ウェアラブル端末で従業員の行動を分析する場合のプライバシー上の問題点と対応
1 ウェアラブル端末の持つ可能性
矢野和男「データの見えざる手」(草思社文庫)という本を読了しました。
文庫 データの見えざる手:ウエアラブルセンサが明かす人間・組織・社会の法則 (草思社文庫)
- 作者: 矢野和男
- 出版社/メーカー: 草思社
- 発売日: 2018/04/04
- メディア: 文庫
- この商品を含むブログ (1件) を見る
名札型のウェアラブル端末(対面情報、身体的な動き、位置情報をそれぞれ計測できる)を従業員に装着してもらい、そこから得られたデータを分析することで、驚くような結果が出ることが紹介されています。
例えば、コールセンターのオペレーターの受注率は休憩所での会話の活発度が関係しているという結果が示されています。つまり、休憩時間における会話のとき身体運動が活発な日は受注率が高く、活発でない日は受注率が低いというものです(92頁)。
また、安静状態(動きの穏やかな状態)から活動状態に遷移する確率は、健常者の方がうつ状態の人よりもおよそ20%高いとされ、ウェアラブルセンサにより遷移確率の計測が可能でありこれによりその人のストレスレベルを確認できるとされています(134頁)。
他にも、仕事がうまくいく人(運がいい人)の共通点は、自分の知り合いの知り合いまで含めて何人までたどり着けるかという「到達度」が高かったという結果が示されています(154頁)。ここでは、ウェアラブルセンサに組み込まれた赤外線センサにより、誰と面会しているかのデータをソーシャルグラフとして可視化されます。
ウェアラブル端末を用いることで、「活気がある」「運がいい」といった漠然としたあるいは定性的な項目を可視化して数値化できるという本書の内容は衝撃的です。ウェアラブル端末をうまく活用すれば、職場における生産性向上を実現できる可能性があります。
2 ウェアラブル端末の持つリスク
他方で、ウェアラブル端末は人の行動を長時間かつ正確に把握し分析するものであり、従業員のプライバシーを侵害するリスクがあります。上記で紹介されているウェアラブルセンサは、誰と会ったか、どのような動きをしていたかといった自分自身も気づいていない情報が膨大なデータとして蓄積され、その人の行動パターンや性格、嗜好といった人格が丸裸にされかねません。上記で紹介されているとおり、安静常態から活動状態への遷移の状態を計測することでにストレスレベルの程度、ひいてはうつ状態であるかといった情報すら正確に得ることができてしまします。
その人自身ですら気づいていない内面や身体の情報といった極めてセンシティブな情報が企業に吸い上げられることになります。また、業務時間中ずっとウェアラブル端末を装着させられ行動の一挙手一投足を把握されることは、従業員にとっては監視されている気持ちになり不安にも思うでしょう。
このように、ウェアラブル端末の利用は、それまで誰も気づいていない問題点を膨大なデータにより可視化し、企業の生産性を向上する上で強力なツールとなる可能性を秘めていますが、その分副作用やリスクも大きいので、ウェアラブル端末の持つ有用性を活かしつつ、従業員のプライバシーに配慮すると言ったバランスのとった対応が必要です。
3 個人情報保護法との関係
まず、個人情報保護法との関係では、ウェアラブル端末により取得される従業員の行動のデータ(対面情報、位置情報、身体の活動情報等)は、特定の個人を識別することができるものにあたる可能性が高いので、同法2条1項1号の「個人情報」に該当するといえるでしょう。
企業はこの情報を取扱うに際して、できる限り特定した利用目的を定めなければなりません(同15条1項)。*1
そして、従業員からウェアラブル端末の計測データ情報を取得するにあたっては、予め利用目的を公表するか、取得後速やかに利用目的の従業員への通知あるいは公表が必要です(18条1項)。
