GDPR関連資格をとろう！ Q&Aで学ぶGDPRとCookie規制（6） - 新型コロナウィルス対応（監視）とGDPR
2021/10/13   海外法務, コンプライアンス, 情報セキュリティ, 外国法

新型コロナウィルスの感染は今なお拡大しています。そこで、今回も新型コロナウィルス対応の内、特に個人の監視の問題とGDPR について解説します。^[1]

 

Q1：GDPRに関連した「監視」の問題とはどういうものですか？

A1: 本Q&A第2回のA1で解説した通り、EUのGDPRが厳しい理由の一つとして、欧州には、ナチスによる個人データの悪用、旧東欧における国民監視等の歴史があることが考えられます。このことを反映し、EUでは昔からプライバシーの保護との関係で「監視」(surveillance, monitoring)に対し厳しい目が注がれてきました。政府による国民の監視の他、近年では、(i) 企業による従業員の監視、(ii) Cookieで収集した行動履歴や位置データを利用した監視（追跡：tracking）も問題とされるようになりました。

 

Q2: 新型コロナウィルス対応に関連し「監視」が問題となるのは具体的にどのような場面ですか？

A2: 例えば、(i) 企業による在宅勤務中の従業員の監視、(ii) スマホのアプリによる感染状況追跡等が問題となります。

 

Q3: 企業による在宅勤務中の従業員の監視とは具体的にはどのようなものですか？　GDPRとはどう関係しますか？

A3: この監視とは、企業が、従業員が自宅で勤務しているか否かを確認するためにパソコンの使用状況等を監視することを意味します。この場合、企業は、その使用状況（個人データ）・データを取得することになるので、GDPRとePrivacy指令（通信の秘密）との関係が問題となります。

【解　説】

従業員が自宅で勤務しているか否かを確認するため、企業は、技術的には以下の情報を取得することができます。

(i) 在宅勤務中の従業員のパソコンから企業の社内ネットワークへのVPN(Virtual Private Network：仮想専用線)による接続状況

(ii) パソコンのキーストローク

(iii) Webサイト閲覧

(iv) Webカメラの遠隔操作による映像取得

しかし、これらは全て、識別・特定された(identified)個人（従業員）に関連する(relating to)情報であってGDPR上の「個人データ」に当たります(4(1))。従って、企業（「管理者」）は、これら個人データの取得を含め全ての処理について、以下を含むGDPR上の要件を充足しなければ処理を行うことができません（本Q&A第5回Q2～参照）。

(a) 「処理の適法性の根拠」があること(6, 9)。

(b) データ最小化[利用目的との関係における比例性（必要最小限性）]等、「個人データ処理に関する基本原則」の遵守（5）。

(c) 従業員の個人データ取得前に十分な情報を提供すること（13)（透明性）

(d) 適切なセキュリティー上の措置を講じること（32)

また、ePrivacy指令第5条（通信の秘密）第3項により、企業による、従業員の端末機器（パソコン、スマホ等）への情報の保存または当該情報へのアクセス（例：Cookie、位置データの取得・利用）は、当該従業員が明確かつ十分な情報（特に当該情報の処理目的）が提供された上で自由意思に基づき同意した場合のみ行うことができます。

上に挙げた企業による遠隔監視・遠隔操作はePrivacy指令第5条第3項の情報の保存・アクセスを通常伴いますから、同項の規定にも従わなくてはなりません。

 

Q4:　上記A3で挙げられた遠隔監視や遠隔操作はGDPRおよびePrivacy指令上可能ですか？

A4:  これら遠隔監視や遠隔操作を「無条件」で行うことは非常に困難で、可能な行為・場合は限られるでしょう。

【解　説】

これら遠隔監視や遠隔操作に関しA3で挙げた要件・義務を全て充足・遵守することは困難です。

例えば、A3の(b)の「比例性」との関係で、監督機関の組織が過去に公表した意見書^[2]では、監視目的で、在宅勤務者のパソコンのキーストロークおよびマウスの動きを記録することは、比例性を欠く過剰(disproportionate)な手段であり、従業員の私的生活を侵害し適法でないとされています。そして、このことから考えると、A3の(ii)～(iv)の情報を適法に取得・利用することは通常困難と思われます。

また、A3に述べた通り、これら遠隔監視・遠隔操作はePrivacy指令第5条第3項の情報の保存・アクセスを通常伴うので従業員が自由意思に基づき同意した場合にのみ行うことができます。しかし、企業（雇用主）と従業員等の間では立場の不均衡(imbalance of power)があるため、一般的には、真に自由意志による同意を期待できないと解されています（本Q&A第5回　A3解説参照）。従って、これらの遠隔監視・遠隔操作を少なくとも無条件で行うことはできません。

 

Q5: しかし、企業としては、事業と賃金支払を継続するため、従業員による在宅での勤務を確保しなければなりません。また、例えば、在宅勤務助成金等を受けるために在宅勤務の状況を政府に報告しなければなりません。このような正当な目的があるにもかかわらず、在宅勤務の状況を何らチェックできないのですか？

