鮑栄振＝文

皆様、明けましておめでとうございます。本年もよろしくお願いします。

さて、新年早々に古い話で恐縮だが、15年前の２００６年、筆者は本誌に「『今日、ビーフン食べた？』で紛争」という文章を寄稿した。同稿では、当時全国的に話題を呼んでいた「ビーフン事件」を紹介。会社による従業員のインターネットなどの私的利用に対する監視と、従業員のプライバシー侵害（1）や個人情報の流出などの法的問題、さらに当時の法規制などの状況について書いた。今回は、その「ビーフン事件」を踏まえつつ、現在のビッグデータ時代（2）における従業員のプライバシー侵害や個人情報の流出、これに対する法規制などについてお話する。

チャット流出で「事件」に

事件は05年９月末に起きた。上海・浦東地区のある外資系銀行で働く中国人女性職員・莉莎さん（仮名）は、昼食にビーフンを食べながら、インターネットで彼氏とこんなチャットをしていた。

「国慶節の大型連休期間は何したい？」

「莉莎さんと毎日ベッドにいたい」

「ヤダァ。それとなく分からないように言えないの？」

「言えない。言い方、教えて」

「例えば、『ビーフン食べたい』をその合図にするとか」

「ハハハ、それじゃ、７日連続してビーフンを食べたい」

「お腹が張ってもいいの？」

連休が明けて出社した莉莎さんは、エレベーターでＩＴ部の職員３人といっしょになった。すると３人は顔を見合わせてニヤニヤする。その中の一人が莉莎さんに「今日、ビーフン食べた？」と尋ねると、３人がどっと笑った。

最初はそれほど気に掛けなかった莉莎さんだが、その後も職員から「今日ビーフン食べた？」「食べ過ぎたらお腹が張るのよ」などとからかわれて、やっとおかしいと気付いた。

調べたところ、職場での従業員のインターネット使用は、会社側に監視されていることが分かった。莉莎さんは会社に強く抗議したが、会社側は、監視設備は試用段階で、本格的に開始したときは告知する、またビーフンの一件は、ＩＴ部の職員が流出させた証拠はない、と言われた。

これに憤慨した莉莎さんは、月給３万元の高収入を捨て、会社を辞めてしまった。

その頃、従業員のインターネット使用を監視していたのは、一部のＩＴ企業や銀行、大手外資系企業だった。また、こうした監視が従業員のプライバシー侵害や個人情報の流出などの法的問題を引き起こす可能性がある、という議論が起きた。だが、これを規定する法律がないだけでなく、裁判事例もなく、学説上も定説がほとんどなかった。

十数年前と比べ、現在ではプライバシーに関する権利や個人情報の保護に関する法令の整備が大きく進んでいる。例えば、今年１月１日から施行の民法典には、現行法令中の規定を基礎として、プライバシーおよび個人情報の保護に的を絞った規定が設けられている。

また、昨今急速に発展しているインターネットや人工知能、ビッグデータなどの新技術は、職場監視にも応用されている。従業員に対する監督や業務効率の向上、営業秘密の保護、人材流出（3）の防止のために、職場監視ソフトを使う企業もますます多くなっている。こうした職場監視の普及により、会社側の経営管理権と、従業員のプライバシーに関する権利との衝突が発生し、訴訟や仲裁といった紛争に発展することも少なくない。

筆者は職業柄、さまざまな労働紛争事件をチェックしている。一時話題となった以下の労働紛争事件も、実際には職場監視に関係するもの、あるいは職場監視によって引き起こされたものと言える。

上海のある研究開発会社がおととし３月、職場監視ソフトを使って、従業員の段さん（仮名）の仕事用パソコンの中に、大量のわいせつ画像・動画（計64・８ギガ）が保存されているのを発見した。このような行為は、同社の規程や職業規範に著しく反するとして、会社は書面により雇用契約の解除を段さんに通告した。すると段さんは、この契約解除が違法だと主張して仲裁機関に仲裁を申し立てると共に、会社に対して賠償金として41万元の支払いを求めた。仲裁委員会は段さんの主張を認めなかったため、段さんは本訴訟を起こしたが、一、二審ともに請求は棄却された。

