求人求職活動における個人情報保護に関する報告

* 求人求職活動における個人情報保護に関する報告 *

白田 秀彰

─────── * ───────

1 背景認識

─────── * ───────

近年、 労働市場における規制緩和が検討されつつある [1]。職業安定法は、 労働市場への求人側・求職側それぞれの参加形態を類型化し限定することで、 求職者が思わぬ不利益を被らないように配慮している。しかし、 産業構造の変化に伴い より柔軟な参加形態も検討すべき時期に至っているという指 摘がなされている。本研究のテーマである インターネットを利用した求人求職活動 は、 そうした新しい種類の参加形態の一つである。

情報化に伴い経済活動のあらゆる段階について、企業は 一層精緻な管理が要求されており、募集・採用のみならず、 あらゆる経営の場面において労働者に関する広範囲の情報を収集し利用せざるえない 立場に置かれている。加えて、 労働安全衛生や社会保険などの法令上の要請に基づいて、 企業は労働者の個人情報の収集、管理、関係省庁への報告を義務づけられている。 このような意味で、労働者の個人情報の保護は、 一般的な個人情報の保護と異なった要素を多分に含んでいる [2]。こうした、 雇用関係における個人情報の保護についての「特殊性」 は労働者のプライバシーを検討するにあたって、当然に考慮されるべきである。 しかし、募集・採用の段階においては、求職者と求人側企業は未だに雇用関係にない。 雇用契約を結ぶためにあたって、求職側は、求人側の求めに応じて 自己に関する広汎な個人情報を提供することが事実上不可欠である。 その一方で、雇用契約が成立しなかった場合、 雇用関係にない求職側の個人情報が求人側に残る結果となってしまう。この意味で、 「求人求職活動における個人情報の保護」は、「労働者の個人情報保護」 以上に深刻な問題点を抱えているといえる。

これに加えて問題を複雑にしているが、インターネットの利用である。 1997年頃から本格化してきたインターネットを経由した求人求職情報の流通は、 規模のみならず、応用範囲や利用形態の著しい発展を見せている。しかし、 インターネットの利用一般についてプライバシー上の問題点が指摘されており、 それら問題点のすべてが求人・求職活動全般にかかってくることになる。

本稿は、 こうした複合した問題について概観しながら解決の方向を提示することを目的として いる。

─────── * ───────

2 用語定義

─────── * ───────

本稿では、ある個人を識別することができる情報群を「個人情報」とする。 これは、1997年ILO条約181号「民間職業安定所条約」(以下、 ILO条約181号) 第1条2項「本条約において 『労働者の個人情報の処理』とは、 識別された または識別されうる労働者に関連する情報の収集、蓄積、結合、伝達、 その他のあらゆる利用を意味する」 をうけている [3] 「個人情報」の中でも、雇用契約との関係において必要とされない情報を 「プライバシー情報」とする。 一般的には、 名前や電話番号など比較的公開度の高い情報についても原則として「プライバシー」 に該当するとされている [4]。 しかしながら、「個人情報」と「プライバシー情報」を定義上分けたのは、 OECD勧告第1章3条(b)で「個人のプライバシーと自由に対し、 いかなる危険性も含んでいない個人データについて、 ガイドラインの適用を除外すること[もできる]」とされていることを受けている。 また、EC指令でも、第3章8条2項(b)で「[個人情報の]処理が、 十分な濫用防止策を定めた国内法の権限の範囲で、雇用法(employment law) の分野において、情報管理者の義務および特定の権利を行使するために必要である」 場合には同条1項で規定された処理禁止情報についても、処理しうるものとしている。 求人求職活動は、当事者同士の情報を相互開示することを必要とすることに鑑みて、 求人求職に「必要最小限」 の個人情報を直ちにプライバシーに該当するものとすることは適切でないだろう。

また、「プライバシー情報」群によって形成される私的生活の領域を 「プライバシー」とする。 こうした「個人情報」や 「プライバシー」の秘匿、完全性の維持、目的に添った利用を可能とする諸技術を 「セキュリティ」とする。 したがって本稿における「プライバシー」は、 憲法学や民法学で議論されているそれとは射程がやや異なる。

─────── * ───────

3 現状

─────── * ───────

現状のインターネットを利用した求人求職情報提供において、 個人情報保護やプライバシーの観点から問題となるような事例としては、 求職側のメールアドレスや電話番号等が流用され、 不要なダイレクトメールが届くようになったというものがあった [5]。しかし、 こうしたダイレクトメールによる「迷惑」は、 求人求職活動に関係なくネットワークを利用する場合にしばしば見られる事例である。 ネットワークでは、メールアドレスは公開された個人情報であり、 メールアドレスを完全に秘匿したまま、 ネットワークでの利便を享受することは困難である [6]

現在のところ、深刻な個人情報保護やプライバシーに関する問題が生じていないのは、 求職者の個人情報の収集や提供を行う事業者が小規模だったり、 実験的なものだったからである [7]

事業者が個人情報の収集や提供を行う場合においても、 それらの情報提供が情報主体の合意と承認のもとに行われている限りは、 契約自由の原則のもと、 強行法規をもって保護する必要性は小さいかもしれない [8]。ただし、 個人情報の提供を行っている情報主体が、 それらの情報提供から生じるだろう潜在的危険や不利益について十分な認識のもとに 自らの個人情報を提供しているかどうかは疑問である [9]。求人求職活動のみならず、 ネットワークにおいて個人情報を提供する場合の危険性について周知させる活動が必 要だろう。

3.1 自動的に収集される個人情報

インターネットを利用して求人情報を閲覧する場合、 Webサーバーとブラウザの機能を組み合わせることによって、 閲覧している側のドメイン [10]、 メールアドレス、以前に閲覧していたサイトのアドレス、 ブラウザ側に登録してある個人情報等をサーバー側から取得することも可能である [11]。しかし、 現状ではこれらの個人情報取得機能はまだ程度の低いものであり、 サーバー側に取得される閲覧者の記録(ログ) [12] が直ちに閲覧側のプライバシーに影響を与えるというものではない [13]。しかし、 今後の技術の発展にともない、 サーバー側は閲覧者の個人的属性に関する情報をより詳細に取得することが可能にな ることも考えられる。この場合、 サーバー側に記録されたログの取り扱いについて配慮が必要になると考えられる [14]

3.2 求職者によって入力される個人情報

一方、サイトによっては、 求職者が自らの個人情報を入力することを可能にしているものがある。 このような場合、個人情報がネットワークを経由して、 サーバー側に記録されるのでプライバシー上の危険は増大する。それゆえ、 より慎重な対処が必要となる。まず、 入力フォーム [15] にしても電子メールにしても伝送途中で送り手受け手いずれの管理下にない複数のコ ンピュータを経由することになる [16]。 その転送の途中で第三者が情報内容を読み出すことも可能である。 ブラウザの種類によっては、 そうした転送途中での第三者からの情報内容の閲覧の可能性について警告を出すもの もあるようだが、ほとんどの利用者がそうした警告をわずらわしく思い、 表示しないようにしていると思われる [17]。したがって、 現在こうしたフォームやメールで自らの個人情報をサーバー側に送っている求職者が、 その危険性について十分認識しているかが懸念される。 こうした行為の危険性と不利益について広報活動を徹底する一方で、 求職者の個人情報をネットワーク経由で収集しているような事業者については、 求職者への警告を義務づけることが望ましい。

