はじめに

従業員がきちんと働いているか、ストレスなどが原因で辞めないか、といったことは、事業者にとって重大な関心事ですよね。

そこで、従業員の勤務状況や心身の健康状態を知るためにあらかじめモニタリングできないか?となるわけですが、従業員を「監視」するわけですからおのずから守らなければならない法律や規制があります。

特に、昨今の技術の発展に伴い、モニタリングにおいて、IoTデバイスやAIを導入する事例も増えており、AI・IoT特有の法的なリスクがります。

そこで今回は、AIを使って従業員のモニタリングを行いたいと検討している事業者向けに、どのような法律や規制があり、どのような義務が課されるのか、ITに詳しい弁護士が解説していきます。

1 AIを使った従業員のモニタリング

AIによるモニタリング

モニタリング」とは、人を継続的に監視することをいい、

  1. 情報の収集
  2. 収集した情報の分析

の2段階に分かれています。

従業員をモニタリングし、仕事における勤務状況や位置情報を把握することで、なまけがちな従業員に改善を促したり、心身の健康状態を把握することで、従業員が辞めないようケアを行うことができると考えられます。

もっとも、従業員一人一人を監視カメラをとおしてリアルタイムでモニタリングすることは、コストがかかりすぎ、現実的ではありません。また、社外にいる従業員には監視カメラでのモニタリングはできません。

そこで、ウェアラブル端末などの「IoTデバイス」を従業員に身につけさせ情報を収集し、収集した情報を「AI」で分析するという方法が注目されています。

具体的な流れを図解すると以下のとおりです。

AIを使った従業員のモニタリング

ここでいう「AI(Artificial Intelligence)」とは、人間のような知能をもつ人工知能のことをいいます。もっとも、「AI」にも種類があり、現在の日本において、ビジネスで用いられているAIは、「特化型AI」または「弱いAI」と呼ばれる、人が考えていることを代替的に行わせるというレベルのものにすぎません。

みなさんもよく知っているドラえもんのように感情や人間を超える高度な知性をもったロボットは、「汎用型AI」または「強いAI」などと呼ばれており、現在の技術到達点はここまでにはいたっていません。

つまり、従業員のモニタリングにおいては、勤務状況や健康状態の分析に特化した「特化型AI」を使うことになります。

このように分析に特化した「AI」を使うことで、従業員からIoTデバイスをとおして収集した大量の情報を素早く分析できるようになると考えられます。

以上のように見てくると、事業者は従業員をモニタリングすることにより、多大なメリットを受けられそうです。

もっとも、四六時中従業員を監視するにあたり、何ら配慮することなく、自由にモニタリングできるわけではありません。

2 従業員のモニタリングにおける法的問題点

従業員モニタリングの問題点

モニタリングにおいて、事業者が特に配慮しなければいけない法的問題点は、

  1. プライバシー権
  2. 個人情報保護の法律

という2つです。

法律の悩みを迅速に解決します。
スタートアップ、IT、先端技術の法律相談なら私たちにお任せください!
豊富な契約書雛形もご用意していますので、IT企業に関わらずお気軽にお問い合わせください。

お問い合わせはこちらから

3 問題点①:プライバシー権

プライバシー

(1)プライバシー権とは?

プライバシー権」とは、自分の情報(=他人に知られたくない情報)を自分自身でコントロールするという権利です。「情報を自分自身でコントロールする」とは、何の理由もなく自分の情報を取得、収集されないという意味です。

昨今、情報自体に価値が見出されるようになり、「プライバシー権」は、私生活を公開されないという消極的な権利だけでなく、自分の情報は自分自身でコントロールするという積極的な意味を含む権利であるという考えに変わってきており、権利の範囲が広くなりました。

