なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:プライバシー

smartphone
Androidのスマホの設定をみたら、「緊急位置情報サービス(ELS)」とかいう物々しい項目がいつの間にか新設(?)されていました。

ELS1
リンクされている、グーグルのヘルプ画面を読むと、"緊急事態"があった場合にグーグルからの信号を受けて、スマホ(デバイス)の位置情報が"緊急通報機関"に伝達される仕組みのようです。しかも、かりに我々ユーザーがELSをオフにしていても、緊急通報機関の指示があった場合、グーグルはELSを強制的にオンにして位置情報を緊急通報機関に送信することがあるとされています。

ELS2

スマホの位置情報をユーザー本人の意思を無視してグーグルが取得し、第三者提供するからには、具体的な法律の根拠か、あるいは裁判所の令状が必要なのでは、と思ってしまうのですが・・・。

グーグルのヘルプみても、緊急事態や緊急通報機関とは具体的に何かなどが明示されてないのはどうなのでしょう。

素人考えとしては、この緊急位置情報サービス(ELS)は、まずは新型コロナ対応のための接触確認アプリ(COCOA)対応なのでしょうか?

しかし、政府・与党の説明では、同アプリは「インストールするのはユーザー本人の自由・任意に委ねられる。また、濃厚接触が発覚した場合に処理番号を入力し保健所に通報するのもユーザー本人の自由意思。」「とにかく個人情報を勝手に取らないプライバシーに配慮したアプリ。」であるのが最大のセールスポイントというか、同アプリが合法である根拠だったはずではないでしょうか?(いうまでもなく、接触確認アプリを明確に合法たらしめている個別具体的な立法などはいまだ存在しません。)

また、「緊急事態」というふわっとしたバスケット条項的な、大雑把な用語で、位置情報を強制的に国・自治体・企業などが取得できるような仕組みになっているのも大いに気になります。

最初は「コロナ対応のため」「本人が災害にあって命を助けるため」と言っていたのに、気が付いたら警察当局が何となく見込み捜査やこっそり内偵をするためであるとか、はては某万引き防止なんとか協会などの民間団体が何となく怪しいと思った国民を監視するため…等々と安易に拡大的な運用がグーグルにより行われて、なし崩し的に法令上の根拠なしに国や企業などによる国民・市民の電子的なモニタリングや監視化が進行しかねません。

それでは法令上の根拠なく、歯止めなく国民の個人情報やプライバシー権(憲法13条、個人情報保護法1条、3条)が侵害され、国民個人が人間として私的にも社会的にもまともに生きてゆけなくなってしまいます。

また、裁判所の令状や法令上の根拠なしに、国などによって国民が電子的に捜索や検証などを強制的に行われることは、令状主義や強制処分法定主義(憲法33条、刑事訴訟法197条)などに抵触する問題に思われ、憲法や刑事法的にも由々しき事態であると思われます。

■関連するブログ記事
・【最高裁】令状なしのGPS捜査は違法で立法的措置が必要とされた判決(最大判平成29年3月15日)


情報法概説 第2版

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ



このエントリーをはてなブックマークに追加 mixiチェック

akutoku_shouhou_houmon - コピー
NHKなどの報道によると、政府(総務省)は、マイナンバーカード未取得者約8000万人に対して、マイナンバーカード発行の申請手続き書類を再度郵送する方針だそうです。

・マイナンバーカード未取得者 約8000万人に申請書発送へ 総務省|NHK

かりに三つ折りハガキで郵送するとしても、郵送料だけでも単純計算で約48億円もの出費ですが、この莫大な行政コストは一体誰が負担するのでしょうか?

そもそもマイナンバー制度とは、国民一人一人にマイナンバー(個人番号)を付番した情報システムを行政が整備・運営することにより、「行政運営の効率化及び行政分野におけるより公正な給付と負担の確保」を図る制度です(番号法1条)。

つまり、従来は多くの人員と書類でやっていた行政の事務処理を、各官庁をまたいだ名寄せのためのマスターキーであるマイナンバー(個人番号)を付番した情報システムで行うことにより、行政を効率化・迅速化しコストダウンを図ろうという制度です。

マイナンバー制度概要図総務省
(総務省サイトのマイナンバー制度の解説より)


そのため、マイナンバー制度開始の平成27年に、国が国民全員にマイナンバーを情報システム上で付番した段階で、「行政の効率化とコストダウン」というマイナンバー制度の立法目的の本丸は達成されているのです。

なのに、なぜ政府・与党は制度のオマケのはずのマイナンバーカードに偏執的にこだわるのでしょうか?