3.3 暗号化システム

また、 ネットワークを経由して伝送される情報の内容を第三者の目から隠蔽するために、 現在最も確実な方法は、 文章の内容を暗号化することである [18]。しかし、 暗号化技術は標準化の途上であること、 さらに暗号化システムを組み込んだサーバーは高価であることを理由に、 現状では採用に積極的とは言えないようである [19]。しかし、 後述するような本格的なネットワーク利用型の労働力需給システムも視野に入れるな らば、早い段階から暗号化システムを導入し運用経験を蓄積することが、法的にも、 企業の競争という観点からも望ましいと思われる。

3.4 サーバー側のセキュリティ

求職者の個人情報を収集しているサーバーの管理者は、 個人情報の安全と保護について、 求職者に対して契約上の善管注意義務を負うものと思われる。また、 条理上の保護義務も想定されうる。不注意に個人情報を漏洩してしまった場合、 過失で個人情報がもれた場合にも、 求職者の権利を侵害したことを理由とする不法行為責任を負うことになる。

現在のところ、サーバー側に蓄積された個人情報の取り扱いについては、 通常のサーバーの運用に関するセキュリティ基準を適用するに止まっているようであ る [20]。 一般的なサーバーのセキュリティに関しては多数の専門書があるのでそれを参照する こととして [21]、とくに、 ヒアリングの場でセキュリティ担当者から指摘されたことを挙げて注意を促したい。 それは、ネットワーク運用上の純技術的対策よりも、 実際の運用の現場での個人情報ファイルの取り扱いが重要だということである。 この意味でのセキュリティ対策には、例えばサーバーの管理の委託先、 データベース構築の外注先などの選定で、 信用ある業者を選ぶといった内部的な運営上の配慮も含まれる [22]

3.5 第三者による攻撃

次に外部からの攻撃である。 意図的にサーバーのセキュリティを破ることを目的とするような種類の人物 (クラッカー [23])には、 さまざまな技術水準を持った者がいるが、最高度の技術水準を持った人物については、 ほとんど有効な対処法がないということである。そこで重要になるのは、 そうした最高度の技術をもった人物に狙われないような方策である。 一定水準のセキュリティ対策を行うのは当然として、 仮にその情報が市場で売買されるようなことになったとき、 あまり高額になるような情報を持たないようにすることが望ましい。すなわち、 事業を遂行するに当たって必要以上の個人情報を収集すれば、 その個人情報ファイルの取引価値は上昇するので、 より狙われやすくなるということになる。 過度に詳細かつ膨大な個人情報を保有することはセキュリティ上好ましくないのであ る。

その一方で、サーバーへの侵入を試みる技術水準の低い人物も多数存在する。 先のセキュリティ担当者の話では、 サーバーに記録されている侵入を試みた形跡のほとんどすべてがこのような種類の人 物であるということである。こうした人物は、 通り一遍の侵入方法を試して失敗すると、別のサーバーに移ってしまうという。 セキュリティはこうした種類の侵入者を排除できれば実際上問題ないといえる。 そのためには、基本的セキュリティの徹底が最も効果的だといえるだろう。すなわち、 サーバーを物理的に鍵の掛かる場所に収納する、パスワードの管理を徹底する、 侵入のヒントになるような事項を記載したメモ等の廃棄を徹底する等の対策である。 侵入者が侵入に成功するきっかけのほとんどは、 ごみ箱あさりによるパスワードを書いたメモの発見や、 管理担当者がキーボードから入力するパスワードの覗き見といった、 些細なものなのである。

─────── * ───────

4 労働力需給システムの展開とネットワーク

─────── * ───────

これまでの労働力需給システムは、 安全が確保されうる形態のみに求人求職活動を限定することで、 求職者が予測しえない不利益を排除していた。これは、 求職者の知識や判断力が乏しいことを前提にした、父親的温情主義(パターナリズム) といえよう。しかし、そうした制約を緩和した場合でも、理論的には、 求職者の不利益を充分に小さいものにしうる。すなわち、 求職者が求職活動に伴う危険について十分な知識をもっている場合には、 彼の予測しえない不利益は小さなものになりうるのである [24]。 今後の労働力需給システムでは、「説明をもとにした合意 (informed consent)」 を前提とした、 求人求職活動当事者の判断が重要なものになると考えられる [25]

現在進行中の産業構造の変化を背景として、各企業においては、 経営資源の効率的運用が存続のための必須条件となっている。これにともない、 労働環境もまたその影響を受けざるえない。労働市場においては、 こうした状況変化に対応した動的均衡を実現することが、 なによりも重要となっている。ここにおいて、 大量の求人求職情報を保有している仲介事業者が労働力の再配置に占める比重は増大 すると考えられる。結果的に仲介事業は、各企業から人事関係の全面的委託 (アウトソーシング) を受けるような業態へと展開することも予想される [26]

ここで、インターネットにおける求人求職情報事業は、 他の諸形態の仲介事業がなんらかの統合形態に移行した場合のネットワークにおける 窓口(インターフェイス)となることが考えられる。このように考えると、 インターネットにおける求人求職情報事業の基準について考察することは、 結果的に他の形態の仲介事業におけるネットワーク領域の活動についても検討するこ とを意味しよう。

─────── * ───────

5 市場原理と個人情報保護の均衡

─────── * ───────

5.1 市場原理の導入と弊害

一般的な市場のモデルでは、完全情報下において完全均衡がもたらされる。 労働市場でも、多様化した労働力需給がより望ましい状態で均衡するためには、 求職側、求人側双方のより多くの情報が必要になる。とくに、職業が多様化・専門化・ 個別化・流動化するだろう将来では、 これまで以上の種類と量の情報が必要となると考えられる。

そうした雇用の場面における情報化では、労働者のプライバシー・ 個人情報保護 (場合によっては使用者も含む) が困難な問題として立ちはだかると考えられる [27]。 経済学的なモデルでは完全情報は理想的状態だが、現実には、 それぞれの個人が私的生活で他人に知られたくない領域をもっている。 そうした個人の立場から見れば、 求職活動に当たってすべての個人情報を求人側に提示しなければならないという状況 は決して理想の状態ではない。情報化社会では、 他者にすべての個人情報を把握されるという状態は、他者への隷属を意味する。

そうであれば、現実の労働市場では、容認されうる種類の情報が、 求人求職側の双方について必要かつ充分に提供されることが理想的だということにな る。しかし、 多様化し増大する求人求職関連情報をそれぞれの当事者が望ましい様態で管理・ 運用することは困難であるばかりでなく社会的費用の面で不効率であると考えられる。 求職活動に当たって、求職側が求人側の必要としている情報を判断し、 適切な形態で過不足なく提供することは、 それだけで専門的技能を要求される作業だからである。そこで、 仲介業の存在意義が明らかになる [28]

