やっぱりNTT東日本の「個人PC等点検」はやっちゃダメだと思う

先日、NTT東日本グループが従業員に対し、個人所有のPC等に会社指定の検閲ソフトを導入させてプライベートなデータの検査や、会社が指定したソフトウェアを利用できないようシステムに細工するセキュリティ向上施策を実施していたことが明らかになりSNSで話題になりました。

ntt-workers.net (16.11.18 N関労東 秋闘要求書を提出 の項)

さらにその後、ITmedia が取材を行ない、同社は内容を否定しました。

nlab.itmedia.co.jp

しかし上記の記事には「いや、やっぱり検閲してんじゃん」、「(SNSで言われていたことは)だいたいあってる」などと多くのコメントが多く寄せられている通り、なにが「事実と異なる」のかいまいち見えません。そこで本エントリでは同社の社員に配布された資料や労働組合の提言を参考に何が行われているのか、さらにいくつかの判例を参考にそれは問題ではないのかを考えてみたいと思います。

なお当方は法の専門家ではないド素人です。合法性の正確な判断は行えず、またその責任も負えないことを予めご了承ください。また本記事で引用する各資料は表記の組織から公開されたオリジナルのものである前提で話を進めることをご留意ください。

何が行われているのか: 個人データ検査とPC利用制限

まず、そもそもこの施策は一体何が行われているのか確認します。

資料1. 取材記事:

同社では点検ツールを提供。このツールではPC内の「会社情報の有無」「ウイルス対策ソフトの有無」「ファイル交換ソフトの有無」をチェック可能で、ファイル交換ソフトが検出された場合は、社員個々人が当該ソフトにチェックを入れることで利用制限がかけられるようになっていると同社広報は説明しています。 NTT東、「社員の個人PCに検閲ソフトを導入」SNS投稿を「事実と異なる」と否定 - ねとらぼ

資料2. 従業員向け資料:

①上記環境に会社情報が存在しないこと
②上記対象のPCにWinny、Share等情報漏洩の危険性が高いソフトが利用できないこと
③会社情報を手段を問わず無断で持ち出していないこと NTT東日本 平成28年度 個人PC等点検の実施について(PDF)

上記ソースの内容は概ね一致しており、下記3点を実施させているようです。

  1. 個人所有のPC等に保存されたデータに会社情報が含まれていないかを検査
  2. 個人所有のPC等にウイルス対策ソフトがインストールされているかを確認
  3. 個人所有のPC等で会社が指定したソフトウェアが利用できないよう細工

ウイルス対策ソフトのチェックについては平成28年の社員向け資料には記載がないため、最近追加されたものかもしれません。

点検対象は何か: 全ての個人利用ITリソース

取材記事への読者コメントで「業務で使ってるPCなら妥当では?」、「BYODのデバイスMDM相当のソフトが導入されているのは仕方ない」といった意見がありますが、これは誤りです。

点検対象: クラウドサービス等を含む社員個人が利用する全てのPC等の環境
<例>パソコン/外付けHDD/NAS等サーバ/USB/スマートフォンタブレットクラウドサービス
NTT東日本 平成28年度 個人PC等点検の実施について(PDF)

同記事には明確な定義が書かれていませんが、従業員向け資料では対象を「社員個人が利用する全てのPC等の環境 」としており、会社の業務や機密情報と全く関係ないゲーミングPCやリビングにある家族共用PC、オンラインサービス、お宝データを保存したリムーバブルHDDなども対象になると思われます。

それにしても、なぜおじさんは「USBフラッシュメモリ」を「USB」と略すのか…。

任意か強制か: 直接雇用者は強制

資料1. 取材記事 :

個人PCに会社情報が入っていないかなどを、社員に自主的に点検してもらっている
NTT東、「社員の個人PCに検閲ソフトを導入」SNS投稿を「事実と異なる」と否定 - ねとらぼ

資料2. 従業員向け資料 :

【点検対象社員】
役員(取締役及び監査役)、社員、相談役、顧問、特別参与、臨時雇い、常勤嘱託、契約社員及び、契約社員※3
※3:派遣社員は、派遣会社及び、派遣社員から実施の同意を得られた方のみ対象。
【点検時の服務】
社員:業務命令による点検
派遣社員: 勤務時間扱いとしない NTT東日本 平成28年度 個人PC等点検の実施について(PDF)

資料3: 労働組合資料:

個人所有等パソコンの自己点検の強要は行わず、自主点検とすること。 東日本電信電話株式会社宛 東日本NTT関連合同労働組合 秋闘要求書 N関労東第16-01号(PDF)

