関連画像

写真拡大

「◯◯さんのSlackのDM(ダイレクトメッセージ)の履歴をすべて提出してほしい」。そうした要望を会社から受けたらどう対応すべきかーー。都内のIT企業の情報システム部門で働くKさんから、弁護士ドットコムニュース編集部にこうした相談が寄せられました。

Kさんによると、実際に会社からそうした要望を受けたことはないそうですが、Kさんは、「限られたメンバーだけが閲覧可能なSlackのDMは、社内ツールとはいえ秘匿性が高い」と考えています。一方で、Kさんの同僚の中には「社内ツールなのだから、会社に見られるのは仕方ないのでは」と考える人もいました。

そこで、Kさんは「DMのメンバー以外にログなどの情報を渡すのは、プライバシーなどの観点から問題があるのでは?」と、編集部に相談を寄せたそうです。

前提として、多くの企業で業務連絡に使われているチャットツール「Slack」には、そのグループ(会社)のメンバーなら誰でも見られる、「パブリックチャンネル」と、限られたメンバーだけが閲覧できる「プライベートチャンネル」、個人間のやりとりである「ダイレクトメッセージ(DM)」の3種類があります。

Kさんは、Slackの管理者権限を持っていますが、会社が求められたら、理由を問わずDMのデータを会社に提出しなければならないのでしょうか。SlackのDMのログをエクスポート(過去のログの抽出、資料化)することの問題点について解説します。

●技術的な問題:SlackのDMのエクスポート方法は?

SlackのDMなどをエクスポートする場合、どういう手続きが必要かは、Slackの契約プランや設定により異なっています。

たとえば、Slackのフリープランやプロプランでは、管理者が直接エクスポートの操作をすることはできず、都度Slackへの申請が必要です。

これに対し、ビジネスプラスプランやエンタープライズプランでは、オーナーは一定の要件を満たし、セルフサービスツールを申請・利用することで、Slack側の個別審査なしにDMをエクスポートできます。

Kさんの会社はビジネスプラスプランとのことで、担当者がエクスポートを行うことは技術的には可能です。

●法的な問題:SlackのDMに対する、プライバシー保護の程度は限定的

次に法的な問題です。管理権限を持っていて、エクスポートが可能な場合でも、好き放題に内容をエクスポートしてしまうと、違法とされる可能性があります。

SlackのDMについて直接判断した裁判例は見つからなかったのですが、会社の電子メールを従業員が私的に利用するケースでは以前から問題となっており、いくつか裁判例があります。

東京地裁平成13年(2001年)12月3日判決(F社Z事業部事件)では、社内ネットワークシステムを用いた電子メールの私的使用について、従業員に一定のプライバシー権が認められるが、その範囲は限定的であるとしています。

具体的には、

・電子メールの場合には、通常の電話などとは違い、通信の内容がサーバーコンピューターや端末内に記録される

・社内のネットワークシステムには管理者が存在し、ネットワーク全体を適宜監視しながら保守を行っているのが通常である

これらのことから、利用者は、通常の電話の場合と全く同じプライバシー保護を期待することはできず、そのシステムの具体的な事情の中で、合理的な範囲での保護を期待できるにとどまるとしており、結論としても労働者側からの損害賠償請求を棄却しています。

SlackのDMも、プランなどによる仕組みの差こそあるものの、上で説明した状況と似ているため、ある程度この私用メールの問題と同じように考えることができそうです。

つまり、一定のプライバシー権は認められるものの、完全なプライバシー保護までは期待できない、ということになりそうです。

●システム管理者は、会社の求めに応じる義務がある?

Kさんが悩んでいるのは、「会社から求められたら、システム管理者は理由を問わずDMのデータを会社に提出しなければならないのか?」という点です。

この問題は、

1)そもそもこのエクスポート自体が適法に行える性質のものなのか、
2)仮に違法であるとして、会社から違法な業務命令が下された場合に、システム管理者のKさんがそれに従わないことができるか、

という2つの問題に分解して考えられます。

●1)エクスポートは適法に行えるか?

裁判例からすると、エクスポートが適法に行えるかどうかは、以下の1から4のような要素を総合的に考慮して判断されるでしょう。

1. エクスポート権限のある者からの依頼があるか

たとえば、システム管理者に依頼した会社の人間が、職務上従業員のSlackのDMにつき、目的に沿った調査をする権限や責任がある立場の者であることが必要でしょう。

2.DMをエクスポートする職務上の合理的必要性があるか

労働法上、社会通念上相当な範囲では私用メールも許されると考えられています。そこで、対象となる従業員がDMを濫用しているなどの事情が具体的に疑われるような場合でないと、エクスポートの合理的必要性は認められないと考えられます。

特定の従業員に圧力をかける目的や、個人的な好奇心を満たす目的などでのエクスポートの場合には、合理的な必要性は認められないでしょう。

3. 適正な手続きに基づき、適正な手法でエクスポートしているか。エクスポートが恣意的でないか

たとえば、エクスポートを求める者から管理権者への申請や、Slackの運営会社に提出する資料に虚偽の説明がされており、それに基づきエクスポートがなされる場合などは、適正な手続に基づくものとはいえない可能性が高いでしょう。

4. エクスポートされる側に生じた不利益の程度が大きすぎないか

不利益とは、具体的にはDMを見られることにより従業員に生じるプライバシー侵害の大きさなどです。

●私用メールに関する裁判例では「適法」とされているものが多いが‥

以上のように、社内アカウントのSlackのDMを監視することに対しては、プライバシー権が一応認められるものの、限定的であることに注意が必要です。

私用メールに関する事例については、私が調べた限りでは、実際に訴訟になったケースの多くが適法とされているようです。

たとえば、ハラスメント被害の申告を受けた後の証拠確認、企業秘密の盗難に関する調査、規制により記録保管が義務付けられている場合、裁判所命令に基づく開示などが挙げられます。

