Spyrix logo

ソフトウェア

電話トラッカー

Mac

購入

ダウンロード

仕事

サポート

会社

Spyrix logo

ソフトウェア

電話トラッカー

電話トラッカー

ペアレンタルコントロール

ペアレンタルコントロール

Mac

価格

サインアップ

私のアカウント

オンライン監視法

Spyrixチームは、雇用主が従業員のオンライン活動を合法的に監視する方法を概説した主要な法律および文書を収集しています。また、監視ツールを個人的な目的でどのように使用するかについてのガイドラインも提供しています。

グローバルな国際行為

GDPR(欧州連合一般データ保護規則)

GDPRは欧州連合(EU)の中核となるデータ保護規則であり、EU域内の個人の個人データを処理するあらゆる組織に適用されます。組織の所在地は問いません。オンライン活動の監視、従業員の監視、そしてあらゆる形態のデジタルトラッキングは、個人データが関与する限り、GDPRの適用範囲に含まれます。

GDPRでは、正当な利益、契約の履行、明示的な同意の取得など、有効な法的根拠がある場合のみ、監視は一般的に合法とされています。組織は、監視ツールを導入する前に、監視の必要性、妥当性、そして個人のプライバシーへの過度の干渉がないことを確認する必要があります。

GDPRでは、企業に対し、正当な利益評価(LIA)を実施すること、また、監視によってより高いリスクが生じる可能性がある場合は、データ保護影響評価(DPIA)を実施することを義務付けています。これらの評価は、監視の正当性を判断し、データ収集リスクを軽減する方法を特定するのに役立ちます。

透明性は不可欠です。個人は、監視の種類、目的、収集されるデータ、法的根拠、アクセス権を持つ者、データの保管期間について、事前に明確に知らされなければなりません。非公開または秘密裏の監視は一般的に制限されており、国内法で定められた非常に限定された状況下でのみ許可されます。

GDPRはデータの最小化も重視しており、組織は特定の目的に必要なものだけを収集することが求められます。明確な正当な理由なく、継続的または過度に侵入的な監視を行うことは、GDPRの原則に違反する可能性があります。

オンライン監視ツールの場合、最も関連性の高い GDPR 義務は次のとおりです。

  • 監視に関する明確な通知の提供

  • 必要なデータのみを収集する

  • 適切な技術的および組織的なセキュリティ対策の使用

  • 処理の法的根拠の特定と文書化

  • 個人が権利を行使できるようにする(アクセス、削除、異議申し立てなど)

OECDプライバシーガイドライン(経済協力開発機構)

OECDプライバシーガイドラインは、データ保護とプライバシーに関する国際的に認められた原則を示しています。法的拘束力はありませんが、世界中の各国のプライバシー法に影響を与え、責任あるデータ取り扱いの枠組みとして機能します。

ガイドラインは、公平性、透明性、目的の限定、データの品質、セキュリティ対策、オープン性、そして説明責任を重視しています。これらの原則は、組織が個人データを明確かつ正当な目的にのみ収集し、個人がデータの使用方法を理解できるようにすることを推奨しています。

オンラインおよび従業員のモニタリングに関しては、OECDガイドラインは透明性、適正性、プライバシーの尊重を重視した慣行を支持しています。モニタリングに関する詳細な規則は含まれていませんが、責任あるデータガバナンスを促進し、モニタリングを直接規制する各国の法律にも影響を与えています。

