なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:GDPR

ai_pet_family
1.AIと従業員に関する厚労省の2019年の報告書
人事労務分野の労働者とAIとのあり方に関する報告書を、2019年9月11日に厚労省の労働政策審議会が公表していました(「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」)。

・労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~|厚労省

人事労務分野におけるコンピュータやAIなどによる従業員のモニタリングなどについては以前から関心があったので、その観点からこの報告書を読んでみました。

2.AIなどによる従業員のモニタリングについて
すると、本報告書10頁に、つぎのような報告がまとめられていました。

(2)AI による判断に関する企業の責任・倫理
 AI の情報リソースとなるデータやアルゴリズムにはバイアスが含まれている可能性があるため、AI による判断に関して企業が果たすべき責任、倫理の在り方が課題となる。例えば、HRTech では、リソースとなるデータの偏りによって、労働者等が不当に不利益を受ける可能性が指摘されている。

 このため、AI の活用について、企業が倫理面で適切に対応できるような環境整備を行うことが求められる。特に働く人との関連では、人事労務分野等において AI をどのように活用すべきかを労使始め関係者間で協議すること、HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること、AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること等が必要である。

 他方、AI 等を活用することにより、人間による業務判断の中にバイアスが含まれていないかを解析することもできるため、技術革新が人間のバイアスの解消に資する可能性もあるという指摘もあり、今後、こうした面からも AI 等の活用が期待される。(「労働政策審議会労働政策基本部会報告書」10頁より)』

つまり、本報告書10頁の(2)の第二段落は、人事労務分野におけるAIの活用について、

①AI をどのように活用すべきかを労使始め関係者間で協議すること
②HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること
③AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること

の3点を提言しています。
もちろん、この3点は簡潔に的を射ており、とても重要であると思うのですが、しかし厚労省の諮問委員会の報告書が「倫理」を強調している点はやや気になります。

3.旧労働省の行動指針とGDPR22条
旧・労働省の2000年に公表された「労働者に関する個人情報の保護に関する行動指針」6(6)は、「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。」とする規定を置いています。

・労働者の個人情報保護に関する行動指針|厚労省

また、2016年にEUが制定したGDPR(EU一般データ保護規則)22条1項も、「データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利を有する。」と規定しています。

GDPR22条
(個人情報保護委員会サイトより)

旧労働省の行動指針やGDPR22条が示すのは、コンピュータ等による個人データの自動処理のみによる結果に基づいて労働者等が人事労務上の差別を受けない権利という平等権(憲法14条1項)だけでなく、コンピュータ等の自動処理のみによって人事労務上の決定を受けない権利という一種の人格権(憲法13条)の2点であると思われます。

人格権的観点からみると、この「コンピュータ等の自動処理のみによって人事労務上の決定を受けない権利(自動処理のみに基づき重要な決定を下されない権利)」の趣旨は、「AIの統計的・確率的な判断からの自由を保障し、個人一人ひとりの評価に原則として人間の関与を求めるなど、時間とコストをかけることを要請して、ネットワーク社会における「個人の尊重」(憲法13条)を実現しようとするものです。また、この権利は、コンピュータ・AIが確率的・統計的に導き出した個人のイメージに異議を唱え、自らが主体的に情報を「出し引き」(コントロール)することにより、そのイメージを改定することを認めている点で、「自己情報コントロール権」(憲法13条)に近いともいえます。さらに、適正な手続き保障(憲法31条)の観点からも重要な権利といえます。(山本龍彦『AIと憲法』101頁~105頁)

それに対して2019年の厚労省の労働政策審議会の報告書は、人事労務分野におけるAIによる従業員のモニタリングの問題を主に「倫理」の面から捉え「法律」の面から捉えていない点が問題であり、また、AIによる労働者のモニタリングの問題を「コンピュータによる差別」「バイアス」と平等権の問題のみから捉えている点も問題ではないかと思われます。

4.労働法-西日本鉄道事件(最高裁昭和43年8月2日判決)
この点、労働法分野においては、使用者の指揮監督権と従業員のプライバシー権が衝突する場面については、古くから使用者による従業員の所持品検査などが裁判で争われていました。

