なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 労働法

面接
1.朝日新聞の「ウェブ面接で「部屋着見せて」 就活セクハラ、対策は」
2021年8月22日付の朝日新聞の「ウェブ面接で「部屋着見せて」 就活セクハラ、対策は」という記事がネット上で話題となっています。
・ウェブ面接で「部屋着見せて」就活セクハラ、対策は|朝日新聞

■追記(2021年12月22日)
朝日新聞の2021年12月12日付の記事「(フォーラム)裏アカ調査、どう考える」が、河合塁・岩手大学准教授(労働法)「企業側や委託を受けた調査会社が就活生のSNSの「裏アカ」などを調査することは、職業安定法違反のおそれがある」との趣旨のコメントを掲載したことを、このブログの下部に追記しました。

この記事によると、コロナ禍における就活のウェブ面接において、採用選考を行う企業の人事部やリクルーターなどが、就活生に対して「部屋着を見せて」「部屋の様子も見せて」などとセクハラ・パワハラ的な要求を行う事例が発生しているとのことです。

またツイッター上では、この問題に関連して、ウェブ面接において本棚の本などに関して企業の面接担当より「そのような本は当社にあなたが入社した際に何の役にたつの?」などと、採用選考と関係のない嫌がらせのような質問をされたなどの事例も投稿されています。

このような企業の人事部やリクルーターなどのウェブ面接での行為は、セクハラ・パワハラに該当するおそれがあり、また企業による就活生・求職者などに対するプライバシー権侵害として、そのような行為を行った企業は不法行為に基づく損害賠償責任を負う可能性もあります(民法709条、憲法13条)。

2.職業安定法5条の4・労働省告示平成11年第141号が禁止する個人情報の収集
大昔の最高裁の判決には、日本は民事上「私的自治の原則」があり、企業側には「採用の自由」があるので、企業側が求職者等の思想・信条に関する情報を収集することは違法ではないとする判決も存在します(最高裁昭和48年12月12日判決・三菱樹脂事件)。

しかしこの判決は当時においても求職者のプライバシーを軽視しすぎであるとの社会的批判を受け、就活生や求職者の採用選考に関する職業安定法は、立法により求人を行う企業などによる就活生や求職者の個人情報の収集に法規制を設けています。

つまり、職業安定法5条の4(求職者等の個人情報の保護)は、求人を行う企業、人材紹介会社、ハローワークなどは、就活生・求職者等の個人情報に関して、「個人情報を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。」と規定しています。

つまり、求人を行う企業や人材紹介会社などは、就活生・求職者などから無制限に個人情報を収集することは許されず、当該求人を行う企業の「業務の目的の達成に必要な範囲内」でのみ求職者等の個人情報を収集し保存・利用することが許されています。

そして求人を行う企業や人材紹介会社などは、個人情報保護法15条に基づき、就活生などから個人情報を収集する際の個人情報の利用目的を特定し、同法18条に基づきその利用目的などをあらかじめ就活生などに対して通知・公表しなければなりません。

また、この職業安定法5条の4に関連して厚労省は、労働省告示平成11年第141号(以下「労働省告示」という)という通達を出しています。
・職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針(平成11年労働省告示第141号)|厚労省

この労働省告示は「第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)」において、つぎのように、①人種、民族、社会的身分、門地、本籍、出身地その他社会的差別の原因のおそれのある事実②思想および信条③労働組合への加入状況などの個人情報の収集を禁止しています。

そして厚労省の「公正な採用選考の基本」は、求職者等の個人情報の収集に関して「(3)採用選考時に配慮すべき事項」においてさらに詳しい説明を行っています。
・公正な採用選考の基本|厚労省

厚労省「公正な採用選考の基本」
(3)採用選考時に配慮すべき事項
次のaやbのような適性と能力に関係がない事項を応募用紙等に記載させたり面接で尋ねて把握することや、cを実施することは、就職差別につながるおそれがあります。

<a.本人に責任のない事項の把握>
本籍・出生地に関すること (注:「戸籍謄(抄)本」や本籍が記載された「住民票(写し)」を提出させることはこれに該当します)
家族に関すること(職業、続柄、健康、病歴、地位、学歴、収入、資産など)(注:家族の仕事の有無・職種・勤務先などや家族構成はこれに該当します)
住宅状況に関すること(間取り、部屋数、住宅の種類、近郊の施設など
生活環境・家庭環境などに関すること

<b.本来自由であるべき事項(思想信条にかかわること)の把握>
宗教に関すること
支持政党に関すること
人生観、生活信条に関すること
尊敬する人物に関すること
思想に関すること
労働組合に関する情報(加入状況や活動歴など)、学生運動など社会運動に関すること
購読新聞・雑誌・愛読書などに関すること

<c.採用選考の方法>
身元調査などの実施 (注:「現住所の略図」は生活環境などを把握したり身元調査につながる可能性があります)
・合理的・客観的に必要性が認められない採用選考時の健康診断の実施


したがって、朝日の記事にあった、「部屋着を見せて」などの企業側の要求は、この「採用選考の基本」が禁止する「生活環境・家庭環境に関する情報の収集」に抵触する違法な要求と思われますし、「部屋のなかをよくみせて」などの要求も「住宅状況に関する情報の収集」や「生活信条に関すること」などの規定に抵触する違法なものと思われます。また、冒頭であげた、部屋のなかの本・雑誌・CDなどに関する企業側の質問なども、「採用選考の基本」が禁止する「購読新聞・雑誌・愛読書など」、「人生観、生活信条」、「思想」、「尊敬する人物」などに関する情報収集に該当し違法です。

3.調査会社による就活生などのSNSの「裏アカウント」の書き込み等の調査
さらに労働省告示は、求人を行う企業や人材紹介会社などは、就活生・求職者から個人情報を収集する場合には、本人から直接収集するか、または本人の同意の下で本人以外の者から収集しなければならないなど、個人情報の収集の方法も適切かつ公平な手段で行われなければならないと規定しています。