実際には、ガイドラインでは組織に次のことを推奨しています。

  • 監視方法を明確に伝える

  • データ収集を必要なものに限定する

  • 監視対象データを不正アクセスから保護する

  • 公平性と必要性​​を考慮して監視方法を定期的に見直す

GDPR のように強制力はありませんが、OECD プライバシー ガイドラインは、合法的かつ倫理的な監視に関する世界標準とベスト プラクティスの形成に役立ちます。

アメリカ合衆国

活動

適用される場合

監視の範囲

主な要件

Spyrixユーザー向けの注意事項

CCPA

カリフォルニア

個人情報を収集する監視

プライバシー通知、アクセス/削除の権利、データ共有のオプトアウト

監視によって識別子、アクティビティ ログ、または使用状況データが収集される場合に適用されます

CPRA

カリフォルニア

Monitoring involving "sensitive" data or detailed profiling

目的の制限、データの最小化、機密データに対するより厳格なルール

ツールが地理位置情報、行動パターン、詳細なデジタルアクティビティを記録する場合に重要

ECPA

連邦(米国)

電子通信(電子メール、チャット、キー入力)の傍受またはアクセス

コンテンツの傍受に関する制限。雇用主の例外には通知が必要となることが多い。

キーロギング、メール監視、画面コンテンツのキャプチャに非常に関連しています

FLSA関連ガイダンス

連邦(米国)

労働時間や生産性を追跡するために使用されるモニタリング

時間追跡は正確な賃金の裏付けとなる必要があり、勤務時間外の未払いの活動は禁止される。

プライバシー法ではありませんが、給与決定における監視データの使用方法に影響します。

州ごとの監視法

州によって異なります (ニューヨーク州、コネチカット州、デラウェア州、コロラド州、バージニア州、ユタ州など)

従業員と職場システムの電子監視

多くの場合、書面による通知または明示的な承認が必要です

複数の州にまたがる雇用主は、統一された監視ポリシーと州の追加から恩恵を受ける

カナダ

PIPEDA(個人情報保護および電子文書法)

  • カナダ全土の民間組織に適用されます(州法で置き換えられる場合を除く)。

  • オンラインおよび従業員の監視を含む、個人情報の収集、使用、開示をカバーします。

  • 組織は監視の明確な目的を特定し、必要に応じて意味のある同意を得る必要があります。

  • 監視は合理的で、必要なものに限定され、透明性のある方法で実施されなければなりません。

  • 従業員には、監視対象、監視理由、情報の使用方法について通知する必要があります。

  • 個人情報は適切なセキュリティ保護手段で保護する必要があります。

州プライバシー法(アルバータ州PIPA、ブリティッシュコロンビア州PIPA、ケベック州法25)

  • それぞれの州内の民間組織に応募します。

  • 一般的には PIPEDA の原則を反映していますが、同意、保持、従業員のプライバシーに関するルールがより厳しくなる場合があります。

  • 監視はビジネス目的に合致し、明確に伝達されたポリシーに準拠している必要があります。

  • 雇用主は、監視ツールを通じて個人情報を収集する前に、従業員に通知する必要があります。

  • 一部の州では、収集されるデータの種類、データの保存期間、アクセス権を持つユーザーを説明するポリシーが義務付けられています。

  • 組織は、従業員が要求に応じて個人情報にアクセスできるようにする必要があります。

イギリス

英国GDPR

  • 従業員およびオンライン アクティビティの監視を含む、英国における個人データの処理に適用されます。

  • Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).

  • 監視は必要かつ適切なものであり、過度に侵入的なものであってはなりません。

  • 雇用主は、リスクの高い監視(継続的な追跡、キーロギングなど)に対してリスク評価または DPIA を実施する必要があります。

  • 透明性を重視: スタッフは監視対象、監視理由、データの使用方法および保存方法を知る必要があります。

2018年データ保護法

  • 英国 GDPR を補足し、追加のルールと免除を提供します。

  • 雇用状況と法執行機関のアクセスに関する具体的な規定を定めます。

  • 監視データに対するデータの最小化、目的の制限、セキュリティの原則を強化します。

  • 個人に個人データにアクセスする権利を与え、場合によっては特定の種類の監視に異議を申し立てる権利を与えます。

RIPA(捜査権限規制法)