そのリーディングケースである、西日本鉄道事件(最高裁昭和43年8月2日判決)は、「使用者が従業員に対して行う所持品検査は、これは被検査者の基本的人権に関する問題であって、その性質上、常に人権侵害のおそれを伴うものであるから、たとえそれが企業の経営・維持にとって必要かつ効果的な措置(略)であったとしても、そのことをもって当然に適法視されるものではない」とした上で、所持品検査が適法となるための要件として、「①検査を必要とする合理的な理由のあること、②一般的に妥当な方法と程度であること、③職場従業員に画一的に実施されていること、④就業規則その他の規定に明示の根拠があること」の4要件をあげています。

一般論としては、人事労務分野のAIやコンピュータによる従業員のモニタリングは、この要件のなかで、とくに「②一般的に妥当な方法と程度であること」、「③職場従業員に画一的に実施されていること」が今後、より争点となるように思われます。

5.まとめ
厚労省の労働政策審議会は、人事労務分野・HRtechにおけるAIやコンピュータ等による従業員のモニタリングについてせっかく報告書を取りまとめるのであれば、倫理的問題だけでなく、労働法・個人情報保護法・憲法などに目配りをした上で、法的な問題や、それをクリアするための基準を可能な範囲で示すべきだったように思われます。

また、今後の社会・経済はますますグローバル化が進行するように思われ、日本の人事労務分野もますますグローバルな視線が必要になると思われます。日本の人事労務やHRtechが「官民による個人情報の利活用」ばかりを重視しガラパゴス化して、欧米と断絶してしまう事態は避けるべきだと思われます。

■関連するブログ記事
・従業員をスマホでモニタリングし「幸福度」「ハピネス度」を判定する日立の新事業を労働法・個人情報保護法的に考えた

・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・菅野和夫『労働法 第12版』262頁
・高野一彦「従業員の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』163頁(堀部政男)
・山本龍彦『AIと憲法』101頁
・小向太郎・石井夏生利『概説GDPR』93頁
・労務行政研究所『新・労働法実務相談 第2版』549頁




AIと憲法

概説GDPR

労働法 (法律学講座双書)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.はじめに
最近の日経新聞によると、日立の子会社「ハピネスプラネット」は、新しい「ハピネス事業」において、従業員の「幸福」度を向上させ、職場・会社の業務の改善を行うという目的のために、日立は従業員にスマホの各種センサー類を活用するスマホアプリを導入させて、常時、広範な個人データを網羅的に取得し、それらの個人データをコンピュータ等で分析し、従業員の幸福度のモニタリングを実施しているようです。

・日立、幸福度を測るアプリ提供で新会社|日経新聞
・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立|日立製作所

この日立の取り組みに対しては、そもそもの「幸福度」、「ハピネス度」などの概念への疑問や、そもそも会社が従業員に会社が考える「ハピネス」「幸福」を押し付けてよいのかという問題や、会社が従業員をスマホアプリにより常時網羅的にモニタリングするというやり方に手段に相当性があるのかなど多くの疑問がSNSなどのネット上に投稿されています。

2.プライバシー権・自己決定権・人格権と指揮命令権
何が自分にとって「幸福」かについては、従業員(国民)個人個人の内心の自由の問題(憲法19条)であり、第三者や使用者たる企業等や国が安易に介入を許されない、従業員・国民の私的領域のプライバシーや自己決定権・人格権の問題です(憲法13条)。

しかしその一方で、会社等で働く従業員は使用者たる会社と労働契約を締結している関係にあり、この労働契約に付随して使用者たる会社は条業員に対する指揮命令権をもっています。そのため、一般的に会社の上司などが、従業員に対して指示・監督などを行うために観察などを行うことは、原則としては許容されるとされています。

3.日立・ハピネスプラネットの業務は法的に問題はないのか
とはいえ、日立の新しい「ハピネス事業」においては、従業員の「幸福」度を向上させ、職場・会社の業務の改善を行うという目的のために、日立は従業員に本件スマホアプリにより、スマホのセンサーを使って常時、広範な個人データを取得を網羅的に取得し、それらの個人データをコンピュータ等で分析し、従業員の幸福度のモニタリングを実施しているようです。このような日立の従業員に対する新しいモニタリング手法は法令上問題がないのでしょうか。