加えて厚労省の「公正な採用選考の基本」は、「身元調査」も望ましくないとしています。

そのため、求人企業の人事部が安易に調査会社・探偵会社等に委託して、TwitterなどSNSのアカウントや裏アカウント(「裏アカ」)を割り出してその書き込みの調査を行うなどのネット上の身元調査・素行調査を行う調査会社・探偵会社(「KCC 企業調査センター」(東京都千代田区飯田橋)や「ソルナ」(東京都中央区)など)の違法・不当なサービスを利用するであるとか、GithubやSNSなどネット上の個人情報を勝手に収集して違法・不当な人材紹介ビジネスを行っている、HackerBase JobsLAPRASなどのネット系・AI系人材紹介会社などを利用することは望ましくないと考えられます。

企業調査センター
(KCC企業調査センターのサイトより)

ソルナネットの履歴書
(ソルナのサイトより)

LAPRAS
(LAPRASのサイトより)

(2019年には就活生内定辞退予測データの売買を行っていたことが発覚した「リクナビ事件」が大きな社会的非難を受けました。この事件においては、個人情報保護委員会は、リクルートキャリアだけでなく、リクナビを利用していた求人企業のトヨタなどに対しても、「新しい事業を行うにあたって、社内で組織的に個人情報保護法などの法令を十分に検討していなかった」ことを理由の一つとして行政指導を行っています(個人情報保護委員会「株式会社リクルートキャリアに対する勧告等について」(令和元年12月4日))。)
・「株式会社リクルートキャリアに対する勧告等について」(令和元年12月4日)|個人情報保護委員会
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

なお、労働省告示は、上であげた個人情報の収集の制限に関して、「ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでない」とのただし書きを置いています。しかし労働法の実務書は、一般企業においてこのただし書きが適用される場合は少ないとしています(大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁)。

加えて、求人を行う企業や人材紹介会社などは、収集した個人情報については滅失・毀損・漏えいなどが発生しないように安全管理措置を講じることが要求されます。加えて求人を行う企業や人材紹介会社などが就活生等の秘密に係る個人情報を知った場合はこれを厳重に管理しなければならないと規定されています。(そのため、2019年の就活生の内定辞退予測データの授受を行っていたリクナビ事件の、リクルートキャリアやトヨタなどはこの点にも違反しています。)

4.職業安定法5条の4・労働省告示平成11年第141号に違反があった場合
求人を行う企業や人材紹介会社等が、上でみたような職業安定法5条の4や労働省告示に違反があった場合、当該企業などは厚労省から改善命令を受ける場合があります(職業安定法48条の3)。また、当該企業が改善命令に違反した場合は、6か月以下の懲役または30万円以下の罰金の罰則を科せられる場合があり、これは両罰規定となっています(法65条7号、法67条)。

さらに、求人を行う企業や人材紹介会社などから上のような行為を行われた就活生や求職者などは、ハローワークや都道府県労働局、労基署などを通じて厚生労働大臣に申告を行い、厚生労働大臣に必要な調査や措置を行わせることができます(法48条の4)。

加えて、このような企業などによる違法な個人情報の収集などが行われた場合は、当該企業は不法行為に基づく損害賠償責任を負う法的リスクがあります(東京地裁平成15年5月28日判決・東京都警察学校・警察病院HIV検査事件など)。

5.まとめ
いずれにせよ、就活生や求職者に対して採用選考の場面で上のようなセクハラ・パワハラ的な行為、プライバシー侵害やSNSにおける「裏アカ」の調査など、違法な個人情報の収集、調査などを行うような企業は、もし就活生などが採用されたとしても、職場でセクハラ・パワハラや労働法違反、各種の法令違反などが横行しているコンプライアンス意識が欠けたブラック企業である可能性が高いのではないでしょうか。就活生や求職者の方々は、ウェブ面接などやSNS上の書き込みなどに関して上のような違法・不当な被害を受けた場合は、その企業への就職は辞退したほうがよいかもしれません。

■追記(9月25日)
朝日新聞が9月に企業の就活生のSNSの「裏アカ」の調査の問題を特集して取り上げていました。そのなかの、「「取り違えないといえるか」「社会の萎縮心配」 裏アカ調査に識者は」との記事は、個人情報保護法や知的財産権法などの専門家の岡村久道先生などのコメントが大変参考になります。
・「就活生の裏アカ特定、企業に報告…ネットから見える「ホントの姿」」|朝日新聞
・「取り違えないといえるか」「社会の萎縮心配」 裏アカ調査に識者は|朝日新聞

■追記(2021年12月22日)
朝日新聞の12月12日付の記事「(フォーラム)裏アカ調査、どう考える」のなかで、朝日新聞は労働法の河合塁・岩手大学准教授に取材し、おおむねつぎのような河合先生のコメントを掲載しています。
・(フォーラム)裏アカ調査、どう考える|朝日新聞

河合塁・岩手大学准教授(労働法)のコメント(概要)
『1999年に改正され新設された職業安定法5条の4とそれに関連する厚労省の通達(労働省告示平成11年第141号)は、採用選考で企業側が収集してはならない個人情報(出身地域、人種、民族、思想・信条、労働組合活動の有無、親の借金など)を列挙しているおり、厚労省の「公正な採用選考の基本」などのガイドラインは「身元調査」「望ましくない」としている。採用企業や調査会社がSNSの裏アカなどを調べていて、意図せずにそうした収集してはならない個人情報に接して、その情報をもとに不採用とするケースがあった場合、それは身元調査と変わらず、職業差別(職業安定法3条)に該当し違法であるおそれがある。現在の企業側の「SNSの裏アカ調査をやったもの勝ち」の現状を是正するために、厚労省はまずは指針・ガイドラインで企業側に努力義務などを規定すべきだ。』

採用選考おいて企業側が就活生本人の同意なくSNSやSNSの「裏アカ」を調査する問題については、日経新聞などは「企業側は就活生等の「本音」や「日常の普通の様子」が知りたいのだからしかたない」などと開き直る企業側の姿勢を支持・応援するかのような記事を書いたり、朝日新聞なども就活生や企業側の意識のアンケート調査など、ピントのずれた記事ばかり掲載しているのが現状ですが、この朝日の記事が労働法の学者の先生に取材し、「職業安定法や厚労省の関連通達等に照らして違法のおそれがある」と明確なコメントを記事にしているのは、新聞記事にはめずらしいクリーンヒットな記事であると思われます。