5.2 仲介組織の存在による個人情報の保護

求人求職仲介業には、多様化・複雑化する個人情報・企業情報のうち、 容認されうるものを収集整理し、求人側・ 求職側の当事者にとって必要不可欠なもののみを正確に提供するという選択的遮断の 機能が求められる。逆の面から見れば、 制御された不完全情報をもって完全情報下と同様の市場を生み出すための機能が要求 されるともいえる。

そうしたさまざまな形態の仲介事業全体にわたって、 必要な規整対象の一つとしてあげられるのが、求職者、求人者のプライバシー・ 個人情報の保護に関連する事項だろう。というのは、 アンケートの結果からうかがわれるように、ネットワークを経由した求職活動で、 求職側が最も懸念しているのは、自己のプライバシー・ 個人情報が保護されうるかという点であるからである [29]。このことは、 個人情報の保護が十分なされなければ、 ネットワークを経由した仲介事業自体が発展しえないことを意味している。

こうしたことから、個人情報の保護対策を行っているかのように宣伝して、 実際には十分な対策をしないような悪質業者が存在しない限り、 個人情報保護の対策は、 市場原理に委ねることが可能であると考えられる [30]。というのは、 求職者を顧客とする事業者は、 同業他社よりも優れた個人情報保護体制を顧客へのサービスの一つとして掲げ、 競争することが可能だからである [31]。 電気通信技術の急激な進歩をみるとき、 公的主体が民間事業者の個人情報保護の水準を決定することは、 対応の遅れなどの不効率を生む懸念がある。 そこで個人情報保護の水準について事業者間の競争を導入することが、 結果的に求職者・求人者の利益を増大させる結果となるだろう。

─────── * ───────

6 業界自主基準・公的基準の存在の有用性

─────── * ───────

個人情報・プライバシー保護について各事業者の競争を期待できるとはいえ、 業界全体が共同で責任を負う業界自主基準を策定すること、さらには、 公的主体が法的強制力をもって最低基準を強制することは、悪質業者の排除、 および不注意な求職者の保護という目的からして望ましいと考えられる。 形ある財産等と違い、情報はいったん流失した場合、 回収するということが実質的に意味をなさず、また、 そうした流失によって生じるだろう当事者の損失・ 被害は予測が不可能な形態と規模で生じる。 こうした個人情報の流失が招く被害の回復が困難であるため、 求人求職事業においての個人情報の取り扱いは、 最も厳重な注意を要するからである [32]。また、 事業者の側からしてみれば、公的主体が定めた基準に準拠していることは、 顧客の個人情報の取り扱いに関する紛争で、一定の免責を主張する根拠となる。 この点からも、基準が示されることは望ましいといえよう。

─────── * ───────

7 プライバシー保護の水準

─────── * ───────

7.1 求職者のプライバシー保護

では、 インターネットを利用した求人求職情報事業で必要なプライバシー保護の最低水準と はいかなるものだろうか。

わが国では、採用時のみならず雇用関係一般で、 労働者のプライバシー保護についてほとんど対処がされていない [33]ことを前提とすると、 採用側の論理としては、 求職者の個人情報の利用については制約が少なければ少ないほど望ましいということ になろう [34]。こうしたとき、 雇用契約交渉で不利な立場に置かれる求職者側は、 採用側が望むあらゆる個人情報を否応なしに提供することになるだろう [35]。一方、そうした交渉の後、 雇用関係が成立しなかった場合、求人側は、 雇用関係にない個人の詳細な個人情報を保有することになる。仮に労使関係のため、 被用者の個人情報が人事労務管理において必要不可欠であるとしても [36]、 雇用関係にない個人の個人情報を保有することは正当化することができない。

7.2 情報産業における個人情報保護

ここで雇用者と求職者の間に仲介者を導入してみよう。 求人求職情報事業者にとっては、求人側・求職側のいずれも「顧客」 として取り扱う必要が生じる [37]。 この場合、サービス業たる事業者は、求人側・ 求職側のいずれにも相当の配慮をしなければならなくなる [38]。というのは、 求人側に不用意に情報を提供するような事業者は、 求職者を集められなくなるだろうし、逆に求職側のプライバシーを尊重するあまり、 求人側に必要十分な情報を提供しない事業者は、 就職機会を求職者に十分に提供することができなくなるだろうからである。 こうして労働市場では、 求人側が採用に必要とするだけの情報を必要十分に提供しつつ、 求職側のプライバシーを保護することに成功した事業者が勝ち残ることになる。 このように求職活動で仲介事業者が介在することで、 採用側に対する求職側のプライバシー上不利な立場を回避することが可能になると考 えられる。

そうした場合、求人求職情報事業者は、情報サービス事業者の一種として、 商取引におけるプライバシーに関する一般的規制に服することになる。 これが規整基準を考察する場合の基礎になろう。 顧客データの扱いに関するわが国の一般的ガイドラインとしては、通商産業省 「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」 (以下、通産省ガイドライン)がある。

その一方、商取引にともなう個人情報の提供とは異なり、求職者は、 通常の商取引で提供される以上の個人情報を求人求職情報事業者に否応なしに提供せ ざる得ない立場に置かれている。こうした観点からすれば、求人求職情報事業者は、 商取引におけるプライバシーに関する一般的規制以上のプライバシー保護の義務を負 うことになると考えられる。具体的には、 通常の商取引では収集されることのない種類の個人情報の取り扱いについて、 一般的規制で対応可能であるか否かについての検討が必要とされよう。また、 逆に求人求職活動において当然提供されるべき個人情報については、 その利用に関する制限を緩和する措置が必要とされよう。

7.3 保護対象情報

さて、 求人求職情報事業者が保有する情報の内容としてはどのようなものが容認されうるだ ろうか。

求人側が採用に当たって必要とする求職者の個人情報は、 個々の求人者については限られているとしても、 想定されうる求人者の要求の多様性を前提とすると、 求職者に関する広汎な個人情報ということになろう。しかし、 理想的には求職者から求人者に提供される個人情報はできるだけ少ないことが望まし い。収集される個人情報の量をできる限り少なくしようとする態度は、 EC指令 第6条、ILO勧告188号 11、 ILO行動準則4.5.7(a)、通産省ガイドライン 第4章5条などに示されている。また、弁護団意見でも 「雇用への平等なアクセスの保障とプライバシー保護」として、 「予定される職業に合理的関連性のある適性および能力に関する事項のほかは申告さ せてはならないとすること、 とりわけ採用差別につながる情報やプライバシーにかかわる情報を申告させた場合に は、差別を推定するなど法的整備が求められる。」としている。

