テレワーク解除後に直面する安全性、生産性、プライバシーのバランス：リスクをいかに回避するか

テレワークを解除して従業員をオフィスに呼び戻す際は、安全性、生産性、プライバシーのバランスが重要になる。3つ全てがリスク要因となり、バランスが崩れると困難を引き起こすことになる。

[Bart Willemsen，Computer Weekly]

　技術的にソーシャルディスタンスを強制し、職場での従業員の安全を確保する。その間、データを一切収集しないようにすると雇用主が決めたとしよう。

　まず各従業員に新しい体温計を配り、毎朝検温を依頼する。体温がしきい値を下回りオフィスに出社することに決めたら、オフィスの玄関ではその従業員の体温がしきい値以下であることを確認するだけだ。何かを記録することも、追跡することもない。しきい値を超えている従業員は、体温が下がるまで在宅で勤務することができる。

　従業員が初めてオフィスに戻ってきたとき、各人に個人用ウェアラブル端末を支給する。この端末は、他の端末との距離を測定して近づき過ぎると小さな音声シグナルを発し、ソーシャルディスタンスの確保を促す。

　この端末は一切データを収集しないし、処理することもない。雇用主は安全性とプライバシーをてんびんに掛けることなく、安全性とプライバシーの両方を従業員に提供できる。安全性、生産性、プライバシーという3つの目標は、同時には成り立たないように思える。だが、雇用主にジレンマをもたらすこの3つの目標のバランスを取りながら、トレードオフなしに3つ全てを実現する方法がある。

　プライバシーと安全性を取り入れた場合のトレードオフは、一定レベルの安全性を確保するためにプライバシーをどの程度侵害することになるか、だ。そのためには安全性とプライバシーの間の妥協案として解決策を組み立てる。実際には、双方の価値を試して実現するのが適切だ。

　従業員がオフィスに戻るにつれ、雇用主はさらに多くのデータを収集し、安全性と生産性の両方を確保する。リスクベースのアプローチを採用し、どのようなデータを収集し、それをどのように使うかを検討する。そうすることで、プライバシーのリスクを抑えつつ従業員を保護できる。

　リスクが高いほど、バランスが取れていて、リスクと釣り合う解決策が重要になる。ここからは、リスクベースの従業員データ収集の指針となる6つの原則を説明する。

目的を持った処理

　データを収集することに決めたら、目的を事前に定める。従業員に代わって体温の傾向を追跡して異常を見つけるため、毎日の測定値を保存する必要があるといった考えで構わない。

　こうした履歴データを保持すること自体は正当化されるかもしれない。だが、どの程度の期間保持すればよいだろう。突発的な変化を追跡するためにデータを使うだけなら、先月のデータを保持していても役に立たない。そのようなデータは削除することを推奨する。同様に、体温チェックが必須でも推奨事項でもなくなれば、そのプログラムに関連する全ての個人データを保持する理由はなくなる。

　データが当初の目的を満たしたら、そのデータを収集して保存する理由はなくなる。

　データの価値がなくなり、データの保持を求める規制要件がない場合、そのデータが従業員のプライバシーに及ぼすリスクを最小限に抑えることを優先する必要がある。プライバシーの問題を考えるとき、データの主体にとって「正しいことを行う」という考え方になりがちだ。だが、GDPRなどの規制は多額の罰金を科すことで個人のプライバシーにとって最善のことがビジネスにとっても等しく有益なものだとしている。

　残しておくデータと削除するデータを評価する際は、そのデータが自社にもたらす実現価値（可能性ではなく実際の価値）とそのデータが財務面に及ぼすリスクを検討する。

釣り合い

　目標を満たすために、最も侵襲性が低いと考えられる手段をデフォルトにする。手段がリスクと釣り合わなくなったり、別の手段で目的を果たせるようになったりしたらその手段は取りやめる。

　職場でウイルスを追跡する最も安全な方法は、従業員の血液サンプルを毎朝採取することだ。これは最も費用がかかり最も押し付けがましい方法になるため、関係者全員の強い反発を受ける可能性が高い。これをオプトインプログラムにする必要があることを考えると、参加者が少なければ効果を大幅に下げることになるだろう。言うまでもないが、血液サンプルにはDNAが含まれる。DNAにはその個人についての最もセンシティブなデータが含まれている。雇用主がこれを収集することは過剰な手段になることがある。

　この例はさておき、手段の押し付けがましさが少なく、収集するデータの機密度が低いほど抵抗が少なくなり、プライバシーの問題が起きる恐れも下がる。

従属性

　必要十分なデータ量を自問する。個人データの量を減らすか、個人データを全く扱わないで同じ目的を果たすことができるかどうかを自問する。そして、必要最低限の量だけを収集する。

　感染追跡技術は接触した人、場所、各場所で過ごした時間、その技術をオン／オフした時刻など、多くのデータポイントを収集できる。この技術をオフィス外で使うと、レジャー施設、自宅や家族の住所、通勤情報など、データポイントの数は10倍になる。

　ご想像の通り、このような技術は非常に急速に進化し、意図的であろうと偶発的であろうと、監視目的にも使える。その全てが自社にメリットをもたらす可能性がある。だが、プライバシーの犠牲を伴う。

　データを収集し、そのための手段を実装する際は、必要なデータのみを収集する。あらゆるものを追跡する必要はない。多くを追跡しても管理の複雑さと関係するリスクが増えるだけだ。焦点を絞ることが重要だ。

透明性と平等性

　やみくもに動くべきではない。どのようなデータを収集し、どのような目的があり、誰がアクセスできるかをスタッフに明確に伝える。

　新型コロナウイルス感染症を考慮してデータ保護ポリシーを改訂したのであれば、それを公開する。これにより、新しい個人データの使い方についての説明責任を果たせるだけでなく、従業員の意識が高まり、プライバシーについての議論が始まる。

　差別を防ぎ、自主性を守るため、全ての従業員に平等に措置を適用する。人事部門の協力を得て、さまざまな手続きに対する潜在的、文化的感受性を理解し、安全性とプライバシーのための技術に必要とする全員がアクセスできるようにする。

リスクベースの意思決定

　認識し、伝え、緩和しようとするリスクに照らして意思決定を行う。その意思決定は変わることがある。安全性を維持し向上させるために、初期に行った手順を振り返り、状況の変化に応じて調整することをためらってはいけない。

　職場への復帰に当たっては、あらゆる決定が一定のリスクにつながるだろう。上記の原則に従うことで、雇用主は現状に基づいて意思決定することによってプライバシーへのリスクを評価、軽減し、状態の変化に応じて決定の妥当性を測定し続けるフレームワークを装備することになる。

TechTargetジャパントップセキュリティ