採用選考おいて企業側が本人の同意なくSNSやSNSの「裏アカ」を調査することは、企業の人事部側の「お気持ち」や「ご意向」、あるいは就活生や企業側の「アンケート調査」などで決すべき社会学や人文科学的な問題ではなく、職業安定法5条の4(求職者の個人情報保護)同法3条(雇用における差別の禁止)に違反する違法な行為である、つまりSNSの「裏アカ」調査の問題は、法律の問題コンプライアンスガバナンスの問題であることを、就活生などを採用選考する企業の人事部や経営陣などは、まずは明確に認識する必要があります。

就活生等を募集する企業に、職業安定法違反があった場合、ハローワークや労働基準監督署、都道府県労働局、厚労省などは企業に対して報告徴求や立入検査を実施し、行政指導や行政処分を行う権限を持っています。

これは労働法の専門家の河合准教授が指摘するとおり、法律違反の行為であり、企業側の人事部や経営陣が就活生の「本音」や「日常のすがた」が知りたいと思っているから許されるという問題ではないのです。

■参考文献
・菅野和夫『労働法 第12版』69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁
・労務行政研究所『新・労働法実務相談 第2版』45頁
・公正な採用選考の基本|厚労省

■関連する記事
・人事は就活生のSNSを見ているのか?-就活と個人情報・SNS
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた

























タグ :
就活
採用選考
職業安定法
個人情報
プライバシー
これはひどい
裏アカ
企業調査センター
LAPRAS
河合塁
このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.Githubの利用規約とネット系人材紹介会社
ある方が、Twitter上で「「Githubをみてメールしました」との人材紹介会社からのメールが来るけれど、これはGithubの利用規約違反ではないか?」という趣旨の投稿をされているのを見かけました。

以前より、私もGithubやSNSなどネット上で個人情報を収集している最近のネット系人材紹介会社(LAPRASHackerBase Jobsなど)に関心があったので、Githubの利用規約をみてみました。

すると、Github利用規約「5.情報利用の制限」はつぎのように規定しており、たしかに、ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板など販売することなどの目的で、Githubのサービスから取得して利用することはできないとはっきり禁止規定が存在します。

Github利用規約
5.情報利用の制限
「ユーザ個人情報」を、ユーザに対して未承諾メールを送信する、人事採用担当者ヘッドハンター求人掲示板など販売するといった目的を含め、スパム目的で本「サービス」から取得 (スクレイピング、APIを介した情報収集、その他の手段による取得) した情報利用することはできません。


github利用規約5情報の利用制限
(Githubより)

・Github利用規約

また、Github企業向け利用規約「3.プライバシー」も次のように規定し、企業(「お客様」)はGithubから「外部ユーザー」(=当該企業の顧客には未だなっていないユーザー)個人情報を収集して使用するには、当該ユーザー「利用目的」への「承認」が必要であると明記しています。

つまり、ここでも企業がユーザーの個人情報を取得し利用するためには、ユーザー本人の同意が必要であると明記されています。

「お客様がGitHubから「ユーザ個人情報」を収集した場合、お客様は「外部ユーザ」承認した目的にのみその個人情報を使用するものとします。


github企業向け利用規約
(Githubより)

このようにみてみると、人材紹介会社が、Github上のユーザーの本人の同意なしに、ユーザーの個人情報を収集し、分析、加工するなどして求人を行っている企業の人事部やヘッドハンターなどに第三者提供することは、Githubの利用規約に違反していることになります。

もし、Github上のユーザーの個人情報の企業などによる違法・不当な収集・利用があった場合、「GitHubはGitHubまたは「外部ユーザ」からの苦情、削除要請、および連絡拒否の要請速やかに対応する」と規定されており(Github企業向け利用規約「5.情報利用の制限」)、また、企業などは「当社やその他ユーザからの苦情、削除要請、および連絡拒否の要請速やかに対応する」(Github利用規約「6.プライバシー」)ことが義務付けられています。

2.ネット系人材紹介会社と職業安定法5条の4・2019年の厚労省通達
また、2019年に就活生のネット閲覧履歴などのAI分析に基づく内定辞退予測データの販売が大きな社会的問題となったリクナビ事件を受けて、厚労省職業安定局は2019年9月6日付で「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)との通達を発出しています。

・厚労省職業安定局「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)|厚労省(PDF)

厚労省通達職発0906第3号

この2019年の通達では、人材紹介会社や求人企業などは、求職者の個人情報を収集する際には、「本人から直接収集」するか、あるいは「本人の同意」の下に収集をしなければならないと明記されており、職業安定法5条の4および指針通達平成11年第141号第4「法5条の4に関する求職者等の個人情報の取扱い」の規定が再確認されています。(なお、本人同意は形式的なものであってはならないこと、人材会社等のサービスを利用するために本人の同意を条件とするなど同意を事実上強制してはならないこと等も明記されていることも注目されます。)

また、この2019年の通達では、「人材会社などの事業者の判断により求職者の個人情報選別または加工を行うことの禁止」を明記していることも大いに注目されます。(これは、EUのGDPR22条や、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)などの「コンピュータによる個人データの自動処理のみによる法的決定・重要な決定の拒否権」と同じ趣旨の考え方であると思われ注目されます。平成28年の個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」制定後は、日本の官庁はこの自動処理拒否権を無視・否定しているかに見えたのですが、この考え方は現在も日本で有効であるようです。すなわち、現在の日本政府は、AIやコンピュータによる個人情報の無制限な利活用を許容していないことになります。

ネット系人材会社LAPRASなどは、サイトの説明によると、転職を希望している「転職顕在層」だけでなく、「転職潜在層」のGithubなどネット上の個人データを収集・加工して求人企業の人事部などに提供を行うビジネスを業務を行っているようです。また、同社サイトはオプトアウト手続きのための入力フォームを現在も設置しており、やはり本人の同意を得ていない個人の個人データをネット上で収集し加工するビジネスを現在も行っているようです。

LAPRAS宣伝
(LAPRAS社サイトより)

