従業員のプライバシー雇用主が取得する権利のないデータとは？

デジタル時代において、情報は最高の価値である。目に見えない精巧なアルゴリズムが、私たちのオンライン上のあらゆるクリックを追跡し、ターゲットを絞った広告のために私たちの詳細な肖像画を作り上げている。ソーシャルメディアは、私たちが認めたくないほど多くのことを知り、私たちについて語ることができる。私たちの雇用主でさえ、オフィスの壁の内側で、そして時には外でも、私たちの行動をすべて追跡しているかもしれない。

2022年、アメリカの会計士がワールド・ネイキッド・バイク・ライドに参加した後、職を失った。彼の趣味はキャリアとは無関係で、ライド中は勤務時間外であり、ネット上に自分の写真を投稿することもなかった。それでも上司は、他の参加者が投稿した画像に見覚えのある顔が写っているのを見て、彼を解雇することを決めた。

このケースは特別なものではない。従業員は、基本的な連絡先や過去の職歴から健康情報や政治的見解に至るまで、従業員に関する膨大なデータを収集することがある。必要不可欠なデータを収集することは、給与計算、業績管理、その他の合法的なビジネス目的のために必要である。それ以外の個人情報を収集し、それに基づいて経営上の決定を下すことは違法かつ非倫理的だが、その線引きはどこにあるのだろうか？

この記事ではこの線引きを試み、雇用主が取得する権利がないデータとは何かという重要な問題を掘り下げていく。最終的には、雇用主が従業員データを収集する際に尊重しなければならない境界線を理解するための出発点を提供することを目的としている。

雇用主が収集できるデータの限界は、プライバシーと労働に関する法律によって規定されています。しかし、これらの法律は世界中で大きく異なる場合があります。この記事では、いくつかの主要な管轄区域のみを簡単に紹介します。お住まいの地域の法律上の特殊性については、弁護士に相談されることをお勧めします。

ほとんどの個人情報保護法は、職場でのデータ収集について特に定めていないことは注目に値する。その代わりに、個人データの取り扱いに関する一般的な要件を定めており、この要件は後に雇用者と被雇用者の関係において解釈されるべきものである。本稿では、「雇用者」と「被雇用者」という用語を用いてこれらの法律を説明する。

• 医療保険の相互運用性と説明責任に関する法律（HIPAA） は、従業員の健康情報を保護する重要な法律である。この法律では、雇用主が従業員の医療記録にアクセスすることを制限し、特定の目的および患者の承認がある場合にのみ使用および開示できるとしている。

• 米国障害者法（ADA） は、障害を持つ個人を差別から保護するものである。この法律はまた、雇用主が従業員の医療情報にアクセスすることを制限している。特に、雇用主が医療情報を入手できるのは、それが職務に関連する場合、または従業員が障害のために特別な配慮を必要とする場合に限られます。

• 公正信用報告法（FCRA） は、雇用主が従業員の信用情報をどのように収集、使用、開示するかを規制しています。雇用主は一般的に、信用情報を取得する前に、許容される目的（身元調査など）と従業員からの書面による同意を必要とします。

• 全国労働関係法（NLRA） 特に、従業員がソーシャル・メディアを含め、互いに労働条件について話し合う権利は保護されている。しかし、ソーシャルメディアにおける完全なプライバシーを保証するものではなく、雇用主は、職場にとって破壊的または脅威的とみなされる投稿をした従業員を懲戒処分する自由裁量を持つ可能性がある。

• 1974年プライバシー保護法 この法律は、主に連邦政府機関による個人情報の取り扱い方法に適用されるが、いくつかの示唆を与えてくれる。公正な情報慣行」のような原則を定め、データ収集について透明性を保ち、その使用を合法的な目的に限定することを機関に求めている。

これらはデータ保護に関する主要な規制のほんの一部に過ぎません。さらに、カリフォルニア州消費者プライバシー法（CCPA）など、雇用主による個人データの収集に関して従業員に一定の権利を認める州法もいくつかあります。

一般データ保護規則（GDPR）は、EUにおけるデータ保護とプライバシーを規定する主要な規則である。雇用主が収集できるデータの範囲を制限し、雇用主が収集したデータについて従業員に大きな管理権限を与えるなど、プライバシーの権利に高い基準を設けている。

