なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:AI規制法案

school_jugyou_tablet
1.名古屋市が小中学校の学習用タブレットの操作履歴ログの収集を中止
報道によると、名古屋市は6月10日、市内の小学校中学校に対し、小中学生に配布しているタブレット使用を一時中止するように通知したとのことです。同市は、タブレットの操作履歴ログを収集してサーバーで保管しており、これが同市の個人情報保護条例に違反している疑いがあるためであるとのことです。

・名古屋市、小中学生の端末使用停止 履歴収集に指摘|日経新聞

この名古屋市の学校タブレットに関する報道については、Yahoo!ニュースにおいて、内閣府子供の貧困対策に関する有識者会議の委員で日本大学文理学部教育学科教授(教育財政学・教育行政学)末冨芳氏が、『この操作履歴こそスタディログという子どもの学習行動を記録するものであり、逆にログが記録できなければ学習者の評価ができない場合もあります。』とコメントしたことが、ネット上で大きな注目を集めています。

また、末冨芳氏はTwitterにおいても、「ログが残る=個人情報って(略)さすがのTwitterクオリティ (略)役所サーバーにログが残っても、個人と紐付けてなきゃただのデータ」と投稿しておられます。

末冨ログは個人情報ではない
https://twitter.com/KSuetomi/status/1403081955848048641
(末冨芳氏のTwitter(@KSuetomi)より)

最近、「GIGAスクール」や「教育の個別最適化」、「EdTechの推進」などの掛け声とともに、学校教育におけるICT化が急速に推進されていますが、これらの点をどう考えたらよいのでしょうか。

以下、①学校のタブレット端末の操作履歴ログは個人情報に該当しないのか②タブレット端末等の操作履歴ログなどにより生徒の評価などを行うことは許されるのか、の2点を考えてみたいと思います。

2.タブレットの操作履歴ログは個人情報ではないのか?
末冨芳氏は、教育用タブレットの操作履歴ログが学校等のサーバーに残っていても原則として個人情報ではないとしています。

この点、個人情報保護法2条1項1号は、個人情報とは「個人に関する情報であって」、電磁的記録を含む「特定の個人を識別することができるもの」(他の情報と容易に照合することができるものを含む)と定義しています。

これは名古屋市個人情報保護条例2条1号においても同様です。

個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるもの(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。)をいう。」(名古屋市個人情報保護条例2条1号)

・名古屋市個人情報保護条例

つまり、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報の「特定の個人を識別することができるもの」「個人情報」です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。

個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

学校のタブレット端末の操作履歴ログ(データ)は、学校の生徒がタブレットを操作したことにより生成された電子データですから「個人に関する情報」であり、また、何時何分何秒にどの操作を行ったなどのデータであるので、Suicaの乗降履歴のようにそれぞれ異なるデータであると思われ、それ自体で操作者を「あの人、この人」と「特定の個人を識別」できるので、やはり個人情報(個人データ)に該当すると思われます。

また、このようなログは、端末IDと操作履歴等がセットで記録されるのが一般的と思われるので、学校等のサーバー内のタブレット管理要DBや生徒の個人情報管理DBなどの「端末IDと生徒番号」、「生徒番号と氏名・住所・学年・クラス」等の情報を照合すれば、操作履歴の生徒を割り出すことは簡単であると思われ、これは「他の情報と容易に照合することにより特定の個人を識別」に該当するので、やはり操作履歴データは個人情報(個人データ)に該当します(宇賀克也『個人情報保護法の逐条解説 第6版』39頁、岡村久道『個人情報保護法 第3版』77頁)。

さらに、まさに末冨氏がTwitterで指摘しているとおり、そもそもタブレットの操作履歴データは、教員が個々の生徒の思考方法などを把握し、「学習者の判定」を行ったり、生徒指導などを行うために収集・保存・分析などが実施されているのですから、操作履歴データが生徒個人と紐付かないデータであるとすると、教員や学校などにとって無意味なデータなのではないでしょうか。

