オンラインモニタリング法およびプライバシーコンプライアンス上の考慮事項
最終更新日:2026年5月
オンラインモニタリングソフトウェアは、組織が会社のリソースを保護し、生産性を向上させ、デジタル業務がどのように行われているかを理解するのに役立ちます。しかし、従業員、デバイス、オンライン活動、または通信をモニタリングすることは、個人データおよび職場のプライバシー規則に関わる場合があります。
このページでは、認可されたモニタリングソフトウェアの使用に関連するプライバシーおよびコンプライアンス上の考慮事項について、一般的な概要を提供します。透明性、合法的目的、データ最小化、セキュリティ、保存、およびユーザー通知など、主要なプライバシーおよび職場モニタリングの枠組みに見られる共通テーマを取り上げています。
具体的な要件は、国、州、業界、デバイスの所有権、収集されるデータの種類、およびモニタリングの設定方法によって異なる場合があります。
免責事項: このページは一般的な情報提供のみを目的として提供されるものであり、法律上の助言を構成するものではありません。プライバシー、職場モニタリング、労働、および電子通信に関する法律は管轄区域によって異なり、具体的な使用事例、デバイスの所有権、業界、従業員への通知、同意要件、および収集されるデータの種類によって左右される場合があります。
Spyrixは、特定のモニタリング設定が貴組織にとって合法であるかどうかを判断するものではありません。モニタリングソフトウェアを使用する前に、適用される法律および内部ポリシーを確認し、必要とされる場合にはユーザーに通知し、モニタリングを必要かつ正当な目的に限定し、適切な場合には資格のある法律専門家に相談するべきです。
グローバルおよび地域のプライバシー枠組み
GDPR(一般データ保護規則 - 欧州連合)
GDPRは、欧州連合の中核的なデータ保護規則です。EU域内または域外の組織が、EU域内の個人に関わる特定の場合を含め、GDPRの域外適用範囲に該当する形で個人データを処理する場合に適用されることがあります。オンライン活動のモニタリング、従業員モニタリング、およびその他の形式のデジタルトラッキングは、個人データを伴う場合、その適用範囲に含まれる可能性があります。
GDPRの下では、モニタリング活動には一般的に有効な合法的根拠が必要であり、必要性、比例性、および透明性が確保されるべきです。状況に応じて、組織は正当な利益、契約上の必要性、法的義務、または同意などの合法的根拠に依拠する場合があります。雇用関係においては、雇用主と従業員の関係性により、同意が常に適切であるとは限りません。
正当な利益に依拠する場合、組織は、モニタリングの目的が合法的で、必要であり、関係する個人の権利および自由との均衡が取れているかを評価し、文書化する必要があります。モニタリングが個人の権利および自由に高いリスクをもたらす可能性がある場合、データ保護影響評価(DPIA)が必要となることがあります。
透明性は不可欠です。個人には一般的に、モニタリングの種類、目的、収集されるデータのカテゴリー、合法的根拠、データにアクセスできる者、およびデータの保存期間について、事前に通知されるべきです。秘密裏または非開示のモニタリングは非常に慎重な取り扱いを要し、多くの場合違法となる可能性があり、適用される現地法に基づいて個別に評価されるべきです。
GDPRはまた、データ最小化を重視しており、組織に対し、定められた目的に必要な個人データのみを収集するよう求めています。明確な正当性のない継続的または過度に侵害的なモニタリングは、GDPRの原則と相反する可能性があります。
オンラインモニタリングツールに関して、最も関連性の高いGDPR上の考慮事項には一般的に以下が含まれます。
必要な場合にモニタリングに関する明確な通知を提供する
必要かつ関連性のあるデータのみを収集する
適切な技術的および組織的なセキュリティ対策を使用する
処理の合法的根拠を特定し、文書化する
該当する場合、正当な利益または高リスク処理を評価する
アクセス、削除、異議申し立て、制限など、適用されるプライバシー権を個人が行使できるようにする
公式情報源:
規則(EU)2016/679 - 一般データ保護規則 EUR-Lexに掲載されたGDPRの公式本文。
GDPRの域外適用範囲に関するEDPBガイドライン3/2018 GDPRがEU域内および域外の組織に適用される可能性がある場合を説明しています。
規則2016/679に基づく同意に関するEDPBガイドライン05/2020 GDPRに基づく有効な同意に関するガイダンスを提供しています。
欧州委員会 - データ保護影響評価が必要となるのはいつか? 高リスクの個人データ処理についてDPIAが必要となる場合を説明しています。
EDPS - 職場における電子通信の私的利用 職場通信、プライバシーへの期待、および比例的なモニタリングに関するガイダンスを提供しています。
OECDプライバシーガイドライン(経済協力開発機構)
OECDプライバシーガイドラインは、プライバシーおよび個人データ保護に関する国際的に認められた原則を提供しています。各国または地域の法律と同じような法的拘束力はありませんが、多くの国のプライバシー枠組みおよびデータ保護方針に影響を与えてきました。
このガイドラインは、収集制限、データ品質、目的の明確化、利用制限、セキュリティ保護、公開性、個人参加、および説明責任などの中核的なプライバシー原則を重視しています。これらの原則は、責任あるデータ取扱いを支え、組織が明確に定義された適切な目的のためにのみ個人データを収集・利用することを促します。
オンラインおよび従業員モニタリングに関して、OECDプライバシーガイドラインは、モニタリングに特化した詳細な規則を提供しているわけではありません。しかし、モニタリングの実務が透明性を備え、正当な目的に限定され、適切な保護措置によって守られ、説明責任を果たしているかどうかを評価するための有用なプライバシー枠組みを提供しています。
