従業員監視ツール「ボスウェア」の光と影 信頼を損なわない使い方とは：3つの判断軸は

テレワークの普及を背景に、従業員の業務状況を可視化する「ボスウェア」の導入が拡大している。効率的に従業員の挙動を把握できるメリットがある一方、検討すべき課題もある。導入に当たっての判断軸を整理する。

[Julie Hanson，TechTarget]

　新型コロナウイルス感染症（COVID-19）を契機に広がったテレワークは、企業の働き方を大きく変えた。その延長線上で企業の導入が広がっているのが「従業員監視ソフトウェア」とも呼ばれる「ボスウェア」だ。キーストロークやマウス操作、位置情報、通信内容などを収集し、従業員の生産性や業務状況を分析するものだ。ボスウェアを導入する場合のメリットやデメリット、実際に導入するに当たって検討すべき事項を整理する。

ボスウェアのメリットとデメリット

併せて読みたいお薦め記事

アプリケーション導入の失敗に関する記事

• AIエージェント導入に失敗する企業の”やっぱり”な共通点
• ERP成功率はわずか1割　導入失敗を招く「カスタマイズ20％の壁」とは

　従業員監視を巡る環境は急速に変化している。米国では、1986年に施行された電子通信プライバシー法（Electronic Communications Privacy Act of 1986）が基本的な枠組みとなるが、州ごとにルールは異なる。通知義務やデータ利用制限など、企業は複数のルールに対応していく。

　この構造は、日本企業にも無関係ではない。グローバル企業やクラウドサービス利用企業では、EU（欧州連合）のGDPR（一般データ保護規則）などの影響も受ける。結果として、監視ツール導入は「IT導入」ではなく「コンプライアンス設計」に近い意思決定になる。

　特に注意すべきは、ベンダー依存のリスクだ。監視ツールが収集したデータの扱い、人工知能（AI）モデルへの再利用、責任分界などを契約で明確にしなければ、企業側が法的責任を負う可能性がある。

人材コストは過小評価されている

　企業がボスウェアを導入するのは、従業員の生産性や効率、パフォーマンス、安全性を追跡するためだ。一方、従業員側はボスウェアに違った見方をしている。2023年5月、ホワイトハウス科学技術政策局（OSTP：Office of Science and Technology Policy）はボスウェアに関するパブリックコメントを募集した。その結果集まったのは、プライバシーの侵害、性別や属性に基づくバイアスや差別が発生する恐れがあるという指摘だった。回答者からはさらに、思考時間や打ち合わせ、クリエイティブな業務といったオフラインで発生する可能性のある作業はボスウェアによる追跡が難しく、不当な評価につながる可能性があるとの回答もあった。

　OSTPへの回答をまとめた報告では、監視されている結果、「忙しそうに見せるために本質的でない業務を実施する」「休憩を減らす」といった傾向があることも示された。一部の回答者は、監視によって従業員が経営陣から信頼されていないと感じたり、労働組合の結成が抑制される可能性があると回答していた。

　「職場における監視は通常、従業員の統制ではなくリスク管理の手段として捉えられている」。法律事務所Heimlich Lawのプレジデント、アラン・ハイムリック氏はこう述べる。それでも、許容される監視レベルと従業員のプライバシー侵害の境界は曖昧だ。監視の過剰利用は法的リスクを生む可能性があり、さらに従業員の信頼を損なうことで、優秀な人材の離職につながる恐れがあるとハイムリック氏は指摘する。

　「これらの問題をうまく乗り越える企業は、法令順守と透明性を担保する強固なポリシーを構築している」と同氏は述べる。

監視と従業員の尊重、どうすれば？

　ボスウェアを導入するに当たっては、従業員と企業データを保護しつつ、個人のプライバシーを侵害しないバランスを見つけることが重要だ。ソフトウェアベンダーPimlocのCEO、サイモン・ランドール氏は、「セキュリティ100％かプライバシー100％か」という二択ではないと強調する。「『ただ導入するかどうか』ではなく、『組織にとって安全かつ責任ある形で、どのように導入するか』の問題だ」（同氏）

　例えば、ボスウェアを使って遠隔から監視した際、意図せず家族に関する情報などを取得してしまう可能性がある。多くの企業は、この二次的なプライバシーリスクにまだ対応できていないとランドール氏は指摘する。

　さらに、オンライン会議ツールも注意が必要だ。録音、文字起こし、要約データを生成AIツールに取り込んでしまえば、機密情報が学習データとして取り込まれる可能性がある。「こうした新しい種類のデータに対するガバナンス体制の構築状況はどうなっているのか」とランドール氏は問いかける。

　そこで企業は、どのデータを収集しているのか、そのデータに誰がアクセスできるのか、どのような条件で利用されるのかを整理することが大切だ。データは匿名化することも選択肢となる。元データにアクセスできるのは特定のインシデントを調査するセキュリティの担当部門のみ、それ以外の部門は個人を特定できない映像を閲覧のみできるといった具合だ。

　監視業務を外部に委託する場合、データの保存場所や、ベンダーがそのデータを自社のAIモデルの学習に利用する可能性についても明確にしておく必要がある。

　「ボスウェアを導入するのであれば、自分たちがボスウェアを使って何をするのか、導入する理由を明確にすること。問題が起きた場合に適切に対応できる状態を整えておくことが必要だ」（ランドール氏）

ボスウェアを導入するなら　情シスが持つべき「3つの判断軸」

　ボスウェアの導入において、情シスが押さえるべき判断軸は以下だ。

• どこまで監視するか
  • 「目的達成に必要な最小限」を定め、その範囲に限定する。
• 何をしているか説明できるか
  • どのような情報を取得し、誰が使い、何に使うかを明示する。
• 情報を統制できるか
  • アクセス制御、保存期間、廃棄ルールを設計する。

　特に重要なのは、「なぜ監視するのか」を説明できるかどうかだ。これが曖昧な場合、ツールは単なる統制装置と見なされ、従業員の信頼を損なう恐れがある。