GDPRは、収集できる個人データと収集できない個人データを明示してはいないが、雇用主に対して透明性と必要性の原則を遵守することを義務付けている。つまり、契約上の必要性、職場のセキュリティ、業績評価など、それぞれの種類の情報を収集する正当な法的根拠がなければならない。さらに雇用主は、どのようなデータが収集され、どのように使用され、どれくらいの期間保存されるかについて、従業員にオープンでなければならない。

GDPRは雇用主に対し、従業員データを不正アクセス、開示、改ざん、破壊から保護するための適切な技術的・組織的対策を実施することを求めています。

従業員の権利と自由に高いリスクをもたらすデータ侵害が発生した場合、雇用主は関連するデータ保護当局および影響を受ける可能性のある個人に通知しなければならない。

ブラジルの個人情報保護法（Lei Geral de Proteção de Dados：LGPD）は、GDPRに倣った最近の包括的な個人情報保護法で、2020年に施行される。

GDPRと同様、LGPDは雇用主が収集できない従業員データを示すものではない。しかし、雇用主が従業員の個人情報をどのように収集、使用、保管すべきかという枠組みを定めています。雇用主は従業員のデータ収集について従業員の同意を得る義務がある。雇用契約の履行、職場の安全確保、不祥事の調査、その他正当な業務目的のために厳密に必要なデータのみを収集することができる。収集されたデータは安全に保管され、不正アクセス、開示、改ざん、破壊から保護されなければならない。最後に、従業員の権利と自由に高いリスクをもたらすデータ侵害が発生した場合、雇用主はブラジル国家データ保護局（ANPD）および影響を受ける可能性のある個人に通知しなければなりません。

中国における個人情報は、個人情報保護法（PIPL）によって保護されている。PIPLは、「個人情報」を、単独で又は他の情報と組み合わされた場合に個人を特定できるあらゆるデータと広く定義している。この情報には、氏名、連絡先、職歴、業績評価、健康記録（追加制限あり）などの従業員データが含まれる。

PIPLによると、雇用主は従業員の同意を得た後にのみ、従業員データを収集・処理することができる。同法はまた、契約上の必要性、法的義務の遵守（データ収集が中国の法律で義務付けられている場合）、正当な利益など、その他の法的根拠も認めている。

GDPRやLGPDと同様に、PIPLは雇用主に対し、特に明確でアクセスしやすいプライバシーポリシーを提供し、従業員データを不正アクセス、開示、改ざん、破壊から保護するための合理的なセキュリティ対策を実施することにより、データ収集慣行について透明性を確保することを義務付けている。

記載されている規制は、雇用主が業務上の目的さえ説明できれば、ほとんどすべての個人データを収集する自由を与えているように見える。しかし、実際にはそうではない。

雇用主は、正当な理由と従業員の同意なしに特定のデータを収集する権利を有しません。このデータは一般的に以下のカテゴリーに分類されます：

機微（センシティブ）データとは、個人を差別したり、個人生活のプライベートな側面を明らかにするために使用できる個人情報を指します。このデータには、人種や民族、宗教、哲学的信条、性的指向、性自認、政治的意見が含まれますが、これらに限定されるものではありません。

このようなデータを収集し使用することは、雇用、昇進、その他の経営上の決定における差別につながる可能性がある。また、従業員にとって居心地の悪い、あるいは敵対的な職場環境を作り出す可能性もある。

多くの管轄区域では、雇用主が従業員の健康情報にアクセスすることを制限している。しかし、いくつかの例外もある：

• 従業員は同意書を提出する。

• 健康計画を管理するため、または職場の安全上の理由（職務適性評価や障害に対する特別な配慮の手配など）で必要な情報。

• 法律により開示が義務付けられている場合（労災請求や休暇申請など）。

雇用主が従業員について、給与計算や納税のための基本的な情報以上の広範な財務データを収集する正当な理由はありません。この場合、銀行口座の詳細、クレジットスコア、投資の保有状況などが含まれる。

雇用主は従業員の行動を監視することに正当な利益を有するかもしれないが、その監視を個人のソーシャルメディアアカウントにまで拡大することはできない。例えば、従業員にはソーシャルメディア利用におけるプライバシー権があるため、雇用主は従業員に対し、ソーシャルメディア上で友人となることを要求したり、個人のアカウントにアクセスすることを要求することはできない。