  • 通信の傍受、監視および秘密監視の使用を規制します。

  • 一般的に、同意または適切な権限のない通信の傍受を制限します。

  • 従業員を(本人に知らせずに)秘密裏に監視することは、重大な不正行為の調査や適切な場合など、非常に限られた状況でのみ許可されます。

ICO雇用慣行規範(および関連ガイダンス)

  • 職場での監視に関する英国情報コミッショナー事務局からの拘束力のないガイダンス。

  • 監視は過剰ではなく対象を絞って行う必要があり、明確なビジネス ニーズに基づいて正当化される必要があることを強調します。

  • 新しい監視ツールを導入する前に影響評価を実施することを推奨します。

  • 雇用主に対して、監視対象、監視方法、監視目的を明確に説明した書面によるポリシーを作成するようアドバイスします。

  • 協議、透明性、および労働者のプライバシーに対する合理的な期待の尊重を重視します。

オーストラリアとニュージーランド

1988年プライバシー法(オーストラリア)

1988年プライバシー法は、オンラインおよび従業員のモニタリングを通じて収集されたデータを含む、オーストラリアの組織による個人情報の取り扱いに関する包括的な枠組みを定めています。この法律は、組織に対し、合理的に必要な情報のみを収集し、その情報の使用方法について透明性を保ち、情報を安全に保管することを義務付けています。この法律には職場における詳細な監視規則は含まれていませんが、個人を特定するモニタリングは、一般的にオーストラリアのプライバシー原則、特に通知、目的の限定、およびアクセス権に関する規定が適用されます。実際には、これは、モニタリングツールを使用する雇用主およびサービスプロバイダーが、明確な事業目的を定義し、過度な追跡を避け、プライバシーポリシーおよび社内文書においてその慣行を説明する必要があることを意味します。

職場監視法(州レベル、オーストラリア)

オーストラリアのいくつかの州および準州では、2005年職場監視法(ニューサウスウェールズ州)や2011年職場プライバシー法(オーストラリア連邦)といった職場監視法を通じて、監視をより直接的に規制しています。これらの法律は通常、雇用主がカメラ、コンピューター、追跡監視をいつどのように使用できるかを規定しており、監視開始前に事前の書面による通知、目立つ標識、明確なポリシーの設置を義務付けることがよくあります。目立たない監視は厳しく制限されており、通常は特定の権限がある場合、または重大な不正行為や違法行為の調査の場合にのみ許可され、日常的なパフォーマンス追跡には許可されません。オンライン監視ツールの場合、これは、影響を受ける州の雇用主が従業員に対し、コンピューター、インターネット、または電子メールの使用が監視される可能性があることを明確かつタイムリーに通知し、監視が法定条件に準拠していることを確認する必要があることを意味します。

2020年プライバシー法(ニュージーランド)

ニュージーランドの2020年プライバシー法は、国のプライバシー枠組みを近代化し、職場やオンライン監視を通じて収集された情報を含む、顧客データと従業員データの両方に適用されます。この法律は、組織に対し、合法かつ必要な目的にのみ情報を収集すること、その慣行について透明性を保つこと、そして個人が個人情報にアクセスできるようにすることを義務付けています。規制当局のガイダンスでは、従業員の監視、録音、または撮影は適切な範囲で行われ、プライバシー法と雇用法の両方に準拠した明確な職場ポリシーによって裏付けられるべきであると強調されています。雇用主は、従業員と協議し、監視の必要性を説明し、特に継続的または詳細な追跡を可能にするツールを使用する場合は、信頼と士気への影響を考慮することが推奨されます。

アジア太平洋地域

PDPA (個人データ保護法) – シンガポール

  • 従業員データや監視データなど、組織が取り扱う個人データをカバーします。

  • 監視には明確かつ合法的な目的が必要です。

  • 通常、同意または別の有効な根拠が必要となります。

  • 透明性、適切な通知、データ保護の安全対策に重点を置いています。

  • 保持は必要なものに限定する必要があります。

PDPA – マレーシア

  • 商業および雇用の文脈で処理される個人データに適用されます。

  • 同意は監視データの収集における主な要件です。

  • データは公正かつ特定の目的のために処理される必要があります。

  • 保持制限、データ セキュリティ、サードパーティ プロセッサに関するルールが含まれます。

個人情報保護法(日本)