そのため、LAPRASなどネット系人材紹介会社の業務は、(LAPRASの場合は「転職潜在層」に関して)個人の個人情報について、「本人から直接取得」あるいは「本人の同意」を得て収集しておらず、また、それらの個人情報・個人データを事業者の判断で選別・加工して、その個人データを求人企業などに提供しているようです。

したがって、Githubなどネットで個人情報を収集してるネット系人材会社のLAPRASなどのビジネスモデルは、やはり、Githubの利用規約に違反してると共に、職安法5条の4や厚労省の通達平成11年第141号、2019年の厚労省通達職発0906第3号などに違反しているのではないかと思われます。

■参考文献
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』93頁
・山本龍彦『AIと憲法』101頁

■関連する記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた











タグ :
Github
個人情報
LAPRAS
人材会社
AI
職業安定法
GDPR
自動処理による決定拒否権
リクナビ事件
プロファイリング
このエントリーをはてなブックマークに追加 mixiチェック

東急不動産脳波センサー
(東急不動産本社。日経新聞より)

1.コロナ禍によるテレワークの進展で、PCなどによる従業員のモニタリング・監視が進んでいる
コロナ禍によるテレワークの進展にともない、自宅等で業務を行っている従業員をPCやスマートデバイスなどでモニタリング・監視しようという研究開発が進んでいるようです。

例えば最近、NHKは4月24日に、「テレワーク 働きぶりの“見える化” 導入広がる 新型コロナ」というニュースを報道しました。

このニュースで取り上げられたIT企業アイエンターのシステムは、自宅等で働いている従業員がソフトウェア上の「着席」のボタンを押して仕事をしている間の、パソコンの画面がランダムに撮影され、上司に送信される仕組みがあるとのことです。いつ画面が撮影されるか社員には分からない仕様とのことです。

また、2019年10月に、東急不動産が職場の従業員に脳波センサーのヘッドギアを着けさせて従業員のモニタリング・監視を行っているという報道は、ディストピアSFのようだと、ネット上で大きな話題となりました。東急不動産は、脳波センサーだけでなく、音圧センサーなどのスマートデバイスを従業員につけさせることにより、従業員の感情、ストレスの度合い、会話や位置情報も収集し分析しているそうです。

・東急不動産の新本社、従業員は脳波センサー装着|日経新聞
・「働き方改革」の見える化を実現し、選ばれるオフィスへ|東急不動産


日立も、スマホ等で従業員をモニタリング・監視するアプリなどを開発する「ハピネス事業」を展開しています。また、NECやパナソニック、凸版印刷なども、「働き方改革」やテレワーク対策のために、従業員をPCやスマートデバイスなどでモニタリング・監視する商品・サービスの展開を進めているようです。

・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立|日立
・残業時間が丸見え NECが働き方監視サービスを強化|日経新聞
・ニューノーマル時代のオフィスとは? パナソニックの「worXlab」を訪ねる|マイナビニュース


2.日本の個人情報保護法制・労働法
このような事業者・使用者による従業員のPCやスマートデバイス、監視カメラなどによるモニタリング・監視は、法的に問題はないのでしょうか。

この点、2000年に制定された労働省「労働者の個人情報保護の行動指針」の「第2 個人情報の処理に関する原則」の6(5)(6)は、つぎのように規定しています。
「(5)職場において、労働者に対して常時ビデオ等によるモニタリングを行うことは、労働者の健康及び安全の確保又は業務上の財産の保全に必要な場合に限り認められるものとする。」

「(6)使用者は、原則として、個人情報コンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。

・労働者の個人情報保護に関する行動指針|厚労省

また、厚労省2019年6月27日付『労政審基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』の9頁、10頁は、HRtechや人事労務分野でAIを利用することについて、つぎのように問題点を指摘しています。

プライバシーについては、AI 等の活用により、個人データから政治的立場、経済状況、趣味・嗜好等が高精度で推定できるため、企業は、労働者の権利が侵害されないよう、サイバーセキュリティの確保を含むリスク管理のための取組を進めるなど適切に情報セキュリティを確保しつつ、個人データを扱うことが求められる。

『このため、AI の活用について、企業が倫理面で適切に対応できるような環境整備を行うことが求められる。特に働く人との関連では、人事労務分野等において AI をどのように活用すべきかを労使始め関係者間で協議すること、HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること、AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること等が必要である。

このように、テレワーク等の環境下において、PCやスマートデバイス等により歯止めなく無制限に従業員をモニタリング・監視することや、収集された個人データのみにより従業員の人事考課を行うことは、「労働者の個人情報保護に関する行動指針」第2.6(5)(6)に違反しており、また、厚労省の2019年6月27日付の労政審基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁の趣旨にも抵触していることになります。

3.裁判例から考える
企業・使用者には、労働契約に基づいて従業員に対して指揮命令権(労務指揮権)があり、また職場の施設管理権も有しています。

しかし職場内においても、労働者にとって私的な領域が存在し、労働者のプライバシー権や人格権が問題となります。そのため、企業が会社の備品の保全や製品・サービスの品質管理などのために、労働者のロッカーなどの所持品検査や職場の電子メールの監視・モニタリングなどをどの程度行うことができるのかついて、裁判で争われてきました。

この点のリーディングケースである、西日本鉄道事件の最高裁判決は、使用者が行う所持品検査について、①検査を必要とする合理的な理由の存在、②検査方法と程度の妥当性、③制度として職場の従業員に画一的に実施されていること、④就業規則その他に明示の根拠があること、という所持品検査が適法となる4要件を示しました(最高裁昭和43年8月2日判決・西日本鉄道事件)。

そして、職場の電子メールの監視・モニタリングが争点となった、F社Z事業部電子メール事件(東京地裁平成13年12月3日判決)の判決は、「監視の目的、手段およびその態様等を総合考量し、監視される側に生じた不利益とを比較考量の上、社会通念上相当な範囲を逸脱した監視がなされた場合、プライバシー権の侵害となる」と判示しています。

すなわち、「監視の目的、手段、その態様などを総合考量し、監視される側に生じた不利益とを総合考量して、社会通念上相当な範囲を逸脱した監視がなされた場合」には、労働者のプライバシー権が侵害され不法行為が成立することになります(山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁)。

