判で争われてきました。

この点のリーディングケースである、西日本鉄道事件の最高裁判決は、使用者が行う所持品検査について、①検査を必要とする合理的な理由の存在、②検査方法と程度の妥当性、③制度として職場の従業員に画一的に実施されていること、④就業規則その他に明示の根拠があること、という所持品検査が適法となる4要件を示しました(最高裁昭和43年8月2日判決・西日本鉄道事件)。

そして、職場の電子メールの監視・モニタリングが争点となった、F社Z事業部電子メール事件(東京地裁平成13年12月3日判決)の判決は、「監視の目的、手段およびその態様等を総合考量し、監視される側に生じた不利益とを比較考量の上、社会通念上相当な範囲を逸脱した監視がなされた場合、プライバシー権の侵害となる」と判示しています。

すなわち、「監視の目的、手段、その態様などを総合考量し、監視される側に生じた不利益とを総合考量して、社会通念上相当な範囲を逸脱した監視がなされた場合」には、労働者のプライバシー権が侵害され不法行為が成立することになります(山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁)。

この裁判例をもとに冒頭の東急不動産や日立の「ハピネス事業」の取組や、NHKの報道しているテレワークにおける従業員のモニタリング・監視を検討すると、「よりよい職場環境のための研究」「テレワーク中の従業員が職務に専念しているか監視すること」などの「監視の目的」は、一応、妥当なものといえるかもしれません。

しかし、業務時間中ずっとPCや脳波センサーなどのデバイスで従業員を監視し続けることは、「監視の手段、その態様」において、社会通念上相当な範囲を超えていると思われます。とくに東急不動産の脳波センサーなどの事例は、従業員の脳波というセンシティブな生体データを業務時間中ずっとモニタリングしており、「監視の手段、様態」の面で大きく社会通念上相当な範囲を逸脱しています。

したがって、テレワークにおけるPCによる従業員のモニタリング・監視や、東急不動産や日立の脳波センサーやスマホによる従業員のモニタリング・監視は、かりに従業員側から民事訴訟が提訴された場合、「監視の手段、様態」などが限度を超えており、従業員のプライバシー権(憲法13条)が侵害され不法行為に基づく損害賠償責任(民法709条)が成立するという判決が出される可能性があります。

4.EUのGDPRから考える
2018年から施行された、EUのGDPR(一般データ保護規則)は、同22条1項において、「コンピュータによる自動処理(プロファイリング)のみによる法的決定・重要な決定を拒否する権利」を規定しています。

管理者(事業者)とデータ主体(本人)との契約に必要な場合等はその例外となるとされていますが(同22条2項)、生体データ・健康データ等のセンシティブ情報(特別カテゴリーの個人データ)はそのさらに例外で「本人の明示的同意」が必要(9条)とされています。しかも管理者は、本人から同意を取得する前提として、本人にどのようなデメリットがあるか等の情報提供義務(13条、14条)を負います。

またさらに、GDPRにおいては、本人の同意の任意性が重視されます。管理者とデータ主体との間に力関係の明らかな不均衡がある場合は、同意は有効な適法要件とすべきではないと規定されています(前文43条)。

そして、GDPRの解釈・運用指針の一つの、29条作業部会「同意に関するガイドライン(WP259 ver.01)」5頁以下は、「管理者が本人に対して強い立場にある場合は、同意を根拠に個人データを取扱うことはできない。雇用主に対して、個人データを取扱わないでほしいと本人が要請することは通常難しい。雇用主が職場の監視カメラ設置や、人事関連書類の提出について従業員に同意を求めれば、従業員はこれを拒否することに躊躇するはずである。そのため、雇用主は、基本的に同意を根拠として個人データの処理はできない。」と規定しています(小向太郎・石井夏生利『概説GDPR』60頁)。

したがって、日本では、さまざまな企業がわれ先にと、PCや監視カメラなどを利用した従業員のモニタリング・監視の商品・サービスの研究開発を行い、これらの商品・サービスの販売が行われていますが、このような日本の従業員の監視・モニタリングの商品・サービスは、EUのGDPRにおいては違法と判断される可能性が高いと思われます。

