従業員監視に関する法規制の最近の変化

ユーザー・プライバシー法の強化に向けた世界的な動きが急速に進んでいる。その多くは、テクノロジーが法的枠組みを凌駕していることに起因している。ジェネレーティブAI（またはGen AI）の出現とその規模は、そのような例の一つである。

マッキンゼーは2023年、Gen AIアプリケーションの経済的可能性を次のように報告している。 2.6兆ドルと4.4兆ドル 毎年。しかし同時に、AI世代を理解し、コントロールし、安全性を保証することは、リスク・コンプライアンス部門にとって重要な課題である。なぜか？なぜなら、機能的な透明性の欠如やトレーニングに使用されるデータ、知的財産権侵害の可能性、ユーザーのプライバシー侵害の懸念の数々があり、そのすべてがかつてない規模とスピードで進行しているからだ。

従業員監視の領域では、状況はそれほど明確ではないが、強力な分析、AIの活用、データの統合によって、従業員データへの容易なアクセスと利用が可能になったことで、データ集約度の低い時代に作られた規則や規制の実行可能性が疑問視されている。

によると 調査 Top10VPNによると、従業員監視ソリューションの需要はパンデミック後に急増し、2020年3月には75％、2022年1月には75％、2022年第1四半期には73％に達した。世界中の大小を問わず、多くの企業がこれらのソリューションに依存しており、業務が計画通りに進み、従業員が説明責任を果たし、従業員のプライバシーと企業の収益の両方に悪影響を及ぼす可能性のある時間の盗難がないことを保証している。しかし、コインには2つの側面がある。

従業員監視ツールは強力になってきている。従来のキー入力から、より高度なウェブ閲覧、さらには顔の表情まで、あらゆるものを追跡できるようになっている。考えてみれば、そのメリットは多岐にわたる。企業は生産性を向上させ、潜在的なセキュリティの抜け穴や内部の脅威を特定し、改善点を発見し、従業員に有利なポリシーを考案することができる。

しかし同時に、悪用される可能性も大いにある。有害な職場環境を招き、不信感の温床になる可能性がある。実際、行動データへのきめ細かなアクセスは、差別や不当な扱いに道を開きかねない。従業員の働き方が、怠けていると誤解されかねないのだ。そのため、従業員は自分が監視下に置かれることに不満を抱いているとしばしば報告されているのだ。この点について 従業員の39 は、モニタリングが雇用主との関係に悪影響を及ぼすと報告している。43％がそのような行為が会社の士気に影響を与えることを確認している。

については、これまで何度も議論してきた。 既存の規制, 一般データ保護規則（GDPR）、電子通信プライバシー法（ECPA）など。これらの規制、特にGDPRは、ユーザーデータとプライバシーを保護するための高い基準を定めています。これには、従業員データにもしっかりと焦点が当てられています。

しかし、可能なデータ収集の範囲と規模は、ほんの数年前に想定された規制の能力を超えている。簡単に言えば、技術的に可能なことと、法的に許されることのギャップが広がっているのだ。その結果は？規制の空白は、不注意による、あるいは意図的な監視技術の悪用の余地を残している。したがって、規制改革と既存の枠組みを維持するための継続的な対話は、有効な呼びかけである。

従業員監視法の更新と変更

上記のような懸念があることから、世界中の司法管轄区は、AIを活用したシステムの規制、従業員の権利とデータの保護を約束する法律の導入が急務であることに気づいている。

その影響を理解しやすくするために、4つの主要なアップデートと、影響を受ける地域を列挙する。

情報コミッショナー事務局（ICO）は最近、企業からのデータ侵入行為に対する規制を強化している。2024年2月にセルコ・レジャー・オペレーティング・リミテッド（Serco Leisure Operating Limited）が 施行通知 ICOが良い例である。規制当局は同社に対し、バイオメトリック・データの処理を停止するよう指示した。この指示は、公正かつ合法的な処理、処理の合法的根拠などを提唱する第5条、第6条、第9条に裏打ちされていた。