この裁判例をもとに冒頭の東急不動産や日立の「ハピネス事業」の取組や、NHKの報道しているテレワークにおける従業員のモニタリング・監視を検討すると、「よりよい職場環境のための研究」「テレワーク中の従業員が職務に専念しているか監視すること」などの「監視の目的」は、一応、妥当なものといえるかもしれません。

しかし、業務時間中ずっとPCや脳波センサーなどのデバイスで従業員を監視し続けることは、「監視の手段、その態様」において、社会通念上相当な範囲を超えていると思われます。とくに東急不動産の脳波センサーなどの事例は、従業員の脳波というセンシティブな生体データを業務時間中ずっとモニタリングしており、「監視の手段、様態」の面で大きく社会通念上相当な範囲を逸脱しています。

したがって、テレワークにおけるPCによる従業員のモニタリング・監視や、東急不動産や日立の脳波センサーやスマホによる従業員のモニタリング・監視は、かりに従業員側から民事訴訟が提訴された場合、「監視の手段、様態」などが限度を超えており、従業員のプライバシー権(憲法13条)が侵害され不法行為に基づく損害賠償責任(民法709条)が成立するという判決が出される可能性があります。

4.EUのGDPRから考える
2018年から施行された、EUのGDPR(一般データ保護規則)は、同22条1項において、「コンピュータによる自動処理(プロファイリング)のみによる法的決定・重要な決定を拒否する権利」を規定しています。

管理者(事業者)とデータ主体(本人)との契約に必要な場合等はその例外となるとされていますが(同22条2項)、生体データ・健康データ等のセンシティブ情報(特別カテゴリーの個人データ)はそのさらに例外で「本人の明示的同意」が必要(9条)とされています。しかも管理者は、本人から同意を取得する前提として、本人にどのようなデメリットがあるか等の情報提供義務(13条、14条)を負います。

またさらに、GDPRにおいては、本人の同意の任意性が重視されます。管理者とデータ主体との間に力関係の明らかな不均衡がある場合は、同意は有効な適法要件とすべきではないと規定されています(前文43条)。

そして、GDPRの解釈・運用指針の一つの、29条作業部会「同意に関するガイドライン(WP259 ver.01)」5頁以下は、「管理者が本人に対して強い立場にある場合は、同意を根拠に個人データを取扱うことはできない。雇用主に対して、個人データを取扱わないでほしいと本人が要請することは通常難しい。雇用主が職場の監視カメラ設置や、人事関連書類の提出について従業員に同意を求めれば、従業員はこれを拒否することに躊躇するはずである。そのため、雇用主は、基本的に同意を根拠として個人データの処理はできない。」と規定しています(小向太郎・石井夏生利『概説GDPR』60頁)。

したがって、日本では、さまざまな企業がわれ先にと、PCや監視カメラなどを利用した従業員のモニタリング・監視の商品・サービスの研究開発を行い、これらの商品・サービスの販売が行われていますが、このような日本の従業員の監視・モニタリングの商品・サービスは、EUのGDPRにおいては違法と判断される可能性が高いと思われます。

とくに日立は欧州に事業所を設置して業務を行っておりますが、自社の「ハピネス事業」についてEUのデータ保護当局から説明を求められた場合に、どのように説明しようとしているのか気になるところです。

なお、EUは4月21日に、AI規制法案を公表しました。これは、GDPR22条のAI版とも呼べるものであり、防犯カメラによる顔認証の原則禁止や、信用スコア、運輸・ガス・水道関連の社会インフラ、教育分野、採用・人事考課、ローンなどに絡む信用調査、移民・難民に関わる事務などへのAIの利用が規制の対象となります。

・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence|European Union

5.西側自由主義諸国の個人データ保護法制の歴史(?)とまとめ
1960年代からのコンピュータの発展による人権侵害のおそれを受けて作成された、1974年の国連事務総長報告書「科学の発展と人権」以来、「コンピュータによる人間の選別を拒否する権利」(プロファイリング拒否権)プライバシー権・自己情報コントロール権などと並んで世界の個人情報保護法(個人データ保護法)の重要な法目的のひとつでした。この考え方は、1980年のOECD8原則や、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいては1995年のEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年4月に公表されたAI規制法案に受け継がれています。(2009年発効のリスボン条約により法的拘束力を持つEU基本権憲章Ⅱ-8は「あらゆる人は、自らに関する個人情報を保護される権利を持つ」と個人情報保護を規定しています。)

そして日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」第2「個人情報の処理に関する原則」6(6)「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない」と規定され、2019年の厚労省の「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁においてもこの考え方は踏襲されています。つまり日本においても、プロファイリング拒否権の考え方は無縁ではないのです(宮里邦雄・徳住堅治『労働法実務改正8 高齢者雇用・競業避止義務・企業年金』144頁)。

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2

日本の個人情報保護法制においては、この「コンピュータによる人間の選別を拒否する権利(プロファイリング拒否権)」がなぜか立法目的においてぼかされたまま立法や運用が行われてきました(個人情報保護法1条、3条)。

しかし、国民の個人の尊重や基本的人権の確立を国家の目的(憲法11条、97条)とする、18世紀以降の西側自由主義諸国の近代憲法による民主主義国家という国家体制を、日本が今後も採ろうとするのであれば、日本は個人情報保護法制において、「コンピュータによる人間の選別を拒否する権利」やプライバシー権、自己情報コントロール権などを立法目的に明記し、それを守るための立法や運用を行うべきです。

このままでは、日本の個人データ保護法制はガラパゴス化の道を進み、西側自由主義諸国の個人データ保護法制からますます離れて、中国などのような国家主義・全体主義国家の個人データ保護法制にますます接近してしまうと思われます。

■追記(2021年8月)
『ビジネス法務』2021年9月号78頁の弁護士の川端小織先生の論文「在宅勤務における「従業員監視」はどこまで許されるか?」は、ウェアラブル端末による従業員のモニタリングについて、「ウェアラブル端末を用いれば在宅勤務中の従業員の脳波を計測し、そこから従業員の集中力を導き出して人事評価に利用するとの発想もあり得る。しかしこのようなモニタリングはプライバシー侵害の危険という法的問題があるうえ、従業員にとって納得感のある客観的な人事評価指標とはいえないであろう」としておられます。

