2019年04月22日 08時00分 公開
特集/連載

ウェアラブル技術の業務利用が引き起こすデータ保護法との摩擦単なる従業員監視ツールか

ウェアラブル技術によって従業員のパフォーマンスを監視したりミスや事故を防いだりすることができるようになった。だが、従業員のプライバシーを侵害する恐れもある。

[Charlotte Allery,Computer Weekly]

 雇用主がPCの電源を入れる。従業員がオフィスビルに入館してから退出するまでの正確な時刻を確認する。勤務中の従業員の心拍数と歩数を表示する。従業員が社員食堂で購入するランチを細かく把握する。従業員が職務中に犯した失敗や失敗寸前に陥った件数を追跡する。

 そんな職場を想像してほしい。これはゲーム「The Sims」の拡張パックやテレビ番組「Black Mirror」のエピソードのように思えるかもしれない。だが、こうした技術は実在する。

 職場でウェアラブル技術が利用されるのは今に始まったことではない。昔からのオフィスの必需品に入館許可証がある。だが、ウェアラブル技術は高度化と複雑化が急速に進んでいる。

 このような時代の流れに乗っている雇用主の例にAmazon.comがある。同社はリストバンドについて米国で2つの特許を取得した。このリストバンドは、倉庫での労働者の仕事ぶりを追跡する。労働者が間違った在庫箱に近づいたりその中に商品を収納したりすると、リストバンドは小さな「ブザー音」を鳴らす。

マイクロチップの埋め込み

 さらに物議を醸したのは、米国を拠点とするテクノロジー企業Three Square Marketの計画だ。同社は、同意を得た50人のスタッフに入館許可と購買の機能を備えたマイクロチップを埋め込むことを計画した。人間にマイクロチップを埋め込むことを目指すスウェーデンの企業Biohax Internationalも、マイクロチップ装着について英国を拠点とする多数の雇用主と会談したことを発表して世間の注目を浴び、労働組合との紛争を巻き起こした。

 ただし、ウェアラブル技術は行き過ぎたものばかりではない。多くの従業員はフィットネスバンドやスマートウォッチからメリットを得ている。ウェアラブル技術が従業員の安全確保に役立つこともある。オックスフォードシャー州地方議会は、廃棄物リサイクルチームにボディーカメラを装着して一般市民からの暴行や暴言を防ぐことを発表した。

 どのような技術であれ、職場での装備品導入には常に賛否両論がある。コスト、プライバシーに関する当然の懸念、差別のリスク、社員の士気などについての潜在的な問題に対してバランスの取れた福利、安全性、生産性が重要になる。

 ただし、取得する可能性のある個人データの幅広さ、データの過剰収集や非合法な目的への使用などのリスクを考えると、ウェアラブル技術を職場で利用する際に立ちはだかる最大の難敵はデータ保護法になる可能性が高い。

 では、ウェアラブル技術を職場に導入するに当たって、雇用主はどのようなことを考える必要があるだろうか。

データ保護影響評価(DPIA)

 注目すべきは、技術によるものかどうかにかかわらず、第29条作業部会(Article 29 Working Party:データ保護とプライバシーに関する欧州独立諮問機関)では、従業員の監視や監督がリスクの高い行為と見なされる点だ。

 雇用主はGDPR(一般データ保護規則)に従ってデータ保護影響評価(DPIA)を実施し、計画の必要性を評価する必要がある。企業が適切なリスク評価を行い、従業員のプライバシーを守ることと企業の利益を確保することの間で適切なバランスを実現していることを実証するのにDPIAが必要になる。

 DPIAを完了するに当たって重要なステップは、スタッフの監視やスタッフからのデータ収集する別の手段があるかどうか、つまり手間が掛からないオプションがあるかどうかを検討する必要性だ。雇用主にとって幸いなことに、英国のデータ保護機関である情報コミッショナーオフィス(ICO)がDPIAの例と有用な「Employment Practices Code」(雇用慣行規範)を発行している。

法的な根拠と正当化

 データ保護の基本となるステップは、技術を使って取得した個人データを処理するための法的基盤を確立することだ。端的に言えば、明確な法的根拠がなければ雇用主が従業員の個人データを処理することはできない。

 現在大半の企業が認識しているように、法的根拠にはさまざまなものがある。契約の履行、法的義務の順守、同意、正当なビジネス利益などがその例だ。生体認証データや健康情報など、特殊なカテゴリーの個人データについてはそのしきい値がはるかに高くなる。

 職場での技術利用について最も信頼性の高い基盤は、正当なビジネス利益になるだろう。だが、マイクロチップの埋め込みなどの侵襲的技術は、ビジネス上の利益と従業員個人の権利と自由とのバランスを取る際に、この基盤に基づく処理を正当化するのは難しくなるかもしれない。

 雇用主はこうした処理を合法的なものにするために、埋め込みに対する同意を求めなければならないだろう。ただし、この同意には自由度がある。十分な情報に基づいた同意であることを企業は保証する必要がある。そのため、実現に向けてのハードルは高い。

プライバシーに関する通知

 他のデータ処理と同様、雇用主はプライバシーに関する従業員への通知に、ウェアラブル機器を通じて取得するデータ収集を盛り込む必要がある。つまり、収集する個人データの内容と、収集する理由をスタッフメンバーに知らせる必要がある。

 とりわけ、取得する個人データの種類、関連データを処理する法的根拠、共有する相手、保護の方法、保管機関を正確に通知する必要がある。

第三者の処理業者の使用

 GDPRは、データ管理者(雇用主など)に、ITサービスベンダーやクラウドプロバイダーなど、企業が利用する第三者の処理業者との間で契約を結ぶことを義務付けている。雇用主は、データセキュリティやデータ漏えいの通知要件など、特定の情報を含む契約を整える必要がある。

 データ保護法のこうした要件は面倒に感じるかもしれない。だが、職場で利用する多くの技術の侵襲性とGDPRに基づく多額の罰金を被るリスクは、雇用主がデータ保護コンプライアンスを最初から考慮しなければならないことを示している。

 GDPRの基本原理は、設計時点からデフォルトでデータ保護を考えることだ。基本的には、企業はコストを考えるのと同じように、設計段階以降の全段階のデータ処理アクティビティーやビジネスプラクティスにデータ保護を組み込む必要がある。

ITmedia マーケティング新着記事

news069.jpg

「メタバース」でどうやってもうけるの? Meta(旧Facebook)が考える収益化への道
Metaの中核をなすメタバースプラットフォームのマネタイズ計画が明確になりつつある。高...

news032.jpg

Amazonの「ブランド広告力」が調査で判明、GoogleとFacebookを圧倒する理由は?
大手ECサイトの広告媒体としての価値がますます高まっている。リテールメディアへの広告...