制度の検討段階で「マイナンバーカードを国民に広く普及させたい」「住民基本台帳カードの二の舞にはならない」という目標を政府与党は掲げたようですが、その目標にこだわるあまり、オマケの目的が自己目的化して政府与党が暴走しているようにも思えます。(「行政の効率化やコストダウン」が制度目的のはずなのに、今回の政府方針だけでも約48億円もの行政の税金の無駄づかいに思えてなりません。)

政府与党は、「これからの日本はIT社会デジタル化を目指さなくてはならない。マイナンバーカードには本人認証機能があるから、日本のデジタル化の基盤である。だから国民は全員、マイナンバーカードを持たねばならない」と主張しているようです。

「日本はデジタル化を目指さなくてはならない」という理念を政府与党や国会が掲げるのはある意味自由です。しかし、わが国が「個人の尊重」「個人の基本的人権の尊重」を掲げる自由主義国家である以上は、それぞれの国民がどのような国家像や行政を望むか、そしてその国家に対して国民個人がなにをどの程度するかについては、原則として、国民一人一人の自由意思に委ねられています。わが国の主人公は国民であり、行政・国はその使用人(サービス機関)にすぎないのですから。

とくにマイナンバー(個人番号)は各官庁が持つ国民の個人情報・プライバシー情報を簡易・迅速にシステム的に名寄せする仕組みですから、その使い方を誤れば、いわば「国家の前に国民が丸裸となる状態」(金沢地裁平成17年5月30日判決)の危険をはらんでおり、マイナンバー制度は国民個人のプライバシー権(憲法13条)に隣接する制度です。

番号法17条1項が、マイナンバーカードの取得や所持を国民の義務とするのではなく、国民の任意による自治体への申請を踏まえて発行される建付けとしている趣旨は、このようにマイナンバー制度が国民のプライバシーに隣接する制度であることや、オマケとしてのマイナンバーカード(やそれに随伴する本人認証機能)を利用するか否かは国民個人の自由意思にゆだねているからであろうと思われます。

番号法
(個人番号カードの交付等)
第17条
   市町村長は、政令で定めるところにより、当該市町村が備える住民基本台帳に記録されている者に対し、その者の申請により、その者に係る個人番号カードを交付するものとする。この場合において、当該市町村長は、前条の政令で定める措置をとらなければならない。

この点、情報法や行政法の第一人者である学者にして最高裁判事の宇賀克也・東大教授の番号法の解説書は、番号法17条1項に関してつぎのように解説しています。

個人番号カードの取得を強制することは、(略)個人番号カードの取得を希望しない者や必要としない者に(市区町村の事務所への)出頭を強制してまで取得を義務づけることは適切でないと考えられたため、申請により取得することとしている。』(宇賀克也『番号法の逐条解説』78頁)

また、マイナンバーカードがICチップ部分に本人認証機能を有しながらも、本来はいわば「実印」のように慎重にも慎重に保管すべきマイナンバー(個人番号)が表面にでかでかと印刷されてしまっていること等など、マイナンバーカードの制度設計上の「おそまつさ」もマイナンバーカードの問題を難解なものにしています。先般の「10万円給付金」の電子申請の件で露呈したように、政府の運用する情報システムのレベルが非常に低いものであること等も、国民の心を冷やしています。

少なくとも今回の政府方針のように、マイナンバーカード普及というお役所が勝手に立てた目標のために、国の予算を大量に使い、本来、国の主人公である国民に、その使用人であるはずの国・行政が無理やりにでもマイナンバーカードを取得させようというのは、番号法17条1項違反であり、もっといえば国民の自由意思(憲法13条)や国民主権原理(憲法1条など)の侵害であるようにすら思われます。

