欧州におけるコーポレートガバナンスと不正調査(2)- 個人データ保護編

危機管理・内部統制
中山 貴博弁護士 弁護士法人大江橋法律事務所 ミヒャエル・ヨハネス・ピルス(ドイツ弁護士) Taylor Wessing

 欧州における不正調査では、個人データの保護についてどのような点に留意すべきでしょうか。

 2018年5月から適用されているGeneral Data Protection Regulation(GDPR)(※1) を遵守する必要があります。これに加えて、従業員の個人データを取り扱う際には、欧州各国におけるルールを遵守することが重要となります。

※1: Regulation (EU) 2016/679, OJ L 119, 4.5.2016, p.1−88.

解説

目次

  1. はじめに
  2. 欧州におけるデータ保護法令の枠組み
  3. 個人データ保護に関する法令
    1. 欧州における個人データ保護(GDPR)
    2. ドイツにおける個人データ保護(BDSG)
  4. 欧州における不正調査の具体的場面
    1. メールレビュー
    2. 監視カメラによる録画
    3. 関係者インタビュー
  5. さいごに

はじめに

 事業者による法令遵守が必要不可欠であることは当然ですが、法令遵守の努力を反故にする不祥事は発生してしまいます。コーポレートガバナンスの一環として、このような不祥事が発生しない体制を構築することはもとより、発生した場合においても適切に対応できる体制を構築すべきであることは言うまでもありません。このような体制を通じて、事業者における不法行為責任(民法709条)や債務不履行責任(民法415条)、役員責任(会社法423条1項および429条1項)といった責任の発生防止または軽減を図る必要があります。

 本シリーズでは、全3回にわたり欧州における不正調査を中心に、コーポレートガバナンス体制の構築に関する重要な点について検討します。

 本稿では、第2回として、欧州における不正調査に関連するGDPR対応について解説します。

 なお、第1回では、欧州における不正調査の概要について(「欧州におけるコーポレートガバナンスと不正調査(1)- 概要編」)、第3回では、EU公益通報者保護指令への対応について(「欧州におけるコーポレートガバナンスと不正調査(3)- 公益通報者保護編」)検討しますので、それぞれご参照ください。

欧州におけるデータ保護法令の枠組み

 欧州においては個人データの保護が非常に重要であり、特に、2018年5月から適用されているGDPRへの対応に多くの方が頭を悩ませてきたところです。このような個人データの保護は、不正調査においても同様に重要となり、具体的には、GDPRが定める基本原則(5条)や取扱いの適法性(6条)を遵守する必要があります。

 加えて、GDPR88条は、従業員の個人データの取扱いに関して、加盟国がより詳細なルールを定めることを許容しています。したがって、欧州での不正調査において、従業員の個人データを取り扱う場合は、GDPRのみならず、各加盟国の国内法を踏まえた対応が必要となります。

 本稿では、GDPRおよびドイツにおける個人情報保護法であるData Protection Act(BDSG)を中心に、欧州法で要求されている対応と、ドイツ法で要求されている対応を検討します。そして、これらを踏まえ、不正調査において重要な場面である、①メールレビュー、②監視カメラによる録画、③関係者インタビューといった3つの場面において、個人データをどのように取り扱う必要があるかを具体的に確認します。

個人データ保護に関する法令

欧州における個人データ保護(GDPR)

 不正調査においては、従業員のメールや録画映像をレビューし、関係者にインタビューを実施することがよくあり、これらによって得られる情報には従業員の個人データが多く含まれます。このような個人データの取扱いを通じて従業員の処分を決定したり、ステークホルダーへ報告する際には、GDPRを遵守した対応が必要になります。

 不正調査の場面に適用されるGDPRのルールとして特に重要なものが、個人データの取扱いに関連する基本原則(GDPR5条)および取扱いの適法性(GDPR6条)です。

 まず、GDPR5条は、個人データを取り扱う際の基本原則を以下のとおり定めています。事業者は、これらの原則を遵守する義務、および、遵守していることの説明責任を負います。ここでの「取扱い」には、取得、利用、移転、削除といったように、個人データを取り扱うおよそすべての行為が含まれます。したがって、個人データを取り扱うすべての場面において、これらの原則を遵守する必要があります。

  • lawfulness, fairness, transparency(適法性・公平性・透明性)
  • purpose limitation(目的の限定)
  • data minimaisation(データ最小化)
  • accuracy(正確性)
  • storage limitation (保存期間制限)
  • integrity, confidentiality(完全性および機密性)