日経クイック情報事件(東京地裁平成14年(2002年)2月26日判決)では、誹謗中傷メールの送信者を特定するための調査として、労働者のメールをモニタリングした事案において、企業秩序違反の調査を目的とした正当な行為であるとして、労働者からの損害賠償請求を棄却しています。

この裁判例は監視に関するものですが、エクスポートについても考え方は参考にできると思います。

なお、Slackの「DM」は、プライベートなやりとりとして特にパブリックチャンネルなどとは区別して設けられているシステムです。企業によっては、DMでのやりとりを禁止している場合もあるでしょう。

DMによるやりとりを明示的に禁止していない企業の場合、ある程度社内でのプライベートなやりとりを尊重していると考えられます。そこで、通常の電子メールの私用の場合と比べて、より強く従業員のプライバシーを保護すべき、と解釈される余地はあるでしょう。

つまり、実際に裁判になった場合を想定すると、SlackのDMをエクスポートするケースの方が、私用メールのログを確認する場合よりも、企業側の違法が認定されやすいのではないかと思われます。

●2)違法な業務命令に従わないことができるか

次に、問題の2)です。仮に違法な業務命令であった場合に、Kさんはそれに従わないことができるでしょうか。

また、Kさんのケースのように、理由もなしに経営層から「◯◯さんのSlackのDMの履歴をすべて提出してほしい」と要望された場合はどうでしょうか。

まず、労働法上、違法な業務命令に従う義務はないと考えられているため、違法であることがはっきりしていれば、Kさんはエクスポートを拒むことができるでしょう。

ただし、エクスポートが違法かどうかは、目的、手段、態様などを総合的に考慮して判断されるため、判断が難しい場合もあります。

たとえば違法だと思って業務命令に従わなかったが、実は業務命令が適法だった場合、Kさんのような管理者が業務命令違反として不利益を受ける可能性があります。

次に、提出の目的が不明な場合、安易に要望に従ってしまうことにはリスクがあります。

使用者が、雇用している労働者に関して収集する個人情報についても、個人情報保護法の適用があります。

同法では、個人情報を取り扱うにあたって利用目的をできる限り特定し(法17条)、あらかじめ通知・公表している目的の範囲内で取り扱うこと(法18条)が義務づけられています。

また、目的不明のままでエクスポートしてしまい、結果的に「不適正な利用(違法または不当な行為を助長し、または誘発するおそれがある方法による利用)」(法19条)を許してしまうおそれもあります。

具体的には、エクスポートの本当の目的が、特定の従業員に対して圧力をかけることだったり、労働組合活動の妨害だったりした場合です。

システム管理者は、利用目的が不明な場合には、同法に違反するおそれがあるとして、エクスポートを拒めると考えられます。

●システム管理者が違法なエクスポートをした場合、誰がどんな責任を負うか?

まず、依頼者だけでなく、システム管理者も、従業員に対する不法行為責任(民法709条)を負う可能性があります。

会社は、システム管理者や依頼者(部長など)が会社の業務の範囲内で行為した場合、使用者責任(民法715条)を負う可能性があります。

また、不適正な方法で個人情報を利用した場合には、個人情報保護委員会の勧告や命令、公表の対象となり(個人情報保護法148条)、それでも命令に従わない場合には罰則があります。(依頼者につき1年以下の拘禁刑または100万円以下の罰金(同法178条)、会社につき1億円以下の罰金刑(同法184条1項1号))

●社内規程があれば何でも許されるのか?

なお、就業規則等でエクスポートの可能性を事前に告知している場合とそうでない場合では、プライバシー保護の期待の程度が異なります。

裁判例によれば、就業規則等でモニタリングを実施することを明確に規定し、従業員に周知している場合、モニタリングを行ってもプライバシー権侵害の問題は生じにくいとされています。

これは、従業員がモニタリングされることを知った上で会社のシステムを利用しているため、プライバシー保護の期待が低いことによるものです。この考え方は、SlackのDMをエクスポートするケースについてもあてはまると考えられます。

しかし、社内規程があれば何でも許されるわけではありません。

社内規程があっても、エクスポートの適法性は、エクスポートの目的、手段、態様などを総合的に考慮して判断されます。個人的な好奇心等によるエクスポートや、特定社員の評価を下げるための情報収集などは、社内規程があっても違法となる可能性があります。

●Kさんはどのように対応すべきか

以上みてきたように、この相談は様々な法的問題が複雑に絡み合った非常に難しい問題であり、一人で抱え込まないようにすべきです。

まず、このように法的な観点から問題がありそうなケースでは、法務部門やコンプライアンス窓口に相談し、協力して対応すべきでしょう。

次に、経緯をできるだけ証拠として残しておくようにすべきです。たとえば依頼者(部長など)からの依頼内容だけでなく、情報システム部門内部や法務部門とのやりとりなども含みます。

目的が不明なままエクスポートを求められた場合、違法な要求である可能性があるため、経営層からの要求であるからといって安易に応じてしまうのは危険だと考えます。

(参考資料)
- 労働判例研究 第986回(1066)「私的メールの調査に関するルールが存在しない状況下でメールの閲読が許容される条件-F社Z事業部(電子メール)事件」(永野仁美)

平成14年度重要判例解説 労働法3 「社内ネットワークにおける電子メールの私用とプライバシー-F社Z事業部事件」(竹地潔)

メディア判例百選(別冊ジュリストNo.179)「116 電子メールの私的利用と監視・調査-F社Z事業部(電子メール)事件(荒木尚志)」

監修:小倉匡洋(弁護士ドットコムニュース編集部記者・弁護士)