また、これらのガイドラインでは、 目的毎に情報主体から直接に情報を収集することを要求しているが、 仲介事業において、 個々の求人について個別に求職者の個人情報を収集しなおすことは、 あまり現実的とは考えられない。実際には、 法で禁止されていない種類の個人情報については、できる限り事前に収集しておき、 さまざまな個別の求人に応えることになるだろう。収集された個人情報を、 収集された利用目的のためのみに限定する、という原則は、 収集された時点で想定されていなかった個人情報の利用・ 流用がなされることを防止することを目的としている。このことから、 包括的に利用目的を「求職活動に利用する」とした場合、 個々の求職活動毎に新たに個人情報を収集する必要はないだろう。 ただし仲介事業者は、求人側に求職者の個人情報を伝達する前に、 求職者にその利用の目的、方法、効果、 危険について十分な説明をする義務を負うだろう。もちろん、 求職活動を目的として収集された個人情報を、 マーケティングなどに利用することは許されない [39]。 求職時に提供するような広汎かつ詳細な個人情報は、 マーケティングを目的とすると告げられた場合には提供されないだろうことが容易に 推測できるからである。

こうして、 求人求職情報事業者は詳細な個人情報データベースを保有する結果となると考えられ る。こうした詳細な個人情報データベースの保有それ自体については、 情報主体の合意があれば問題ない [40]。また、求人求職情報業者は、 商品として求職者情報を取り扱うので、その情報内容の正確性や最新性について、 最大限の注意を払うことが期待できる。というのは、 それぞれの求人求職情報事業者が健全な経営を行っている場合には、 求職者へのサービスの程度、求人者への情報提供の正確性・ 最新性に応じて市場原理が働き、淘汰が行われることが期待されるからである。

─────── * ───────

8 市場の失敗への対処

─────── * ───────

ILO96号条約改正に示される、行政に期待される機能として、(1)国家の規制制定権、 制裁権 に加えて、(2)労働市場の機能、(3)労働市場の情報ならびに(4) 公的資金の三つの領域に関するコントロールが挙げられている [41]。 これらの四つの領域に関する関与は、 一言でいえば労働市場における市場の失敗を回避するように公的主体が作用すること が期待されているということができるだろう。

とくに悪質業者の取り締まりは、市場ではなく公権力の作用が要求される部分である。 というのは、こうした悪質業者の存在は円滑な市場機構の作用を妨げるからである。 先に述べたように、個人情報はいったん流失した後、回収することが不可能である。 こうした観点からすると、事後的な対策としての罰則の強化よりも、 事前の予防的対策が望まれる [42]

  • 労働市場が社会的厚生が不十分な状態で均衡しないように [43]、悪質業者の排除を行う。 また利用者からの被害報告を処理し被害の回復に当たる苦情処理組織が存在すること が好ましい。

  • 労働者保護の観点から労働市場で流通を禁止する情報の種類と形態について基準を設 定し強制する。たとえば、 個人情報データファイルの監査を行う [44]

  • 求職活動の終了又は求職者からの希望で、 求職者の個人情報の削除の必要が生じたとき、 その個人情報の削除が完全に行われているか否かの監査を行う。

  • 自己に関するデータの開示、訂正、削除を事業者に対して要求しうるように、 求職者の自己情報アクセス権を法的に確認し、実効有らしめる対策を行う。

  • 労働者保護の観点から民間事業者が遵守することが望ましい個人情報保護基準、 セキュリティ基準を策定し公表する [45]。また、 個人情報が漏洩した場合の求人求職情報事業者の管理責任について、 その損害の回復の手続などを確立しておく必要がある [46]

  • 求人求職活動に伴って生じる可能性のある危険・ 不利益について各当事者への広報活動を行う。 また被害の事例を収集し公表する [47]

しかしながら、上記の公的主体による活動は「市場の失敗」 を防止するための補助的手段にとどまるべきであって、 民間事業者の競争を制限するようなものであってはならない。

─────── * ───────

9 付記

─────── * ───────

9.1 OECD勧告における基準

1980年9月23日 OECD理事会勧告 「プライバシーの保護と個人情報の越境流通に関するガイドライン」[48]

第一章 総則 /定義

1. 本ガイドラインにおいて、 a) 「情報管理者(data controller)」とは、 個人情報がデータ管理者本人またはその代理人によって収集、蓄積、処理、 配分されるか否かに関わりなく、各国内法に照らして、 その個人情報の内容と利用に関する決定能力を有する当事者とする。

b) 「個人情報(personal data)」とは、識別された または識別しうる個人(情報主体: data subject)に関連する全ての情報を意味する。

(中略)

第二章 国内実施の基本原則

7. 収集の制限 個人情報の収集には、制限を設けるべきであり、 いかなる個人情報も法的かつ公正な手続によって、かつ適当な場合には、 情報主体に知らしめ又は同意を得た上で、収集されるべきである。

8. データの品質 個人情報は、 その利用目的に添ったものであるべきであり、かつ利用目的に必要な範囲内で正確、 完全かつ最新のものでなければならない。

9. 目的の明確化 個人情報の収集目的は、 収集時よりも遅くない時機において明確化されなければならず、その後の利用は、 収集目的の実現又は収集目的と両立し、 かつ目的の変更毎に明確化されるようなものに制限されるべきである。

10. 利用の制限 個人情報は、 第9条でより明確化された目的以外の目的のために、開示、利用、 その他の利用に供されるべきではないが、次の場合にはこの限りではない。

(a)情報主体の同意がある場合、 (b)法律の規定による場合。

11. 安全の保護 個人情報は、その紛失もしくは無権限アクセス、 破壊、利用、修正、開示などの危険に対し、 合理的な安全措置により保護されなければならない。

12. 公開 個人情報に係る開発、実施、政策については、 一般的な公開の政策が取られなければならない。情報管理者の氏名(identity) および所在とともに個人情報の存在、 性質およびその主要な利用目的を知るための手段が常に提供されるべきである。

13. 個人の参加 個人は次の権利を有する。

a)情報管理者が、その個人に関する情報を有しているか否かについて、情報管理者、 または その他の者から確認を得ること、

b)その個人に関する情報を

  • 合理的な期間内に
  • もし必要なら、過度にならない費用で
  • 合理的な方法で、かつ
  • 本人に容易に理解可能な形態で、本人に知らしめること、
c)前記(a)および(b)の要求が拒否された場合には、その理由が付されること、 およびそのような拒否に異議を唱えることができること。

(d)自己に関する情報に異議を唱えること、 およびそのような異議が認められた場合には、その情報を消去、修正、完全化、 補正させること。

14. 情報管理者の責任 情報管理者は、 前記の諸原則を実施するための措置に従う責任を負う。

9.2 EC/EU指令における基準

1995年10月24日EC指令「個人情報の処理とその円滑な利用における 個人の保護に関する指令 95/46」[49]

第1章 一般条項

第2条

(a) 「個人情報」とは、識別された、 または別されうる自然人(natural person) (情報主体: data subject) に関するあらゆる情報を意味する。識別されうる人とは、とくに識別番号 (identification number)、または その人の肉体的、生理学的、精神的、経済的、 文化的、社会的同一性(identity) に関する一つあるいはそれ以上の要素によって直接的または間接的に識別される可能 性のある人である。

(b) 「個人情報の処理(processing)」とは、自動的処理の如何にかかわらず、 個人情報に対して行われる、(略)