■関連するブログ記事
・従業員をスマホでモニタリングし「幸福度」「ハピネス度」を判定する日立の新事業を労働法・個人情報保護法的に考えた
日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・2021年の個人情報保護法の改正法案の学術研究機関の部分がいろいろとひどい件-デジタル関連法案
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・菅野和夫『労働法 第12版』262頁、695頁
・岡村久道『個人情報保護法 第3版』225頁
・小向太郎・石井夏生利『概説DGPR』60頁、64頁、93頁
・山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁
・労務行政研究所『新・労働法実務相談 第2版』551頁
・田島正広『インターネット新時代の法律実務Q&A 第3版』110頁
・川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁
・宮里邦雄・徳住堅治『労働法実務改正8 高齢者雇用・競業避止義務・企業年金』144頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・衆憲資第56号 欧州憲法条約-解説及び翻訳-|衆議院
・労働政策審議会労働政策基本部会報告書~働く人が AI 等の新技術を主体的に活かし、豊かな将来を実現するために~(2019年)|厚労省 
































タグ :
モニタリング
監視
従業員
労働者個人情報保護行動指針
GDPR
AI規制法案
F社Z事業部事件
労働法
コロナ
プロファイリング
このエントリーをはてなブックマークに追加 mixiチェック

LINEスコア
1.個人情報保護法24条の「外国」に国名の明示は必要か?
LINEの個人情報漏洩事件では、LINEの個人情報が中国・韓国に移転していたことが大きな問題となっています。

■これまでのブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた


個人情報保護法24条は、①「外国」が個人情報保護法が個人情報保護レベルが日本と同等で安全と認定(日本版十分性認定)した国であれば個人データの第三者提供可能であること、あるいは②外国の「事業者」が個人情報保護委員会の定める安全管理の基準をクリアしていれば第三者提供可能であること、しかし①②を満たしていない場合はそのような安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要であると規定しています。

この点、①については、個人情報保護委員会が安全とお墨付きをした国は、2019年現在、EUとイギリスのみです(平成31年個人情報保護委員会告示第1号)。つぎに、②についても、LINEがそのように主張していない以上、安全管理の体制を満たす事業者ではないようです。そのため、LINEの件では③の安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要になります。

しかし、LINEは「LINEプライバシーポリシー」の「5.パーソナルデータの提供」において、「当社は、お客様から同意を得た場合(略)、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と、国名を具体的に明示していません。

2.「外国」は国名を明示しなくてよいのか?
そこで、法24条の「外国」について、③の本人の同意を取得するにあたって、あらかじめプライバシーポリシーなどで国名を明示する必要がないのかが問題となります。

この点について、改正法案の立案担当者が執筆した、日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』は、「原則として国レベル」の表示が必要としています。

この点、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、「事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な」な情報提供が必要であるとした上で、国名を明示しなくてもよい3つの具体例を例示しています。(薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁も同旨。)

法24条の国名を明示しなくてよい3つの具体例
①提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法

②実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)

③国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法など(例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供する場合)

LINEのプライバシーポリシーについては、具体例の②③が問題となります。具体例②についてみると、日本のLINEユーザーは、自分がLINEのサービスを受ける際に、自分自身の個人データの提供先を中国・韓国に決めていることはまずないと思われますので、具体例②は該当しません。つぎに、具体例③についても、日本の大半のLINEユーザーは、中国・韓国に旅行をするためにLINEを利用する等の事情はないと思われ、やはり具体例③も該当しません。

したがって、国名を明示しなくてもよい具体例のいずれにもあてはまらないので、やはり外国の国名を明示していないLINEのプライバシーポリシーは、個人情報保護法24条に違反しているのではないでしょうか。

一般人の理解に照らして「「外国の事業者」に自分の個人データが移転することがある」とのプライバシーポリシーを読んで、自分のセンシティブ情報の医療データや、マイナンバー等の重要な個人データが、韓国や中国に移転するとは合理的に判断できないのですから、やはりLINEの外国の国名を明示していないプライバシーポリシーは個人情報保護法24条違反であるとともに、消費者にとって騙し討ち的であり、消費者契約法10条や民法548条の2第2項(定型約款)に抵触しているのではないでしょうか。

3.民事上のリスク・風評リスクなど
また、LINEは法的トラブルとなったとき(現に今なっていますが)、法24条の条文が「国名を明示しろ」とは書いていないからと、かりに対行政庁のリスクはぎりぎりしのげたとしても、顧客との民事上のリスク(損害賠償請求のリスク)や風評リスク・レピュテーションリスクなどは回避できるのでしょうか?

プライバシーポリシーに明示もせずに、顧客の重要なデータを含む個人データを、日本の友好国とはいえない中国・韓国の事業者に勝手に移転していたということで、LINE・ヤフージャパン・Zホールディングスの日本の顧客や投資家、取引先、従業員などからの信頼は大きく低下するのではないでしょうか。そしてそれは、LINEをプラットフォームとしてビジネスや業務を展開していた、損保ジャパン、ライフネット生命、エン・ジャパン、総務省、厚労省、神奈川県、大阪府などの自治体なども同様と思われます。

4.個人情報のごった煮状態
それにLINEの問題は法24条だけでなく、LINE上でさまざまなサービスを展開することで結果として法15条、16条個人情報の利用目的を必要最小限に特定せず、幅広な個人情報を収集・利用していることや、法20条、22条の委託先の監督など安全管理措置がボロボロだったことにあるのではないでしょうか。

LINEは個人情報保護法がザル法であることをいいことに、多様な利用目的で多種多様な個人情報を収集し、「情報のごった煮状態」で個人情報の管理・分析・利用を行い、LINEスコアなどの、多種多様な個人データで個人の信用スコアを算定するというビジネスさえも実施しています。

(多種多様な業種・業界の企業と業務提携して個人データを収集し、「情報のごった煮状態」でデータマーケティングを運営しているTポイントのCCC(カルチュア・コンビニエンス・クラブ)に対しても、そのビジネスモデルに対して社会的批判が寄せられています。)

