イリノイ州のプライバシー法と従業員監視ソフトウェア：雇用主が知っておくべきこと

従業員のモニタリングは、リモートワークやハイブリッドワークのトレンドとともに成長しています。これらのツールは、生産性の客観的な追跡、セキュリティリスクの低減、勤務時間の追跡など、企業にとって多くのメリットをもたらします。しかし、トラッキングソフトウェアの導入には、綿密な準備が必要です。ここで重要な考慮事項の一つは、従業員のプライバシーと適用される規制の遵守です。これらの規制は普遍的なものではなく、国ごとに異なるだけでなく、国内でも州ごとに異なります。本日は、イリノイ州の雇用主が留意すべき規制と、モニタリングによって従業員の権利を侵害しない方法について解説します。

免責事項: この記事は一般的な情報のみを提供するものであり、法的指示として使用することはできません。

他の米国州と同様に、イリノイ州は連邦法を遵守し、プライバシーに関する独自の規制を定めています。これらの規制は従業員の監視に特化したものではなく、一般的な内容ですが、企業は追跡業務においてこれらの規制を解釈し、遵守する必要があります。

連邦レベルでは、電子通信プライバシー法（ECPA）が存在します。この法律は、有線、口頭、電子通信のプライバシーを、通信中、転送中、そして保存中に保護します。従業員の監視に当てはめると、雇用主が従業員の通信を許可なく意図的に傍受または監視することを禁じていると言えます。

ここでは 2 つの大きな例外があります。

1. 企業は、通常の業務の過程で、また生産性管理や貴重な資産の保護などの正当な業務上の理由で従業員を監視することができます。
2. 従業員の同意があれば、雇用主はコミュニケーションを監視することができます。これは多くの場合、特別なポリシーや従業員ハンドブックを通じて行われます。

ECPA の下では、雇用主は、従業員が一般的にプライバシーをあまり期待していない会社所有のデバイスやネットワーク上の通信を追跡することもできます。

しかし、従業員は職場でプライバシーを期待できるのでしょうか？はい。従業員はオフィスに入ったり、会社のネットワークにログインしたりしたからといって、すべてのプライバシー権を失うわけではありません。例えば、トイレやロッカールームといった特定の場所では、従業員がプライバシーを期待できるという合理的な期待が認められているため、プライバシーは依然として保護されています。

ECPA に加えて、イリノイ州は、雇用主が遵守しなければならない独自のプライバシー関連規制として、職場におけるプライバシーの権利に関する法律 (IRPWA)、イリノイ州盗聴法 (盗聴法)、および生体認証情報プライバシー法 (BIPA) を導入しています。

職場におけるプライバシー権法とその改正は、雇用主が従業員を監視する方法を規制する主要な法的枠組みです。この規制の要点は次のとおりです。

1. 雇用主は、あらゆる形態の電子監視について従業員に書面で通知しなければなりません。通知は、採用時または監視開始前に行う必要があります。
2. 企業は、従業員が違法行為に従事していると確信し、かつ監視によってそのような行為の証拠が得られる可能性がある場合にのみ、予告なく従業員を監視できます。
3. 雇用主は、従業員または候補者に個人のオンライン アカウントのユーザー名、パスワード、またはその他のアカウント情報を提供するように要求することはできません。
4. 雇用主は、従業員に友達リクエストやフォローリクエストを受け入れさせたり、ソーシャルメディアの非公開コンテンツへのアクセスを要求したりすることはできません。ただし、従業員が公開投稿を閲覧したり、既に公開されている情報を入手したりすることは可能です。
5. IRPWAは、従業員をライフスタイルに基づく差別から保護します。従業員は、例えば飲酒や喫煙など、仕事以外で合法的な活動を行う権利を有しており、従業員はそのような活動を理由に雇用を拒否したり、解雇したり、懲戒処分を受けることはできません。

イリノイ州盗聴法によると、当事者全員の同意なしに私的な会話を録音することは違法です。職場で密かに録音することは重罪となる可能性があります。

BIPAは、米国で最も厳格なプライバシー法の一つです。この法律に基づき、雇用主は従業員の生体認証データ（顔認証や指紋認証など）の収集または使用に先立ち、書面による同意を得なければなりません。これらのデータは販売または開示することはできません。雇用主は生体認証データの保管および破棄に関するポリシーを策定し、公開する必要があります。

要約すると、イリノイ州の法律で繰り返し取り上げられているテーマは、明示的な同意と通知です。

ビジネスニーズと従業員の権利のバランスを取るのは難しいように思えるかもしれませんが、倫理と法令遵守の原則に従えば絶対に可能です。

最初のステップは、監視ポリシーを作成することです。このポリシーには、使用する追跡方法、収集するデータの範囲、データの保存期間、そしてデータへのアクセス権を持つ人物について明記する必要があります。しかし、それだけではありません。多くの規制でプライベートな活動や会話が保護されているため、職場におけるどの活動がプライベートとみなされるかを明確にしておくことが重要です。ソーシャルメディアでも同様です。従業員がアカウントを個人として使用しているのか、それとも会社の代表者として使用しているのかが必ずしも明確ではない場合があるからです。

すべての従業員は、採用時またはモニタリング開始前に、このポリシーを読み、同意する必要があります。また、このポリシーは従業員がいつでも容易に閲覧できるようにしておく必要があります。

何らかの活動の監視を開始する前に、従業員から書面による同意を得る必要があります。書面でも電子的にも構いません。

さらに、オフィスの周囲に監視に関する目立つ掲示物を掲示することもできます。

従業員がプライバシーを十分期待できるエリアや、個人のデバイスおよびアカウントを監視しないでください。

業務目的に直接関連するアクティビティのみを追跡してください。例えば、遅刻をなくし、勤務時間をより正確に追跡しようとしている場合、（できるからといって）ブラウザ履歴を追跡するのは過剰かもしれません。

不必要な、または過度に侵入的な監視を避け、監視方法が依然として必要かつ適切であることを確認するために定期的に監視方法を見直します。

収集したデータは安全に保管し、権限のある担当者のみがアクセスできるようにしてください。データの保持および破棄に関する明確なポリシーを策定してください。説明責任を果たすために、監査証跡を活用し、すべての監視活動を文書化することは非常に重要です。

トレーニングは、従業員がプライバシー権、合法的な監視の範囲、会社で実施されているポリシー、許容される職場での行動を理解できるようにするために役立ちます。

コンプライアンスを追跡し、違反や懸念事項に迅速に対応するための社内システムを構築してください。特に適用されるプライバシー規制が変更された場合は、監視ポリシーを定期的に見直し、プライバシー影響評価を実施してください。

法律は常に変化しています。そのため、雇用法に詳しい弁護士に定期的に相談し、変更点について確認することを習慣にしましょう。そうすることで、常に最新の情報を入手し、モニタリングの実施が法令遵守に確実に従うことができます。

ビジネス上の利益と従業員のプライバシー権の尊重のバランスを取るのは困難に思えるかもしれませんが、実現は可能です。透明性を重視した積極的なコンプライアンスは、単なる法的チェックリストではありません。潜在的な法的問題を回避し、信頼の文化を育み、最終的にはより安全で生産性の高い職場環境を構築するための基盤となるのです。