あらゆる単独あるいは組み合わせられた操作を意味する。

(d) 「管理者」とは、単独または他の管理者と協力しながら、 個人情報の処理の目的および手段について決定する自然人、または法人、公官庁 (public authority)、行政機関(agency)、その他組織である。 その処理の目的と手段が、各国 (national)あるいは欧州共同体(Community) の法または規制によって決定されるならば、管理者または管理者の任命の要件は、 国法または欧州共同体法によって定めることができる。

(h) 「情報主体の合意」とは、本人に関連して処理される個人情報について、 情報主体が合意を示すために用いる、 明確 かつその合意の効果に関する知識に基づいた、 あらゆる自発的な彼の意思の表明である。

第2章 個人情報処理の合法性に関する一般規則

第6条 1. 構成国は個人情報が以下のように処理されるべく規定するものとする。

(a) 公正かつ合法に処理されること。

(b) 特定、明示的かつ合法な目的のために収集され、 収集目的と整合しない方法で処理されないこと。(略)

(c) それが収集また処理された目的に照らして、 十分かつ関連性があり過剰でないこと。

(d) 正確であり、また必要ならば、常に最新の状態に維持すること。 収集または処理された目的に鑑みて、不正確または不完全な情報については、 削除されまたは訂正されることを確実なものとするための適切な手順が取られなけれ ばならない。

(e) 収集または処理された目的にてらして必要な限りで情報主体の識別を許すような書式 に留めること。

(略)

第7条 構成国は、個人情報が以下の場合にのみ処理されうることを規定するものとする。

(a) 情報主体が曖昧さなく自らの合意を与えた場合。

(b) 処理が、情報主体が当事者となっている契約の履行に必要である場合、 または契約関係に入る以前の段階において情報主体の要求に基づく手続のために必要 な場合。

(c) 処理が、管理者が服している法的義務を履行するのに必要な場合。

(d) 処理が、情報主体の重大な(vital)利益を保護するために必要な場合。

(e) 処理が、公共の利益(public interest) を実現するためになされる職務の執行のために必要な場合、または、 管理者あるいは情報が開示された第三者に付与された行政的権限に必要な場合。

(f) 処理が、管理者あるいは情報が開示された第三者、 複数の第三者によって追求される合法な利益を目的とする場合。ただし、 この利益より、第1条(1)において保護を義務づけた、 情報主体の基本的権利および自由の諸利益が優先される。

第8条 1. 構成国は、人種または民族的出自、政治的信条、宗教または哲学的信念、 労働組合への加入を明らかにする個人情報の処理、 および健康状態または性的生活に関する情報の処理を禁止するものとする。

2. 第1項は、次の場合には適用されないものとする。

(a) 情報主体がそれらの情報の処理について明示的な同意を与えた場合。ただし、 構成国が第1項で言及された禁止が、 情報主体の同意の表明によって解除されえないとした場合は、この限りでない。

(b) 処理が、十分な濫用防止策を定めた国内法の権限の範囲で、雇用法 (employment law)の分野において、 情報管理者の義務および特定の権利を行使するために必要な場合。

(略)

第10条 情報主体から情報を収集する場合の告知について、構成国は、 管理者または管理者の代表が、 少なくとも以下に規定する種類の告知を自らに関連する情報が収集された情報主体に 与えなければならないと規定するものとする。ただし、 情報主体が既にその告知を受けている場合はこの限りでない。

(a) 管理者の氏名(identity)また存在するならば管理者の代表。

(b) 個人情報が供される処理の目的。

(c) 次のようなあらゆる追加的情報。

  • 個人情報の受取人またはその受取人の類別(categories)
  • 質問に対する返答が義務的なものか、任意のものか、 さらに返答しない場合に生ずるだろう結果
  • (略)

第12条 アクセス権について、構成国は、 全ての情報主体について管理者から自らに関する情報を取得する権利を保障するもの とする。(略)

第14条 情報主体の異議申立ての権利について、構成国は、 情報主体に次の権利を認めるものとする。

(a) 少なくとも第7条(e)乃至(f)に関する事例に関し、 自らに関する個人情報の処理に対して、自らの特別な事情(particular situation) に関する止むにやまれない正当な根拠(compelling legitimate grounds) に基づき、 いつでも抗議すること。ただし、国法の規定により救済が与えられている場合を除く。

(b) ダイレクト・ マーケティングの目的のために処理されると管理者が予告した自らに関連する個人情 報の処理に対して、請求のみにより、かつ費用なしに抗議すること。または、 自らの個人情報が第三者に始めて開示される前、 もしくは自らの個人情報が第三者のダイレクト・ マーケティングの目的のために利用される前に告知されること。また、 それらの開示や利用に対して費用なしに抗議する権利を明示的に提供されること。

(略)

第15条 1. 構成国は、自らに関する法的効果をもたらすような決定、 または自らに深刻に影響するような決定であり、 かつ自らに関連する特定の人格的局面を評価することを意図した個人情報の自動処理 にのみ基づいた決定に従属しない権利を全ての人に認めるものとする。

(略)

第19条 1. 構成国は、告知において与えられるべき内容について明確化するものとする。 それは少なくとも以下の内容を含まなければならない。

(a)管理者の氏名及び住所、また存在するならばその代表者。

(b)処理の目的。

(c)情報主体、および情報主体に関する情報または情報の種類(category of data) の類別(category)の説明。

(d)情報が開示されるだろう、受取人または受取人の種類。

(e)第三国への情報転送の提案。

(f) 情報所の安全を確保するために第17条に準拠して取られた処置の適切さを確実なもの とするための事前評価をできるようにする一般的な説明。

(略)

9.3 ILO条約および勧告における基準

1997年6月19日 ILO条約181号「C181 民間職業安定所条約」[50]

第1条

2. 本条約において「労働者の個人情報の処理」とは、識別された または識別されうる 労働者に関連する情報の収集、蓄積、結合、伝達、その他のあらゆる利用を意味する。

第6条

民間職業安定所による労働者の個人情報の処理は、

(a) 国法および国内基準に合致するように当該情報を保護し、 かつ労働者のプライバシーを尊重すること確実なものとする方法によってなされるも のとし、

(b) 当該労働者の能力および職業上の経験に関連する事項、 および他の直接的に関連する情報に限定されるものとする。

1997年6月19日 ILO勧告188号「R188 民間職業安定所に関する勧告」[51]

11. 民間職業安定所は、 求職者が希望している、または希望するだろう職業の応募者として適切か否かを判断するために必要でない個人情報を、ファイルあるいは登録として記録することを禁じられるべきである。

12. (1) 民間職業安定所は、 情報が収集された特定の目的によって正当化されうる期間に限り、 または潜在的な求職者として[民間職業安定所の] 名簿に記載され続けることを労働者が望む限りにおいて、 労働者の個人情報を蓄積しうるものとする。

(2) 自動処理、電子的システム、 または手作業によって処理される全ての自らの個人情報について、 労働者がアクセスを持ちうるような手段がとられるべきである。これらの手段は、 それら個人情報の複製物を入手し閲読する権利、 および不正確または不完全な情報が削除または修正されることを要求する権利を含む べきである。