本人が把握しきれないような個人に関する多種多様な膨大な情報を事業者が保有している状況で、LINEスコアのような信用スコア事業を実施するのは、「コンピュータによる個人データの自動処理のみで法的決定や重大な決定を行ってはならない」という1980年代以降の世界の個人データ保護法制の立法目的や流れに反してるのではないでしょうか。(例えば、2019年のAIと労働者に関する厚労省労政審報告書、1996年ILO「労働者の個人情報保護に関する行動基準 一般原則5-6」、労働省「労働者の個人情報保護の基本方針」6(6)やGDPR22条など。)

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2


また、LINEはこの個人情報のごった煮状態で、LINEキャリアなどの人材ビジネスをも実施しています。これも、就活生が想像もできない方法でネット閲覧履歴などを収集・分析し、就活生の内心に関するデータを採用企業に販売するなど、就活生を裏切るビジネスモデルが大きな社会的非難を招いたリクナビ事件などのような法的リスクを含んでいるのではないでしょうか。(なお、この問題は、ネット系人材会社LAPRASなどにおいても同様と思われます。)

2020年改正の個人情報保護法は16条の2に、リクナビ事件などのような個人情報の不適正な利用を禁止する条文を新設しました。同改正法は2022年4月から施行ですが、LINEの各ビジネスは、法16条の2をクリアできるのかが問題となると思われます。

■関連するブログ記事
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁



個人情報保護法のしくみ [ 日置 巴美 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

タグ :
LINE
LINEスコア
LINEキャリア
security
privacy
個人情報
中国
韓国
安全保障
峯村砲
このエントリーをはてなブックマークに追加 mixiチェック

いらすとや個人情報
1.改正個人情報保護法
『週刊東洋経済』2021年3月6日号64頁に、2020年に改正のあった個人情報保護法についての解説記事(「22年施行 情報の「利用」を重視する 個人情報保護の規制強化」)が掲載されていたので読んでみたところ、いくつか気になる点がありました。

本記事は、新卒の就活生の採用において、リクルートキャリア社が分析し販売した就活生の「内定辞退予測データ」をトヨタなどの採用企業が購入して利用していたことが2019年に発覚し、大きな社会問題となったいわゆる「リクナビ事件」やDMP(Data Management Platform)業務を中心的な題材として改正個人情報保護法の解説を行っています。

2.個人関連情報
本記事は、DMPベンダー企業(C社)のサーバーに、A社、B社などさまざまな企業のサイトを閲覧したユーザー・顧客の閲覧履歴が顧客のcookieなどの顧客IDごとに蓄積されてゆき、DMPベンダー企業C社がこの蓄積された閲覧履歴のデータを分析してゆくと、それぞれの顧客がその顧客IDごとに、例えば「40代であり、男性で、自動車に興味がある」などと推測・プロファイリングすることができるとしています(分析結果データ)。

週刊東洋経済閲覧履歴
(「週刊東洋経済」2021年3月6日号65頁より)

そして、C社からこれらの分析結果データを購入したB社は、B社のサーバーに蓄積されたCookieなどの顧客IDや自社の顧客DBなとと情報を突合・名寄せを行い、顧客の実名等を割り出し、マーケティング活動などを行うとしています。

その上で、本記事は、(顧客IDが)「1234のユーザーが40代男性で自動車に興味があるという情報は、まさに個人関連情報だ」としています。

ところで、今回の法改正で新設された、個人関連情報とは、「生存する個人に関する情報であって個人情報、匿名加工情報および仮名加工情報のいずれにも該当しないもの」と定義されています(改正個人情報保護法26条の2第1項かっこ書き)。解説書は、個人関連情報について、「氏名等と結びついていないインターネットの閲覧履歴、位置情報、Cookieなど」が個人関連情報の具体例であるとしています(佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁)。

この点、本記事の説明における、DMPベンダー企業のC社のサーバーに収集された、ユーザーのCookieなどの顧客IDやサイト閲覧履歴などのデータは、まさに個人関連情報ですが、それらの情報・データをC社が分析した結果である、「1234のユーザーが40代男性で自動車に興味があるという情報・データ」は、個人関連情報ではなく、個人情報(個人情報保護法2条1項1号)なのではないでしょうか。

つまり、個人情報とは、「生存する個人に関する情報」であって、「特定の個人を識別することができるもの」です(法2条1項1号)。ここでいう「特定の個人を識別することができる」とは、「生存する具体的な人物と情報との間に同一性を認めることができること」(個人情報保護委員会・個人情報ガイドラインQ&A1-1)であり、特定の個人の「実名」等を識別できることまでは要件とされていません。すなわち、例えば防犯カメラの映像データにおいて、映っている人物の顔や身体的特徴などの「識別のための情報」によって、特定の個人がいわば「この人」であると識別できる場合には、当該個人の実名等が不明であっても、その情報は個人情報となります(岡本久道『個人情報保護法 第3版』72頁)。また、事実そのものを示す情報(事実情報)だけでなく、人事考課のような判断・評価を表す情報(評価情報)も個人情報に該当します(岡本・前掲69頁)。

そのため、DMPベンダー企業C社において、Cookieなどの顧客IDによって特定の個人を「この人」と識別できるうえに、閲覧履歴などを評価・分析した評価情報である「顧客ID1234のユーザーが40代男性で自動車に興味があるという情報・データ」はやはり個人情報であると考えられます。したがって、これらの分析結果の情報を個人関連情報としている本記事は不正確ではないかと思われます。

なお、本記事65頁は、Cookieについて「ブラウザに保存されるテキスト形式の情報のことであり、顧客IDなどを保存するのに使われる」と解説していますが、Cookieが保存されるのは正確にはブラウザではなくパソコンやスマホのストレージ(記憶装置)であると思われます。

(DMPの事業については、従来、Cookieなどは個人ではなくブラウザに付番された情報であるので個人情報ではないという説明がなされてきたようです。しかし、共用のパソコンなどであればともかく、個人のスマートフォンなどは「一人一端末」であることがほとんでであると思われ、その場合、Cookie等の情報は限りなく個人情報そのものと考えられます。)