番号法の逐条解説 第2版

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

dai_byouin2
1.茨城県のコロナ接触確認システムに県民の登録が法的義務化!?
新聞報道などによると、茨城県は新型コロナに関する県独自の感染確認システム(「いばらきアマビエちゃん」)において、同県の事業者・店舗だけでなく、県民に対しても条例を制定し同システムへの登録を法的義務とする方針であるとのことです。住民・国民への法的義務付けはわが国初だそうです。
・【8月18日発表】「茨城県新型コロナウイルス感染症の発生の予防又はまん延の防止と社会経済活動との両立を図るための措置を定める条例」案について|茨城県
・「いばらきアマビエちゃん」について|茨城県

そこで、茨城県サイトをみると、同システムは個人のスマホ側でなく茨城県のシステム側に個人のメルアドを集めて管理する中央集権型システムのようです。

ところで、県サイトのQAをみると、「氏名、住所などは収集しない。」「位置情報は収集しない」となっています。

しかし、◯月◯日に登録した個人がどの企業・店舗にいたかとの位置情報は県システムは把握してるはずだが…?そうでないと通知のメールを登録をした県民に送れなくなってしまいます。

また、県サイト上の同条例案の説明資料を読むと、県民側の権利利益としては、「コロナ差別が問題となるが、それは本条例案で『コロナ差別禁止』条項を盛り込むので問題ない」、という整理になっているようです。県民の個人情報保護やプライバシー権・自己決定権などはスルーなのでしょうか…?

この点はまさか、茨城県としては、「氏名、住所などを県民に入力させていないから『個人情報』は収集していない。」という化石のような理解なのでしょうか!?もしそうなら唖然としてしまいますが。

世界の自由主義諸国の18世紀以降の近代憲法は、自由主義つまり国民の自由を最大限尊重することを理念とするものです。そして、国民の個人情報保護やプライバシー権・自己決定権は国民の精神的な人権の根本にかかわる基本的人権の問題です。とくに傷病に係る情報はセンシティブな個人情報です。

とはいえコロナの感染拡大は世界的に非常に深刻な問題です。そのため、両者のバランスをとるために、WHOなどは、”原則、コロナの接触確認アプリ等は、国が開発・運営し、インストールや利用はそれぞれの国民の任意に委ねるべき”との見解を出しており、また、それを受ける形で、GoogleやAppleもほぼ同様の考え方のもとに接触確認アプリのプラットフォームを提供しています。

県独自の取り組みとはいえ、茨城県も接触確認アプリ類似の制度として本システムを開発・運用しているのですから、本システムを開発・運用する上では、県民の個人情報やプライバシーについて十分検討を行った上で開発・運用を実施すべきです。

にもかかわらず、少なくとも県サイトに掲載されている資料上からは、そのような検討がまったくないままに県民への本システムへの強制が条例化されることには、大きな違和感があります。

2.県民の協力義務
また、本条例案は、「県民の協力義務」という条項がギラギラしています。感染や濃厚接触が県にばれたら、県職員などが県民の居宅や勤務先に乗り込んできて、身柄確保の上での取り調べや捜査・押収を始めるのでしょうか?

それはさすがに、憲法の定める令状主義(憲法31条、35条)や強制処分法定主義などの刑事訴訟法等に反してないかと不安になります。

戦前の治安維持法のようなノリと空気を感じますが、茨城県はいろいろと大丈夫なのでしょうか?


人気ブログランキング

2020年個人情報保護法改正と実務対応

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
1.事案の概要
1か月以上たっても公表・通知などを実施していない?
「プレジデントオンライン」サイトの7月13日付の記事「人材派遣のアスカが最大3万件の個人情報を流出」などによると、人材派遣業の株式会社アスカは、自社システムに仮登録されていた派遣社員の個人情報が最大3万件分が本年5月中旬にサイバー攻撃により漏洩したにもかかわらず、1か月以上経過しても公表、被害者本人への連絡などを行っていないそうです(7月16日現在)。