(3) 特定の職種に要求される情報に直接関係し、 かつ当該労働者の明示的許可があるのでなければ、民間職業安定所は、 労働者の健康状態に関する情報を要求、維持、または利用すべきでない。また、 職業への労働者の適性を決定するのに、そのような情報を用いるべきでない。

1996年10月 ILO行動準則 「労働者の個人情報保護に関する行動準則」[52]

(別紙資料)

9.4 通産省告示における基準

1997年3月4日 通商産業省告示第98号 「民間部門における電子計算機処理に係る個人情報保護に関するガイドライン」

Note

[1]
菅野 和夫 and 諏訪 康雄, 労働市場の変化の労働法の課題 in 労働上の変化と労働法の課題, 日本労働研究機構 (1996). 馬渡 淳一郎, 職業安定法の再設計, 1996 日本労働研究雑誌 2. 馬渡 淳一郎, 職業安定法制の課題, 1995 ジュリスト 187. 有田 謙司, 職業安定法における民営職業紹介事業の法規制のあり方, 1996 労働法律旬報 6.
[2]
労働者の個人情報保護一般については、竹地 潔, ネットワーク時代における労働者の個人情報保護, 187 季刊労働法 26 を参照。
[3]
また、1980年9月23日 OECD理事会勧告 「プライバシーの保護と個人情報の越境流通に関するガイドライン」(以下、 OECD勧告)第1章1条(b)項、1995年10月24日EC指令 「個人情報の処理とその円滑な利用における個人の保護に関する指令」 (以下、EC指令)第1章2条、1996年 10月 ILO行動規準 「労働者の個人情報保護に関する行動準則」(以下、ILO行動準則 ) 3.3.1定義、JIS, 個人情報保護に関するコンプライアンス・ プログラムの要求事項, JIS Q 15001 (1999) (以下、 JIS Q 15001)も参照。
[4]
プライバシーの定義は、 さまざまな論者によって微妙に異なっており、複雑で曖昧な概念であるとされる。 参照、佐藤 幸治, 権利としてのプライバシー, 1981 ジュリスト増刊 情報公開プライバシー 158. 堀部 政男, 現代のプライバシー, 岩波書店 1980. 堀部 政男, プライバシーと高度情報化社会, 岩波書店 1988. 本稿では、その複雑性について避けた形での定義をした。
[5]
詳細については 「インターネットでの求職活動で発生したトラブル」参照のこと。
[6]
匿名リメーラー (anonymous remailer) という特殊なサービスを提供しているサイトを経由してメールを送ることで、 自分のメールアドレスを受信者から秘密にすることができる。しかし、その場合、 宛先からの返事を受け取ることも不可能になる。
[7]
求職者の個人情報の受付を行っている事業者については、 「国内の求人求職情報サイトの概要」一覧を参照のこと。また 「インターネットでの求職活動で発生したトラブル」一覧を参照すると、 誰でも自由に参入可能なインターネットにおける事業では、 事業内容に問題があると見られる事業者が多数存在していることが伺われる。 派遣事業者や有料職業紹介事業者のサイトでは、 詳細な個人情報の登録を要求するものも存在し、 将来的にはこうした事業者において個人情報の取り扱いに関する紛争が生じる懸念が ある。
[8]
OECD勧告 EC指令 のいずれにおいても、 個人情報処理に関する本人の明示的な同意を必要としている。 この同意が処理一般に関する包括的なものでよいのか、 あるいは個別の処理について逐一同意を必要とするかについては、 個別事例毎に検討する必要があろう。
[9]
求職者において、 プライバシーに関する懸念を示している利用者の割合は約半分であり、 残りの半分の利用者がネットワークを利用して個人情報を提供することに伴う危険に ついて認識を持っているのかどうかが懸念される。
[10]
サーバーに接続中のコンピュータのネットワーク上の所在。たとえば、 machine.company.co.jpという情報。この例としてあげたドメインから、日本の “company”という民間企業の “macihne” というコンピュータから利用者がアクセスしてきていることがわかる。
[11]
例えば、 Web上で利用される簡易プログラミング規約であるCGIにおいては、 以下のような名前の変数に閲覧している側の情報を格納することができる。

CGI、SSIで利用できる環境変数

SERVER_SOFTWARE、 SERVER_NAME、GATEWAY_INTERFACE、SERVER_PROTCOL、SERVER_PORT、REQUEST_METHOD、 PATH_INFO、PATH_TRANSLATED、SCRIPT_NAME、QUERY_STRING、REMOTE_HOST、 REMOTE_ADDR、AUTH_TYPE、REMOTE_USER、REMOTE_IDENT、CONTENT_TYPE、 CONTENT_LENGTH。

SSIで利用できる環境変数

DOCUMENT_NAME、DOCUMENT_URI、QUERY_STRING_UNESCAPED、DATE_LOCAL、DATE_GMT、 LAST_MODIFIED。

また、 HTTP-Cookieというサーバーとブラウザのデータ交換規約によって、 CGIプログラムから“Set-Cookie”ヘッダを出力することによって、 このプログラムを呼び出したブラウザに対して「cookiename=“value”」 という形式で複数のデータを記憶させることが出来る。 このブラウザ側に記録させたデータは、 サーバー側から HTTP-COOKIEという環境変数を参照することで読み出すことができる。 ただし、Cookieは、 発行したサーバーが属するドメインと異なるサーバーには送られず、 記憶させられるデータ量に制限がある。 このCookieとして記憶されている情報を悪意あるサーバーから読み出される可能性も ある。

Cookieの例

ink
gU0BBe0v270718DE3D799EA76E0CC846E753EAD1
goo.ne.jp/
0
3590660096
29294449
1642640992
29174723

加えて、 マイクロソフト社が提唱しているActive-Xという規格では、 サーバー側からブラウザが起動しているクライアント・ コンピュータを基本ソフトを経由して操作することができるために、クライアント・ コンピュータに記録されている個人情報を読み出すことも可能だといわれている。

[12]
Webサーバーでは運用管理上の必要から運用の記録(ログ)をとっており、 保存している。このログには、クライアントのドメイン、接続時間、 転送されたファイルの名前等が記録されている。
[13]
現状の技術では、 取得できる個人情報としては、せいぜいメールアドレスまでで、 それ以上詳細な個人情報を取得することはできない。
[14]
「インターネットで集まった求職者に関する情報の管理方法」の質問項目では、 求人側企業の41.1%が「パスワードによる管理を行っている」としている。 「とくに配慮はしていない」とする7.3%の事業者を含めて、 約半数について応募者のプライバシー・ 個人情報保護の意識が不十分であるといえよう。
[15]
アンケートにしばしば用いられる手段で、 さまざまな項目について利用者が入力できるようになっている。 ブラウザ側で入力されたデータは、CGIプログラムによって、 または電子メールを利用してサーバー側に転送される。
[16]
電子メールのヘッダを見ると、 そのメールがどのような経路で転送されてきたかを知ることができる。 経由されたコンピュータには、 一時的にしてもそのメールは読み出し可能な状態で蓄積されていたのである。

