第3回：「職場の個人データ処理について」29条作業部会意見書の解説

２．職場における個人データ処理の適否評価の基本的枠組

(1) データ処理の適法根拠としての「正当な利益」

旧指令、GDPRいずれにおいても、個人データの処理は、法が限定列挙した一定の適法根拠がある場合に限り許されます。意見書は、職場においては雇用主と従業員との間の力関係が非対称であり、このような関係においては同意が完全に自由に与えられたものであるという、両EU法が規定する同意の有効条件を満たす可能性は低く、ゆえに職場における個人データ処理の適法根拠としてデータ主体である従業員の同意に依拠することは不適当とします。一方で、給与支払いに伴う銀行口座データの処理など、契約履行上の必要性を適法根拠とする処理、源泉税徴収税や社会保険料の取扱など法令により雇用者に課せられる法的義務を適法根拠とする処理は可能であると述べ、監視関連の新テクノロジーを利用した職場における個人データ処理の多くは、雇用主の正当な利益の追求（旧指令第7条(f)、GDPR第6条第1項(f)）を適法根拠として行いうる可能性があるとします。このような適法根拠としての正当利益としては、業務改善、顧客満足、会社資産保護、従業員の安全・衛生などが考えられます。

(2) 正当な利益とプライバシーのバランス（3つのテスト）

意見書は、続いて、雇用主の正当な利益を職場における個人データの適法根拠とする場合、そのような処理が許されるためには、必要性のテスト（そのような処理が目的である正当な利益の実現のために厳格に必要であるか）、補完性のテスト（従業員のプライバシーにとってより侵害性が低いほかの手段がないかどうか）、及び比例性のテスト（プライバシーへの影響を緩和する措置を講じた上で、雇用主の正当な利益と従業員のプライバイシー権との間に均衡が成り立つか）の３つのテストをパスしなければならないと述べます。

(3)透明性の確保

職場における監視を含む個人データ処理について、上記３つのテストをパスした場合でも、さらに透明性の確保が重要であるとされます。このコンテクストにおける透明性とは、どのような目的でどのような処理が行われるのかについて、データ主体である従業員に対して十分な情報提供を処理に先立ってあらかじめ行い、従業員が当該処理とその影響を想定外の不意打ちと感じないよう配慮するということです。

以上が、職場における従業員の個人データ処理について、意見書で解説されている適否評価の基本的枠組です。次に、意見書は、具体的な例に即してこの評価基準の適用について解説します。

３．評価基準の具体例への適用

(1) 採用過程におけるSNSからの情報取得

《シナリオ》
企業の採用担当者が応募者のプロファイルを様々なSNSでチェックし、取得した情報を選考過程で利用した。

《評価》
■適法根拠とプライバシーに対するリスク
採用候補者の職務上のパフォーマンスを適切に評価することは、雇用主の正当な利益の追求といえる。一方で、応募者の私的生活・思想信条などに関する不必要な調査が行われるリスクがある。
■必要性・補完性・比例性のテスト
特定の職能について候補者に関する特定のリスクを評価するためであれば必要であるといえる。
応募者の私的生活に関する情報を収集する必要は認められない。
■透明性・公正性の確保
求人広告で候補者に関する情報をSNSで調べることを告知するなど、予め情報提供すべきである。
選考プロセスが終了し、雇用をオファーしないこと又は候補者がオファーを辞退することが確定した時点で、取得したデータは廃棄すべきである。

(2) 退職後の競業避止義務遵守確認のためLinkedInを調べる

《シナリオ》
退職した元従業員が雇用契約で合意した退職後の競業避止義務を遵守しているかどうかを確認するために、雇用主が元従業員のLinkedInプロファイルを監視する。

《評価》
■適法根拠とプライバシーに対するリスク
雇用主が元従業員に与えた事業上のノウハウを一定期間保護するという雇用主の正当な利益の追求。
■必要性・補完性・比例性のテスト
競業避止義務の遵守を監視するために必要な限度に留めること。
元従業員のプライバシーに対してより侵害的ではない他の方法がないこと。
■透明性・公正性の確保
パブリックなプロファイルを定期的に監視していることについて元従業員に対して十分な情報提供をすべきである。