(かりに、タブレット端末の操作履歴データが本当に個人情報でないとたとしても、タブレット操作の履歴データなのですから、ネットの閲覧履歴や位置情報などのように「個人関連情報」(改正個情法26条の2)に該当すると思われ、事業者が第三者提供するためには本人の同意が必要となります(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁、62頁)。

そのため、学校のタブレット端末の操作履歴データはやはり個人データであるため、自治体・教育委員会や学校あるいは関連する企業等は、この操作履歴データについて、自治体の個人情報保護条例や個人情報保護法上、利用目的の特定、目的外利用の禁止、本人への利用目的の通知・公表、本人同意のない第三者提供の禁止、安全管理措置、開示請求への対応などの各義務を負うことになります。

この点、「学校のタブレット端末の操作履歴データは原則として個人情報ではない」としている、末冨芳・日大教授などの、学校教育のICT化の推進派の方々は、前提となる個人情報保護法制の理解が正しくないと思われます。

3.学習用タブレット端末などの操作履歴・スタディログ・学習行動データなどにより生徒の評価を行うことは許されるのか?
(1)凸版印刷の学習ソフト「やる Key」
学校のタブレット端末などの操作履歴ログについて調べてみると、2017年に総務省が『教育ICTガイドブック Ver.1』という資料を作成し公表しています。
・「教育ICTガイドブック」(PDF)|総務省

この「教育ICTガイドブック Ver.1」48頁以下は、東京都福生市が2017 年度より、市立小学校 3 年生全員に算数のクラウド型ドリルを搭載したタブレット約450台を利用させている事例を紹介しています。

この記事によると、福生市は、凸版印刷クラウド型ドリル教材「やる Key」を搭載したタブレット端末(iPad)を市立小学校の3年生に利用させる実証実験を2015年から慶應義塾大学と連携して実施しているとのことです。

記事は、「「やる Key」には、児童の学習状況理解度可視化でき、理解度に合った問題が自動出題されるという特徴がある。」、「教員は、家庭学習を含め児童学習内容学習時間問題の正答分布などを一覧で把握できる。」、「家庭学習の状況も可視化されることで…学習への取組状況についての声掛けもできるようになった」等と説明しています。

また、凸版印刷サイトの「やる Key」に関する2016年のプレスリリースを読むと次のように説明されています。

「 具体的には、学校で活用するタブレット端末を家庭でも使用し、児童が自分で目標を立て、教科書の内容に沿った演習問題(デジタルドリル)に取り組みます。解答と自動採点の過程で、どこを誤ったのかだけでなく、どこでつまずいているかが判定され、児童ごとに応じた苦手克服問題が自動で配信されます。さらに、児童の進行状況や、どこが得意でどこを間違えやすいかを教員が把握し、声がけや指導改善の材料にできる機能も提供します。」と解説されています。(凸版印刷「凸版印刷、静岡県浜松市、慶應義塾大学と共同で 小学校向け学習応援システム「やるKey」の実証研究を開始」より)

・凸版印刷、静岡県浜松市、慶應義塾大学と共同で 小学校向け学習応援システム「やるKey」の実証研究を開始|凸版印刷

凸版印刷やるkey
(凸版印刷のプレスリリースより)

つまり、小中学校で実証実験が進むタブレット端末等と学習ソフトによるICT教育は、「どこを誤ったのかだけでなく、どこでつまずいているか判定」するものであり、「児童の進行状況や、どこが得意でどこを間違えやすいかを教員が把握」するものです。

すなわち、これは生徒・児童思考方法考え方のくせなど、生徒の内心の動きをタブレットやAIが詳細に把握・分析し、教員や学校などに提供するものであると言えます。しかもこのタブレットやAIによる児童の内心のモニタリング・監視は、児童が学校にいる時間だけでなく、家庭などにいる時間も含まれているものです。

このようにタブレット端末やAI等により、「どこを誤ったのかだけでなく、どこでつまずいているか」などの生徒の思考方法や考え方のくせなど、生徒の内心の動きをモニタリング・監視することは、「児童の教育」という目的のためであるとしても、はたして許容されるものなのでしょうか?