そして本問題の要となる施策が強制か否かについては、取材記事とそのほかの情報で全く異なることが書かれています。当事者たる従業員向けに書かれた資料で 業務命令 としっかり明記されているため強制であることは間違いないでしょう。また 派遣社員は(中略)同意を得られた方のみ という記述からも、それ以外の直接雇用者は全員強制と解釈するのが妥当です。さらに労働組合が点検の強要に抗議していることも一般的に考えられる "任意"、"自主的" とは大きくかけ離れている事実を証明しています。

すなわちこの時点で取材記事で弁護士より示された

自主的かつ対象を絞った年に1回という妥当な方法と程度で、明示した制度として全社員に対し実施されているとのことですので、本件の点検は業務として正当と認められるでしょう。
 (中略)
ファイル交換ソフト」に絞って、強制ではなく社員の任意に基づくチェックを入れることでの制限という相当な手段であれば、社員の財産権などを不当に制約するものとまではいえない

と正当とみなす見解の前提条件を満たせなくなります。(ただし、任意ではないとアウトなのか、それとも任意だとより望ましいという意味なのかはこの文章からは読み取れません。)

それにしてもなぜ取材記事でNTT東日本の広報が「自主的」とウソを言ったのか理解に苦しみます。もし発端となった資料の公開時(平成28年)には強制だったが今は任意になったのであればそう説明されるはずですし、もし 自主的==セルフ点検 という意味で発言したのだとしても 大辞林 第三版に じしゅ【自主】( 名 ) 他人の保護や干渉を受けず、自分の判断で行動すること。 とあるように意味的に不適です。強要していることを隠し問題性の追求や批判を避けたかったのではないかと勘ぐってしまいます。

余談ですがこの派遣社員だけは "任意" というのが憎たらしいですね。法令や雇用契約上の制約を回避する目的と邪推しますが、正社員より弱い立場につけ込み事実上の強制で行わせ、終いには業務命令じゃなくてあくまで任意だから派遣はタダ働きというのが何ともやるせない気持ちになります…。

会社と個のプライバシーに関わる判例

さて、ここまででNTT東日本は社員の個人PC等に対しデータの検査やPCの一部機能制限を強制していることがわかりました。問題はこれらが適法であるかどうかです。

取材記事では弁護士が判例を挙げて正当であるとの考えを示しましたが、そもそも前提が崩れてしまっているし、考察も不十分だと感じました。そこで強制検査に関わる事例をいくつか見てヒントを探ってみることにしましょう。

会社から貸与されたメールアカウント上で送受信された私用メールの検査: 合法

社内(会社資産上のデータ・業務時間内の行動)におけるプライバシー権は残念ながらある程度制限されるものと考えるのが一般的です。厚生労働省経済産業省個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン で従業者のモニタリングを行う場合は予め社内規程を定め従業者に明示することを求めていますが、これに即していない事例においても多くの訴えが棄却されています。

例えば社用メールアカウントにおける私的メールを無断で検査されたことを争った F社Z事業部事件(東京地裁 2001年12月3日判決) で裁判所は

監視の目的、手段及びその態様等を総合考慮し、監視される側に生じた不利益とを比較衡量の上、社会通念上相当な範囲を逸脱した監視がなされた場合に限り、プライバシー権の侵害となると解するのが相当である。

とし、具体的に下記のような不適切な手段で監視を行った場合においてのみプライバシー侵害となると判断しました。

  1. 職務上従業員の電子メールの私的使用を監視するような責任ある立場にない者が監視した場合
  2. 責任ある立場にある者でも、これを監視する職務上の合理的必要性が全くないのに専ら個人的な好奇心等から監視した場合
  3. 社内の管理部署その他の社内の第三者に対して監視の事実を秘匿したまま個人の恣意に基づく手段方法により監視した場合

ほかにも社内から誹謗中傷メールが送信された事件の調査方法を争った 日経クイック情報事件(東京地裁 2002年2月26日判決) では、次のように述べられています。

業務に必要な情報を保存する目的で会社が所有し管理するファイルサーバー上のデータの調査であり、かつ、このような場所は、会社に持ち込まれた私物を保管させるために貸与されるロッカー等のスペースとは異なり、業務に何らかの関連を有する情報が保存されていると判断されるから、上記のとおりファイルの内容を含めて調査の必要が存する以上、その調査が社会的に許容し得る限界を超えて原告の精神的自由を侵害した違法な行為であるとはいえない。
(中略)
さらに、上記調査目的に照らして、結果としては誹謗中傷メール事件にも、私用メール事件にも関係を有しない私的なファイルまで調査される結果となったとしても、真にやむを得ないことで、そのような情報を入手してしまったからといって調査自体が違法となるとはいえない。