以下、私見ですが、以上の検討について監督機関に対して説明し、アカウンタビリティ責任を果たせるよう、書面を作成しておくべきだと考えます。

(3) TLSインスペクションによる通信内容の傍受・分析

《シナリオ》
悪意のある通信を検知する目的で、雇用主が暗号化された通信を解号、監査するTLSインスペクション装置を導入しようとしている。これにより社内ネットワーク上で行われる従業員のオンライン活動全体を記録・分析することができる。

《評価》
■適法根拠とプライバシーに対するリスク
不正なアクセスやデータ漏洩から企業のネットワーク及び従業員、顧客などのデータを保護するという雇用主としての正当な利益は認められる。一方、従業員にとっては通信の秘密が侵害されるリスクがある。
■必要性・補完性・比例性のテスト
目的に照らし必要な通信傍受の範囲を限定するよう装置を設定すべきである。
より侵害的でない方法を検討すべきである。たとえば、装置がインシデント発生を検知しない限り、データを保存せず、雇用主が見られないような監査方法はないか。一定のwebサイトの閲覧をブロッキングすることにより同じ目的を達成できないか。
従業員の私的通信を含むあらゆるオンライン活動を監視することは通信の秘密との関係で比例的を欠く過剰な反応である。
■透明性・公正性の確保
社内ネットワークのAUP（Acceptable Usage Policy）を明らかにし、従業員にはあらかじめAUPと監視ポリシーについて詳しく情報提供する。
■侵害を軽減するための追加措置
監視ポリシーを明らかにすることにより、従業員がそのような通信を避けるよう誘導する。
業務ネットワークとは別に、監視なしのネットアクセスを提供し、通信の秘密を保証する。
これらの侵害軽減措置により通信の秘密との関係における比例性の評価は上昇する。

(4) メール監査ツールによる送信メールの自動監査

《シナリオ》
ある企業は、送信メールを自動的に監査するソリューションにより、意図的か否かにかかわらず、顧客データやノウハウなど重要な会社資産が不正に流出することを防ごうとしている。疑わしいメールについては詳細な監査が実施される。

《評価》
■適法根拠とプライバシーに対するリスク
顧客の個人データ、企業のノウハウなどを不正な侵害から保護することは、雇用主の正当な利益として認めうる。一方、侵害的ではないメールを誤って要チェックと判定する、いわゆるfalse-positiveなアラートにより、従業員の私的な通信や個人データについて不必要な監査が行われるリスクがある。
■必要性・補完性・比例性のテスト
以下のような透明性確保と侵害軽減策を実施すれば、通信の秘密、プライバシー保護との関係で、雇用主の正当利益について比例性が認められる可能性はある。
■透明性・公正性の確保
データ侵害の可能性ありと判断するルールは、従業員に対して透明でなければならない。
■侵害を軽減するための追加措置
Positive判定の場合、例えば、詳細な監査の前に警告メッセージを送信者に送り、送信者が送信キャンセルを選択するチャンスを与える。

以下、私見ですが、メール監査ツールは、系統的かつ広範な評価を自動処理で行い、その結果個人に重大な影響を与える可能性があるので、GDPR第35条第3項に該当し、DPIA実施義務ありとされる可能性が高いと考えられます。

(5) 職場外における通信の監視

《シナリオ》
在宅勤務に伴う顧客データ、ノウハウなどへの侵害のリスクに対応するため、キーストロークとマウスの動きを記録するシステム、スクリーンキャプチャ、アプリケーション使用状況記録、webカメラによる監視などを利用する。

《評価》
■適法根拠とプライバシーに対するリスク
顧客の個人データ、企業のノウハウなどの不正な侵害から保護するという雇用主としての正当な利益は認められる。一方、在宅勤務者のプライバシーが侵害されるリスクがある。
■必要性・補完性・比例性のテスト
これらの監視技術を利用したデータ処理は、目的に照らし比例性を欠く過剰なもので、とくにキーストロークの記録などは正当な利益の追求として適法といえる可能性は極めて低い。
在宅勤務では職務上のICT利用と私的利用との境界線が流動的であり、目的とプライバシーとの間の比例性を保った過剰でない方法を考えるべきである。

以下、私見ですが、在宅勤務の監視について作業部会はきわめて否定的です。 どうしても必要な場合は、DPIAを実施の上、監督機関に事前相談することが必要だと思われます。

(6) BYOD（従業員の私有デバイスの業務利用）

《シナリオ》
職場で従業員の私有デバイス（BYODデバイス）を利用することに伴い、BYODデバイスに対してセキュリティスキャンの実施、位置・移動を追跡・監視する。