取得に当たっては不正の手段による取得は禁止されていますが(17条1項)、同意を得ることが義務付けられるわけではありません。ただ、ウェアラブル端末による情報を取得するためには、当然端末を従業員に装着してもらう必要があるので、その理解を得るためにも、個別に同意を得るのが望ましいのではないかと考えます。特に、病歴は「要配慮個人情報」(2条3項)として取得には本人の同意が原則として必要です(17条2項)。そして、ウェアラブル端末の計測により本人のストレスレベル、ひいてはうつ状態の有無を推知できることを考えると、病歴そのものの取得ではないにせよそれに準じるものとして慎重に対応するのが望ましいでしょう*2
4 プライバシーとの関係
企業が従業員のパーソナルデータを取得、管理する場合、個人情報保護法だけではなくプライバシー権にも配慮する必要があります。
企業が従業員情報を利活用する場合のプライバシーとの関係については、渡邊涼介「企業における個人情報・プライバシー情報の利活用と管理」(青林書院)に解説がされています(385頁)。
そこでは、プライバシーに配慮した対応として以下のような方策が提案されています。
①制度設計段階:目的をできる限り特定、労働組合や従業員代表との協議
②取得段階:利用目的に照らして最小限にする、従業員に説明する、情報を取得されたくない者は取得対象から外す
③利用段階:利用目的以上に利用しない
④管理段階:管理責任者を決定し、情報にアクセスできる者を最小限にする
⑤本人対応段階:従業員からの相談窓口を設ける
上記の点で個人的に特に重要と考えるのは、②の取得されたくない者は取得対象から外すということです。企業にとっては全従業員のデータをくまなく収集できた方が分析には有用です。しかし、ウェアラブル端末による計測データは非常に細かく詳細なことが分かる分、それだけ従業員の行動パターンやストレスレベルまで明らかにしてしまい、内面への介入(侵襲)の度合いは強いといえます。そうなると、企業にとっては利便性や有用性をある程度犠牲にしても、なお理解を得るために拒否あるいは離脱の自由を保証することが重要だと思います。
5 ウェアラブル端末の装着を業務命令として義務付けることの可否
補足ですが、ウェアラブル端末の装着を業務命令として義務付けることは可能でしょうか。これは、プライバシーとの関係で深刻な対立を惹起しかねないという点では、強制になじまないものといえます。
雇用契約における労務提供義務は、使用者の指揮命令に従って労務を給付する義務であるから、この義務は使用者の指揮命令権(労務指揮権・業務命令権)を前提とします。ただし、指揮命令権も無制約ではなく、契約で合意された範囲内でのみ許されます*3。
そして、プライバシーとの関係では、電子メールやインターネットの私的利用の監視・調査のケースが参考となります。この場合、まずは使用者が監視・調査権限を就業規則やPC使用規程で明定していれば、労働者のプライバシー保護の期待も生ぜず、監視可能とされます。こうした権限が明定されていない場合、監視・調査の必要性と目的の合理性、手段・態様の妥当性、労働者が合理的に期待するプライバシー保護の程度及び監視・調査により労働者に生ずる不利益を考慮して判断するとされています*4。
これとの対比で考えると、業務改善や体調管理などに役立てる場合というのは不正防止や発見を含む秩序維持の要請に比べると、従業員のプライバシー侵害を正当化する根拠としては弱いと考えます。
そうすると、指揮命令の一環として義務付けることは許されないということになるでしょう。やはり、個別に同意を得るという対応をとるべきと考えます。
*1:この義務は厳密には個人情報取扱事業者の義務です。つまり、単なる個人情報ではなく個人情報データベース等を事業の用に供している者です(2条5項)。そして「個人情報データベース等」(同4項)とは、データベースシステムに体系的に整理され記録されている、特定の個人を識別できるデータを含む情報の総体です。よって、個人の情報が体系的に整理されている場合のみ、個人情報取扱事業者にあたることになりますが、ここではあまり厳密には考えずに個人情報取扱事業者に当たるという前提で以下も検討を続けることにします
*2:山本龍彦「プライバシーの権利を考える」(信山社)は、センシティブな事項を一定の制度で予測するプロファイリングは個人情報保護法17条2項にいう要配慮個人情報の「取得」に該当するとの見解です(266頁)。
