ペンシルベニア州ローワー・メリオン学区は、コンピューター活動の監視において許容される範囲について、徹底的な訓練を受けている。事実関係はまだ解明されておらず、捜査や訴訟も係属中だが、効果的かつ合法的な監視プログラムを実施するために、ここから得られる教訓はいくつかある。
1.開示。「監視」と「スパイ行為」を区別する上で最も重要なステップの一つは、何が許容されるかを明確にし、コンピュータの活動や通信が監視される可能性があることを事前に通知することです。
一般的に、監視方法や時期を明記する必要はありません。企業が活動を監視する権利を留保するという免責事項は、ほぼ標準的です。しかし、個人の自宅にあるノートパソコンのウェブカメラを、本人の承諾なしに、あるいは本人の同意なしに有効化できるというのは、グレーゾーンを逸脱しており、単なる監視行為から、たちまち不気味なスパイ行為へと転落してしまいます。
2.裁量権。監視が行われる可能性があることが開示されている場合でも、監視方法と時期(特に家庭でも使用されるノートパソコンなどの機器の場合)、監視を実施する権限を持つ個人、監視を通じて収集されたデータにアクセスする権限を持つ個人などについて、何らかの管理措置を講じる必要があります。
企業が従業員のネットワークやコンピュータの活動を監視することは法的権利の範囲内である場合もありますが、違法または疑わしい活動に従事している従業員のプライバシー権は、それらの活動が同僚、他部署の管理者、または従業員の生産性に利害関係のないその他の関係者に広く公開された場合、侵害される可能性があります。
3.個人的使用。この問題については、陪審員、つまりこの場合は米国最高裁判所がまだ判断を下していないが、カリフォルニア州オンタリオの警察官がオンタリオ警察を訴えた事例を踏まえると、個人的使用も認められている場合、企業のネットワークと機器を監視する権利は、暗黙のプライバシーの期待に取って代わられる可能性がある。
基本的に、会社には自社ネットワークおよび会社支給の機器上での通信や活動を監視する権利があります。しかし、会社が従業員に対し、会社支給の機器を使用して個人的な業務や通信を行うことを許可すると規定している場合、その許可にプライバシーの期待が伴うかどうかはやや曖昧になります。
4.割り勘は避ける。オンタリオ州警察のケースでは、問題を複雑化させているもう一つの要因は、警察官に基本プランが提供され、過度な個人使用による超過分を負担するよう求められたことです。警察官にサービス料金の一部を負担するよう求められたという事実は、ある程度のプライバシーの暗黙の期待も含んでいます。同様に、ローワー・メリオン学区の生徒や、会社支給のノートパソコンを自宅で使用している従業員の場合のように、実際には個人がインターネットサービスの料金を支払っているため、会社(または学区)がその活動を監視することは権限の逸脱に当たる可能性があります。
5.自動化。監視ソフトウェアを活用することで、監視プロセスを自動化し、特定の個人の個人情報を漏洩したりプライバシーを侵害したりすることなく、相関データの集約的なビュー(全体像)を提供できます。過剰な利用や、疑わしい、あるいは不正な活動の兆候があれば、さらに詳しく調査することができます。ただし、雇用主側による不正行為(実際のものもそうでないものも含む)を防止するために、ガイドラインや閾値を設定し、これらの行動に関する明確に定義されたポリシーを策定する必要があります。
IT管理者は、生産性を維持し、法的責任を回避し、コンプライアンス要件を満たすための綿密な監視と、従業員のプライバシー侵害との間でバランスを取る必要があります。監視とスパイ行為の境界線は時として曖昧であり、オンタリオ州警察とローワー・メリオン学区の事例はどちらも、監視の倫理性と合法性に影響を与える可能性があります。
トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。 @Tony_BradleyPCWとしてツイートしており、 Facebookページから連絡を取ることができます。