(2)憲法・教育基本法などから学校教育のICT化は問題ないのか?
この点、岡山大学法学部堀口悟郎准教授(憲法・教育法)「AIと教育制度」『AIと憲法』(山本龍彦編)253頁は、「AIは機械学習により判定基準(アルゴリズム)を生成するため、過去の人間の不公正な判定を繰り返してしまう危険性や、人間であれば当然しない差別的判断をする危険性(例えば「母子家庭の児童の中退率のデータ」から「母子家庭の児童」というだけでマイナス評価を行うなど)を指摘しています(275頁)。

■関連記事
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別化」

また堀口・前掲は、憲法26条教育基本法4条「教育の平等」を規定するにもかかわらず、AIによる「教育の個別最適化」が、義務教育における「学年生」をもゆるがしてしまうおそれや、裁判例が認める、障害児や成績のよくない生徒等が普通の教育を選ぶ「不自由を選ぶ自由」(インクルーシブ教育)侵害する危険性を指摘しています(神戸地判平成4.3.13・尼崎高校事件など)。

さらに堀口・前掲は、戦前・戦時中の学校教育の問題などに触れた上で、判例は「教師は政府の特定の意見のみを生徒に伝達することを拒みうる」と、民主主義社会において教師が政府からの生徒の「防波堤」となる機能としての教育権を認めていることから(最判昭和51.5.21・旭川学テ事件)、未来の学校がAIや教育ビデオだけとなり、人間の教師が学校からいなくなる場合の危険性を指摘しています。

このように、政府が推進する教育のICT化は、憲法や教育基本法の観点からも大いに問題があるといえます。

(3)EUのGDPR22条・AI規制法案と日本
児童・生徒のタブレット端末の操作履歴・スタディログなどをAIに分析させて「生徒・学習者を評価」することは、EUであれば、GDPR(一般データ保護規則)22条「コンピュータの自動処理(プロファイリング)による法的決定・重要な決定拒否権」や、本年4月に公表されたAI規制法案の内容に抵触するおそれがあります。またGDPR8条は、16歳未満の未成年者の個人データの収集を原則禁止としています。

とくに本年4月に公表されたEUのAI規制法案は、AIの利用を①禁止、②高リスク、③限定されたリスク、④最小限のリスク、の4段階に分けて規制する内容です。そのなかで「教育」は、企業の採用選考・人事評価などとともに②「高リスク」に分類されています。

この点、産業技術総合研究所研究員の高木浩光先生など情報法の先生方がネット上でたびたび説明しておられるように、EUだけでなく日本を含む西側自由主義・民主主義諸国は、「コンピュータによる人間の選別の危険」の問題意識のもとに1970年代より個人データ保護法制を発展させてきました。

日本も雇用分野の個人データ保護で厚労省の指針・通達などが何度もこの考え方を示しています(2000年「労働者の個人情報保護行動指針」第2、6(6)など)。最近もリクナビ事件に対する厚労省通達(職発0906第3号令和元年9月6日)はこの考え方を示しています。そのため、日本においても「コンピュータによる人間の選別の危険」を防ぐための「コンピュータ・AIの自動処理(プロファイリング)による法的決定・重要な決定に対する拒否権」は無縁な考え方ではないのです。

この「コンピュータ・AIの自動処理(プロファイリング)による法的決定・重要な決定に対する拒否権」について、慶応大学の山本龍彦教授(憲法)は、「個人の尊重」自己情報コントロール権(憲法13条)および適正手続きの原則(31条)から導き出されるとしています(山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』104頁~105頁)。

したがって、国・自治体や学校、教育業界やIT業界などが、児童・生徒のタブレット端末の操作履歴・スタディログなどをAIに分析させて「生徒・学習者を評価」することは、日本においても、児童のプライバシー権、「個人の尊重」と自己情報コントロール権(憲法13条)を侵害するおそれがあるので、慎重な検討と対応が必要です。

■関連記事
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

4.まとめ
このように、小中学校のタブレット端末の操作履歴ログは個人情報・個人データに該当するので、学校や教育委員会、自治体や国、企業などは、個人情報保護法・自治体の個人情報保護条例などに基づいた情報管理が必要となります。また、学校のタブレット端末等の操作履歴ログなどにより生徒・児童の評価などを行う「GIGAスクール構想」・「教育の個別適正化」などの政策は、児童・生徒の教育を受ける権利や人権保障の問題に深くかかわる重大な問題であるので、政府は国会での慎重な議論などを行うことが必要と思われます。