 次に、GDPR6条は、個人データの取扱いに法的根拠を求めます。同条が定める法的根拠は以下のとおりです。

  • Consent(同意)
  • Performance of a contract(契約の履行)
  • Legal obligation(法的義務)
  • Vital interest(生命に関する利益)
  • Public interest(公共の利益)
  • Legitimate interest(正当な利益)

 不正調査の局面における個人データの取扱いとして、事業者における正当な利益(legitimate interests)や法的義務の履行(Legal obligation)を根拠にすることがあります。正当な利益の例としては、事業者における円滑な事業遂行を確保するといった目的が考えられますが、このような事業者における利益が、従業員の基本的権利が保護されることの利益を上回るという、いわゆるバランシングテストをクリアした場合にのみ、正当な利益に依拠した取扱いが可能となります。

 なお、いずれの法的根拠にも該当しない場合、同意に基づいて取り扱う場合がありえます。しかし、GDPRにおいては、同意する者との間に不均衡がある場合、同意が無効になります(GDPR前文43項)。この典型例が労使関係であり、従業員による同意は無効と見られる可能性が高く、他の法的根拠を満たさないような場面においてのみ、同意に依拠することを検討することが好ましいといえます。

ドイツにおける個人データ保護(BDSG)

(1)個人データに関する法令

 ドイツにおける個人情報保護法であるBDSGが個人データの保護について規定するところ、不正調査の関係では同26条が重要となります。同条は、従業員の個人データを処理することができる場面を以下のように限定しており、GDPRのみを遵守すれば良いわけではないことを示す1つの例と言えます。

  1. 採用、および、雇用契約の継続または終了に必要な場合
  2. 犯罪を探知する場合(具体的には、以下のすべての要件が求められます)
    i )当該従業員による犯罪を疑うに足りる書面による根拠があること
    ii )個人データの取扱いが犯罪調査に必要であること
    iii )従業員における正当な利益が会社における正当な利益を上回らないこと
    iv ) 目的との関係で取扱いが比例的であること

(2)通信機器に関する法令

 ドイツにおいては、The German Telecommunications Act(TKG)、The German Telemedia Act(TMG)といった通信事業者を規制する法律があり、これらの規制が不正調査に影響を及ぼす可能性があるため注意が必要です。具体的には、事業者が従業員に対して、パソコンやスマートフォン等の通信機器を貸与し、かつ、これらの機器をプライベートに用いることを許容している場合、当該事業者に対してTKGおよびTMGが適用される可能性があります。極めて簡単に言えば、従業員に対して通信機器を使用させている事業者を、通信事業者に類似する立場にあると見て、当該機器を用いた通信を保護することを目的とします。したがって、事業者は、従業員による通信に対する介入が制限され、不正調査が認められる範囲も限定されます。

 TKGおよびTMGが事業者に適用される場合、従業員による通信内容を事業者が調査するためには、Works council agreement 1 という合意を締結しておく必要が生じます。当該合意において、従業員が通信機器をプライベートに使用できる範囲、ならびに、事業者が通信内容を調査することができる範囲を規定しておかなければなりません。合意締結に際しては、労使による協議が必要となるため、事業者が望む調査が認められない場合があります。

 したがって、事業者が貸与する通信機器について、私的使用を認めるか否かは非常に重要なポイントとなります。通信機器の私的使用を禁止している場合、TKGおよびTMGが適用される可能性は低く、GDPRおよびBDSGのルールを満たす限り、事業者は、従業員による通信内容を調査できるとされています。ここでいう使用の禁止とは、実行力のある形でなされる必要があり、私的使用を懲戒事由として規定する等、通信機器の使用に関する規程の定め方が重要となります。

(3)法令不遵守と証拠制限

 ドイツにおいては、違法に取得した資料を、従業員の処分を決定する根拠にできないという議論があり、これゆえに、懲戒の基礎を欠き、処分が不当であるとみなされる場合もあります。たとえば、勤務時間中に会社のシステムを用いてインターネットを過剰に利用していた従業員を解雇した事案において、ドイツ連邦労働裁判所は、過剰利用の立証にキーロギングシステム(コンピュータへのキー入力を監視・記録するシステム)が用いられたことを指摘し、キーロギングシステムによる監視が従業員のプライバシーを侵害するとして、同システムに基づく証拠を判断の基礎にできないと判断しました 2

 このように、法令を遵守しなかった場合、それによって得た証拠の能力が否定されるリスクがあります。したがって、適切な不正調査を実施できる体制構築がこの点からも重要となります。