4.使用者は従業員の私的領域にどこまで侵入できるか
(1)西日本鉄道事件
この点に関しては、従業員が退社する際に会社が所持品検査を行うことが許されるかどうかが争われた事件において、最高裁(西日本鉄道事件・最高裁昭和43年8月2日判決)は、「使用者が従業員に対して行う所持品検査は、これは被検査者の基本的人権に関する問題であって、その性質上、常に人権侵害のおそれを伴うものであるから、たとえそれが企業の経営・維持にとって必要かつ効果的な措置(略)であったとしても、そのことをもって当然に適法視されるものではない」とのスタンスを示した上で、所持品検査が適法となるための要件として、

①検査を必要とする合理的な理由のあること
②一般的に妥当な方法と程度であること
③職場従業員に画一的に実施されていること
④就業規則その他の規定に明示の根拠があること
の4要件をあげています。

(2)検討
ここで日立とハピネスプラネットの新事業をみると、①冒頭でもみたように、「なにが自分にとっての幸福か」とは、国民個人個人が自己の内面(私的領域)において考えるべき事柄であり、企業(あるいは国)が安易に介入すべきものではありません。そのため、合理的理由があるとはいえません。また、②本記事などを読む限り、本アプリは従業員のごく微細な動きなどのデータから本人の内心を読み取るなど、性格検査あるいはうそ発見器など装置・アプリであり、そのような機微な個人データを大量に常時モニタリングを行うことは、社会一般から見て妥当な方法と程度であるとはとてもいえません。

(3)結論
このように上の最高裁判決が示した4要件のうち、少なくとも2つを満たしていないので、日立とハピネスプラネットのこの新ビジネスは違法のおそれがあると思われます。

5.個人情報保護法の観点から
なおNHKの記事によると、日立は従業員のプライバシー・個人情報について、「計測されるのはあくまで本人も気付かないような体の細かな動きで、プライバシーに関わるようなものが取得されるわけではありません。」と主張しているようです。

・幸せって測れるの?サクサク経済Q&A|NHK

しかし、本人も気づかないような細かな体の動きも「動作」であり、個人情報保護法2条1項1号は「動作」も個人情報の一類型と例示しているので、日立がこれをデータとして収集したものは個人データです。



したがって、日立などは「動作」の個人データを収集・利用などしてこの新事業を行うためには、本人たる従業員に、個人情報の利用目的などを定めて(15条)、通知し(18条)、利用目的の範囲内でしか原則として利用できません。当然、それらの個人データには安全管理措置を講じなければなりません(20条)し、第三者提供も原則として従業員本人の同意が必要となります(23条)。日立がこのような各法的義務を履行しているのか気になるところです。

*注
はてなブックマークのコメント欄で、ごくわずかな「動作」は個人情報ではないとのご意見をいただいたようです。この点、個人情報保護法2条1項1号は、

個人情報を「氏名、生年月日その他の記述等(文書、図画もしくは電磁的記録(略))に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

と定義しています。つまり、氏名、住所、生年月日などだけにとどまらず、「特定の個人を識別」できる一切の事項が個人情報です。日立の新事業においても、ある従業員・被験者個人個人の「幸福度」「ハピネス度」を測定するためにスマホやウェアラブル端末を利用して当該従業員・被験者個人個人の「ごくわずかな動作」などを測定しているので、この動作も特定の個人を識別できる情報であるため、やはり個人情報となります。


6.GDPRと旧労働省の個人情報保護に関する行動指針
EU憲法(EU基本権憲章)8条は、「すべての者は、それぞれ自らに関する個人データの保護の権利を有する」と個人データ保護が基本的人権(基本権)であることを明示しています。これを受け、2018年5月に欧州では、GDPR(一般データ保護規則)が施行されています。そしてGDPR22条は、「コンピュータ等による個人データの自動処理の結果のみによる評価に服さない権利」を定めています。

スマホとスマホアプリで個人データを収集して自動処理を行う日立の「ハピネス」事業は、もろにDGPR22条の適用範囲に入っているように思われます。日本に対して十分性認定を行ったEUの個人データ保護当局がこの日立の取り組みをどう考えているのかは非常に興味があるところです。また、これまで日立が実施した本事業の被検査者に、EU国籍の人間がいなかったのかどうかも気になるところです。

なお、日本も欧米の個人情報保護法制の動きを参考にしつつ立法等を行ってきた経緯から、例えば2000年の旧・労働省の「労働者に関する個人情報の保護に関する行動指針」6(6)は、「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。」と、GDPR22条を先取りしたような規定が置かれていました。