取材に対して、アスカ側は「調査を行っている途中」などと回答しているそうですが、1か月以上も個人情報の大規模な漏洩事故があったのに公表などを行わないことは法的に許されるのかが問題となります。

・人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず|プレジデントオンライン

2.法的に考えてみる
(1)労働者派遣法
労働者派遣法24条の3は、派遣元事業者の個人情報保護について規定しています。そして、「派遣元事業主が講ずべき措置に関する指針」(平成11年労働省告示第137号・平成30年厚生労働省告示第427号)の「11 個人情報等の保護」は、個人情報の収集、利用、保管、安全管理などともに、「(3)個人情報の保護に関する法律の遵守等」において、個人情報保護法「第4章第1節に規定する義務を遵守しなければならない」と規定しています。

(2)個人情報保護法
個人情報保護法第4章第1節は、個人情報を取り扱う事業者の義務を定めていますが、同法20条から22条までは、事業者の安全管理措置、従業員への監督、委託先への監督を規定しています。そして、個人情報保護委員会の個人情報保護法ガイドライン(通則編)は安全管理措置について規定しています。その上で、同委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データの漏洩などの事故が発生した場合の対応についてつぎのように規定しています。

■個人データ漏洩事故が発覚した場合の対応(概要)
①事業者内部における報告及び被害の拡大防止
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び実施
⑤影響を受ける可能性のある本人への連絡
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係等について、「速やかに」本人へ連絡し、又は本人が容易に知り得る状態に置く。
⑥事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係及び再発防止策等について、「速やかに」公表する。
⑦個人情報保護委員会または監督官庁への報告
扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、「速やかに」報告する
このように個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データ漏洩事故が発生した場合には「速やかに」、⑤本人に連絡し、⑥事実関係などを自社サイトや記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告することを事業者に求めています。

ここで、「速やかに」の文言の意味が問題となりますが、多くの業法・行政法規が個人情報漏洩事故が発生した場合に、その発覚から1か月以内の報告を求めていることとの整合性から、少なくとも1か月以内に⑤本人に連絡し、⑥記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告しないと、事業者は同委員会の通達の趣旨に違反していることになると思われます(例えば保険業法127条など)。当該事業者は、個人情報保護法の趣旨に違反しているおそれがあることになります。

そもそも、このように個人情報漏洩事故が発生した場合にスピード感をもった本人への連絡や公表、監督官庁などへの報告の対応を事業者に法令が求めて趣旨・目的は、「二次被害の防止、類似事案の発生の防止」です。つまり例えば、顧客の個人情報が拡散してしまうことやクレジットカード情報などが第三者に利用されてしまうリスクの防止や、同じ業界で類似のサイバー犯罪が行われてしまうようなリスクの防止です。そうすると、個人情報漏洩事故が発覚したのに漫然と事業者が何週間も、あるいは何か月も対応を行わないことは、個人情報保護法の趣旨にも反しますし、顧客の信頼を裏切ることにもなります。

もし事業者が事実確認などに何週間もかかってしまうということになったら、当該事業者は「第一報」や「暫定版」などの連絡・報告・公表などを随時行うべきです(段階的な報告)。

こう考えると、個人情報漏洩事故が発覚してから1か月以上も顧客への連絡などを行っていない株式会社アスカは、個人情報保護法に違反しているおそれがあります。

(なお、EUのGDPR(一般データ保護規則)33条は、個人データ漏洩事故が発覚した事業者に対して72時間以内の個人データ保護当局への報告を義務付けています。EU国籍の顧客の個人データなどを取扱っている事業者はより迅速な対応が求められます。)

(3)個人情報保護法上の違反があった場合
上でみたように、労働者派遣法23条の3などは派遣元事業者に対して個人情報保護法上の事業者の義務を遵守することを求めています。

そして、同法などの違反があった場合について、労働者派遣法50条、51条は厚労大臣は派遣元事業者に対して報告徴求と立入検査を行う権限があることを定めています。さらに同法48条、49条は、厚労大臣は派遣元事業者に対して、指導・助言および改善命令・業務停止命令などを発出する権限があることを規定しています。 また、個人情報保護法も、同法40条以下において個人情報保護委員会は事業者に対して報告徴求、立入検査を行う権限があり、また個人情報保護に関して指導・助言を行う権限があることを規定しています。