「GIGAスクール構想」「教育の個別適正化」などは、教育業界やIT業界などの経済的利益だけでなく、児童・生徒の教育を受ける権利教育の平等(憲法26条)個人情報の保護プライバシー権自己情報コントロール権「AI・コンピュータの自動処理による法的決定・重要な決定に対する拒否権」などの人格権(憲法13条)など、児童・生徒の「個人の尊重」人権保障に関連する重大な問題です。

そのため、政府・与党は、「学校教育のICT化」「GIGAスクール構想」などについては、内閣府や文科省などにおける諮問委員会で産業界や政府寄りの学識者の意見を聞くだけでなく、国会で慎重に時間をかけて議論を行うなど、国民的合意を得たうえで推進するべきであると思われます。

■関連記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別化」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・Github利用規約や厚労省通達などからAIを利用するネット系人材紹介会社を考えた
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』39頁
・岡村久道『個人情報保護法 第3版』77頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁
・堀口悟郎「AIと教育制度」『AIと憲法』(山本龍彦編)253頁
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』104頁
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』64頁、93頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁
・「教育ICTガイドブック」(PDF)|総務省
・凸版印刷、静岡県浜松市、慶應義塾大学と共同で 小学校向け学習応援システム「やるKey」の実証研究を開始|凸版印刷
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZine
・厚労省職業安定局・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運用について」(PDF)
・「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」|厚労省
・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞















このエントリーをはてなブックマークに追加 mixiチェック

東急不動産脳波センサー
(東急不動産本社の脳波センサーを着けた従業員達。日経新聞より)

1.コロナ禍によるテレワークの進展で、PCなどによる従業員のモニタリング・監視が進んでいる
コロナ禍によるテレワークの進展にともない、自宅等で業務を行っている従業員をPCやスマートデバイスなどでモニタリング・監視しようという研究開発が進んでいるようです。

例えば最近、NHKは4月24日に、「テレワーク 働きぶりの“見える化” 導入広がる 新型コロナ」というニュースを報道しました。

このニュースで取り上げられたIT企業アイエンターのシステムは、自宅等で働いている従業員がソフトウェア上の「着席」のボタンを押して仕事をしている間の、パソコンの画面がランダムに撮影され、上司に送信される仕組みがあるとのことです。いつ画面が撮影されるか社員には分からない仕様とのことです。

また、2019年10月に、東急不動産が職場の従業員に脳波センサーのヘッドギアを着けさせて従業員のモニタリング・監視を行っているという報道は、ディストピアSFのようだと、ネット上で大きな話題となりました。東急不動産は、脳波センサーだけでなく、音圧センサーなどのスマートデバイスを従業員につけさせることにより、従業員の感情、ストレスの度合い、会話や位置情報も収集し分析しているそうです。

・東急不動産の新本社、従業員は脳波センサー装着|日経新聞
・「働き方改革」の見える化を実現し、選ばれるオフィスへ|東急不動産


日立も、スマホ等で従業員をモニタリング・監視するアプリなどを開発する「ハピネス事業」を展開しています。また、NECやパナソニック、凸版印刷なども、「働き方改革」やテレワーク対策のために、従業員をPCやスマートデバイスなどでモニタリング・監視する商品・サービスの展開を進めているようです。

・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立|日立
・残業時間が丸見え NECが働き方監視サービスを強化|日経新聞
・ニューノーマル時代のオフィスとは? パナソニックの「worXlab」を訪ねる|マイナビニュース


2.日本の個人情報保護法制・労働法
このような事業者・使用者による従業員のPCやスマートデバイス、監視カメラなどによるモニタリング・監視は、法的に問題はないのでしょうか。

この点、2000年に制定された労働省「労働者の個人情報保護の行動指針」の「第2 個人情報の処理に関する原則」の6(5)(6)は、つぎのように規定しています。
「(5)職場において、労働者に対して常時ビデオ等によるモニタリングを行うことは、労働者の健康及び安全の確保又は業務上の財産の保全に必要な場合に限り認められるものとする。」