勤務中・退勤時の所持品検査: 合法

次に、よりセンシティブな私物の検査について見ていきます。所持品検査に関しては 西日本鉄道事件(最高裁 1968年8月2日判決) がモデルケースとなっており、最高裁いわゆる所持品検査は、被検査者の基本的人権に関する問題であって、その性質上つねに人権侵害のおそれを伴うものである と強い懸念を示し、やむを得ず行う場合は次の4つの要件を満たさなければならないとしました。

  1. 検査を必要とする合理的理由があること
  2. 一般的に妥当な方法と程度で行われること
  3. 制度として職場従業員に対して画一的に実施されること
  4. 就業規則など明示の根拠に基づいて行なわれること

この後に続く多くの事例もこの4大原則に基づいてジャッジされています。

  • 東陶機器事件(福岡地裁 1971年2月12日判決): 退門時の所持品検査を拒否し解雇 → 検査は合法
  • 帝国通信工業事件(横浜地裁 1975年3月3日判決): 退門時の所持品検査を拒否し解雇 → 検査は合法
  • サンデン交通事件(山口地裁 1979年10月8日判決): バス乗務員に対し物品検査を行った → 身体をまさぐるなどして屈辱を与える検査は違法
  • 日立物流事件(浦和地裁 1991年11月22日判決): 職場での物品紛失に際し、作業にあたっていた従業員に対し所持品検査を行った → 就業規則等に明記がないため検査は違法

職場・勤務時間外の所持品検査: 違法

最後に所持品検査の特殊ケースを紹介します。芸陽バス事件(広島地裁 1972年4月18日判決) はバス乗務員である原告が業務を終え所定の所持品検査を完了してから帰宅する際、上司から自家用車(通勤に使用)の検査を追加で求められたがこれを拒否し解雇された事案を争った裁判です。裁判所は、

検査の対象となるものは乗務と密接に関連するもの、すなわち、服装検査のほか、乗務に際し会社から命ぜられて業務上携帯した物品、乗務に際し特に携帯した私物に限られる。乗務員が通勤に使用する自家用車内は、完全に個人の領域であるから、原則的には検査の対象とならない

とし所持品検査の対象を明確にしました。また次のような場合に限り自家用車の検査を求めることができるとしました。

  • 所持品検査前あるいは所持品検査中に、係員の許可なく乗務員が自家用車内に乗り込んだとき
  • 係員の許可なく乗務員が検査の対象になる私物などを自家用車内に持ち込んだとき
  • 乗務員が許可なく自家用車内に乗り込んだうえ車内に金品を隠したり、許可なく私物などを持ち込んだうえその中の金品を隠したりするように、車内において不正取得を疑わせる客観的な行為をしたとき

これは4大原則における ①:検査を必要とする合理的理由があること を満たしているかどうかを問いています。 (なお判決では加えて、もし原告を狙い撃ちして検査を求めたのであれば ③: 制度として職場従業員に対して画一的に実施されること も満たしていない可能性があると指摘しています。)

NTT東日本の個人PC等強制点検は適法か

f:id:miyahan:20191208055007p:plain

さていくつかの判例を見てきましたが、総合すると "仕事" のスコープ内でのみ検査が許されていることがわかります。業務用PCや社用メールアドレスは仕事で使うものですから当然 "仕事" のスコープに入ります。所持品検査も退勤時、すなわち "仕事" → "私生活" の境界点で行われています。一方で芸陽バス事件での自家用車内は "私生活" のスコープ内であり検査は原則強制できません。また日経クイック情報事件の判決文に 会社に持ち込まれた私物を保管させるために貸与されるロッカー等のスペースとは異なり… との記述があったことを思い出してください。これは場合によっては私物用ロッカーが "私生活" のスコープに入るとみなすことができ、その場合は強制捜査の権力が及ばない可能性を示しているのだと思います。

これは至極当然なことで、例えば会社がオフィスに監視カメラを取り付けるのは問題ありませんが会社が「おまえの自宅に監視カメラを取り付けろ。さもないと懲戒処分するぞ」と脅してきたら当然違法に決まっています。

それでは本件の個人PC等はどうでしょうか?業務に関わりがないのであれば私は個人所有のPCが "私生活" のスコープ内(完全に個人の領域 )であると考えます。すなわち芸陽バス事件と同様に、従業員が不正を行っている可能性を客観的に示すことがき、かつそれが所持品検査の合理的な理由となる場合限り個人PC等を強制検査することができると考えます。例えば次のような場合が考えられるでしょう。