《評価》
■適法根拠とプライバシーに対するリスク
BYODデバイスに保存されたデータを保護することは雇用主の正当な利益の追求といえる。
一方、BYODデバイスに保存された従業員の私的データにアクセスすることにより、従業員のプライバシーが侵害されるリスクがある。
BYODデバイスの通信経路をすべてVPN経由で社内ネットワークに向けるような経路制御をする場合、監視目的で社内ネットワークに導入したシステムによって従業員の私的利用を監視するプライバシーリスクが生じることを考慮すべき。
■侵害を軽減するための追加措置
私的な情報の監視を避けるため、BYODデバイスは私的利用の領域と業務利用の領域とを区別するサンドボックス的な保護措置が必要。

結論は明らかではありません。 以下、私見ですが、BYODの監視はDPIAが必要な「システマティックな監視」に該当するので、個別にDPIAを実施し、必要に応じて監督機関に事前相談するのが安全だと思われます。

(7) MDM（モバイルデバイス管理システム）

《シナリオ》
MDM技術により、従業員に支給したデバイスの位置追跡、特定の設定強制、アプリインストール、データ管理などを実施する。

《評価》
従業員のプライバシーを侵害するリスクがあるので、MDMを導入する場合には事前にDPIA（データ保護影響調査）を実施すべきである。
■必要性・補完性・比例性のテスト
DPIAの結果、企業としての正当な利益の追求のためにMDMの必要性が認められる場合でも、これに伴う個人データ処理が従業員のプライバシーとの関係で比例性、補完性を満足するかについて評価すべきである。
■透明性・公正性の確保
記録した遠隔位置情報などは会社の正当利益に含まれる特定の目的以外には利用しないことを保証(ensure)すべきである。
従業員に対しては、どのような追跡、記録等が行われるのかについて情報提供すべきである。
■侵害を軽減するための追加措置
たとえば、雇用主に内容を知らせない状態で位置データを記録するようシステムを構成し、該当デバイスについて遺失、盗難など問題が生じた場合のみ追跡のため情報を閲覧する、などの対策を講じるべきである。これにより比例性の評価は上がる。

(8) 入退室管理

《シナリオ》
社内サーバールームには、事業に関するデータ、従業員・顧客に関する個人データが保存されている。不正アクセスに対してデータを保護するため、従業員の入退室を記録することにした。
データが不正アクセス、遺失、盗難を受けた場合、インシデント発生時刻の在室者を識別できる。

《評価》
このような処理が必要であり、従業員の私的生活の権利に優先する場合、従業員が処理内容について十分に説明を受けることを条件に、このような処理は「正当な利益の追求」を適法根拠としうる。しかし記録したデータを他の目的、例えば勤務成績評価などのために利用することは正当化できない。

(9) 職場のビデオ監視

ビデオによる監視については、遠隔アクセスが可能になったこと、カメラなどデバイスが小型化、高解像度化したこと、分析技術が進化したことなどにより、顔の表情を監視したり、予め定義した動作パターンからの逸脱を特定することが可能になった。

《評価》
顔の表情や身体の動きに関するこのような処理は、GDPR第10条の特別カテゴリーデータに該当するバイオメトリクスデータの処理となる可能性がある。また、観察される一定のパターンから一定の結論を導くパターン逸脱検知のような処理は、「自動化された意思決定」に該当する可能性があり、GDPR第20条に基づき、そのような意思決定が従業員に法的効果と同等の重大な影響を与える場合には、当該意思決定についてデータ主体である従業員の意見を聴き、関与する機会を与える必要がある。
ガイドラインは、このような利用方法は「従業員の権利及び自由との関係で比例性を欠くものであり、一般的には適法であるとはいえない」として否定的である。

(10) 従業員の運転状況の監視

《シナリオ》
人や荷物を運搬する事業において、モバイル通信とGPSを利用して、従業員が運転する車両の位置、運転状況の監視が広く行われるようになった。

《評価》
■適法根拠とプライバシーに対するリスク
雇用主には、郵送管理、生産管理、車両を運転する従業員の安全確保などのために車両の位置把握について正当利益が認められる場合がある。
■必要性・補完性・比例性のテスト
勤務時間外における位置情報の監視が適法と認められる可能性は低い。
■透明性・公正性の確保
従業員に対しては、会社車両に追跡・記録装置がインストールされていること、移動が追跡され、運転行動が記録されていることについて情報提供しなければならない。そのような情報が運転者に見やすい位置に掲示されていることが望ましい。
従業員に対しては、どのような追跡、記録等が行われるのかについて情報提供すべきである。
■侵害を軽減するための追加措置
車両の私的利用が許されている場合、私的利用の監視をオプトアウトできる選択肢が従業員に与えられるべきである。
勤務時間外も含め、車両盗難防止のために位置を記録する場合、一定エリアから車両が逸脱した場合のみに記録を限定し、そのような場合にのみ管理者（雇用主）がデータにアクセスできるようにすべきである。

