個人情報保護

5月25日に新型コロナウイルスの感染拡大に伴う緊急事態宣言が解除され、自粛要請等も緩和されつつあります。

しかし、福岡県で新たな感染者が増加するなど「第二波」の兆しもあり、まだまだ先の見えない状況が続いています。

緊急事態宣言下では中小企業でもテレワークが急速に広まりました。

政府が提唱する「新しい生活様式」、そして「ウィズコロナ」「アフターコロナ」といった言葉が広がり、宣言解除後もテレワークの継続を検討する企業が増えています。

そんな中、情報管理の問題がおざなりにされたまま、テレワークを実行している企業も多いのではないでしょうか。

今回は、直接的に労働法上の問題ではありませんが、テレワーク時に問題となりやすい情報管理について解説したい思います。

デバイス(情報端末)管理

個人情報保護法による規制

テレワークにおいては、会社が従業員にモバイルPCを支給し、従業員がこれを自宅で利用することが一般的です。

しかし、中小企業等においては、従業員個人の私用モバイルPCの利用を許諾するケースも多いと思われます。

このような個人のデバイスの管理は十分でしょうか。

  • 個人のモバイルデバイスを紛失してしまった。
  • ウイルスに感染し顧客情報が漏えいしてしまった。

といったトラブルとなる前に適切なデバイス管理が必要です。

個人情報保護法上、個人情報取扱事業者(ほぼ全ての事業者が該当します。)は、個人データが漏えい、改ざん、滅失等しないよう、安全管理措置を取る義務があります(第20条)。

具体的な安全管理措置については、経産省のガイドラインで対応例が定められていますので、参考にしていただければ幸いです。

同ガイドラインには中小事業者向けの対応も記載されています。

参考:個人情報保護法ガイドライン(通則編)8(別添)講ずべき安全管理措置の内容

私物デバイスの情報管理

しかし、デバイスにおける情報管理は、社用PCに対して行うことを想定しているケースが多いです。

社用PCであれば会社の管理権が及ぶため、安全管理措置としての規制も実行しやすいのですが、従業員の私物デバイスを業務で使用させている場合に、どこまで規制ができるかという点は問題となります。

当然のことですが、私物デバイスには業務に関係のないデータが保存されており、私物として業務外の利用が想定されます。

そのため、安全管理措置としては、私物デバイスの業務利用を原則禁止とした上で、一定の条件で利用を認めるというルールにすべきでしょう。

具体的には、

  • ウイルス対策ソフトの導入
  • 無料WIFIの使用制限
  • リモートロック(遠隔操作による電源オフ)、リモートワイプ(遠隔操作によるデータ削除)

等を条件として、規程や同意書を作成するなどの方法が考えられます。

規程や同意書については、一般社団法人コンピュータソフトウェア協会が策定する「私有スマートデバイス取扱規程サンプル」などを参考にするのもよいと思われます。

モニタリング

モニタリングとは

デバイス規定だけでは情報管理として十分ではありません。

規定どおりに運用されているかの管理、すなわち「モニタリング」が必要となります。

これは、テレワークの場合、その従業員に対する労働時間の管理の観点からも必要な場合があります。

モニタリングとは、定期的な監視、監督などを指す言葉です。

具体的には従業員のメールやPCなどの利用状況を確認することになりますが、その限界として従業員のプライバシーの観点とのバランスを検討する必要があります。

モニタリングとプライバシー

基本的に、モニタリングの必要性があって、その方法が相当なものであれば、許容されます

たとえば、監視カメラの設置やGPSシステムによるモニタリング自体も直ちに不相当であるというわけではありません。

従業員にその目的や方法を明示した上で、その情報にアクセスできる範囲を限定して業務外(GPS等)においては実施しないなどのルールに従って行うことは可能です。

また、通信設備などを用いてモニタリングをすることも増えてきています。

管理者側が従業員のインターネットの閲覧履歴やメールの確認などを行うことが例として挙げられます。

個人所有デバイスや私用メールアドレスのモニタリング

ここで重要なのはやはり、社用のPCやメールアドレスなのか、それ以外(個人所有デバイス、私用メールアドレス)なのかです。

それによりモニタリングの許容範囲は異なります。

社用PCや会社で取得したメールアドレスのモニタリングについては、本来従業員の私用目的が制限されるべきものであるため、本人の同意がなくともモニタリングは可能なケースは多いです。

裁判例でも、私的利用の許されていなかったPC内の私用メールを会社が閲覧することを拒む理由として、従業員はプライバシー権を主張できないとしたもの(水戸地方裁判所平成24年9月14日判決)や、社用アカウントからのメールの上司への自動転送が違法とはいえないとしたもの(東京地方裁判所平成28年10月7日判決)があります。

最後に

このように、個人所有デバイスを業務で利用させることは、会社におけるコストの低下や従業員としても利用しやすいといったメリットはあります。

しかし、モニタリングを含めた情報管理の難しさから、原則として、使用を禁止する対応が望ましいといえます。

IT業の法律問題はお任せください

お問い合わせはこちら

企業側・使用者側専門の弁護士にお任せ下さい新規予約専用ダイヤル24時間受付中!メールでの相談予約