モニタリングに際し、IoTデバイスをとおして収集する情報としては、たとえば、位置情報や心拍、血圧、呼吸、体温などといった健康状態に関する情報があります。

位置情報からは、ランチどきに頻繁にラーメン屋に通っていることや、業務時間内に公園でサボっていることなどがわかります。

また、健康状態に関する情報からは、持病といった、通常、他人にオープンにしない情報がわかってしまう可能性があります。

これらの情報は、何の理由もないのであれば、他人に知られたくない情報だといえ、モニタリングをとおしてこれらの情報を収集することがプライバシー権の侵害とならないか、ということが問題となります。

(2)実際の事例

ここで、モニタリングに関し、実際にプライバシー権の侵害が問題となった2つの事例について見てみましょう。

    【事例1】
    女性従業員の電子メールを上司である事業部長がモニタリングしていた事例

この事例において、裁判所は、事業部長によるモニタリングはプライバシー権の侵害にあたらないと判断しました。

このような判断に至ったポイントは、主に以下の2点です。

①プライバシー権で保護されている情報か

プライベートな内容を含む電子メールを他人に勝手に見られるのは、嫌ですよね。

そのため、電子メールの内容も、他人に知られたくない情報としてプライバシー権で保護される情報となり得ます。

この事例では、女性従業員は、社内ネットワークシステムをとおして、私的な電子メールのやり取りをしていました。

裁判所は、業務上使用する電子メールを私的に利用することに関して、一方で「仕事の妨げとならず、会社の経済的負担が軽微な程度であれば、日常の社会生活を営むために必要であり、許容される」と判断しています。。

もっとも、あくまでも社内ネットワークをとおしている以上、電子メールの内容を上司や電子メール管理者が見ることができるという点が、個人用のプライベートな電子メールとは異なります。

そのため、裁判所は、問題となった電子メールについて、先のようにプライバシー権で保護される情報であることは認めつつも、通常のプライバシー権よりも保護の範囲は狭くなるとの見解を示しました。

②プライバシー権を侵害しているか

プライバシー権があることが認められても、その権利を侵害しているかどうかは別問題です。

そのため、裁判所は、以下の基準から、プライバシー権の侵害の有無を総合的に判断しました。

  1. モニタリングの目的
  2. モニタリングの方法
  3. モニタリングによる不利益の程度

モニタリングをする立場にない者が、従業員の電子メールをモニタリングした場合や、モニタリングをする立場にはあっても、個人的な目的でモニタリングをした場合は、結局のところ、勝手に電子メールを見られたことにほかならないため、プライバシー権の侵害にあたることになります。

この事例において、事業部長が部下である女性従業員の電子メールをモニタリングしたのは、個人的な興味関心ではなく、女性従業員の電子メールの私的利用が業務に影響をおよぼしていることが理由でした。

また、モニタリング方法についても、裁判所は、事業部長は女性従業員の上司であり、部下のモニタリングをしてもよい立場にあることを認めました。

以上のような検討を加え、裁判所は、モニタリングの目的・方法において問題がなく、社内ネットワークを通じてやり取りをしている以上、女性従業員は事業部長に電子メールの内容をモニタリングされるという不利益を甘んじて受け入れざるを得ないと判断しました。

そのため、プライバシー権の侵害はないとの結論になったのです。

    【事例2】
    会社が従業員の居場所確認のために、携帯電話の位置情報を確認していた事例

この事例において、裁判所はモニタリングの一部がプライバシー権の侵害になると判断しました。【事例1】と同様、そのポイントを確認していきましょう。

①プライバシー権で保護されている情報か

「位置情報」とは、どこにいるか?どこに行っているか?という情報だけでなく、居場所や行先から個人の趣味・嗜好を推知されうる情報でもあります。このような情報を勝手に収集されるのは、誰しもこころよく思わないと考えられます。