段さんは、会社が仕事用のパソコンを監視していたことについては一切異議を唱えず、何の主張も行わなかった。これは、会社はパソコン監視を行うことを事前に従業員に伝えて告知義務を果たし、承諾を得ていたからである。

個人情報保護法が成立へ

現在では大部分の企業が、従業員のインターネットなどの私的使用に対する監視には適切な措置が必要であることを認識している。つまり、会社の監視が従業員のプライバシーに関する権利と衝突するのを避けるためには、従業員のインターネットの私的使用に対する監視の実施について、従業員に事前に周知徹底し、承諾を得ることが必要である、と会社側も分かっている。先述の「ビーフン事件」では、当時このような認識が普及していなかったため、従業員への事前周知も承諾の取得も行われていなかった。

企業が職場監視ソフトを使用する権利を有するか、従業員のインターネット使用状況をモニタリングする権利を有するかについて、法律上は直接これを定めた規定はない。

しかし、08年に施行された「インターネットセキュリティー保護技術措置規定」第８条には、インターネット接続サービスを提供する企業・組織は、ユーザー登録情報を記録・保存し、ネットワークの運用状態を記録・追跡し、ネットワークセキュリティー（4）事件などを検出・記録する安全審査機能を備えなければならない、との定めがある。このため、実際の紛争事例において同規定を根拠として、会社が従業員のネット使用状況に対して職場監視ソフト使用を認める仲裁裁判所の判断が下されている。

ただし筆者としては、上記の規定はあくまでインターネット接続サービスを提供する企業・組織に対し、必要なセキュリティー保護措置を講じるよう促すものであり、企業・組織雇用者による従業員の個人情報の取得は、やはりしかるべき法律に基づいて行う必要があると考えている。

この点に関し、労働契約法第８条によって雇用者は雇用契約と直接関連のある従業員の基本情報を得る権利を付与されている、との見方が一般的である。だが同条の趣旨は、雇用者の権利に合理的な制限を課してその濫用を防ぐこと――例えば、雇用者が従業員に対し雇用契約と関連のない個人情報を提供するよう要求したり、従業員のプライバシーを侵害したりすることを防ぐことである。つまり、雇用者による従業員の個人情報取得には、いわゆる必要最小限の原則が適用され、雇用契約と直接関連のない個人情報、例えば家族構成、政治的見解、経済力、性的指向などの情報は収集できないということである。

一部の企業は、従業員のパソコンに「クローラーソフト（5）」（ネット上のテキストや画像・動画などの情報を自動的に収集・保管するソフト）の「ボット」を入れて、業務時間外のインターネット使用状況や業務と無関係な従業員の個人情報を取得している。しかし、このような従業員の私的生活におけるネット使用状況に侵入する行為は、労働契約法第８条の定める合理的な範囲を逸脱したものである。

このような状況の下では、法律レベルで職場の監視行為を規範化し、企業による従業員の個人情報の過剰収集やプライバシー侵害などを規制することが急務である。現時点で40近くの法律や30余りの法規、２００近くの規則が個人情報の保護に関連しているが、最上位法となる個人情報保護法が未成立で、現行の規定が各法令中に分散する形になっていることから、その抑止効果は限定的だった。

幸いなことに、このほど個人情報保護法の草案作成が完了し、すでに全国人民代表大会常務委員会の審議にかけられており、皆が待ち望んだ個人情報保護法の成立もそう遠くないだろう。

（1）プライバシー侵害 侵犯隐私

（2）ビッグデータ時代 大数据时代

（3）人材流出 人才流失

（4）ネットワークセキュリティー 网络安全

（5）クローラーソフト 爬虫软件