  • 職場内に私物のPCやUSBメモリを無断で持ち込んで、それを会社設備に接続されたことを検知した場合
  • 通信ログより社内ネットワークからインターネットを経由して従業員の自宅やオンラインサービス等にデータを送信している不審な通信を発見した場合
  • 従業員が私物のスマートフォンでオフィスや機密書類を無断で撮影していることを発見した場合

一方で本施策のような「もしかしたら社員が会社情報を不正に持ち出しているかもしれない」という全く根拠のない憶測で検査を強制することは許されないというのが私の結論です。

また会社が指定したソフトウェアを利用できなくする細工を強制する点についても、企業が個人の財産の機能(価値)を損なわせることは大きな問題だと考えます。「ソフトウェアの動作制限」というのは何となく穏当にも聞こえますが、「おまえが盗撮するかもしれないから私物のスマートフォンのカメラレンズを割って撮影できないようにしろ。そいつをよこせ!!」と言われたらどうでしょうか?とんでもない越権行為であり財産権の侵害です。そもそも業務時間外の人生の時間を何に使うかは個人の自由であり、会社が支配できるものではありません

自宅PC点検を強制するな !問われているのは職場環境の改善
 NTT東会社は、自宅のPCを点検し、会社に報告書を上げろ、それは「義務」だといい、職場によって未提出者には、「訓告処分」を出している
 そのやり方は、土足で個々人宅に上がりこみ、有無を言わせず「点検」し、抵抗すると「処分」するというやり方だ。プライバシーも何もあったものではない。こんなことは許されない。
NTT労働者 2010ニュース

事態はすでに深刻化しているようで、拒否した社員の処分を行っているとの情報もあります。極めて悪質と言わざるを得ません。

NTTグループコンプライアンスの遵守と抜本的問題解決を

www.tsr-net.co.jp

東京商工リサーチによれば 2012〜2016年の5年間で最も情報漏えい事故を起こした上場企業はNTTグループとのことで、その件数はなんと29件にも及びます。この醜態を鑑みれば手荒な対策を講じたくなるのもわからなくもないですが、それでもやって良いことと悪いことがあります。

多くの方が指摘されているように、おそらくこの施策はいわゆる「セキュリティごっこ」・「やってますアピール」の一種だと想像します。スマートフォンが広く普及している中、Windowsでしか動かないチェックツールを提供しそれ以外のOSやオンラインストレージは目視というやる気の無さがまさにそれです。このような意味がなく、従業員との信頼や士気だけをいたずらに損なうような表面的な対策で取り繕おうとする社風こそがセキュリティインシデントを多発させているのではないでしょうか?

さらに昨今ネットを賑わせているNTT退職エントリでNTTグループの劣悪なIT環境(低スペックなPC・インターネットの制限等)が紹介されています。そういった環境を回避しようとしてシャドーITが蔓延し情報漏洩につながってはいないでしょうか?働き方改革と称し数字だけの残業時間削減を強行し、社員が業務データを自宅に持ち帰りサービス残業しなくてはいけないような状況は発生していないでしょうか?問題を分析し、根本原因を取り除くことに尽力すべきだと思います。

あと取材記事で失望してしまった発言があります。

特定ソフトが入っているかどうかを確認しているだけで、PC内の個人情報をのぞいているわけではなく、プライバシーの侵害には当たらない

会社の機密情報や特定ソフトがあるかどうかを確認するには、PC内の全ファイルを走査する必要があります。もちろんそこには個人情報やセンシティブな情報も含まれておりプライバシーの問題は起こりうります。それをこのように問題ないと断言してしまうその認識の甘さや倫理観の欠如が、法の専門家や通信事業者が軒並み懸念を表明し反対する中、NTTグループが「悪いサイトを遮断してるだけだもん」と漫画村ブロッキングを強行しようとしたことにも繋がっているのではないかと考えてしまいます。

NTTグループは良くも悪くも日本の通信を支える寡占企業です。そんな公共インフラを担う責任ある企業として、同社には法令遵守だけではなく高い倫理観が必要と思います。従業員を含めたステークホルダーの期待や信頼に応えること、また30万人を従える巨大企業として日本企業の手本となることを期待するとともに、本問題が一日でも早く是正されることを願います。

ところで同様の施策が他の複数の企業でも行われているという声をしばしば耳にします。当然ですが「ほかもやってるから…」というのは理由には成りえません。悪習があるのであれば改めるべきです。同様に本来「必要悪」というものも存在しません。それはあるべき姿が何らかによって歪められてしまった結果の産物なのです。