従業員のプライバシーの権利は、休日中の雇用者による監視から従業員を保護するものです。雇用主による監視は、一般的に勤務時間と業務に関連する活動のみに及びます。従業員の勤務時間外の活動に関するデータ収集は、正当なビジネス上の理由があり、プライバシー権を侵害しない限り、ほとんどの管轄区域で制限されています。

によると ハーバード・ビジネス・レビュー, 従業員500人以上の北米企業の67.6％が、特別なソフトウェアを使って従業員の労働活動を追跡している。別の調査では WifiTalents によると、調査対象組織の96％近くが何らかの形で従業員監視技術を使用している。

従業員監視ソフトウェアは、その性質上、従業員に関する広範なデータを収集することができます。その最も一般的な機能は、電子メール監視、インターネット活動監視、画面録画、アプリ使用状況の追跡、さらにはビデオやサウンドの監視などです。従業員モニタリングは、適切なビジネスコミュニケーションの確保、セキュリティ脅威の防止、生産性の向上など、崇高な目標を追求します。しかし、法的・倫理的な配慮のもとで実施されなければ、時として禁止されている個人データを収集する可能性がある。

従業員モニタリングの合法性は、場所によって異なる場合があります。GDPRのように、従業員のプライバシーの権利をより厳しく規定し、許されるモニタリングの範囲を制限している規制もあります。そのため、雇用主は従業員モニタリングを実施する前に、その地域で適用される法律を調査し、理解する必要があります。

倫理的観点からは、透明性、比例性、正当性という原則が、従業員監視ソフトウェアの使用を導くべきである。使用者はデータ収集を厳密に必要な側面に限定し、データ収集と従業員のプライバシー権とのバランスを取らなければならない。そのための最善の方法は、過剰なデータ収集を避けるために簡単に調整できる、適応性のある従業員監視ソリューションを選択することである。

この場合、不必要な追跡機能を無効にすることで、過剰なデータの収集を避け、適用される規制を遵守することができます。

また、従業員が手動で監視を開始・停止できる監視プログラムも検討する。このオプションにより、従業員は記録されたくないデータを保護することができる。特に、遠隔地にいる従業員や、個人所有のデバイスを業務に使用している従業員には便利です。

プライバシーの権利を理解することは、雇用者だけでなく従業員にとっても不可欠です。これにより、従業員は職場を含む生活のあらゆる領域で個人データを管理できるようになります。従業員に認められている具体的な権利や関連する法律は、地域によって異なります。例えば、GDPR、LGPD、PIPLは、従業員にデータに関するいくつかの重要な権利を付与している：

アクセスする権利： 従業員は、雇用主が保有する個人データへのアクセスを要求することができる。

修正する権利： 従業員は、不正確または不完全なデータの訂正を要求することができる。

消去権（「忘れられる権利」とも呼ばれる）： 特定の状況下では、従業員は個人データの削除を要求することができます。

処理を制限する権利 従業員は自分のデータの使用方法を制限することができる。

データポータビリティの権利 従業員は、構造化され、一般的に使用されるフォーマットで個人データを受け取り、（技術的に可能であれば）他の雇用者に転送するよう要求することができます。

重要なことは、これらは一般的な例に過ぎないということです。従業員には、職場におけるデータ・プライバシーに関する具体的な権利を理解するために、法的リソースやプライバシーの専門家に相談することをお勧めします。

デジタル時代は仕事とプライベートの境界線を曖昧にしている。雇用主は膨大な従業員データを収集しアクセスすることができ、プライバシーと倫理的境界線に関する重大な問題を提起している。セキュリティ、生産性、法令遵守といった雇用者の正当なビジネス上の利益は、必要性と従業員の私生活の境界線を越えてはならない。企業は法的な境界線を理解し、従業員の権利の尊重と自社の利益のバランスを取るべきである。

企業の場合は、データ収集の慣行が関連法に準拠していることを確認するため、法律顧問に相談することをお勧めします。収集するデータの種類、その使用方法、データに関する従業員の権利について概説した、明確で利用しやすいプライバシー・ポリシーの導入を検討する。

従業員については、職場におけるデータ・プライバシーの権利をよく理解することをお勧めします。多くの司法管轄区では、従業員に個人データへのアクセス、修正、削除の権利を認めています。自分のデータが雇用者によって収集されることに懸念がある場合は、ためらわずに弁護士に相談するか、プライバシーの専門家に相談してください。