3.仮名加工情報
本記事66頁は、仮名加工情報とは、「個人情報から、①氏名等、②個人識別符号(生体認証情報やマイナンバー等)、③クレジットカード番号や銀行口座番号など、を削除した情報である」と解説しています。

この点、仮名加工情報について、改正法2条9項は
改正個人情報保護法
2条9項
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(後略)
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(後略)

と規定しています。つまり、個人情報については個人情報の記述の一部を削除し、個人識別符号に該当する個人情報については個人識別符号の全部を削除したもので他の情報と照合しない限り特定の個人を識別できないよう加工されたものが仮名加工情報です。「クレジットカード番号や銀行口座番号など」は、個人情報(個人識別符号)の一部として明確化がなされるように前回(平成27年)の個人情報保護法改正の際に盛り込まれようとしたものの、経済界の一部の強い反対によりお蔵入りとなったものです。そのため、「個人情報から、③クレジットカード番号や銀行口座番号などを削除した情報」としている本記事は、③の部分については正確でないように思われます。(この点は今後制定される、個人情報保護委員会の施行令・施行規則で明らかになると思われます。)

また、本記事66頁は、「仮名加工情報に加工しておけば、(略)本人からの開示や利用停止等の請求の対象にならない」ことが「企業にとって前向きな改正」と解説しています。

この点、本記事の筆者である影島広泰弁護士は、「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号38頁においても、「仮名加工情報については、15条2項(利用目的の変更)、22条の2(漏えい等の報告)、27条から34条まで(開示・利用停止等の保有個人データに関する本人の権利)の規定は適用されないとされている(改正法35条の2第9項)。したがって、本稿で述べてきた開示請求や利用停止等の請求への対応が難しいデータについては、仮名加工情報に加工して保有・利用するというのが、有力な解決策の1つとなると考えられる。」と解説しておられます。

しかし、仮名加工情報は、例えば製薬会社などの製薬の研究開発のため、企業内部におけるデータ利用などを想定し、企業などの個人情報取扱事業者としての義務を緩和するものです。そのため、仮名加工情報を利用する際に当該企業が他の情報と照合するなどして本人を識別するは禁止されますし(識別行為禁止義務)、第三者提供も禁止されています(改正法35条の2第7項)。また、仮名加工情報のなかの連絡先などの情報を利用することも禁止されています(改正法35条の2第8項)。

もし影島氏が、企業からみて好ましくない顧客のリスト表などの個人情報・個人データを匿名加工情報にすべきだと考えておられるのであれば、しかしそのような個人情報は匿名加工情報に加工しても、個人を特定する用途には利用できませんし、第三者提供もできませんし、さらに連絡先を利用することも禁止されているので、結局、このような各種の用途には利用できず無意味なデータとなってしまうのではないでしょうか。

あるいは、「顧客から隠すために保有個人データを匿名加工情報に加工する」という行為は、今回新設された不適正利用の禁止規定(改正法16条の2)に抵触するのではないでしょうか。

4.閲覧履歴などを採用選考に利用できるのか?
さらに、本記事は、就活生からの本人の同意さえ取れば、リクナビ事件のようなネット閲覧履歴等も企業が採用選考に利用できることを前提として書かれているようです。

しかし、就活生本人から同意を取得すれば、たしかに個人情報保護法はクリアできるかもしれませんが、「採用選考に思想信条や内心等に関連する情報の取得はしてはならない」「社会的差別のもととなる情報を取得してはならない」「本人の仕事をする能力についてのみ採用選考をすること」等としている職業安定法などの労働法に抵触し、やはりネット閲覧履歴等を採用選考に企業などが利用することは許されないのではないでしょうか(職安法5条の4、同法3条、厚労省指針通達労働省平成11年第141号第4、厚労省「公正な採用選考の基本」、浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁)。

・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

厚労省指針通達平成11年労働省第141号

第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)
1 個人情報の収集、保管及び使用
(1) 職業紹介事業者等は、その業務の目的の範囲内で求職者等の個人情報(以下単に「個人情報」という。)を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。
 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
 思想及び信条
 労働組合への加入状況
(2) 職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと。
(以下略)

つまり、DMP事業者は数千、数万のサイトから情報を収集し、分析したデータをターゲティング広告などに利用しています。そして収集されたネットの閲覧履歴などは、就活生の就職活動に関するデータだけでなく、就活生の趣味嗜好や思想信条、政治的傾向、愛読書や好きなアーティスト等などの情報や、あるいは本人の人種、性別、出身地などのさまざまな情報が含まれます。

しかし、企業等が採用選考にあたり、「思想信条、趣味嗜好、政治的傾向、労働組合歴、愛読書、尊敬する人物」などの情報や、「人種、性別、肌の色、出身地、親の職業・資産状況」などの情報で選考してはならないと職業安定法などが規定しているのは、日本が「個人の尊重」(憲法13条)や内心の自由(19条)や平等原則(14条)などの基本的人権の確立(11条、97条)を掲げる自由主義、民主主義の国家だからです。企業などは、個別の国民から本人同意を取得することはできても、国会による改正などを経ない限り、職業安定法や憲法あるいはわが国の国家のあり方を変えることはできないからです。

そのため、採用側の企業が就活生などから本人の同意を取得することで、かりに個人情報保護法をクリアすることができたとしても、閲覧履歴などの個人の内心に関する情報や社会的差別の原因となるおそれのある情報を、企業が採用選考のために収集し利用することはやはり許されないことになります。

(そのことは、ネット上の情報を収集して業務を行っている、LAPRASなどのネット系人材紹介会社にも同様にあてはまると思われます。)

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁
・岡村久道『個人情報保護法 第3版』72頁、69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・高木浩光「個人データ保護とは何だったのか」『世界』2019年11月号55頁
・影島広泰「情報の「利用」を重視する 個人情報保護の規制強化」『週刊東洋経済』2021年3月6日号64頁
・影島広泰「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える




週刊東洋経済 2021年3/6号 [雑誌]

一問一答 令和2年改正個人情報保護法 (一問一答シリーズ)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法〔第3版〕

タグ :
個人情報
security
privacy
個人関連情報
仮名加工情報
職業安定法
憲法
リクナビ
LAPRAS
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