フランス監督機関が、従業員を対象とする過剰なビデオ監視などを理由に企業に警告


フランス監督機関が、従業員を対象とする過剰なビデオ監視などを理由に企業に警告

12月10日、フランス監督機関(CNIL)は、従業員を対象とするビデオ監視が過剰であったことなどを理由に企業に対し警告を発するとともに、官報に掲載した。

フランスの航空関係用品会社boutique.AERO社は、従業員の場所や勤務状況等を監視カメラ(CCTV)で監視し、社内システムに保存していた。従業員のうち1名は、ワークステーションの端末で常時映像監視されていた。

同社はまた、従業員に「ビデオ保護(Vid?oprotection)」によって従業員保護を図ることを雇用契約により通知していたが、その詳細は知らせていなかった。同社の社員は管理システムを通じ、常に記録映像にアクセスすることが可能な状態だった。映像にアクセスするためのWebアドレスもhttpで始まっており、HTTPSによる通信の暗号化が実装されていなかった。

同社は、社内管理システムのログインを汎用ログイン情報と社員個別ログイン情報の2段階としていたが、ログインネームとパスワードが事前にシステムに登録され、自動入力できる状態だった。同社の情報システム維持の委託先も、記録映像にアクセスできる状態だったとされている。また、委託先との間では、EU一般データ保護規則(GDPR)第28条に規定する処理契約を締結していなかった。

更に、同社はGDPR第30条に規定される個人データの処理記録を整備していなかった。同社は中小企業であるが、従業員を常時監視していたことから、従業員250人以下の企業が一時的に個人データを処理する際に処理記録の整備が免除される制度の対象外と判断された。

CNILは同社に対し、警告日から2ヶ月と10日以内での是正措置の実施を求めており、状況が改善されない場合には処分に移行するとしている。

本件の教訓は、ビデオ監視の観点では、①CCTV等の手段によるデータ主体の監視については、その目的、収集手段、適法根拠などを明確化するとともに、それらをデータ主体に確実に周知すること、②データの収集は処理目的に必要な最小限度とすること、③収集したデータは確実なセキュリティ手段で管理する等、技術的・組織的安全確保措置を確実に実施すること、である。

個人データの処理においては、①処理者との間で処理契約を確実に締結すること、②処理記録を確実に整備すること、である。特に処理記録について、複数の従業員が存在する企業では、従業員管理のために従業員の個人データを常に扱うことから、個人データの処理は一時的なものではないので、企業規模による処理記録の例外規定の適用は事実上不可能であると考えるべきだろう。

CNILによるニュースリリース

Vidéosurveillance excessive de salariés au moyen de caméras connectées : mise en demeure de la société Boutique.Aéro
https://www.cnil.fr/fr/videosurveillance-excessive-de-salaries-au-moyen-de-cameras-connectees-mise-en-demeure-de-la-societe
CNILの調査決定書
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039466203&fastReqId=105441404&fastPos=2
CNILの裁決書
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039466238&fastReqId=1400270167&fastPos=1

関連記事