従業員に貸与したPCの操作状況などをモニタリングすることは法律上問題はないのか

 新たにテレワーク(リモートワーク)を導入しようとする事業者や、新型コロナウイルスの感染拡大を受けて急いでテレワークを導入したものの、導入について十分な検討をする時間がなかった事業者向けに、テレワークに伴って生じうる人事評価・労務・法務・情報セキュリティに関する問題点を簡単に記載致します。今回は、テレワーク導入にあたって、従業員に貸与したPCの捜査状況などをモニタリングすることは法律上問題がないのか個人情報保護法の観点からご紹介致します。

 

 オフィス勤務における労働時間管理・情報管理


 オフィス勤務の場合、出退勤についてはタイムカード等で管理されていれば、通常出退勤時間についてはモニタリングを行う必要性は低いものと考えられます。

また、情報管理の面では。自社から従業員に貸与したパソコンなどの端末について業務内容等に鑑みて一定のモニタリングw行う必要性が生じる場合もありますが、オフィス勤務においては物理的に監視の目が届くこともあって、テレワークと比較すると業務と無関係のウェブサイトへのアクセスや業務情報の不正利用などが行われる可能性は低いものと考えられます。

 

テレワークにおけるモニタリングの必要性


 テレワークにおいては、オフィスへ出社してタイムカードを押すこと等が不可能であるため別の方法によって労働時間を管理する必要がありますが、自己申告のみでは管理が困難な場合、オフィス勤務と比較して物理的に監視の目が存在しないため、情報の不正利用等が行われるリスクはより高くなります。したがって必要に応じて貸与端末の操作状況のログなどをモニタリングして情報の不正利用の有無などを監視する必要性が高いといえます。

もっとも、モニタリングを行うためには従業員の個人情報の利用が避けられず、プライバシーを侵害するおそれも生じる可能性があります。モニタリングを行うのであれば、個人情報やプライバシーに配慮した手続きや企業内の運用体制構築が重要になります。

 

個人情報保護法とモニタリングの関係


従業員に関する情報と個人情報保護法

 個人情報保護法(個人情報の保護に関する法律)が定義する「個人情報」(同法第2条1項)に該当する場合には、顧客に関する情報だけではなく自社の従業員に関する情報も同法の規律に従って取り扱う必要があります。

従業員に貸与した端末のモニタリングを通して取得した操作状況ログなどの情報は、一般的に各従業員を特定識別する情報と紐づけて利用することになります。その場合、操作状況ログは個人情報に該当します。したがって、モニタリングを導入する際には、個人情報保護法に留意する必要があります。

モニタリングを実施する際の留意点

 個人情報保護法を所管する個人情報保護委員会が公開している「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏洩などの事案が発生した場合等の対応について』に関するQ&A」(以下、「Q&A」)は、従業員を対象とするモニタリングを実施する留意点として次の4点を挙げています(「Q&A」46)。

  1. モニタリングの目的をあらかじめ特定したうえで、社内規定等に定め、従業員に明示すること
  2. モニタリングの実施に関する責任者及びその権限を定めること
  3. あらかじめモニタリングの実施に関するルールを策定し、その内容を運用者に徹底すること
  4. モニタリングがあらかじめ定めたルールに従って適正に行われているか、確認を行うこと

また、モニタリングに関して、個人情報の取扱いに関する重要事項等を定めるときは、あらかじめ労働組合などに通知し必要に応じて協議を行うことが望ましく、その重要事項等を定めた時は、従業員に周知することが望ましいとしています。

実務的な対応

まずは、労働組合等に通知して必要に応じて協議を行うことが望ましいです。その上で、勤務状況の把握目的や情報の安全管理目的などのようにモニタリングの目的を特定したうえで、就業規則等の社内規定に定め、従業員に主知する必要があります。

また、モニタリングの実施に当たっては、社内規定で定めた目的以外には利用しないことや、モニタリングによって取得した情報には必要最低限の従業員しかアクセスできないようにしかアクセス権限の管理を行うようにするなど、適正なモニタリング実施に関するルールを策定する必要があります。その上で、運用上もルールに従って行われているかを定期的に確認することが重要です。

 

プライバシーとモニタリングの関係


モニタリングは、その実施手法によっては従業員のプライバシーを侵害する可能性があります。前述した個人情報保護法自体は従業員から企業に対する直接賠償請求権などの定めはありませんが、モニタリングがプライバシー侵害に当たり場合には不法行為などによる損害賠償請求を受けるリスクがあります。

もっとも、前述した個人情報保護法との関係における留意事項を遵守したうえで、会社からの貸与端末などに対してモニタリングを行う限りにおいては、その目的が正当である限り、従業員のプライバシーへの期待が低いため賠償請求権が認められる可能性は低いものと考えられます。

 

まとめ


 上記までにご紹介致しました通り、テレワークを実施については、モニタリングを行いたいと考えている企業様は個人情報の取り扱いに十分に注意したうえで運用体制の構築を行って導入することをお勧めいたします。この機会にぜひ個人情報の取り扱いについて検討してテレワークを推進していきましょう。

テレワーク 情報セキュリティ
最新情報をチェック!