ICOが英国における合法的監視のためのガイダンスを更新した背景には、規制当局が監視分野における技術の進歩に歩調を合わせていることがうかがえる。彼らの考えは、規制の確実性を高め、従業員のデータ保護権を保護し、従業員と顧客の信頼を醸成するビジネス・エコシステムを構築することである。

以下は、従業員監視ソフトウェアの使用に関連する、ICOの雇用慣行およびデータ保護ガイドラインの主な更新です：

• 労働者を合法的に監視する： ICOは、企業が労働者を合法的に監視するために、6つの合法的根拠を検討し、その中から1つを選択することを義務付けている。これらの根拠には、同意、契約、法的義務、重要な利益、公的任務、正当な利益が含まれる。各基盤には、合法的な監視につながる手順がまとめられており、すべてをチェックすることができる。

• 自動化された意思決定について知らせる： ICOは、合法的な自動意思決定に役立つ従業員監視ソフトウェアを使用する企業に対する行動計画を定義している。このような場合、企業は従業員に対し、処理される情報とそのような処理の基礎となるロジックを通知する必要がある。また、従業員には人間の介入を要求する機会を与える必要がある。

• チェックリスト ICOは、規制要件と全社的な慣行との対応を容易にするため、以下を提供する。 チェックリスト 企業がデータ保護を考慮するために使用できるもの。

フランスの国家情報自由委員会（CNIL）は、従業員データの悪用について企業が責任を負うことを保証する上で、ICOと同様のアプローチをとっている。 罰金3200万ユーロ アマゾン・フランス・ロジスティックはこう語る。

フランスデータ保護庁は、アマゾンが違法な監視システムを構築し、従業員をマイクロマネジメントするために、きめ細かな業務中断を測定していたと裁定した。アマゾンに対する当局の包括的な対応は、スキャナーを使用した従業員の監視、GDPR第6条に従った適法な処理の不履行など、複数のGDPR違反に対する制裁であった。

とはいえ、従業員監視に関するCNILの対応について、関係企業が常にチェックしておかなければならない最近のアップデートは以下の通りだ：

• データの集計と保持時間： CNILの最近の裁定から得られる重要な情報のひとつは、企業が従業員のデータをどれくらいの期間保有しているか、そしてその期間が正当化できるかどうかに厳しく注目しているということだ。アマゾンの例を借りれば、CNILは、1カ月にわたって収集された倉庫スキャナーのデータが統計分析に使用されていることを確認した。規制当局は代わりに、パフォーマンスの評価とトレーニングの必要性の特定には1週間で十分だと裁定した。

• 情報の透明性： CNILの決定は新鮮なものではなかったが、企業が従業員（派遣労働者を含む）に監視の慣行や範囲について知らせることをどのように避けているかという点で、規制当局が歓迎しないことに眉をひそめた。

2023年デジタル個人データ保護法は立法と公開協議中だが、インドの従業員監視の状況に大きな変化をもたらすと期待されている。

同法は、従業員のデータ利用に関する同意にバランスの取れたアプローチを提唱している。それによると、雇用主はデータ処理について従業員の同意を得なければならない。これにより、企業の人事担当者による同意のないデータ利用は制限される。しかし、同法は、"特定の合法的使用 "とされるシナリオの場合には、雇用主が同意を上回る権利を留保している。これには、損失や責任に関する状況が含まれる。

欧州連合（EU）はまた、EU全域で従業員の監視を管理し、実際、世界中の監視を規制するための規則の定番となっているGDPRポリシーを更新している。主な変更点は以下の通り：

• 不服申立の認容性を高め、紛争解決を合理化することで、国境を越えた案件のより良い機能を促進する。
• 捜査中の当事者により良い舞台を提供することで、当事者の声を聞き、迅速な解決を図る。

これらは、規制の状況をより洗練させるための定性的な更新であるが、EU全域でGDPRの原則を施行・実施する際の一貫性という点では、その影響は大きい。

• 世界中の規制当局は、従業員を監視し、それが合法的な方法で行われることを保証するために、より優れた技術の使用に対応している。
• 従業員の権利は、これらの新しい更新の最前線と中心である。
• 監視技術や従業員データの悪用は、より厳しい監視と説明責任を求めることになる。

こちらもお読みください： 従業員を合法的かつ効果的に監視する方法