電子メールヘッダの例

Received: from higashi.higashi.hit-u.ac.jp (unverified [133.46.140.1]) by leo.misc.hit-u.ac.jp
(EMWAC SMTPRS 0.83) with SMTP id ;
Tue, 03 Mar 1998 04:46:45 +0900
Received: from imsp015.netvigator.com (imsp015.netvigator.com [205.252.144.206]) by higashi.higashi.hit-u.ac.jp (8.6.12+2.5Wb7/3.4W) with ESMTP id EAA01641 for ; Tue, 3 Mar 1998 04:33:17 +0900
From: sndinfo@netvigator.com
Received: from hkstar.hkstar.com (hhtam027248.netvigator.com [208.139.108.248])
by imsp015.netvigator.com (8.8.8/8.8.8) with SMTP id DAA25541
for ; Tue, 3 Mar 1998 03:44:54 +0800 (HKT)

[17]
例えば、 マイクロソフト社の Internet Explorerでは、 セキュリティ上懸念のあるサイトからデータを受信するさいに、 警告ダイアログを表示する。しかしそのダイアログには 「次からこの警告を表示しない」旨のチェックボックスがついており、 このチェックボックスを選択すると、それ以降 この警告は表示されなくなる。
[18]
例えば、 William Stallings, インターネット・セキュリティのすべて, (森田 進 trans., 1997)参照。
[19]
本研究会でのヒアリングでは、 暗号化システムを求職者との間の通信に導入している企業は見られなかった。
[20]
フランスのCNIL(情報処理と自由全国委員会: 独立行政機関)1985年勧告では、 採用コンサルタント業および求人側について、 情報の安全および秘密保持のために有益なあらゆる予防措置を講ずる義務を負うとす る。盛 誠吾, フランスにおける雇用とプライバシー・個人情報保護, in 情報公開・プライバシーの比較法, 209 (堀部 政男 ed., 1996).
[21]
例えば、 Stallings97, supra note 19.
[22]
この点について、 JIS Q 15001が制定され、 企業内における総合的な個人情報保護のため指針が提示されたことは、意義深い。
[23]
クラッカーについては、拙稿「ハッカー倫理と情報公開プライバシー」 in 「高度情報化の法体系と社会制度」 科学研究費補助金・重点領域研究報告書, (1995).
[24]
参照、 ILO総会報告書「労働市場の機能の枠組」.
[25]
ILO行動準則 5.8、6.2、6.3、6.4等参照。またEC指令 第10条参照。
[26]
「あると良いホームページやサービスの種類」という質問項目について、求人側では、 「技術者など特定求職者を対象とした求人情報のホームページ」47.5%、 「希望職種等を登録し求人側が求職者を検索するホームページ」 52.3%が見られる一方、求職側に対する「今後あれば使いたいサービスの種類」 として、「自分の適職についてインターネット上で調べられるサービス」 をあげる求職者が60.3%見られる。 この両者の要求が合致するサービスの形態としては、 実質的に求人求職マッチング事業ということになろう。また、 実際にこうしたサービスの構想を掲げる事例も見られる。アメリカでは、 American Job BankシステムとAmerican Talent Bankシステムを統合して、 コンピュータによる自動マッチングをさせる事業が開始されている。
[27]
現時点では、 インターネットを経由した求職者個人情報の交換は、あまり行われていない。これは、 インターネットにおけるプライバシー・個人情報保護の懸念が、 そうしたネットワークを利用した個人情報の交換に消極的な態度を導いているとも考 えられる。「インターネットでの求人の欠点」として、 セキュリティ上の不安を掲げる企業は29.5%存在している。

日本労働弁護団が1996年12月25日に発表した 「有料職業紹介制度の規制緩和に関する意見」( 日本労働弁護団, 有料職業紹介制度の規制緩和に関する意見, 1997 労働法律旬報 30. 以下、弁護団意見)でも、 紹介手数料に関する規制緩和に関連して「求職労働者に関する情報収集が、 労働者の適性や能力に関する事項を越えて、 身元調査等不当な差別につながる情報に及ぶ危険もあり、 その内容が公になることがまずない実体に鑑みると、 労働者の適職につく権利と均等な機会の確保、 さらには労働者のプライバシーの侵害が放置される危険もある。 これらの危険から労働者の権利を確保する十分な措置が講じられないまま、 報告のような手数利用緩和を進めることは、なお深刻な問題を引き起こすことになる」 と指摘している。プライバシーに関する十分な手当てがなければ、 求人求職情報事業は、 その経済活動にさまざまな法的制限が掛けられることになるだろう。

[28]
自社でWebサイトを運用していながら、 求人求職専門のWebサイトにも求人情報を掲載する企業が多数を占めた。 これについて、「専門会社のホームページの方がアクセスが多いから」 46.2%という理由が多かった。これは、求職側が求人情報に特化したWebサイトを好み、 かつそれ以上の検索をあまり行わないことを反映している。このことは 「求人専門のホームページ閲覧のきっかけ」として、 求職側があげた回答の中で最も多いのが「検索エンジンでみつけた」 63.2% であることが示しているし、「今後あれば使いたいサービスの種類」 として求職側があげているサービスは、特定の分野に関する求人情報を一元的・ 一覧的に把握しうるものといえる。また、 インターネットを使った求職活動上の問題点として、求職側が指摘する 「情報内容の信頼性、信憑性の保証がない」39.3%が、 企業としての信用力を持つ特定事業者への人気の集中をうかがわせる。

こうしたことから、インターネットにおける求職求人情報事業は、専門職・ 事務職のように職業の分野毎に、または新卒・ 中途採用のように求職者の類型毎にセグメント化しながらも、 それぞれの領域においては、寡占化する傾向を持つのではないかとも推測される。 「国内の求人求職情報サイトの概要」でも、求人媒体社の優位が指摘されている。 しかし、 寡占状態は労働市場における求職者の立場を弱いものにすることが考えられるので、 独占禁止的対策が必要とされるかもしれない。