このような個人データ・プライバシーの保護により国民の基本的人権や幸せを守ろうとする世界的な流れに対して、日立の新事業は真っ向から逆行しているように思われます。

■参考文献
・菅野和夫「労働法 第12版」262頁
・労務行政研究所「新・労働法実務相談 第2版」549頁
・堀部政男「プライバシー・個人情報保護の新課題」163頁(高野一彦)


人気ブログランキング

労働法 (法律学講座双書)

第3版 新版 新・労働法実務相談 (労政時報選書)

AIと憲法

このエントリーをはてなブックマークに追加 mixiチェック

個人情報保護委員会

1.森永乳業で12万件の個人情報流出事故が発覚
毎日新聞などによると、森永乳業は5月9日、同社の健康食品通販サイトで、クレジットカードや銀行振り込みなどで商品を購入した、最大約12万人分のカード情報や個人情報が流出した恐れがあると発表しました。カード会社からサイトの複数の利用者に不正使用の被害が生じていると連絡を受けてこの個人情報流出事故が発覚したそうです。

・健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ|森永乳業

・森永乳業 顧客情報流出の恐れ 通販サイト 最大12万人|毎日新聞

2.個人情報保護委員会の個人データ漏えい事案発生時の対応に関する告示
個人情報保護委員会が平成28年に制定した、「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「ガイドライン(通則編)」という)の「4 漏えい等の事案が発生した場合等の対応」は、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」と規定しており、それを受けて、同委員会は平成29年に告示「個人データの漏えい等の事案が発生した場合等の対応について」を策定しました(以下「個人データ漏えい事案発生時の対応に関する告示」とする)。

・個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)|個人情報保護委員会

この「個人データ漏えい事案発生時の対応に関する告示」は、個人情報流出事故が発覚した場合の民間企業等がとるべき対応をつぎのように規定しています。

①事業者内部における報告及び被害の拡大防止のための措置の実施
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び速やかな実施
⑤影響を受ける可能性のある本人への連絡
⑥事実関係及び再発防止策等の公表
⑦個人情報保護委員会や監督官庁への速やかな報告

3.個人情報保護委員会や監督官庁への速やかな報告
⑦の、「個人情報保護委員会や監督官庁への速やかな報告」については、個人情報保護法改正前の金融庁や総務省の個人情報ガイドラインが監督官庁に「直ちに」報告することを規定していたため、個人情報漏洩事故が発生した企業は、迅速な報告が求められます。そのため金融業界などは、②の事実関係の調査及び原因究明である程度の事実が判明した段階で、監督官庁には第一報を報告すべきです。

なお、EU一般データ保護規則(GDPR)33条は、個人情報流出事故が発生してから72時間以内に監督官庁に報告することを要求しています。例えば欧州のユーザーにスマホアプリなどを提供している事業者などは、迅速な対応が要求されます。

また、不正アクセスなどが原因の場合は、警察への報告も必要です。

4.事実関係及び再発防止策等の公表
⑥の「事実関係及び再発防止策等の公表」については、できれば経営陣が公表したくないと悩むところでしょう。しかし、「ガイドライン(通則)」が、「二次被害の防止、類似事案の発生防止等」の観点から上の①から⑦までの対応を求めていることを考えると、やはり個人情報流出事故により、顧客に二次被害の発生するおそれがあったり、類似の個人情報流出事故の発生のおそれがあるような場合は、事業者は速やかに記者会見やウェブサイトへのプレスリリースの掲載などの公表を実施すべきです。

今回の雪印乳業の事案のように、すでにクレジットカード情報が流出し、その不正利用が発生している状況では、さらなる二次被害を防止するため、公表はやむを得ないでしょう。

5.報告を要しない場合
なお、「個人データ漏えい事案発生時の対応に関する告示」は後半で、例外として「報告を要しない場合」をいくつか列挙しています。

ただし、たとえば「漏えい等事案に係る個人データについて高度な暗号化等の秘匿化がされている場合」という規定について、個人情報保護法ガイドラインQ&Aをみると、「適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていること」(Q&A12-10)と解説されており、必ずしも公表しなくてよいハードルが下がったとはいえないように思われます。

・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A|個人情報保護委員会

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・竹内朗・鶴巻暁など『個人情報流出対応における実践的リスクマネジメント』17頁、19頁

個人情報保護法〔第3版〕

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