*4:同278頁
最近読んだ本の簡単メモ
1440時間の使い方
タイムマネジメントに関する本です。単に著者のノウハウを一方的に教えるのではなく、一流の企業経営者やアスリートにインタビューし、豊富な実例を紹介している点が特徴的です。TODOリストは使うな、やるべきことは手帳に書き込めというアドバイスは大変参考になりました。
アイデア大全
アイデア大全――創造力とブレイクスルーを生み出す42のツール
- 作者: 読書猿
- 出版社/メーカー: フォレスト出版
- 発売日: 2017/01/22
- メディア: 単行本
- この商品を含むブログ (26件) を見る
博覧強記の読書家である読書猿さんの本です。問題解決のためのアイデアを出す方法を、それを生み出した人物のエピソードや背景とともに解説しています。個人的にはノンストップライティングが役に立ちそうだと感じました。
プライバシー権の復権
GDPRの解説本も最近出された宮下紘先生によるプライバシーに関する論文集です。
プライバシーの生みの親であるブランダイスの人物像や当時の時代背景を踏まえて、プライバシーを単に「一人にしてもらう権利」とするのではなく、より深く考察しています。また、プライバシー二都物語として、アメリカとヨーロッパでのプライバシーの受容と発展の経過を追い、自由を強調するアメリカと尊厳を重視するヨーロッパの価値観の違いを解説しており、参考になりました。
弁護士「好きな仕事×経営」のすすめ
弁護士「好きな仕事×経営」のすすめ―分野を絞っても経営を成り立たせる手法―
- 作者: 北周士
- 出版社/メーカー: 第一法規株式会社
- 発売日: 2018/06/27
- メディア: 単行本
- この商品を含むブログを見る
ノースライム先生こと北周士先生が編集代表となり、得意分野を持ち活躍されている比較的若手の弁護士を紹介し、それぞれの専門分野、その分野を確立するに至った経緯、経営に関する工夫や留意事項が記載されています。生々しい経営面に関する解説は非常に貴重で大いに参考になりました。専門分野を確立しそのスキルを維持するために海外出張や図書館で文献を探すといった地道な努力が必要であること、仕事漁りではなく弁護士という肩書きを外して虚心坦懐に相手の話を聞くことが大事ということ、改めて気づかされました。
経営戦略原論
その名の通り、経営戦略について掘り下げた本です。しかし、この本はただ経営戦略を解説するのではなく、理論と実務を架橋することを強く意識し、経営理論の流れを解説しつつ、それが企業の実践においてどのように活用されるかに踏み込んでいます。
ファイブフォースやプロダクトポートフォリオマネジメントといった、経営戦略本ではほぼ必ず紹介されるこれらのフレームワークについても、表面的な解説ではなく、どのような背景で生まれたのか、やりがちな誤った使い方等も丁寧に解説してくれており、大変参考になります。
情報法関係で参考になった論文
板倉陽一郎「プライバシーに関する契約についての考察」
(1)http://alis.or.jp/img/issn2432-9649_vol1_p028.pdf
(2)http://alis.or.jp/img/issn2432-9649_vol2_p067.pdf
プライバシーポリシーや利用規約の法的性質を掘り下げて分析。個人情報保護法上の(公法的な)同意と、プライバシー侵害を理由とする損害請求・差止請求不行使の同意とに区別し、後者の場合には同意があっても無際限に免責されるわけではなく場合によっては無効となる可能性があると指摘。プライバシーに関する契約をこれだけ深く分析する板倉先生の緻密さに脱帽です。(3)はまだ公刊されていないようですが、読むのが待ち遠しいです。
加藤隆之「個人情報保護制度の遵守とプライヴァシー権侵害 : 個人情報の第三者提供に関する判例を中心として」
https://ci.nii.ac.jp/els/contents110008585237.pdf?id=ART0009715011