A5: 在宅勤務の状況のチェックの方法がその正当目的に比例したものであれば、適法に行うことができます。

【解　説】

このような個人データの処理は以下のような場合に該当し「処理の適法性の根拠」があるとされる可能性があります。

(i) GDPR第6条1項(f)の管理者（企業）の「正当利益（legitimate interests）のため処理が必要な場合」

(ii)同項(c)の「処理が管理者の法的義務の履行のため必要な場合」

(iii)「特別カテゴリーの個人データ」（例：従業員の健康状況）については第9条第2項のいずれかの場合（本Q&A第5回　A4解説参照）。

但し、その処理の方法・範囲については、6条1項(f)の条件および「比例性」(proportionality)との関係で、企業（管理者）は、個人データを処理する正当目的とその処理方法との間で適切なバランスをとるため、現実的に取り得る方法の内、プライバシーの侵害度が最も低い（the least intrusive measure：非侵襲的）方法を採用しなければなりません。

例えば、従業員がパソコンを利用していることを以下のような方法で確認することは非侵襲的と評価されると思われます[3]。また、このような非侵襲的方法であれば、それに関し、従業員に事前に十分な説明を行った上で得た同意は、ePrivacy指令上も自由意思に基づく同意として有効と思われます。

(a) VPNのログイン・ログアウトを監視すること。なお、ログイン状態のまま放置されないようランダムな時間間隔で自動的にログアウトされるよう企業側で設定すべき。

(b) ランダムな時間間隔で、従業員のパソコン画面にポップアップを表示し簡単な質問に答えさせること。

(c) パソコンが頻繁に長時間放置された場合に企業側にアラートを送信させること。

 

Q6: 監視といえば、中国では、個人情報保護法があるのに、ドローンによる監視、スマホの感染アプリ等が利用され感染封じ込めに大いに役立ったと聞きました。EUではこのような手法は使えないのですか？

A6: EUでは、中国のようなドローンによる監視、スマホによる感染チェック等を利用することは困難と思われます。

【解　説】

脚注の資料[4]によれば、新型コロナウィルス感染抑止のため、(i) 中国当局がドローンで市民を監視し、屋外での行動を排除したこと、(ii) アリババ関係企業のスマホアプリで感染チェックがなされたこと等が報道されています。

（中国の個人情報保護法）　中国にも、サイバーセキュリティー法[5]という法律の一部に、実質上、個人データ保護に関する一般法といえる規定があります。また、同法の内容をより具体化した「個人情報保護規範」[6]が当局の執行基準として存在します。これらの内容は企業にとりGDPR並みに厳しいものです。しかし、中国サイバーセキュリティー法の第一の目的は、ネットワークに関する国家主権と国家安全保障の維持（1）であり、治安・社会秩序維持の観点から民間事業者に対し個人情報の保護を義務付ける(40～)ものです。従って、政府は規制されず、むしろ、この観点から民間企業・公民（市民）を監視する(5, 12, 24, 28他)ものです。

当局による市民監視は平時から広範に行われているといわれています。

（Alipay健康コードアプリ） 上記(ii)のスマホアプリは、Alipayを運営する Ant Financial社のQRベースの健康コードアプリで、以下のようなものと思われます。

・このアプリのユーザは、氏名、身分証番号、現在地、最近の移動履歴等と、ユーザが過去14日の間に感染者と接触したか否かを入力する。

・入力データに基づき、自動的に緑色、黄色または赤色のコードが生成され、毎日午前0時に更新される。緑色は移動してもよいこと、黄色は自己隔離すべきこと、赤色は監視付き隔離施設に入るべきことを示す。[おそらく、あるユーザが感染した場合、そのデータが入力されそのユーザと過去14日間中に接触した他のユーザのコードが自動的に黄色または赤色に変化するものと思われる。]　[脚注のNew York Timesの記事では赤色となったデータが警察にも送信された可能性が指摘されている。]

・このアプリは、中国全土で多くのユーザに利用され、アプリの利用は任意であるものの、多くのカフェ、レストラン、ショッピングモール等で入場前に緑色のコードを提示しなければ入場拒否される。従って、事実上半ば強制的なものとなった。

（EUにおける中国式監視の受入れ可能性）　上記のようなドローン監視、アプリ等の利用は、EUでは、国家による市民監視に対する警戒感が強いことや、GDPRの「比例性」の原則等から、この非常時であっても、なおハードルが高いと思われます。おそらく、プライバシー擁護派に言わせれば、非常時だからと言って一旦ことをこのような許せば、感染鎮静後も監視に寛容な社会が誕生すると主張すると思われます。

（AppleとGoogleの共同プロジェクト）　一方、別の脚注資料[7]の通り、欧米でも、AppleとGoogleによる、より侵襲性の低いアプリ（「専用アプリ」）共同プロジェクト（「共同プロジェクト」）が最近開始されたことが報道されています。同資料から共同プロジェクトは以下のようなものと思われます。