「(6)使用者は、原則として、個人情報コンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。

・労働者の個人情報保護に関する行動指針|厚労省

また、厚労省2019年6月27日付『労政審基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』の9頁、10頁は、HRtechや人事労務分野でAIを利用することについて、つぎのように問題点を指摘しています。

プライバシーについては、AI 等の活用により、個人データから政治的立場、経済状況、趣味・嗜好等が高精度で推定できるため、企業は、労働者の権利が侵害されないよう、サイバーセキュリティの確保を含むリスク管理のための取組を進めるなど適切に情報セキュリティを確保しつつ、個人データを扱うことが求められる。

『このため、AI の活用について、企業が倫理面で適切に対応できるような環境整備を行うことが求められる。特に働く人との関連では、人事労務分野等において AI をどのように活用すべきかを労使始め関係者間で協議すること、HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること、AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること等が必要である。

このように、テレワーク等の環境下において、PCやスマートデバイス等により歯止めなく無制限に従業員をモニタリング・監視することや、収集された個人データのみにより従業員の人事考課を行うことは、「労働者の個人情報保護に関する行動指針」第2.6(5)(6)に違反しており、また、厚労省の2019年6月27日付の労政審基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁の趣旨にも抵触していることになります。

3.裁判例から考える
企業・使用者には、労働契約に基づいて従業員に対して指揮命令権(労務指揮権)があり、また職場の施設管理権も有しています。

しかし職場内においても、労働者にとって私的な領域が存在し、労働者のプライバシー権や人格権が問題となります。そのため、企業が会社の備品の保全や製品・サービスの品質管理などのために、労働者のロッカーなどの所持品検査や職場の電子メールの監視・モニタリングなどをどの程度行うことができるのかついて、裁判で争われてきました。

この点のリーディングケースである、西日本鉄道事件の最高裁判決は、使用者が行う所持品検査について、①検査を必要とする合理的な理由の存在、②検査方法と程度の妥当性、③制度として職場の従業員に画一的に実施されていること、④就業規則その他に明示の根拠があること、という所持品検査が適法となる4要件を示しました(最高裁昭和43年8月2日判決・西日本鉄道事件)。

そして、職場の電子メールの監視・モニタリングが争点となった、F社Z事業部電子メール事件(東京地裁平成13年12月3日判決)の判決は、「監視の目的、手段およびその態様等を総合考量し、監視される側に生じた不利益とを比較考量の上、社会通念上相当な範囲を逸脱した監視がなされた場合、プライバシー権の侵害となる」と判示しています。

すなわち、「監視の目的、手段、その態様などを総合考量し、監視される側に生じた不利益とを総合考量して、社会通念上相当な範囲を逸脱した監視がなされた場合」には、労働者のプライバシー権が侵害され不法行為が成立することになります(山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁)。

この裁判例をもとに冒頭の東急不動産や日立の「ハピネス事業」の取組や、NHKの報道しているテレワークにおける従業員のモニタリング・監視を検討すると、「よりよい職場環境のための研究」「テレワーク中の従業員が職務に専念しているか監視すること」などの「監視の目的」は、一応、妥当なものといえるかもしれません。

しかし、業務時間中ずっとPCや脳波センサーなどのデバイスで従業員を監視し続けることは、「監視の手段、その態様」において、社会通念上相当な範囲を超えていると思われます。とくに東急不動産の脳波センサーなどの事例は、従業員の脳波というセンシティブな生体データを業務時間中ずっとモニタリングしており、「監視の手段、様態」の面で大きく社会通念上相当な範囲を逸脱しています。

したがって、テレワークにおけるPCによる従業員のモニタリング・監視や、東急不動産や日立の脳波センサーやスマホによる従業員のモニタリング・監視は、かりに従業員側から民事訴訟が提訴された場合、「監視の手段、様態」などが限度を超えており、従業員のプライバシー権(憲法13条)が侵害され不法行為に基づく損害賠償責任(民法709条)が成立するという判決が出される可能性があります。