個人情報保護上違反の有無と、プライバシー侵害の有無を区別する峻別論が一般的な見解であることを前提としつつ、両者が衝突する場合を過去の判例をもとに分析・検討しています。弁護士会照会(いわゆる23条照会)においては、個人情報を開示することは個人情報保護法の関係では許容されうるが、他方で当該情報の主体からプライバシー侵害を理由として照会に応じた企業が損害賠償請求をされる可能性があることの問題点を詳細に指摘。企業側としては制裁が緩い個人情報保護法よりも損害賠償の方を危惧し、結局プライバシー侵害をいわれないために照会には応じないという対応に出るのが自然として、個人情報保護法は有効な行為規範として機能しないのではないかと疑問を投げかけます。パーソナルデータの法的問題を考える上では個人情報保護法だけにとらわれるのではなく、プライバシー侵害の有無も含めてより大きく広い視点で検討しなければならないことを改めて考えさせられました。
成原慧「情報社会における法とアーキテクチャの関係についての試論的考察」
http://www.iii.u-tokyo.ac.jp/manage/wp-content/uploads/2016/03/20111019-81_5.pdf
インターネットが高度化した現代では、人々の行為を規律する手段として、「アーキテクチャ」の存在が重要になっています。この論文では、アーキテクチャとは何か、そのメリットと弊害・危険性を法との比較で分かりやすくまとめられています。法とアーキテクチャどちらか一方に偏るのではなく、両方の利点を上手く活かすという視点が重要になると感じました。
【書籍紹介】「弁護士会照会ハンドブック」
佐藤三郎他「弁護士会照会ハンドブック」
弁護士業務をする上で、弁護士会照会(業界では23条照会と呼ぶことが多い)の利用は欠かせません。
定型的な照会であればルーティンで処理できるのですが、イレギュラーな事案においてどこまで利用できるのか、また照会を受けた側から相談された場合にどういうアドバイスをすべきかは悩むところです。
本書は、弁護士会照会の制度の概要、類型別の対応、関連する裁判例を豊富に紹介しています。単なるマニュアルではなく、制度の背景にある考えや理論の根拠をわかりやすく解説してくれており、大いに参考になります。今後、照会制度について調べる際に参照すべき本になることは間違いなさそうです。
工夫されたプライバシーポリシー・利用規約の実例
ヤフージャパン
プライバシーポリシーとは別に、「プライバシーガイド」のページを設けて、ビジュアルを使って個人情報の取り扱いについて記載されています。ビジュアルを使って分かりやすく解説されています。
Yahoo! JAPANプライバシーガイドYahoo! JAPANプライバシーガイド
PIXTA
写真の素材サイトです。利用規約のうち、重要な条項についてはすぐ下に「ポイント」という欄を設けて特に注意すべき点を表記しています。利用規約は冗長でありただ読むのはユーザーにとって苦痛ですが、このようにポイントを絞って注意喚起されるとユーザーにとっては分かり易いですし、企業にとってもリスクヘッジという点で有効でしょう。
大阪弁護士会
弁護士会のプライバシポリシーはこれまでチェックしていなかったのですが、個人情報の内容と利用目的とを対比した表を設けております。多くのプライバシーポリシーでは、取得する個人情報の種類と、その利用目的との対応関係が分かるような記載になっていませんが、このような表形式での記載は見た目にも分かりやすく対応関係が一目瞭然です。
http://www.osakaben.or.jp/09-aboutsite/pdf/db_mokuroku.pdf
分かりやすい利用規約の例
本日の日経新聞の朝刊に、利用規約・プライバシーポリシーをユーザーに読まれやすくするための取り組みが特集されていました。
目指せ、読まれる利用規約 フェイスブック問題で注目 :日本経済新聞
慶應義塾大学SFCリーガルデザイン・ラボ、株式会社THE GUILDおよび弁護士ドットコムの三者で結成された「コントラクトギルド」による研究や、シェアリングエコノミー協会による認証制度等、最新の事例が分かりまとめられており大変参考になります。
