ウェアラブル技術によって従業員のパフォーマンスを監視したりミスや事故を防いだりすることができるようになった。だが、従業員のプライバシーを侵害する恐れもある。
雇用主がPCの電源を入れる。従業員がオフィスビルに入館してから退出するまでの正確な時刻を確認する。勤務中の従業員の心拍数と歩数を表示する。従業員が社員食堂で購入するランチを細かく把握する。従業員が職務中に犯した失敗や失敗寸前に陥った件数を追跡する。
そんな職場を想像してほしい。これはゲーム「The Sims」の拡張パックやテレビ番組「Black Mirror」のエピソードのように思えるかもしれない。だが、こうした技術は実在する。
職場でウェアラブル技術が利用されるのは今に始まったことではない。昔からのオフィスの必需品に入館許可証がある。だが、ウェアラブル技術は高度化と複雑化が急速に進んでいる。
このような時代の流れに乗っている雇用主の例にAmazon.comがある。同社はリストバンドについて米国で2つの特許を取得した。このリストバンドは、倉庫での労働者の仕事ぶりを追跡する。労働者が間違った在庫箱に近づいたりその中に商品を収納したりすると、リストバンドは小さな「ブザー音」を鳴らす。
さらに物議を醸したのは、米国を拠点とするテクノロジー企業Three Square Marketの計画だ。同社は、同意を得た50人のスタッフに入館許可と購買の機能を備えたマイクロチップを埋め込むことを計画した。人間にマイクロチップを埋め込むことを目指すスウェーデンの企業Biohax Internationalも、マイクロチップ装着について英国を拠点とする多数の雇用主と会談したことを発表して世間の注目を浴び、労働組合との紛争を巻き起こした。
ただし、ウェアラブル技術は行き過ぎたものばかりではない。多くの従業員はフィットネスバンドやスマートウォッチからメリットを得ている。ウェアラブル技術が従業員の安全確保に役立つこともある。オックスフォードシャー州地方議会は、廃棄物リサイクルチームにボディーカメラを装着して一般市民からの暴行や暴言を防ぐことを発表した。
どのような技術であれ、職場での装備品導入には常に賛否両論がある。コスト、プライバシーに関する当然の懸念、差別のリスク、社員の士気などについての潜在的な問題に対してバランスの取れた福利、安全性、生産性が重要になる。
ただし、取得する可能性のある個人データの幅広さ、データの過剰収集や非合法な目的への使用などのリスクを考えると、ウェアラブル技術を職場で利用する際に立ちはだかる最大の難敵はデータ保護法になる可能性が高い。
では、ウェアラブル技術を職場に導入するに当たって、雇用主はどのようなことを考える必要があるだろうか。
注目すべきは、技術によるものかどうかにかかわらず、第29条作業部会(Article 29 Working Party:データ保護とプライバシーに関する欧州独立諮問機関)では、従業員の監視や監督がリスクの高い行為と見なされる点だ。
雇用主はGDPR(一般データ保護規則)に従ってデータ保護影響評価(DPIA)を実施し、計画の必要性を評価する必要がある。企業が適切なリスク評価を行い、従業員のプライバシーを守ることと企業の利益を確保することの間で適切なバランスを実現していることを実証するのにDPIAが必要になる。
DPIAを完了するに当たって重要なステップは、スタッフの監視やスタッフからのデータ収集する別の手段があるかどうか、つまり手間が掛からないオプションがあるかどうかを検討する必要性だ。雇用主にとって幸いなことに、英国のデータ保護機関である情報コミッショナーオフィス(ICO)がDPIAの例と有用な「Employment Practices Code」(雇用慣行規範)を発行している。
データ保護の基本となるステップは、技術を使って取得した個人データを処理するための法的基盤を確立することだ。端的に言えば、明確な法的根拠がなければ雇用主が従業員の個人データを処理することはできない。
現在大半の企業が認識しているように、法的根拠にはさまざまなものがある。契約の履行、法的義務の順守、同意、正当なビジネス利益などがその例だ。生体認証データや健康情報など、特殊なカテゴリーの個人データについてはそのしきい値がはるかに高くなる。
職場での技術利用について最も信頼性の高い基盤は、正当なビジネス利益になるだろう。だが、マイクロチップの埋め込みなどの侵襲的技術は、ビジネス上の利益と従業員個人の権利と自由とのバランスを取る際に、この基盤に基づく処理を正当化するのは難しくなるかもしれない。
雇用主はこうした処理を合法的なものにするために、埋め込みに対する同意を求めなければならないだろう。ただし、この同意には自由度がある。十分な情報に基づいた同意であることを企業は保証する必要がある。そのため、実現に向けてのハードルは高い。
他のデータ処理と同様、雇用主はプライバシーに関する従業員への通知に、ウェアラブル機器を通じて取得するデータ収集を盛り込む必要がある。つまり、収集する個人データの内容と、収集する理由をスタッフメンバーに知らせる必要がある。
とりわけ、取得する個人データの種類、関連データを処理する法的根拠、共有する相手、保護の方法、保管機関を正確に通知する必要がある。
GDPRは、データ管理者(雇用主など)に、ITサービスベンダーやクラウドプロバイダーなど、企業が利用する第三者の処理業者との間で契約を結ぶことを義務付けている。雇用主は、データセキュリティやデータ漏えいの通知要件など、特定の情報を含む契約を整える必要がある。
データ保護法のこうした要件は面倒に感じるかもしれない。だが、職場で利用する多くの技術の侵襲性とGDPRに基づく多額の罰金を被るリスクは、雇用主がデータ保護コンプライアンスを最初から考慮しなければならないことを示している。
GDPRの基本原理は、設計時点からデフォルトでデータ保護を考えることだ。基本的には、企業はコストを考えるのと同じように、設計段階以降の全段階のデータ処理アクティビティーやビジネスプラクティスにデータ保護を組み込む必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
