業務端末とプライバシー

人員削減からの続き

図：内乱の予感（ChatGPTによる）

メタの業務ログ記録のインパクトが大きかった。これは，これまで話題になっていた教育現場におけるAI利用による学習過程や履歴の把握による個別最適化とも通底する話である。そこで，その法的な妥当性について考えてもらった。まあ，一人一端末で小学校低学年から学級崩壊が始まっているという話題の前には，吹き飛んでしまうのかも知れないけれど。

Ｑ（koshix）：

企業が従業員に業務用の端末を与え，これによって会社の業務を実行させる場合，その端末の従業員パスワードや業務過程の端末操作ログの全体を，従業員との契約によって把握することの妥当性について検討してください。

Ａ（ChatGPT）；

結論からいうと、会社貸与端末について、会社が一定の管理権限を持ち、業務上必要な範囲で操作ログを取得・確認すること自体は妥当化され得ます。しかし、「従業員パスワードを会社が把握する」「業務過程の端末操作ログの全体を包括的に取得・閲覧する」ことを、単に雇用契約・誓約書・同意書で包括同意させればよい、という発想はかなり危ういです。

特に重要なのは、会社貸与端末であっても、従業員の人格的利益・プライバシー・個人情報性が完全に消えるわけではない、という点です。会社の所有物だから何でも見てよい、という構成にはなりません。

１．まず、端末パスワードについては、会社が「管理者権限」「MDM」「端末初期化権限」「業務アカウント停止・再発行権限」を持つことは合理的です。退職、事故、情報漏えい、業務継続、証拠保全のために、会社が端末・業務データへアクセスできる仕組みを持つ必要はあります。しかし、従業員本人のログインパスワードそのものを会社が常時把握する方式は、セキュリティ設計としても労務管理としても望ましくありません。パスワードは本来、本人認証の秘密情報です。会社が知ってしまうと、誰が操作したのかという証跡性が壊れます。つまり、後から「その操作は従業員本人がしたのか、管理者がしたのか」が曖昧になります。これは監視強化どころか、監査可能性を弱めます。

２．より妥当なのは、「会社はパスワードを知らないが、管理者権限により必要時にアカウント停止・再設定・端末回収・業務データ保全ができる」という設計です。例外的に、共有管理者アカウントや非常用アカウントを設ける場合でも、利用条件、承認者、ログ記録、事後監査を厳格にすべきです。従業員個人のパスワードを会社に提出させる方式は、原則として避けるべきです。

３．次に、操作ログについてです。ログイン時刻、端末識別子、業務システムへのアクセス履歴、ファイル操作、外部記憶媒体接続、マルウェア検知、異常通信、業務データの持ち出し兆候などは、情報セキュリティ上、取得の必要性が高い領域です。個人情報保護委員会も、個人データの取扱いに関する従業者の監督や安全管理措置の一環としてモニタリングを行う場合、目的の特定、社内規程化、従業者への明示、責任者・権限の設定、ルールに従った適正運用の確認が必要だとしています。(PPC)

４．一方で、「操作ログの全体」という表現が、キーストローク全記録、画面録画、Web閲覧全履歴、アプリ使用履歴の常時記録、チャット内容、メール本文、位置情報、カメラ・マイク、非業務時間の操作まで含むなら、かなり問題が大きくなります。これは単なる業務管理を超えて、人格的監視に近づきます。厚労省系の労働者個人情報保護の考え方でも、コンピュータ等によるモニタリングでは、実施理由、実施時間帯、収集される情報内容等を事前に通知し、労働者の権利を侵害しないよう配慮すべきとされ、常時モニタリングは健康・安全確保または業務上の財産保全に必要な場合に限られる、という考え方が示されています。(厚生労働省)

５．ここで「契約によって同意を取っているからよいのではないか」という点が問題になります。たしかに、従業員が業務端末利用規程、情報セキュリティ規程、就業規則、誓約書などでログ取得に同意していることは、会社側の正当化要素になります。しかし、雇用関係では使用者と労働者の力関係が非対称です。形式的な同意があっても、それが自由で実質的な同意だったのかは常に問題になります。また、就業規則が労働契約の内容となるには、合理的な労働条件であり、かつ労働者に周知されていることが必要です。(e-Gov 법令検索)

６．したがって、契約条項として「会社は従業員の端末操作ログを全て取得・閲覧できる」「従業員は全パスワードを会社に開示する」と包括的に書いても、それだけで無制限に有効になるわけではありません。個人情報保護法上も、個人情報の利用は特定された利用目的の達成に必要な範囲に限られ、目的を超える取扱いには原則として本人同意が必要です。さらに、安全管理措置はリスクに応じて必要かつ適切な内容でなければならないとされています。(PPC)

妥当な設計は、次のような線引きになります。

（１）会社が取得してよい可能性が高いものは、業務システムへのアクセスログ、ログイン・ログアウト、端末のセキュリティ状態、業務ファイルのアクセス・変更・持ち出し、外部媒体接続、異常通信、マルウェア検知、管理対象アプリの利用状況などです。目的は、情報漏えい防止、業務継続、法令遵守、内部不正対策、インシデント対応に限定すべきです。

（２）慎重であるべきものは、メール本文、チャット本文、Web閲覧の詳細、画面キャプチャ、スクリーン録画、位置情報、カメラ・マイク、キーログ、勤務時間外の操作、私的利用が混入し得る領域です。これらは「必要がある場合に、限定された権限者が、限定された目的で、限定された範囲を確認する」運用にすべきです。

（３）原則避けるべきものは、従業員個人のパスワード提出、常時キーロギング、常時画面録画、業務と無関係な私的情報の網羅的取得、本人に知らせない通常時の隠密監視です。ただし、犯罪・重大不正の相当な疑いがある場合には、証拠保全として例外的調査が許容される余地はありますが、それでも必要性・相当性・手続の適正が問われます。

私の評価では、「会社貸与端末だから包括的に全部把握できる」という企業側の論理は粗すぎます。一方で、「従業員のプライバシーがあるから会社はログを取れない」という反対論も、情報セキュリティの現実を無視しています。妥当な中心線は、会社の所有権ではなく、業務目的との関連性、情報セキュリティ上の必要性、取得範囲の最小化、事前明示、権限管理、監査可能性によって決まります。

実務的には、契約書に包括条項を書くよりも、次のような制度設計が重要です。端末は会社所有で業務目的に使用すること、会社は明示された目的のために一定のログを取得すること、取得するログの種類を具体的に列挙すること、通常時に本文・画面・キーストロークまでは見ないこと、例外調査の発動条件を定めること、閲覧権限者を限定すること、ログ保存期間を定めること、従業員本人に周知すること、労働組合または従業員代表との協議・説明を行うこと、ログ閲覧自体のログを残すことです。

要するに、妥当な契約は「会社が必要な範囲で業務端末を管理し、限定されたログを取得することへの同意」であって、「会社が従業員の端末上の全行動とパスワードを丸ごと支配することへの同意」ではありません。後者は、労務管理、個人情報保護、情報セキュリティ、内部統制のいずれの観点から見ても、かなり危険な設計です。