従業員の「監視」と「プライバシー」をめぐる問題

個人情報保護法の全面施行を前に、メールやPC操作などの監視ツールに対する関心が高まっている。だがこれは、従業員のプライバシー侵害につながる恐れもある。

» 2004年11月24日 09時43分 公開
[高橋睦美,ITmedia]

 個人情報保護法の全面施行を前に、情報漏洩の抑止効果や事件発生後の状況調査などを目的とした、従業員のPC操作やWebアクセス、電子メールのやり取りなどを監視するツールの導入に対する関心が高まっている。もっぱら、個人情報保護法への対応という切り口で語られることの多い「従業員の監視」だが、従業員のプライバシーという観点からは議論されるべき点も残されている。

 「Global IP Business Exchange 2004」カンファレンスでは、情報セキュリティの確保とプライバシーの関係について論じるセッションが設けられた。

 監査法人トーマツエンタープライズリスクサービス部の丸山満彦氏によると、事実、「監視ツールの導入を検討中の企業は多い」という。しかし、この導入作業を情報システム部門だけで行い、規定もルールもないまま進めてしまうと、プライバシーとの兼ね合いの部分で大きな問題が生じる可能性があるという。

 新保史生氏(筑波大学大学院図書館情報メディア研究科助教授)によると、従業員の監視については2つほど判例が存在するという。それぞれ、事故防止と抑止効果を目的とした事前モニタリングと、事件発生後の調査や犯人特定を狙った事後モニタリングに関するものだ。

 このうち事前モニタリングについての判決では、「メールの監視手続きが定められているかどうか」「私的使用の許容範囲はどの程度か」「メールの利用に関する合理的なプライバシー(保護)への期待」といった基準が示されている。この判例に基づけば、プライバシーを侵害する事前モニタリングとは「無権限である」「職務上の合理的必要性がない」「個人の恣意的な好奇心によるもの」が該当するという。

 一方事後モニタリングとなると、「企業秩序維持のための監視は認められるか」が争点になる。この場合は、「送信者の職務専念義務違反」や「企業秩序違反」といった部分が争点になる。この考え方に従えば、たとえば同じように会社が所有し、管理するものでも「ロッカーは私物を保管する場所だが、会社のメールサーバはそうではない(=監視は許容される)」という論につながる。

労務管理手法が追いつかない

 鈴木正朝氏(ニフティ情報セキュリティ推進室課長)も、事後モニタリングについては、これまでの物理的な監視カメラなどの流れを踏襲し、「企業秩序維持のための介入など、一定の要件の下で容認されている」という。

 ただ、「社員が何もしていない段階で監視を行う『事前モニタリング』となると話は違う。これを何も考えずに導入すると、適法性という意味で大きな問題が出てくる可能性がある」と指摘した。

 鈴木氏が特に問題にするのは、技術的な進化に法制度や労働者管理手法の整備が追いついていない点だ。上司の目視といった手段で行われてきたこれまでの従業員の監視手法は、今のビジネスの実態にはそぐわなくなっており、管理の実態を尽くせなくなっているという。「制度のほうが追い付いていない。新しい労務管理手法が必要だ」(鈴木氏)。従業員監視ツールはそうした新たな管理手法を実現する技術的ツールの1つとして位置づけられるという。

 だが残念ながら、肝心の「従業員のモニタリングをどこまで行うことができ、どこからが禁じられるのか」を示してくれる基準は存在しない。鈴木氏は、厚生労働省のガイドラインにその役割を期待したいという。

 個人情報保護法は、消費者保護の観点から「従業者の監督義務を尽くす」ことを求めている。一方で、従業員の事前監視に関する基準があいまいな現状では、「どういった手順でどのように導入するかは試行錯誤しつつ進めている状態」(鈴木氏)。今できることがあるとすれば、社内規定をしっかり作成し、告知するといった手段くらいという。

 鈴木氏はまた、あらゆる労働者を同じように扱うのはおかしいのではないかとも指摘した。「雇用形態だけでなく、顧客データベースへのアクセス権限の強弱に応じて丁寧にモニタリングの強弱を付け、監視するのが合理的ではないか」(同氏)。これと同時に、「かくかくじかじかのことは行ってはいけない」という禁止事項をきちんと示すことが、適法なモニタリングにつながるのではないかという。

厳格な手続きの明記を

 特に事前モニタリングについては、事前に監視内容を明確に示すことがポイントになりそうだ。「従業員一人ひとりから(監視に関する)承諾書をとることが慣行化すれば問題はなくなるかもしれないが、今の時点では、社内規定中に明確に示すべきではないか」(鈴木氏)。

 具体的な規定の項目としては、モニタリングの体制や利用目的の特定/公表、取得するログの種類や監視ツールの設定、モニタリングの稼動時間帯、それに具体的な禁止行為の列挙や不正行為発覚時の対応、労働者に対する評価(対処)などが挙げられる。

 「日本の従来の社内規定では、こういったドロドロしたところをあえて定めずにおくことが多かった。しかし、こういったモニタリングツールを導入するとなると、従来のゆるやかな労使関係とはまた異なる関係が生じる。そこでは、厳格に手続きを定めるべき」(鈴木氏)。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