■追記(2021年5月)
なお、個人情報保護委員会の個人情報保護法ガイドラインQA5-7は使用者による従業員のモニタリングについてつぎのように規定しています。

①モニタリングの目的をあらかじめ特定し、社内規程等に定め、従業員に明示すること。
②モニタリングの実施に関する責任者及びその権限を定めること。
③あらかじめモニタリングの実施に関するルールを策定し、その内容を運用者に徹底すること。
④モニタリングがあらかじめ定めたルールに従って適正に行われているか、確認を行うこと。

そして使用者はあらかじめモニタリングの重要事項等について労働組合等と協議し、従業員に周知する努力義務を負うとしています。

個人情報保護法ガイドラインQA5-7
(個人情報保護法ガイドラインQA5-7。PPCサイトより)

4.EUのGDPRから考える
2018年から施行された、EUのGDPR(一般データ保護規則)は、同22条1項において、「コンピュータによる自動処理(プロファイリング)のみによる法的決定・重要な決定を拒否する権利」を規定しています。

管理者(事業者)とデータ主体(本人)との契約に必要な場合等はその例外となるとされていますが(同22条2項)、生体データ・健康データ等のセンシティブ情報(特別カテゴリーの個人データ)はそのさらに例外で「本人の明示的同意」が必要(9条)とされています。しかも管理者は、本人から同意を取得する前提として、本人にどのようなデメリットがあるか等の情報提供義務(13条、14条)を負います。

またさらに、GDPRにおいては、本人の同意の任意性が重視されます。管理者とデータ主体との間に力関係の明らかな不均衡がある場合は、同意は有効な適法要件とすべきではないと規定されています(前文43条)。

そして、GDPRの解釈・運用指針の一つの、29条作業部会「同意に関するガイドライン(WP259 ver.01)」5頁以下は、「管理者が本人に対して強い立場にある場合は、同意を根拠に個人データを取扱うことはできない。雇用主に対して、個人データを取扱わないでほしいと本人が要請することは通常難しい。雇用主が職場の監視カメラ設置や、人事関連書類の提出について従業員に同意を求めれば、従業員はこれを拒否することに躊躇するはずである。そのため、雇用主は、基本的に同意を根拠として個人データの処理はできない。」と規定しています(小向太郎・石井夏生利『概説GDPR』60頁)。

したがって、日本では、さまざまな企業がわれ先にと、PCや監視カメラなどを利用した従業員のモニタリング・監視の商品・サービスの研究開発を行い、これらの商品・サービスの販売が行われていますが、このような日本の従業員の監視・モニタリングの商品・サービスは、EUのGDPRにおいては違法と判断される可能性が高いと思われます。

とくに日立は欧州に事業所を設置して業務を行っておりますが、自社の「ハピネス事業」についてEUのデータ保護当局から説明を求められた場合に、どのように説明しようとしているのか気になるところです。

なお、EUは4月21日に、AI規制法案を公表しました。これは、GDPR22条のAI版とも呼べるものであり、防犯カメラによる顔認証の原則禁止や、信用スコア、運輸・ガス・水道関連の社会インフラ、教育分野、採用・人事考課、ローンなどに絡む信用調査、移民・難民に関わる事務などへのAIの利用が規制の対象となります。

・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence|European Union

5.西側自由主義諸国の個人データ保護法制の歴史(?)とまとめ
1960年代からのコンピュータの発展による人権侵害のおそれを受けて作成された、1974年の国連事務総長報告書「科学の発展と人権」以来、「コンピュータによる人間の選別を拒否する権利」(プロファイリング拒否権)プライバシー権・自己情報コントロール権などと並んで世界の個人情報保護法(個人データ保護法)の重要な法目的のひとつでした。この考え方は、1980年のOECD8原則や、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいては1995年のEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年4月に公表されたAI規制法案に受け継がれています。(2009年発効のリスボン条約により法的拘束力を持つEU基本権憲章Ⅱ-8は「あらゆる人は、自らに関する個人情報を保護される権利を持つ」と個人情報保護を規定しています。)