(4)まとめ
つまり、個人情報漏洩事故を起こし、漫然と顧客への連絡や事実の公表などを1か月以上実施していない株式会社アスカは、監督官庁である厚労省だけでなく個人情報保護委員会から報告徴求、指導・助言などの行政指導等を受ける行政上の法的リスクが存在することになります。

(5)個人情報漏洩の場合の対応の法的義務化
なお、7月15日付の日経新聞によると、政府は2022年にも一定規模以上の個人情報漏洩事故が発生した場合に、事業者に対して顧客への連絡・通知を行うことを義務付ける方針であるとのことです(日経新聞「サイバー被害、全員に通知 個人情報漏洩で企業に義務」2020年7月15日付)。

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・小向太郎・石井夏生利『概説GDPR』106頁

個人情報保護法〔第3版〕

概説GDPR

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.はじめに
最近の日経新聞によると、日立の子会社「ハピネスプラネット」は、新しい「ハピネス事業」において、従業員の「幸福」度を向上させ、職場・会社の業務の改善を行うという目的のために、日立は従業員にスマホの各種センサー類を活用するスマホアプリを導入させて、常時、広範な個人データを網羅的に取得し、それらの個人データをコンピュータ等で分析し、従業員の幸福度のモニタリングを実施しているようです。

・日立、幸福度を測るアプリ提供で新会社|日経新聞
・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立|日立製作所

この日立の取り組みに対しては、そもそもの「幸福度」、「ハピネス度」などの概念への疑問や、そもそも会社が従業員に会社が考える「ハピネス」「幸福」を押し付けてよいのかという問題や、会社が従業員をスマホアプリにより常時網羅的にモニタリングするというやり方に手段に相当性があるのかなど多くの疑問がSNSなどのネット上に投稿されています。

2.プライバシー権・自己決定権・人格権と指揮命令権
何が自分にとって「幸福」かについては、従業員(国民)個人個人の内心の自由の問題(憲法19条)であり、第三者や使用者たる企業等や国が安易に介入を許されない、従業員・国民の私的領域のプライバシーや自己決定権・人格権の問題です(憲法13条)。

しかしその一方で、会社等で働く従業員は使用者たる会社と労働契約を締結している関係にあり、この労働契約に付随して使用者たる会社は条業員に対する指揮命令権をもっています。そのため、一般的に会社の上司などが、従業員に対して指示・監督などを行うために観察などを行うことは、原則としては許容されるとされています。

3.日立・ハピネスプラネットの業務は法的に問題はないのか
とはいえ、日立の新しい「ハピネス事業」においては、従業員の「幸福」度を向上させ、職場・会社の業務の改善を行うという目的のために、日立は従業員に本件スマホアプリにより、スマホのセンサーを使って常時、広範な個人データを取得を網羅的に取得し、それらの個人データをコンピュータ等で分析し、従業員の幸福度のモニタリングを実施しているようです。このような日立の従業員に対する新しいモニタリング手法は法令上問題がないのでしょうか。

4.使用者は従業員の私的領域にどこまで侵入できるか
(1)西日本鉄道事件
この点に関しては、従業員が退社する際に会社が所持品検査を行うことが許されるかどうかが争われた事件において、最高裁(西日本鉄道事件・最高裁昭和43年8月2日判決)は、「使用者が従業員に対して行う所持品検査は、これは被検査者の基本的人権に関する問題であって、その性質上、常に人権侵害のおそれを伴うものであるから、たとえそれが企業の経営・維持にとって必要かつ効果的な措置(略)であったとしても、そのことをもって当然に適法視されるものではない」とのスタンスを示した上で、所持品検査が適法となるための要件として、

①検査を必要とする合理的な理由のあること
②一般的に妥当な方法と程度であること
③職場従業員に画一的に実施されていること
④就業規則その他の規定に明示の根拠があること
の4要件をあげています。