そのため、位置情報も、他人に知られたくない情報としてプライバシー権で保護される情報となり得ます。

②プライバシー権を侵害しているか

この事例でも【事例1】と同様の判断基準で、侵害の有無が判断されています。

会社が従業員の居場所を確認する目的は、勤務状況を把握するためです。そのため、裁判所は、本件におけるモニタリングの目的に問題はないと判断しました。

もっとも、会社は従業員の居場所確認を、勤務時間中だけでなく、早朝、深夜、休日といった勤務時間外にも行っていました。勤務時間中に従業員がどこにいるかの確認を行うことはその従業員の勤務状況を把握するために必要ですが、このことは勤務時間外にはあてはまりません。

裁判所は、勤務時間外という従業員のプライベートな時間において、居場所を確認することは、勤務状況の確認という正当な目的から外れているため従業員への不利益が大きく、また、モニタリングの方法として不適切だと判断しました。

そのため、従業員の勤務時間外における位置情報の取得については、プライバシー権の侵害があるとの結論になったのです。

 

以上に見てきたことは、AIを使って従業員をモニタリングする場合にも概ねあてはまりそうですが、AIに特有の配慮も必要になってきます。

(3)AIを使った従業員のモニタリング

AIを使った従業員のモニタリングを行う際には、従業員のプライバシー権との関係で、以下の3つの点に注意する必要があります。

  1. モニタリングの目的
  2. モニタリングの方法
  3. プライバシー権侵害の判断基準

①モニタリングの目的

IoTデバイスをとおして従業員から収集することが可能な情報は、位置情報や生体情報、眼球運動、姿勢、脳波などといった複数かつ大量の情報です。これらの情報は通常、何の理由もなく収集されたくないプライベートな情報にあたると考えられ、プライバシー権の範囲内にあるものと考えられます。

そのため、そのような情報がなぜ必要なのか、どのように役立てるのか、収集する情報ごとにモニタリングの目的を明確化する必要があると考えられます。

また、従業員との余計なトラブルを回避するため、モニタリング実施に先立ち、就業規則などの社内規程にモニタリングをすることを記載したり、従業員への適切な説明を行う必要があると考えられます。

②モニタリングの方法

モニタリングを行う「時間」には、特に注意する必要があります。先の事例で勤務時間外における位置情報の収集がプライバシー権侵害と判断されているように、従業員のモニタリングは勤務時間中であれば一定の条件の下で許容される可能性が高い一方で、勤務時間外の情報収集は違法と判断されるおそれがあります。

モニタリングの目的も踏まえて、その「時間」におけるモニタリングが適切なのか、慎重に検討することが重要です。

③プライバシー権侵害の判断基準

プライバシー権侵害に対する裁判所の見解(判断基準)については、今後変わっていく可能性があります。

なぜなら、先の2つの事例と比較すると、IoTデバイスやAIを使ったモニタリングでは、従業員から収集する情報量が膨大であるうえ、AIで継続的に経過分析をすることが想定されるからです。そうなった場合、従業員のプライバシー権を守るために、よりプライバシー権の判断基準を厳しくする可能性があります。

そのため、裁判所が示すプライバシー権侵害の判断基準については、今後も注目していく必要があります。

 

以上のように、AIを使ってモニタリングを行う場合にも、従業員のプライバシー権に配慮することが必要です。プライバシー権を侵害すると、場合によっては、従業員に対して損害賠償責任を負うことにもなりますので、十分に注意することが必要です。

AIを使って従業員をモニタリングする際に、、配慮しなければいけないのは、従業員のプライバシー権だけではありません。

「個人情報」についてさまざまなルールを定めた個人情報保護法についても気を付けなければなりません。

4 問題点②:個人情報保護

個人情報保護法

(1)問題の所在

個人情報保護法」とは、「個人情報」の取扱いに関するルールを定めた法律です。

モニタリングをとおして「個人情報」を従業員から収集する場合には、「個人情報保護法」のルールを守らなければいけません。

そのため、まずは「個人情報保護法」が適用される「個人情報」が、どういった情報を意味するのかが問題となります。

(2)「個人情報」とは?