そして日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」第2「個人情報の処理に関する原則」6(6)「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない」と規定され、2019年の厚労省の「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁においてもこの考え方は踏襲されています。つまり日本においても、プロファイリング拒否権の考え方は無縁ではないのです(宮里邦雄・徳住堅治『労働法実務改正8 高齢者雇用・競業避止義務・企業年金』144頁)。

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2

日本の個人情報保護法制においては、この「コンピュータによる人間の選別を拒否する権利(プロファイリング拒否権)」がなぜか立法目的においてぼかされたまま立法や運用が行われてきました(個人情報保護法1条、3条)。

しかし、国民の個人の尊重や基本的人権の確立を国家の目的(憲法11条、97条)とする、18世紀以降の西側自由主義諸国の近代憲法による民主主義国家という国家体制を、日本が今後も採ろうとするのであれば、日本は個人情報保護法制において、「コンピュータによる人間の選別を拒否する権利」やプライバシー権、自己情報コントロール権などを立法目的に明記し、それを守るための立法や運用を行うべきです。

このままでは、日本の個人データ保護法制はガラパゴス化の道を進み、西側自由主義諸国の個人データ保護法制からますます離れて、中国などのような国家主義・全体主義国家の個人データ保護法制にますます接近してしまうと思われます。

■追記(2021年8月)
『ビジネス法務』2021年9月号78頁の弁護士の川端小織先生の論文「在宅勤務における「従業員監視」はどこまで許されるか?」は、ウェアラブル端末による従業員のモニタリングについて、「ウェアラブル端末を用いれば在宅勤務中の従業員の脳波を計測し、そこから従業員の集中力を導き出して人事評価に利用するとの発想もあり得る。しかしこのようなモニタリングはプライバシー侵害の危険という法的問題があるうえ、従業員にとって納得感のある客観的な人事評価指標とはいえないであろう」としておられます。

■関連するブログ記事
・従業員をスマホでモニタリングし「幸福度」「ハピネス度」を判定する日立の新事業を労働法・個人情報保護法的に考えた
日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・2021年の個人情報保護法の改正法案の学術研究機関の部分がいろいろとひどい件-デジタル関連法案
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
ドイツの国勢調査事件判決と情報自己決定権についてーBVerfGE 65,1, Urteil v.15.12.1983
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム

■参考文献
・菅野和夫『労働法 第12版』262頁、695頁
・岡村久道『個人情報保護法 第3版』225頁
・小向太郎・石井夏生利『概説DGPR』60頁、64頁、93頁
・山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁
・労務行政研究所『新・労働法実務相談 第2版』551頁
・田島正広『インターネット新時代の法律実務Q&A 第3版』110頁
・川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁
・宮里邦雄・徳住堅治『労働法実務改正8 高齢者雇用・競業避止義務・企業年金』144頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・衆憲資第56号 欧州憲法条約-解説及び翻訳-|衆議院
・労働政策審議会労働政策基本部会報告書~働く人が AI 等の新技術を主体的に活かし、豊かな将来を実現するために~(2019年)|厚労省 


■追記(2022年3月18日)
2022年3月18日に、情報法制研究所の高木浩光先生のつぎのインタビュー記事に接しました。
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|Cafe JILIS



[広告]


















このエントリーをはてなブックマークに追加 mixiチェック

1.はじめに
2月27日付の日経新聞に、「人事は見ている?就活生のSNS」という興味深い記事が掲載されていました。

・人事は見ている? 就活生のSNS|日経新聞

同記事によると、日経新聞記者の取材に対して、大半の大手企業の採用担当は、就活生のSNSは見ていないとはっきり否定したそうです。ただしあるベンチャー企業は、「日常の「素」の姿が見たいので、SNSは必ずチェックする」と回答したそうです。さらに、同記事は、ある金融機関のリクルーターとの面談の際に、そのリクルーターから、自分がSNSで書き込んでいたあるミュージシャンの話題をふられたという元就活生の生々しい事例を取り上げています。