(11) ドライブレコーダー

《シナリオ》
ある運送会社は、車室にビデオカメラを装着し、音声と映像を記録している。その目的は従業員の運転技術を改善することである。急ブレーキや急な進路変更などが発生すると記録を保存するようにカメラが設定されている。

《評価》
■適法根拠とプライバシーに対するリスク
従業員の運転技術の改善を図ることは、雇用主の正当な利益と認めうる。一方で、カメラで継続的に従業員を監視することは、プライバシー権への重大な侵害となる。
■必要性・補完性・比例性のテスト、透明性・公正性の確保、リスク軽減措置
安全運転を確保するために、携帯電話の使用を妨げるしくみ、先進的なブレーキシステム、車線逸脱を警報するシステムなど、監視によらず目的を達成する代替的な手段が存在しないか検討する必要がある。
ビデオ監視は歩行者など第三者のデータ処理を伴う可能性がある。

以下、私見ですが、意見書は、a)ループ録画して加速度センサーにより事故直前の映像だけを記録する方法とb)常時監視を続けるカメラとを混同している印象を受けます。事故直前映像だけを記録する方式についてDPIAを実施して監督機関に事前相談すれば、認められる可能性はあると思われます。

(12) 従業員個人データの第三者（顧客）への開示

《シナリオ》
ある配達会社は顧客に対して、従業員である配達員の氏名と勤務場所へのリンクを含むメールを発送した。さらに同社は、配達員のパスポート写真を顧客に提供するつもりだ。会社は、これにより顧客が配達員が偽物でないことを確認できるので、顧客の信頼度が高まると考えている。

《評価》
会社は、顧客が配達員を本人かどうかを確認できるようにするという正当な利益があると考えている。一方で、氏名と写真を第三者に提供されることは従業員にとってプライバシー侵害となる。
事業運営上、配達員の氏名と写真を顧客に提供する必要はない。このような処理はほかに適法根拠がないので許されない。

以下、私見ですが、意見書はこのような処理を問答無用に切り捨てています。欧州人のプライバシーに対する感覚に照らせば、あり得ないのかもしれません。

４．職場のデータ処理を評価する基本的枠組の再確認

同意と正当な利益
個人データ処理が許されるのは、法律に限定列挙された適法根拠（同意、契約履行の必要、法的義務履行の必要、正当な利益の追求）がある場合だけ。
雇用関係においては完全に自由な合意はほぼありえない（とEUのデータ保護関係者は考えている）。契約履行、正当利益など他の適法根拠を検討すべし。

雇用主の正当な利益が個人データ処理の適法根拠となりうる条件
当該処理が目的との関係で厳密に必要である（必要性のテスト）。
当該処理の他に適当な手段がない（補完性のテスト）。
可能な限りプライバシー侵害軽減措置を講じた結果、雇用主の正当利益及び従業員のプライバシー権との関係で、過剰ではないこと（比例性のテスト）。
さらに、透明性（十分な情報提供）、公正性の確保が必要。

以下、この意見書に関する筆者の総括的な感想を述べます。
この意見書は、プライバシーに重点を置き、かなり厳格な印象を受けます。紹介されている例は、ほとんど「新技術を利用する場合」（GDPR第35条）、「システマティックな監視を行う場合」（DPIAに関するWP29ガイドライン）に該当し、いずれにしてもDPIAを実施し、場合によっては監督機関に事前相談する必要があります。
各事例の説明で繰り返し強調されているのは「透明性」です。どのような技術を用いてどのような監視を行っているのか、その目的となる企業にとっての正当な利益は何なのかなどについて、従業員に対して十分な情報提供が必要であることを銘記すべきです。

GDPR特集・コンテンツ一覧

• 【コラム】ここから始めるGDPR対策の実装
• 【海外識者シリーズ】杉本武重氏（全6回）第1回 EUで始まる新しい一般データ保護規則「GDPR」とは？