  • 顧客と従業員の両方の個人データの取り扱いを管理します。

  • 組織は監視の目的を定義し、伝達する必要があります。

  • データのセキュリティと個人情報を取り扱うスタッフの適切な監督を重視します。

  • 監視は適切なものであり、社内ポリシーに準拠している必要があります。

  • 従業員は状況に応じてアクセスおよび修正する権利を持つ場合があります。

PIPL(個人情報保護法)– 中国

  • 職場と消費者のデータを対象とする包括的なデータ保護法。

  • 監視には明確な目的、データの最小化、透明性が必要です。

  • 特に監視に機密データや詳細なデータが含まれる場合には、同意が必要になることがあります。

  • 処理の保持、セキュリティ、および文書化に関して厳格な要件を設定します。

  • 監視対象データにアクセスし、修正し、削除を要求する権利を個人に与えます。

ラテンアメリカ

LGPD (レイ ジェラル デ プロテソン デ ダドス) – ブラジル

ブラジルのLGPD(個人情報保護法)は、オンラインまたは職場でのモニタリングを通じて収集された情報を含む、あらゆる個人データの利用を規制しています。組織はモニタリングを行うための明確な法的根拠と、その目的を説明する必要があります。モニタリングは必要最小限に限定され、透明性を保ちながら実施され、適切なセキュリティ対策によって裏付けられるべきです。個人は、個人データにアクセスし、修正し、削除を要求する権利を有します。

アルゼンチン、メキシコ、チリの国家プライバシー法

これらの国々では、監視ツールを通じて収集された個人データに適用される国内データ保護法が存在します。共通の要件には、合法的な目的を持つこと、監視について個人に通知すること、データの安全性を維持することが含まれます。監視は合理的かつ適切な範囲で行うべきであり、個人は一般的に自身の情報にアクセスまたは更新する権利を有します。具体的な規則は異なりますが、透明性と必要性​​は地域全体で一貫して期待されています。

中東地域

UAEデータ保護法(DPL / PDPL)

UAEの連邦データ保護法は、従業員を含むUAEの個人に関する個人データを処理する組織に適用されます。モニタリングについては、明確かつ合法的な目的が求められ、データ収集は必要最低限​​に限定され、透明性とセキュリティが重視されます。組織は、モニタリングについて従業員に通知し、その理由を文書化し、モニタリング対象データの取り扱いに関する社内ポリシーと安全対策を整備する必要があります。

カタールデータプライバシー保護法

カタールの個人データプライバシー法は、電子的に処理される、または電子的に処理されることを意図した個人データを対象としています。この法律は個人のデータプライバシー権を認めており、監視システムを通じて収集されたデータを含む個人データを処理する前に、原則として同意またはその他の正当な根拠が必要となります。組織は適切なセキュリティ対策を実施し、個人データの使用方法について透明性を確保し、個人が自身の情報にアクセスし、修正する権利を尊重しなければなりません。

サウジアラビアの個人データ保護法(PDPL)

サウジアラビアのPDPLは、国内外の組織による、サウジアラビア国内の個人に関する個人データの処理に適用されます。モニタリングに関しては、組織は明確な目的を定義し、書面によるプライバシーポリシーを策定し、個人にデータの収集方法と使用方法を通知することが求められます。同意は多くの場合、処理の重要な根拠となりますが、法律では特定の事業上、法的、および公益上の理由による処理も認められています。モニタリングツールを使用する雇用主は、モニタリング対象データを保護し、アクセスを制限し、PDPLの透明性、セキュリティ、および保持に関する規則に従って従業員情報を取り扱うことが求められます。