結論を先取りすると、就活生のSNSなどを企業の人事部が勝手に見て就活生の情報を取得することは、職業安定法およびそれに関連する厚労省の通達違反する違法なものです

(関連)
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた

2.職安法・指針・厚労省サイトなど
この点、職業安定法5条の4(求職者等の個人情報の取り扱い)は、1項で、求人者、公共職業安定所、職業紹介事業者などは、『求職者等(略)の個人情報を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。』と規定し、同2項は、求人者等は、『求職者等の個人情報を適正に管理するために必要な措置を講じなければならない。』と規定しています。

そして、厚労省の指針(平成11年労働省告示第141号)は、この職安法5条の4についてさらにつぎのとおり詳細を規定しています。

厚労省告示141号
・指針(平成11年労働省告示第141号)|厚生労働省

さらに厚労省の企業の採用について解説するサイトの「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」はつぎのように注意をうながしています。

採用の基本
・公正な採用選考の基本|厚生労働省

3.本記事の事例などの検討
(1)企業の採用担当は就活生等のSNSを見ることができるか
うえでみたように、平成11年労働省告示第141号の第4の1(2)は、企業等が就活生等から個人情報を取得する際には、就活生から直接取得または就活生の同意が必要であるとしています。また厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「c」は、「身元調査など」を行うべきでない採用選考の方法としています。

したがって、企業の採用担当者等が、就活生本人の同意を得ないで当該就活生のSNSを見て個人情報を取得することは、平成11年労働省告示第141号の第4の1(2)に反し、つまり職業安定法5条の4違反となります。この場合、企業等は職業安定法に基づく改善命令を受ける場合があります(法48条の3)。また、当該企業が改善命令に違反した場合は、6か月以下の懲役または30万円以下の罰金の罰則を科せられる場合があります(法65条7号)。加えて法人たる企業も罰則を科される場合があります(法67条)。

さらに、就活生など求職者は、面接などで違法な事柄があった場合は、厚生労働大臣に申告を行い、厚生労働大臣に必要な調査や措置を行わせることができます(法48条の4)。

なお、少し前に、AIを使いSNSなどネット上の情報を勝手に収集しスカウトを行う人材紹介会社であるスカウティ社がネット上で話題となりましたが、職業安定法5条の4およびその指針との関係で、この人材紹介会社の業務も違法のおそれが強いと思われます。

(2)リクルーターからSNSに書き込んでいたミュージシャンの話題をふられた
うえでみたように、企業の採用担当者等は、就活生本人から直接取得する場合、あるいは本人の同意を得た場合にしか個人情報を取得できず、そうでなければ就活生のSNSをみて個人情報を取得することができません。

そしてさらに、職業安定法5条の4は、企業の採用の「業務の目的の達成に必要な範囲内で」しか、企業は求職者の個人情報を取得できないとしています。あるミュージシャンを好きか否かが、一般企業の採用業務の目的達成に必要とは通常考えられません。

また、平成11年労働省告示第141号は、「思想・信条」に関する個人情報の取得を禁止しており、厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「b」は、「購読新聞・雑誌・愛読書・尊敬する人物・人生観・生活信条」などの情報を企業が就活生から取得することを禁止しています。

音楽をどの程度愛好するかは人により異なると思われますが、しかしある人にとってはある音楽が、人生観・生活信条や尊敬する人物に関連することもあり得ると思われ、本記事に掲載されている、音楽の話題を出してきたリクルーターは、勝手に本人のSNSをみているだけでなく、思想・信条に関連しうるセンシティブな話題をリクルーター面接の場に出しているという点で、二重に法的に問題であると思われます。

(3)デモなどへの参加の有無を面接等で問うこと
なお、この季節になるとしばしばネット上で話題になるのが、デモなどへの参加の有無を面接等で問うことの当否です。

これも、平成11年労働省告示第141号および厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「b」が、「労働組合への加入状況、学生運動、社会運動など」に関する個人情報の取得を禁止していることから許されません。

■関連するブログ記事
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた(追記あり)
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・SNSなどネットで個人情報を収集する”AIスカウト”人材紹介会社について考える

■参考文献
・菅野和夫『労働法 第9版』161頁
・大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁
・安西愈『トップ・ミドルのための 採用から退職までの法律知識〔十四訂〕』18頁



















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