この記事で紹介されていたシェアリングエコノミーの仲介サービスである「Anytimes」の利用規約を見てみました。
一見するとどこにでもある利用規約です。
しかし、どんどん下にスクロールしていくと「お客様にご注意いただきたいこと!」という記載が。
この部分は以下のことが記載されています。
**お客様にご注意いただきたいこと!
利用規約の第14条等で、当サイトでの禁止事項を定めさせていただいていますが、具体的には、以下のような行為については禁止されています(典型的なケースを挙げたもので、以下のような行為に限られるわけではありません。)。会員の皆様がこのような禁止事項を実施された場合、当社としては、会員登録を取り消すことがありますので、予めご了承ください。
- 食品衛生法及び都道府県条例の規定に違反する行為
- 通訳案内士の資格を有しない者が、有償で外国人向けに外国語で旅行に関する案内するサービスを提供する行為
- 医師、看護師、弁護士、司法書士、行政書士、社会保険労務士、税理士などの資格を有しない者、または資格はあるが登録がない者が、有償でそれらの相談を行う行為
- 国土交通大臣の許可がない者が、自家用自動車を業として有償で貸し渡す行為
- 介護士の資格を有しない者が、訪問介護のサービスを提供する行為
- 著作権や商標権、肖像権などの権利を侵害する行為
- 異性との出会いを募集、あっせん、または誘導することが目的であると捉えられる内容を掲載する行為
- ナイトワークなどの求人情報、サービス情報を掲載する行為
- ネットワークビジネス、マルチ商法、MLMのメンバーを募集、勧誘する行為
- 反社会的なもの、または反社会的勢力に関連する可能性があると当社が判断した行為
ユーザーの大部分は利用規約をしっかりと読まず最後までスクロールして同意にクリックすることになります(「クリックトレーニング」とよばれることがあります)。
しかし、Anytimesの利用規約は一番下の部分に、典型的な禁止行為を取り上げて注意喚起をしており、そのメッセージ性やインパクトは大きいです。ユーザーがろくに利用規約を読まずにうっかり禁止行為に触れてしまうリスクが軽減され、トラブル防止につながり、運営側としてもメリットは大きいでしょう。
分かりやすい利用規約・プライバシーポリシーというと、アイコンを使ったりラベル形式にする、要約版を別途用意するといった工夫がありましたが、Anytimesのように特に重要な点を一番下の部分にまとめるという発想が面白く、大変参考になった次第です。
プライバシーポリシーを自動解析するツール:Polisis
詳細かつ正確なプライバシーポリシーとユーザーの理解しやすさは反比例します。企業側として、リスクを極力減らし漏れがないようにすればするほど、長大で難解な文書となり理解は困難です。
ラベル形式にする、詳細説明用と簡易説明用の2種類のポリシーを用意するといった工夫をしている企業もありますが、やはり文書だけではわかりづらいことは否めません。
しかし、既に海外ではプライバシポリシーを自動的に解析するシステムが公開されていることを知り大きな衝撃を受けましたので、紹介します。
「Polisis」という名称で、スイスのローザンヌ連邦工科大学、ウィスコンシン大学、ミシガン大学らの研究者からなるチームが作成したものです。HP(https://pribot.org/)にとぶと、「Polisis」と「PriBot」の2つのアイコンがあります。
右側の「Polisis」がプライバシポリシー自動解析ツール、左側の「PriBot」がプライバシポリシーについて会話形式でやりとりができるチャットボットです。
「Polisis」では企業のプライバシーポリシーが掲載されているURLを貼付けると自動的に解析しビジュアル化してくれます。ためしにアップルのプライバシポリシーを読み込むと以下のような表示となりました。
この表示された解析を元に、右にある「QUESTION」のボタンを押すと、チャットボットでプライバシーポリシーに関するやりとりができます。例えば、第三者提供に関する質問をすると、該当する記載を探しだしてきてくれます。
これがあると、ユーザーとしては自分のデータがどのように扱われるか一目瞭然であり非常に分かり易いです。文書だけでの説明とでは圧倒的な差があります。
また、企業としては、難解なポリシーを作って、ユーザーの重要なデータをこっそり使うという姑息な手を使うことが難しくなります。その反面、ユーザーのパーソナルデータに対して真摯な取り組みをしている企業にとっては、逆にPolisisでの解析結果を積極的に開示することで自社の誠実さをアピールするという使い方もあるでしょう。
今のところ、英語の文書にしか対応していないようですが、日本でもプライバシーポリシーは大体同じような構造になっていることを考えると、いずれは日本でも同様のサービスが作られるのではないかと予想しています。