とくに日立は欧州に事業所を設置して業務を行っておりますが、自社の「ハピネス事業」についてEUのデータ保護当局から説明を求められた場合に、どのように説明しようとしているのか気になるところです。

なお、EUは4月21日に、AI規制法案を公表しました。これは、GDPR22条のAI版とも呼べるものであり、防犯カメラによる顔認証の原則禁止や、信用スコア、運輸・ガス・水道関連の社会インフラ、教育分野、採用・人事考課、ローンなどに絡む信用調査、移民・難民に関わる事務などへのAIの利用が規制の対象となります。

・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence|European Union

5.西側自由主義諸国の個人データ保護法制の歴史(?)とまとめ
1960年代からのコンピュータの発展による人権侵害のおそれを受けて作成された、1974年の国連事務総長報告書「科学の発展と人権」以来、「コンピュータによる人間の選別を拒否する権利」(プロファイリング拒否権)プライバシー権・自己情報コントロール権などと並んで世界の個人情報保護法(個人データ保護法)の重要な法目的のひとつでした。この考え方は、1980年のOECD8原則や、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいては1995年のEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年4月に公表されたAI規制法案に受け継がれています。(2009年発効のリスボン条約により法的拘束力を持つEU基本権憲章Ⅱ-8は「あらゆる人は、自らに関する個人情報を保護される権利を持つ」と個人情報保護を規定しています。)

そして日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」第2「個人情報の処理に関する原則」6(6)「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない」と規定され、2019年の厚労省の「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁においてもこの考え方は踏襲されています。つまり日本においても、プロファイリング拒否権の考え方は無縁ではないのです(宮里邦雄・徳住堅治『労働法実務改正8 高齢者雇用・競業避止義務・企業年金』144頁)。

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2

日本の個人情報保護法制においては、この「コンピュータによる人間の選別を拒否する権利(プロファイリング拒否権)」がなぜか立法目的においてぼかされたまま立法や運用が行われてきました(個人情報保護法1条、3条)。

しかし、国民の個人の尊重や基本的人権の確立を国家の目的(憲法11条、97条)とする、18世紀以降の西側自由主義諸国の近代憲法による民主主義国家という国家体制を、日本が今後も採ろうとするのであれば、日本は個人情報保護法制において、「コンピュータによる人間の選別を拒否する権利」やプライバシー権、自己情報コントロール権などを立法目的に明記し、それを守るための立法や運用を行うべきです。

このままでは、日本の個人データ保護法制はガラパゴス化の道を進み、西側自由主義諸国の個人データ保護法制からますます離れて、中国などのような国家主義・全体主義国家の個人データ保護法制にますます接近してしまうと思われます。

■追記(2021年8月)
『ビジネス法務』2021年9月号78頁の弁護士の川端小織先生の論文「在宅勤務における「従業員監視」はどこまで許されるか?」は、ウェアラブル端末による従業員のモニタリングについて、「ウェアラブル端末を用いれば在宅勤務中の従業員の脳波を計測し、そこから従業員の集中力を導き出して人事評価に利用するとの発想もあり得る。しかしこのようなモニタリングはプライバシー侵害の危険という法的問題があるうえ、従業員にとって納得感のある客観的な人事評価指標とはいえないであろう」としておられます。

■関連するブログ記事
・従業員をスマホでモニタリングし「幸福度」「ハピネス度」を判定する日立の新事業を労働法・個人情報保護法的に考えた
日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・2021年の個人情報保護法の改正法案の学術研究機関の部分がいろいろとひどい件-デジタル関連法案
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・菅野和夫『労働法 第12版』262頁、695頁
・岡村久道『個人情報保護法 第3版』225頁
・小向太郎・石井夏生利『概説DGPR』60頁、64頁、93頁
・山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁
・労務行政研究所『新・労働法実務相談 第2版』551頁
・田島正広『インターネット新時代の法律実務Q&A 第3版』110頁
・川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁
・宮里邦雄・徳住堅治『労働法実務改正8 高齢者雇用・競業避止義務・企業年金』144頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・衆憲資第56号 欧州憲法条約-解説及び翻訳-|衆議院
・労働政策審議会労働政策基本部会報告書~働く人が AI 等の新技術を主体的に活かし、豊かな将来を実現するために~(2019年)|厚労省