・専用アプリは、スマホのBluetooth無線機能を利用して一定距離内（例：2 m）に一定時間（例：10分間）以上あったスマホ同士でその接近データを匿名のIDで自動的に記録しておき、後に、自分の感染を知ったユーザ（感染者）が感染したことを自ら任意で入力すると、（おそらく公衆衛生当局のサーバ経由で）過去一定期間（例：2週間）中に上記距離内にそのスマホがあった他のユーザに自動的に通知される。これにより、他のユーザは、感染者が誰かは分からないものの、自分に感染可能性があることを知り、必要な行動をとることができる。

・両社は、iOSとAndroid間で相互運用可能な専用アプリの開発用ツール（プラットフォーム）を共同開発する。両者はこのツールを当局に提供するが、実際のアプリは当局の責任の下で開発・運用される。

・両社は本プロジェクトについて、技術仕様案を含め、広く情報公開し透明性を高めて進める。

・しかし、専用アプリの利用は、ユーザの任意とするから、現実に広範に利用されないと実効性が上がらない。

この専用アプリの仕組みが中国のAlipay健康コードアプリと技術的・基本的に違うのかは分かりません。しかし、詳細はまだ不明ではあるものの、おそらく、専用アプリのユーザ入力データの範囲（おそらく感染者による感染事実のみ）、開発過程の情報公開、（おそらく）警察へのデータ提供なし、ユーザ利用の任意性の程度等において、プライバシーと透明性への配慮の違いが表れるのではないかと思われます。

 

この新型コロナウィルス沈静化後の世界においては、従来以上に中国が自信を深め、他国の弱体化により相対的に中国が益々強大化している可能性があります。個人データ保護の世界でも、GDPRタイプの保護が理想的だが現実の重大脅威に十分対応できないものとみなされ中国タイプがより優位に立つのか気に掛かるところです。

 

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第6回はここまでです。

 

著者GDPR・Cookie規制関連本

「GDPR関連資格CIPP/E準拠 詳説GDPR (上) - GDPRとCookie規制」

「GDPR関連資格CIPP/E準拠 詳説GDPR (下) - GDPRとCookie規制」

^[8]

　　　　　　　　　　　　　　　　　.　　　　　　　　　　　　　　　　　　

【注】

^[1] 【本稿の参考資料】　(1) 浅井敏雄 「GDPR関連資格CIPP/E準拠 詳説GDPR (下) - GDPRとCookie規制」　III-A, B　(2) GANADO Advocates - Philip Mifsud and Philip Formosa "GDPR in the time of Covid-19" March 27 2020, Lexology（以下「GANADO」という）

^[2] 【従業員データ意見書】　2017年6月8日WP29 "Opinion 2/2017 on data processing at work"（職場における個人データ処理に関する意見書）

[3] 【非侵襲的な在宅勤務従業員監視方法】 （参照資料）「GANADO」

[4] 【中国における新型コロナウィルス対策：ドローンによる監視・警告、スマホによる感染チェック】　（参考資料） ロイター 「新型肺炎対策にドローン、中国が誇示する監視国家の姿」 2020年2月4日、BLOOMBERG　“People in China need a green light from Alipay app to move around” MAR 24, 2020、Paul Mozur, Raymond Zhong and Aaron Krolik "In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags" March 1, 2020, The New York Times

[5] 【中国サイバーセキュリティー法】　大地法律事務所仮訳 「ネットワーク安全法」(JETROより公表）　（参考）浅井敏雄「中国サイバーセキュリティー法（インターネット安全法）: データ・ローカライゼーションと個人データ保護」　2017年10月

[6] 【中国個人情報保護規範】　2018年5月施行、2020年3月6日改正・同年10月1日施行予定

[7] 【欧米における感染チェックアプリ開発の動向】　(1) engadget日本版 「アップルとGoogle、濃厚接触探知で協力。新型コロナウイルス対策をOS組み込み：プライバシー・透明性・合意が大前提」　2020年04月11日, Verizon Media Japan KK. (2)　Tony Romm, Drew Harwell, Elizabeth Dwoskin and Craig Timberg "Apple, Google debut major effort to help people track if they’ve come in contact with coronavirus" April 11, 2020, The Washington Post　(3)　Matthew Panzarino（原文） 「AppleとGoogleが新型コロナ感染チェック用モバイルアプリを共同開発、プライバシー保護も確約」　2020年4月11日、TechCrunch Japan　(4) 佐藤由紀子，ITmedia 「GoogleとApple共闘の新型コロナ対策、その仕組みとプライバシー」　2020年04月11日, ITmedia NEWS

[8]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊） このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

 

【筆者プロフィール】 浅井 敏雄 （あさい としお） 企業法務関連の研究を行うUniLaw企業法務研究所代表 1978年東北大学法学部卒業。1978年から2017年8月まで複数の日本企業および外資系企業で法務・知的財産部門の責任者またはスタッフとして企業法務に従事。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/