個人情報保護法上、「個人情報」は以下の4つに分類されています。

  1. 個人情報
  2. 個人データ
  3. 保有個人データ
  4. 要配慮個人情報

①個人情報

個人情報」とは、名前や住所など個人を特定できる情報のことをいいます。

「個人情報」を取得する事業者は、情報の利用目的を特定し、本人に対してそれを公表・通知することを義務付けられています。

②個人データ

事業者が、「個人情報」をデータベース化し、特定の個人を検索できるようにした場合、そのデータベースを「個人情報データベース等」といい、データベースに含まれる個人情報を「個人データ」といいます。

このように個人情報データベース等を事業に用いている事業者のことを、「個人情報取扱事業者」といいます。

個人情報をデータベース化するということは、多くの個人情報を事業者がもっていることを意味しています。

そのため、個人情報取扱事業者には、その「個人データ」が漏えい、滅失しないよう適切な安全管理措置などが義務付けられます。

なお、データベースを構成する「個人情報」を取得する際にも、①と同様、利用目的を特定し、本人に対してそれを公表・通知する必要があります。

③保有個人データ

保有個人データ」とは、事業者が取得日から6ヵ月間を超えて保有している「個人データ」を指します。

取り扱う個人情報が「保有個人データ」にあたる場合、その取扱事業者は「個人データ」を取り扱う事業者に課される義務に加え、「保有個人データ」に関する事項の通知義務などを負うことになります。具体的な通知事項については後で解説します。

④要配慮個人情報

要配慮個人情報」とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害を受けた事実その他本人に対する不当な差別、偏見等が含まれた「個人情報」です。

「要配慮個人情報」は、その取得に際し、本人から同意を得る必要があります。

 

このように、個人情報保護法では「個人情報」が4つに分類され、情報の性質や量に応じて取扱事業者に課される義務が異なります。

モニタリングでは、特に「保有個人データ」と「要配慮個人情報」が問題となります。次の項目では、AIを使った従業員のモニタリングで具体的に守らなければいけないルールを確認していきましょう。

※個人情報取扱事業者に課される義務について詳しく知りたい方は、「AIによる画像認識で注意すべき個人情報保護の法律を弁護士が解説!」をご覧ください。

(3)AIを使った従業員のモニタリング

①収集した情報を6ヵ月を超えて保有する場合

AIを使って従業員のモニタリングを行う場合、通常、その目的は従業員の勤務状況や健康状態の把握にあると考えられます。

そのため、モニタリングの対象となる従業員の情報を効率的に管理するために、誰に関する情報なのかがすぐに分かるようにデータベース化することが考えられます。また、従業員の勤務状況や健康状態を把握するためには、一定の期間が必要になるため、6ヵ月を超えて収集した情報を保管するものと想定されます。

この場合、収集した情報は誰に関する情報なのかを特定できる情報であるため、「個人情報」にあたります。

そして、「個人情報」をデータベース化したものを6ヵ月以上保有することになるため、「保有個人データ」にあたることになります。

そのため、従業員のモニタリングを実施する会社は従業員に対して、「保有個人データ」に関する事項の通知を行う必要があります。

具体的には、以下の情報を通知しなければなりません。

  • 個人情報取扱事業者の氏名または名称
  • すべての保有個人データの利用目的
  • 利用目的の通知の請求、保有個人データの開示、訂正、利用停止の手続き
  • 保有個人データの取扱いに関する苦情の申出先

個人情報取扱事業者に対し、これらの情報を通知するよう義務が課せられたのは、「保有個人データ」を目的外利用されたり、不正に取得された場合に、従業員が事業者に苦情を言ったり、利用の停止を求められるようにするためです。

②収集した情報を6ヵ月を超えて保有しない場合

反対に、事業者が収集した情報を6ヵ月を超えて保有しない場合であっても、従業員の情報を効率的に管理するために、誰に関する情報なのかがすぐに分かるようにデータベース化することは何ら不思議ではありません。

