1 注目される最近のIT法のトピック
IT法チームの毎月一度の定例研究会では、前回研究会以降の最新のIT法のトピックを確認し、知識をアップデートしています。ここでは11月のIT法のトピックから個人的に注目しているいくつかのトピックをご紹介します。
✓ 過去法令を全文検索できるデータベースが公開されました!
11月2日、名古屋大学の研究チームは、明治 19年から平成 29年(1886~2017)までに公布された法律と勅令を全文検索できるデータベースを作成・公開しました。
URL:http://bc.shojihomu.jp/c/bAfIafkZvrdQbDdb
実際の法律案件の処理においては、過去に生じた案件に適用される法令を調べるときのみならず、現在の法令の法令解釈のために法令上の規定・文言の改正経過を調べる必要が生じることがよくあります。そんなときは、国会図書館の日本法令索引(https://hourei.ndl.go.jp/#/)を利用して調べたりしますが、これに併せて、今般の名古屋大学のデータベースはリサーチにうまく活用できそうです。
✓ サイバーセキュリティ関係では、ランサムウェア不払声明が出ています。
11月27日、LINEヤフー株式会社は、外部からの不正アクセスにより、40万件を超えるユーザー、取引先及び従業員の情報が漏洩したことを公表しました。このようなサイバー攻撃による被害は後を絶たず、中でも、ランサムウェアによる被害が高水準で推移していることが報告されています(警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」)。
ランサムウェアとは、感染すると端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。実際の手口としては、データの暗号化のみならず、データを窃取した上、企業・団体等に対し「対価を支払わなければ当該データを公開する」などと対価を要求する二重恐喝(ダブルエクストーション)が多くを占めています。さらに、ノーウェアランサムと呼ばれる、データを暗号化することなくデータを窃取し対価を要求する手口による被害もみられています。
企業がこのようなランサムウェア被害にあった際に、対価要求に応じるべきかどうかは、取締役善管注意義務にも関わる一つの難しい判断となります。
このような中、日本政府は、10月31日から11月1日にかけて、ランサムウェアの脅威への対処に関する国際連携について議論するために米国で開催された「カウンターランサムウェア・イニシアティブ会合」に参加しました。同会合により出されたランサムウェア不払声明は、身代金を支払うことは事案の終息、ソフトウェアの削除やデータを取り戻すことを保証しない一方で、犯罪者に資金供給し、不正活動へのインセンティブを与えるため、「我々は、ランサムウェアの要求に対し金銭支払を避けることを強く勧める」としています。このような声明は、企業がランサムウェア被害において対価要求に応じることが取締役の善管注意義務に違反するかという問題にも関わり、企業の対応方針にも影響を与えるものといえます。
✓ 改めて自動運転自動車の事故の責任に関する議論がされています。
本年11月10日、福井県永平寺町は、町内で起きたレベル4相当の自動運転自動車が発生させた物損事故(無人の自転車に衝突する事故)の調査報告書を公表しました。
このような中、本年10月から開催されている「デジタル行財政改革会議」においては、自動運転自動車の社会受容を促進する観点から、自動運転自動車の事故時の責任を明確化すべきことが議論されており、本年11月22日の第2回会議では、自動運転の事故責任のルールを作る検討会を設置し、2024年5月を目処に結論をまとめることが確認されたと報じられています。
自動運転自動車の事故が生じた場合の法的責任については、2018年3月の自動運転における損害賠償責任に関する研究会の報告書において、自動運転自動車にも自賠法3条の運行供用者責任の適用が認められることにより、一定の結論をみている状況でした。しかし、自賠法3条の運行供用者責任を適用するのみで損害の公平な分担が実現できるかや、事故時の刑事責任の発生の可能性やその範囲については、問題を残している状況でした。上記会議においてこれらの点が議論されて法的責任が明確化され、さらには、包括的な保険制度等の新たな制度が創出されるとすれば、自動運転自動車の社会受容の促進に資するものと考えられるため、同会議での議論が注目されるところです。
2 テレワーク中における従業員のカメラ監視の留意点
新型コロナウイルス感染症の流行以降、リモートワークの広がりにより、これまで労務提供の場所が会社だけであったものが各従業員の自宅やその他の施設にまで拡張しています。
今回は、テレワークの際に従業員のPCに設置されているWebカメラを用いて従業員を監視する場合の法的な留意点を
①プライバシー保護、②個人情報保護法、③労働法
の観点から解説します。
従来の裁判例の蓄積から、企業が従業員の撮影を行う場合にプライバシーを侵害して不法行為が成立するかは、「業務上の必要性とプライバシー保護の要請を比較衡量」して決定されています。ここで、「業務上の必要性」を検討する上での重要な要素は撮影目的や撮影の必要性等であり、他方、プライバシー保護の要請を検討する上で重要な要素は、撮影の場所、撮影の態様、画像の管理方法等があります。
テレワークの場合には、特に「撮影の場所」が従業員の自宅という私的な空間であることからすると、従業員のプライバシーを保護すべき要請は高いといえます。そのため、従業員の勤怠管理、長時間労働の発見、業務状況の把握、職務怠慢の防止、監視の目があることによる生産性の向上などの目的自体は正当であったとしても、その目的達成のためにカメラでの撮影でなければならないか、PCログの定期監視など、より従業員のプライバシーに配慮した監視方法により達成できないかを導入前に検討する必要があります。
カメラ撮影による監視をする場合であっても、例えば、1日に2回、上司から連絡した時にだけ5分間Webカメラをオンにしてもらうなど、撮影の時間・回をできるだけ少なくしたり、撮影状況としても背景にぼかしをいれるといった工夫をおこなうことにより、従業員の、プライバシー侵害の程度を下げることができますので、Webカメラでの監視を行う場合には、このような事前の検討を行い、できる限り従業員のプライバシーを侵害しないような配慮を行うことが適当です。
個人情報保護法では、個人情報の取得にあたっては、利用目的をできる限り特定して、原則としてあらかじめ公表しておくか、個人情報を取得する際に、速やかに本人に通知又は公表する必要があります。テレワーク中Webカメラを用いて監視を行う場合には、例えば、「テレワーク中の勤怠管理のため」などと具体的に利用目的を特定する必要があり、当該監視を開始する際には、この目的を従業員に周知する必要があります。
また、撮影されたカメラ映像は個人情報として安全に管理しなければなりません。カメラ映像がデータベース化されている場合には「個人データ」として安全管理措置(法23条)を講じる義務があります。テレワーク中の勤務の様子を撮影した映像を単に保管している場合にはデータベース化されているとは言えず、法的には安全管理措置を講じる義務はありませんが、プライバシー保護の観点からも安全管理措置を講じることが望ましいです。
労働法上、従業員の勤務状況を撮影するにあたって、就業規則に撮影していることを定めたり、労働組合や従業員に対して事前に説明したりすることが義務づけられているものでありません。 他方で、監視カメラの設置がハラスメントと評価されるか否かも検討する必要があります。監視カメラを、業務上の必要性が十分に認められない場合に、特定の労働者を狙いうちして、かつ、従業員のプライバシーに特段の配慮をせずに設置する場合には、従業員に対するハラスメントと評価されることもあり得ます。したがって、テレワーク中に監視カメラを設置する場合には、特定の労働者を狙いうちしていると捉え得るような態様は避け、防犯カメラ設置の目的や必要性に照らして、相当な方法となっているかという観点から、ハラスメントと評価されるおそれがないか検討するようにしましょう。