(2)検討
ここで日立とハピネスプラネットの新事業をみると、①冒頭でもみたように、「なにが自分にとっての幸福か」とは、国民個人個人が自己の内面(私的領域)において考えるべき事柄であり、企業(あるいは国)が安易に介入すべきものではありません。そのため、合理的理由があるとはいえません。また、②本記事などを読む限り、本アプリは従業員のごく微細な動きなどのデータから本人の内心を読み取るなど、性格検査あるいはうそ発見器など装置・アプリであり、そのような機微な個人データを大量に常時モニタリングを行うことは、社会一般から見て妥当な方法と程度であるとはとてもいえません。

(3)結論
このように上の最高裁判決が示した4要件のうち、少なくとも2つを満たしていないので、日立とハピネスプラネットのこの新ビジネスは違法のおそれがあると思われます。

5.個人情報保護法の観点から
なおNHKの記事によると、日立は従業員のプライバシー・個人情報について、「計測されるのはあくまで本人も気付かないような体の細かな動きで、プライバシーに関わるようなものが取得されるわけではありません。」と主張しているようです。

・幸せって測れるの?サクサク経済Q&A|NHK

しかし、本人も気づかないような細かな体の動きも「動作」であり、個人情報保護法2条1項1号は「動作」も個人情報の一類型と例示しているので、日立がこれをデータとして収集したものは個人データです。



したがって、日立などは「動作」の個人データを収集・利用などしてこの新事業を行うためには、本人たる従業員に、個人情報の利用目的などを定めて(15条)、通知し(18条)、利用目的の範囲内でしか原則として利用できません。当然、それらの個人データには安全管理措置を講じなければなりません(20条)し、第三者提供も原則として従業員本人の同意が必要となります(23条)。日立がこのような各法的義務を履行しているのか気になるところです。

*注
はてなブックマークのコメント欄で、ごくわずかな「動作」は個人情報ではないとのご意見をいただいたようです。この点、個人情報保護法2条1項1号は、

個人情報を「氏名、生年月日その他の記述等(文書、図画もしくは電磁的記録(略))に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

と定義しています。つまり、氏名、住所、生年月日などだけにとどまらず、「特定の個人を識別」できる一切の事項が個人情報です。日立の新事業においても、ある従業員・被験者個人個人の「幸福度」「ハピネス度」を測定するためにスマホやウェアラブル端末を利用して当該従業員・被験者個人個人の「ごくわずかな動作」などを測定しているので、この動作も特定の個人を識別できる情報であるため、やはり個人情報となります。


6.GDPRと旧労働省の個人情報保護に関する行動指針
EU憲法(EU基本権憲章)8条は、「すべての者は、それぞれ自らに関する個人データの保護の権利を有する」と個人データ保護が基本的人権(基本権)であることを明示しています。これを受け、2018年5月に欧州では、GDPR(一般データ保護規則)が施行されています。そしてGDPR22条は、「コンピュータ等による個人データの自動処理の結果のみによる評価に服さない権利」を定めています。

スマホとスマホアプリで個人データを収集して自動処理を行う日立の「ハピネス」事業は、もろにDGPR22条の適用範囲に入っているように思われます。日本に対して十分性認定を行ったEUの個人データ保護当局がこの日立の取り組みをどう考えているのかは非常に興味があるところです。また、これまで日立が実施した本事業の被検査者に、EU国籍の人間がいなかったのかどうかも気になるところです。

なお、日本も欧米の個人情報保護法制の動きを参考にしつつ立法等を行ってきた経緯から、例えば2000年の旧・労働省の「労働者に関する個人情報の保護に関する行動指針」6(6)は、「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。」と、GDPR22条を先取りしたような規定が置かれていました。

このような個人データ・プライバシーの保護により国民の基本的人権や幸せを守ろうとする世界的な流れに対して、日立の新事業は真っ向から逆行しているように思われます。

■参考文献
・菅野和夫「労働法 第12版」262頁
・労務行政研究所「新・労働法実務相談 第2版」549頁
・堀部政男「プライバシー・個人情報保護の新課題」163頁(高野一彦)


人気ブログランキング

労働法 (法律学講座双書)

第3版 新版 新・労働法実務相談 (労政時報選書)

AIと憲法

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