[29]
「インターネットを使って求職活動する場合の問題点」として、 「入力した個人情報が流用、悪用されないか懸念がある」とする求職者は、 61.1%に上っており、かつ「求人情報のサイト等を利用していない理由」 として 12.4%が「インターネットはプライバシー保護の面で不安がある」としている。 さらに「インターネットで求職活動する上での今後の改善点」として 62.2%が 「個人情報が外部に漏れないなどセキュリティが向上すること」をあげている。
[30]
逆に言えば、 悪質業者が存在し、かつ求職者のプライバシー・個人情報保護意識が低い場合は、 個人情報保護の対策は、顧客に対する戦略的サービスとはなりえなくなる。また、 公的主体によって行われる求人求職情報提供活動において収集され処理される個人情 報については、公的主体に市場原理が働かない (すなわち、 民間における意味での倒産がない)という意味で、規制がない場合、 適切な保護措置が取られない危険がある。こうした観点から、 民間企業に対する規制よりもまず公的部門に対する基準作りが急がれる。
[31]
インターネットそれ自体がセキュリティについて脆弱なシステムであることがしばし ば指摘される。そうであればこそプライバシー上微妙な情報を取り扱う事業者は、 自らの個人情報保護体制やセキュリティ対策を向上させることで、 利用者を引き付けることができるだろう。そういう意味では、 インターネットにおける仲介事業の本質的部分として、セキュリティ・ サービス事業が含まれうる。
[32]
個人情報の保護の問題は、 業紹介事業を市場化する際に整備すべき前提条件の一つといえよう。 菅野 諏訪 supra note 1 at 16. Arita96, supra note 1, at 12.
[33]
労使関係におけるプライバシーについては、道幸 哲也, 職場における自立とプライヴァシー, 37 et seq. (1995) および、 竹地 supra note 2 参照。例えば、現行法上でも1988年の 「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」おいては、 職員の人事関係情報を規制対象から除外している。このように、 被用者の個人情報についての保護がほとんど期待できないわが国の現状では、 「顧客データの保護」という視点を導入できる求人求職情報事業者を介在させた方が、 むしろ求職者の個人情報の保護に有利であると考える。
[34]
「インターネットでの求人活動に関しての考え」という質問項目について、 「できるだけ自由な求人活動ができるようにすべきである」 47.4%がこうした考え方の表われと見ることができよう。
[35]
諸外国では、一般的・ 包括的差別禁止規定を根拠として、出身、性別、風俗、家族状況、民族、国籍、人種、 宗教、健康状態、障害に関する条件を付けた募集を禁ずる事例がある。 ILO行動準則4.6.5(1)では、収集禁止情報として、性生活、政治、 宗教、信条、刑事上の有罪判決を掲げている。また、 収集に当たって法もしくは協約による許可を必要とする情報として、 4.6.6 労働組織の構成員たる事実、4.6.7医療上の個人情報を掲げている。また、 4.6.8では、求職者が、 こうした収集禁止又は収集制限情報について質問を受けたとき、質問に対して、 不正確もしくは不適切な答えをしたとしても、雇用関係を終了されたり、 懲戒処分を受けることがないとする。また、EC指令 第8条、 1977年6月19日ILO勧告188号「民間職業安定所に関する勧告」 (以下、ILO勧告188号) 12.(3)等も参照。 こうした求職者に関するプライバシー情報の収集の是非についても検討する必要があ るだろう。
[36]
現在のわが国の雇用慣行では、 雇用主が被用者の広汎な個人情報を把握することが人事労務管理の前提となっている。 しかしながら、 ネットワークを活用した在宅勤務やサテライトオフィスの活用が模索されている現在 では、被用者の広汎な個人情報を把握することを前提とした人事労務管理体制は、 見直しが必要なのではないかと考える。
[37]
ここでいう仲介事業者には労働組合が含まれている。 営利目的の民間事業者と労働組合では、その目的や理念は異なっているだろうが、 ここでの議論で、労働市場における機能は同一だと考える。
[38]
職業安定法51条には 「公共職業安定所の業務又は職業安定機関以外の者の行う職業紹介、 労働者の募集若しくは労働者供給事業に関して、労働者、 雇用主その他の者から知りえた労働者又は雇用主の個人的な情報は、すべて秘密とし、 これを他に漏らしてはならない」とあり、求人求職情報事業者は、求職者、 求人者双方に秘密保持義務を負う。また、ILO行動準則13.1では、 「使用者が労働者の採用につき雇用斡旋機関を利用している場合には、使用者は、 雇用斡旋機関に対し、 本準則上の諸条項に合致するように個人情報を処理することを要求しなければならな い」としている。また、ILO条約181号 第6条(a)も参照。さらに、 労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律 において、 職業安定法51条に該当するような派遣労働者の個人情報保護規定が欠けていたため、 この欠缺を補うための改正作業が進行中である。
[39]
OECD勧告 第2章 9、EC指令 第6条、第14条、 ILO行動準則 5.2、5.3 参照。
[40]
ある種のプライバシーに属するような種類の個人情報を提供しなければ、 求人先に紹介しない、というような圧力によって、 求職者がやむを得ず情報を提供しなければならない立場に追い込まれる、 という可能性もある。このことから、 収集が禁止される種類の個人情報については法によって強制することが必要だろう。
[41]
馬渡 淳一郎, ILO96号条約見直しの背景と今後の方向, 1996 労働法律旬報 6, 9.
[42]
この観点は、 1996年12月の労働省 「有料職業紹介事業制度の改正に関する中央職業安定審議会の建議について」中の 「措置の在り方について」で示された事後的措置を重視することで、 事業への参入を容易にしようとする態度とは逆行することになるかもしれない。 個人情報保護の面に限定して事前防止的措置をとる手法がありうるか、または、 事後的措置で個人情報保護が可能であるかについて検討する必要があるだろう。
[43]
ILO総会報告書第5章「新しい国際文書の採択に向けて」 (改正される基準)の部分に、「しかし、こうした[市場化] プロセスには当然競争の激化が伴うほか、公平な市場慣行が損なわれる可能性もある。 そうなれば、その影響は労働者に及ぶばかりでなく、善意の使用者も悪弊に「駆逐」 される危険性がある」とする指摘がある。
[44]
EC指令 でも、第6章 「個人情報の処理に係る個人の保護に関する監督組織および作業部会」を設けて、 同指令の内容の実行を監督する責任を負う独立組織の設置を奨励している。
[45]
基準の存在は、 企業においては対策の動機付けと目標となるものである。 事業の自由化と規制緩和を前提とするならば、公的基準による規整は、 参入障壁とならないように、最低限のものに留めることが望ましい。 その一方でその最低基準を確保するために罰則を設けることも考慮すべきである。
[46]
個人情報の漏洩に伴う損害額の確定が困難であることから損害賠償額について明文で 規定を置く方が迅速な救済には有効かもしれない。また民間企業の場合、 保険をうまく活用することで、 消費者の利益と企業が費やすセキュリティおよび個人情報保護努力が調和することが 考えられる。この場合においても、損害賠償額の上限が法定されているほうが、 保険の設計が容易になるという利点がある。
[47]
こうした、 求人者求職者間のプライバシー意識、セキュリティ意識を高めることは、 個人情報の流失から当事者が被る不利益を未然に予防するだけでなく、 民間企業が個人情報の保護をセールス・ポイントとして競争するための前提となる。 たとえば、自治体の行政情報公開について市民団体が、 その開示の程度を毎年調査して結果を公表している。このことで、 自治体が行政情報を公開するための動機付けを強化しているのである。
[48]
Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (23, Sep. 1980).
[49]
Directive 95/46/EC -- On the protection of individuals with regard to the processing of personal data and on the free movement of such data (24, Oct. 1995)
[50]
C181 Private Empoyment Agencies Convention, 1997 (19 Jun. 1997).
[51]
R188 Private Employment Agencies Recommendation, 1997 (19 Jun. 1997).
[52]
Code of practice on the protection of worker's personal data, 1996 (Oct. 1996). 参照 道幸 哲也, 労働者の個人情報保護に関するILOの行動準則について, 47 世界の労働 7, 30--34.

─────── * ───────

to Hideaki's Home 白田 秀彰 (Shirata Hideaki)
法政大学 社会学部 助教授
(Assistant Professor of Hosei University, Faculty of Social Science)
e-mail: shirata1992@mercury.ne.jp