欧州における不正調査の具体的場面

メールレビュー

 不正調査においては、事案解明のために、従業員のメールをレビューします。
 GDPRによる規制を遵守するための重要な点は、事業者における正当な利益の範囲内でレビューを実施することを確保するという点にあります。また、データ最小化原則や秘匿性の原則を踏まえ、必要最小限のメールをレビューし、必要以上の担当者とレビュー結果を共有しないように配慮することが必要となります。併せて、これらを充足していることを証明できるよう記録を残しておくことも忘れてはなりません。

 さらに、BDSG等のドイツ法による規制を遵守することも必要です。具体的には、(1)事業者が通信機器の私的使用を許可していない場合、または、(2)事業者が通信機器の私的使用を許可している場合を分けて考える必要があります。

 (1)の場合、事業者は、会社が貸与する通信機器を用いたメールをレビューすることができますが、BDSG26条の存在もあり、以下の制約があります。

  1. レビュー対象のメールがプライベートなメールであることを認識した時点で、その閲覧や記録等を中止する。
  2. 犯罪の調査でない限りすべてのメールをレビューすることは許されず、かつ、犯罪の調査であっても調査に必要かつ相当性を有する範囲でのみレビューが許容される。

 他方、(2)の場合、前述したとおりWorks council agreementで定めた範囲内でのみレビューが可能となります。

監視カメラによる録画

 秘密情報が管理されている立入禁止エリアへの侵入や、金銭や備品、商品の窃取行為の有無を監視カメラによる録画映像を用いて調査することがあります。このような録画映像は有用ですが、他方で、GDPRを遵守した取扱いが必要となります。特に重要な点は、データ最小化原則、保存期間制限、透明性といった原則を遵守することにあります。

 データ最小化原則の関係では、取り扱う情報を必要最小限に限定するという観点から、カメラの設置場所に注意が必要です。たとえば、立入禁止エリアへの侵入を防止する趣旨であれば、その範囲でのみ録画できるように設置しなければならず、不要な範囲が写り込まないようにする必要があります。この点は、日本人からすると意外に思えるような事例であっても、制裁金の対象となっています。たとえば、ホテル内に設置した監視カメラが公道を録画対象に含んでいたことがデータ最小化原則に反するとされたスペインのケース 3 をあげることができます。

 保存期間制限との関係では、ドイツのデータ保護当局は、録画映像を48時間以内に削除すべきであり、必要がある場合のみ48時間を超えて保存できるという立場を取っています。したがって、定期的に映像をチェックし、不要な映像は削除し、必要な映像についてはその必要性を記録したうえで保存するという運用が重要となります。保存期間制限違反を理由とした制裁金事例も存在し、たとえば、録画映像を14日間保存するという運用が保存期間制限に反するとされたオーストリアのケース 4 があります。

 透明性との関係では、録画場所における掲示や社内規程によって、監視カメラによる録画の事実を従業員に伝える必要があります。この場合、明確かつ理解しやすい内容で、録画の目的や範囲等を明示しなければなりません。

関係者インタビュー

 関係者に対するインタビューにおいても、透明性やデータ最小化、秘匿性といった原則を遵守する必要があります。具体的には、インタビューの目的や取り扱う情報の種類を明示し、必要な範囲に限ったインタビューを実施し、かつ、必要な担当者間においてのみインタビュー結果を共有することが重要となります。

 これらに加えて、ドイツにおいては、武器対等の原則と言われるルールが存在します。これは、インタビューにおいて、従業員が弁護士の同席を求めた場合にも問題となります。すなわち、会社側が弁護士等を同席させる場合、従業員が弁護士を同席させることを認める必要があり、これを怠ると、インタビュー結果をその後の会社の判断に用いることができなくなる可能性があるというルールです。

 このように、日本にはないルールが存在する可能性もあるため、「欧州におけるコーポレートガバナンスと不正調査(1)- 概要編」で述べた社外ネットワークの構築が重要となります。

さいごに

 欧州におけるデータ保護は複雑かつ厳格です。したがって、データ保護対応の充実化を日頃から図るとともに、適宜の改善を怠らないことが重要となります。


  1. Works councilとは事業所委員会(事業所の労働者代表機関)を意味し、事業所委員会と会社との間で締結するWorks council agreementが労働条件の一部を構成します。 ↩︎

  2. Decision 2 AZR 681/16 ↩︎

  3. https://www.aepd.es/es/documento/ps-00369-2019.pdf ↩︎

  4. https://www.dsb.gv.at/documents/22758/115212/Newsletter_DSB_1_2020.pdf/a640bbb8-9297-4230-86e4-163bc9ccb844 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する