前回は,電子メールやインターネットの私的利用(私用メール等)が職務専念義務違反,場合によっては懲戒解雇の問題となることを取り上げました。今回は,これに関連する問題として,モニタリングや利用状況を調査する際の法的な注意点について解説していきます。
従業員のインターネット閲覧や電子メールなどの私的利用を会社が把握するためには,インターネット閲覧の記録となるアクセスログや,電子メールのモニタリング,従業者が使用するパソコンのデータの調査といったことが必要となります。従って,従業員へのモニタリングは私的利用の問題と密接にからんでいます。
もちろん,モニタリングは電子メールやインターネットの私的利用に関連してだけ問題となるものではありません。従業員をモニタリングする方法には,ビデオカメラを通じての監視,電子的な方法としてはアクセスログや電子メールの送受信についての継続的な監視があります。目的には,危険な作業現場での従業員の安全確保,あるいは,情報漏えい対策など情報セキュリティ確保のためが多いと思われます。
従業員同意は必ずしも適法モニタリングの「要件」ではない
電子メールのモニタリングとしては,「メール・モニタリング事件」(東京地裁平成13年12月3日判決)という判決例があります。この事件では,原告は私用メールを上司が無断で閲覧したことでプライバシーを侵害されたとして,会社に対して損害賠償を求めました。しかし,結果的に原告の請求は棄却されました。この事件では,原告が私用メールで批判していた当該上司が途中までメールをモニタリングし,その後,情報システム部門がメール監視を引き継いでいました。監視が継続的に行われていたというものです。
従業員に対するモニタリングでは通常,モニタリングを実施することを従業員に周知する,あるいは従業員の同意を得なければならないのかといったことが問題となります。しかし,この事件の判決の前提事実では,モニタリングの実施があり得ることを従業員に周知していたという事実は認定されていません(もちろん,従業員の同意も取得していないと思われます)。従って,本例判決では適法なモニタリングとして認められるために,必ずしも「周知」が要件とされているわけではないのです(ただし,後述のように,経済産業分野のガイドラインにおいて,留意事項として「利用目的」の明示が要求されていることには注意が必要です)。
さらに,社員間で誹謗(ひぼう)中傷メールが送られていたという状況下で,プライバシー侵害が問題となった判決例があります。会社が中傷メールの発信者を特定する調査を実施し,その過程で原告の私用メールを発見,それに基づき処分しました。これに対し,原告はプライバシーの侵害であると会社を訴えたのです。こちらの判決は,企業秩序違反行為(私用メールの送受信)があった場合,企業は調査・命令を行うことができる。ただし,それは企業の円滑な運営上必要かつ合理的なものであること,その方法態様が労働者の人格や自由に対する行き過ぎた支配や拘束ではないことが必要だという基準を示した上で,結論としてプライバシー侵害を否定しました(日経クイック情報事件 東京地裁 平成14年2月26日判決)。
最初のメール・モニタリング事件では,継続的なメールの監視行為が問題となっています。東京地裁の判決は,プライバシー侵害を否定していますが,批判を受けた上司がモニタリングしていること自体は判決も問題視しており,手続き面で問題がある事案といえるでしょう。それと比べると,日経クイック情報事件は事実関係の調査過程における労働者の個人情報の取得であり,違法であると判断される度合いは低いものと考えられます。
これらの判決はいずれも,個人情報保護法が完全施行される前の事案です。プライバシー侵害についての問題は,個人情報保護法と直接の関係はありませんが,従業員のモニタリングや調査を実施する上でのプライバシー侵害は,保護法施行以前と同じように問題となりうるものです。
モニタリングの目的は合理性を持つことが望ましい
個人情報保護法経済産業分野ガイドライン(注1)は,従業者に対するモニタリング実施上の留意点について次の様な内容を定めています。
|
【従業者のモニタリングを実施する上での留意点】 個人データの取扱いに関する従業者及び委託先の監督,その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリング(以下「モニタリング」という。)を実施する場合は,次の点に留意する。 その際,雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは,あらかじめ労働組合等に通知し,必要に応じて,協議を行うことが望ましい。また,その重要事項を定めたときは,労働者等に周知することが望ましい。 なお,本ガイドライン及び雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成16年厚生労働省告示第259号)第三 九 (一)に規定する雇用管理に関する個人情報の取扱いに関する重要事項とは,モニタリングに関する事項等をいう。 ・モニタリングの目的,すなわち取得する個人情報の利用目的をあらかじめ特定し,社内規程に定めるとともに,従業者に明示すること。 ・モニタリングの実施に関する責任者とその権限を定めること。 ・モニタリングを実施する場合には,あらかじめモニタリングの実施について定めた社内規程案を策定するものとし,事前に社内に徹底すること。 ・モニタリングの実施状況については,適正に行われているか監査又は確認を行うこと。 |
上記留意点についての1つめのポイントは,モニタリングの目的をあらかじめ特定した上で,社内規定に定め,従業者に「明示」する必要があるということです。これは,従業員の同意までは不要です。他方,単に通知するだけでは足りず,従業員に利用目的を明確に示さなければなりません(注2)。
なお,上記の個人情報保護法ガイドラインでは,モニタリングの目的は特に限定されていません。ただし個人情報保護法以前の指針として,労働者の個人情報保護に関する行動指針(注3)というものが公表されていたのですが,その中では,労働者の健康,安全の確保,私用の防止や企業などの機密情報の漏えいによる損害防止,企業内の情報システムの安全確保などの目的で行われる場合を除き,常時モニタリングを原則禁止していました。従って,プライバシー侵害の問題も併せて考えると,利用目的自体も一定の合理性を持つものに限定することが好ましいといえるでしょう。
2つめのポイントは,モニタリングは社内規程(注4)に基づいて実施されなければならないということです。モニタリングの実施機関を定め,実施状況をチェックしなければならないという,手続き的な適正さが要求されています。
なお,モニタリング実施規程を策定する際には,労働組合等(労働組合がない場合は過半数代表)と事前に協議することが望ましいとされていますから,手続きを踏んだ上で従業員に周知することになります。「望ましい」ですから,事前協議が必要というわけではありません。しかし,事後のコンプライアンス上のリスクを回避する上では必要な手続きというべきでしょう。手続きを踏めば紛争が生じないというわけではありませんが,裁判になった時にプライバシー侵害を否定する有力な材料になるでしょう。
このような規程に基づく対応は,継続的なモニタリングを行う場合に必要とされるものです。「日経クイック情報事件」で問題となったような,特定の事件に対する一時的な調査にまで事前の規程策定などが要求されるわけではありません。ただし,必要に応じてモニタリングがあり得ることを周知しておくことは,望ましいといえるでしょう。
(注1)経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」34頁
(注2)個人情報保護法のおける「本人に対し,その利用目的を明示」について経済産業分野ガイドラインは「本人に対し,その利用目的を明確に示すことをいい,事業の性質及び個人情報の取扱状況に応じ,内容が本人に認識される合理的かつ適切な方法によらなければならない。」としています
(注3)「労働者の個人情報保護に関する行動指針」
(注4)モニタリングの実施に関する社内規程の項目としては,目的,責任者の選任,責任者の権限及び義務,モニタリングの目的,モニタリング実施部門の選定及びその義務,実施承認の手続き,実施結果の保存,実施結果の利用承認,監査等実施の手続きといったものが考えられる
→「知っておきたいIT法律入門」の記事一覧へ |
■北岡 弘章 (きたおか ひろあき)【略歴】 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。 【著書】 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。 【ホームページ】 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。 |