この場合、事業者は「個人データ」を取り扱うことになるため、事業者は、情報の収集に際して、利用目的を特定し、従業員に対してそれを公表・通知する義務を負います。

また、データベースが外部に漏えいしないよう適切な安全管理措置を取る義務を負います。

具体的には、以下の4つの側面から安全管理措置をとる必要があります。
個人情報の安全管理措置

なお、事業の規模や個人データの取扱い状況によって、求められる内容・程度に違いがあることに注意が必要です。

※安全管理措置の手法や具体例について、詳しく知りたい方は、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」の「8(別添)講ずべき安全管理措置の内容」をご参照ください。

③健康情報を取得する場合

AIを使って従業員の「健康情報」を取得する場合、この「健康情報」が個人情報にあたるかという点が問題となります。

この点、厚生労働省は「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」というガイドラインにおいて、健康診断の結果や病歴、その他の健康に関する情報などの「健康情報」も「要配慮個人情報」にあたるとしており、慎重な取扱いが必要であるとガイドしています。

具体的には、

  • 健康情報の取得に際し従業員の同意を得ること
  • 従業員に取得した健康情報の利用目的を明示すること
  • 従業員の健康確保に必要な範囲で利用すること

といったことを実践するよう、事業者に求めています。

このガイドラインからもわかるように、「健康情報」の利用目的は、従業員の健康確保に必要な範囲に限定されていなければなりません。そのため、たとえば、健康確保とは無関係の人事評価を目的とした健康情報の取得は許されないと考えられます。

以上のように見てくると、モニタリングを通して心拍や血圧、呼吸、体温といった健康に関する情報を収集する場合、その情報は「要配慮個人情報」にあたることになります。これらの情報の取り扱いは慎重に行う必要があるため、その取得に際しても従業員に健康情報の利用目的を明示したうえで、同意を得ることが求められているのです。

5 小括

まとめ

昨今、プライバシーや個人情報保護への関心が高まっています。AIを用いた従業員のモニタリングを行う場合、従業員のプライバシー権、個人情報保護にも配慮しなければいけません。配慮を欠いた対応を行えば、プライバシー権を侵害するおそれもあり、社会的信用を失ったり、従業員に対して慰謝料などの金銭の支払いが必要になったりする可能性があります。

そのため、従業員に関する個人情報を収集するにあたっては、従業員に利用目的を通知したり、場合によっては同意を得るといったように、個人情報保護法のルールを守るとともに、情報の収集時間は勤務時間に限るなど、従業員の不利益も考えたうえでAIによるモニタリングを行うようにしましょう。

6 まとめ

これまでの解説をまとめると、以下のようになります。

  • 「モニタリング」とは、人を継続的に監視することをいい、①情報の収集、②収集した情報の分析の2段階に分かれている
  • 従業員のモニタリングを行う場合、従業員の①プライバシー権、②個人情報保護にも配慮する必要がある
  • 「プライバシー権」とは、自分の情報を自分自身でコントロールするという権利である
  • プライバシー権の侵害の有無は①モニタリングの目的、②モニタリングの方法、③モニタリングによる不利益の程度から総合的に判断する
  • 「個人情報保護法」とは、「個人情報」の取扱いに関するルールを定めた法律である
  • 個人情報保護法上、「個人情報」は①個人情報、②個人データ、③保有個人データ、④要配慮個人情報の4つに分類される
  • 「個人情報」を取得する事業者は、情報の利用目的を特定し、本人に対してそれを公表・通知しなければならない
  • 個人情報取扱事業者には、「個人データ」が漏えい、滅失しないよう適切な安全管理措置を取ることなどが求められる
  • 保有個人データを取り扱う事業者は、「保有個人データ」に関する事項の通知などの義務を負う
  • 厚生労働省は健康診断の結果や病歴、その他の健康に関する情報といった「健康情報」も「要配慮個人情報」にあたるという見解を示している