OECDプライバシーガイドラインはGDPRのように強制力を持つものではありませんが、責任あるプライバシー意識の高いデータ処理に関する重要な国際的参照点であり続けています。
実務上、これらの原則は、組織が以下を検討する際に役立つ場合があります。
モニタリングの実施内容を明確に伝える
データ収集を、定められた目的に必要な範囲に限定する
監視されたデータを不正アクセスから保護する
個人に対し、そのデータがどのように使用されるかについて適切な情報を提供する
公平性、必要性、および比例性の観点から、モニタリングの実務を定期的に見直す
公式情報源:
プライバシー保護および個人データの国際流通に関するOECDガイドライン プライバシー原則および関連する枠組みを含むOECDの公式刊行物。
OECD - プライバシーおよびデータ保護 グローバルなプライバシーおよびデータ保護枠組みにおけるプライバシーガイドラインの役割を説明するOECDの概要ページ。
米国
米国では、職場およびオンラインモニタリングは、連邦法、州のプライバシー法、電子通信規則、賃金・労働時間要件、および業界別規制の組み合わせによって規律されています。あらゆる状況を対象とする単一の全国的な従業員モニタリング法はありません。要件は、州、収集されるデータの種類、通信が傍受またはアクセスされるかどうか、デバイスが会社所有か個人所有か、およびモニタリングデータがどのように使用されるかによって異なる場合があります。
枠組み | 適用される地域 | モニタリングの範囲 | 一般的なコンプライアンス上の考慮事項 | モニタリングソフトウェアに関係する理由 |
|---|---|---|---|---|
CCPA / CPRA | カリフォルニア州;対象事業者 | 特定の従業員、応募者、請負業者、デバイス、オンライン活動、および機微な個人情報を含む、個人情報の収集および利用 | 収集時の通知、プライバシーポリシーでの開示、アクセス/削除/訂正の権利、該当する場合のオプトアウト権、機微な個人情報の特定の利用に関する制限 | カリフォルニア州居住者から、識別子、デバイスデータ、インターネットまたはアプリケーションの活動、位置情報、行動データ、またはその他の個人情報をモニタリングが収集する場合に関連します |
ECPAおよび関連する連邦電子通信規則 | 米国連邦法;州の盗聴および通信法も適用される場合があります | メール、チャット、通話、メッセージ、または特定のオンライン通信など、電子通信の傍受またはアクセス | 無許可の傍受またはアクセスを避ける;同意、認可、プロバイダー例外、または業務目的例外が適用される可能性があるかを評価する;州別の同意および盗聴規則を確認する | 通信モニタリング、メール/チャットの確認、画面内容のキャプチャ、キーストローク記録、およびメッセージ内容を取得する可能性のあるツールに非常に関連性があります |
FLSA関連の賃金および労働時間規則 | 米国連邦法;州の賃金法も適用される場合があります | 労働時間、給与計算、残業、または生産性に関する判断のための、モニタリング、出勤、活動、または時間追跡データの使用 | 時間および活動の記録は、正確な賃金計算を支えるものであるべきです;非免除従業員には、労働したすべての時間について賃金が支払われなければなりません;雇用主は正確な時間報告を妨げないようにするべきです | モニタリングデータが労働時間の計算、出勤確認、残業の確認、または給与および賃金関連の判断を支えるために使用される場合に関連します |
州別の電子モニタリングおよびプライバシー法 | 州によって異なります;例として、従業員モニタリング通知規則に関するニューヨーク州、コネチカット州、デラウェア州などがあります | 従業員の通信、インターネット利用、コンピューターシステム、職場デバイス、またはその他の個人データの電子モニタリング | 一部の州では、書面または電子的な通知、従業員の確認、職場での掲示、または特定のポリシー文言が必要です;その他の州のプライバシー法では、機微データ、生体認証データ、または消費者の権利に関する義務が追加される場合があります | 複数州で事業を行う雇用主は、単一の一般的な米国向けポリシーのみに依拠すべきではありません;州別の通知、同意文言、保存規則、および内部アクセス管理が必要となる場合があります |
公式情報源:
カリフォルニア州司法省 - カリフォルニア州消費者プライバシー法(CCPA) CCPAの権利、必要な通知、オプトアウト権、訂正権、削除権、および機微な個人情報に関する権利についてのカリフォルニア州司法省の公式概要。
カリフォルニア州プライバシー保護局 - 法律および規則 CCPA/CPRAの規則および規則制定に関するカリフォルニア州プライバシー保護局の公式ページ。
米国法典 - 18 U.S.C. 第2511条:有線、口頭、または電子通信の傍受および開示の禁止 電子通信の傍受に関する米国法典の公式本文。
米国司法省 - 1986年電子通信プライバシー法 ECPAおよび電子・デジタル通信との関係に関する司法省の概要。
米国労働省 - フィールド支援公報第2020-5号 労働時間の追跡および補償に関連するDOLの公式ガイダンス。リモートワークの状況も含まれます。
ニューヨーク州公民権法第52-c条 - 電子モニタリングを行う雇用主;事前通知が必要 特定の従業員電子モニタリングについて事前通知を求めるニューヨーク州の公式法令。
コネチカット州一般法第31-48d条 - 電子モニタリング通知 電子モニタリングを行う雇用主の通知要件を扱うコネチカット州の公式法令。
デラウェア州法典第19編第705条 - 電話通信、電子メールおよびインターネット利用のモニタリングに関する通知 電話、メール、およびインターネット利用のモニタリングに関する通知要件を扱うデラウェア州の公式法令。
カナダ
PIPEDA(個人情報保護および電子文書法)
PIPEDAは、商業活動の過程で個人情報を収集、利用、または開示するカナダの多くの民間部門組織に適用されます。従業員の個人情報については、PIPEDAは一般的に連邦規制対象の職場に適用されますが、一部の州には独自の民間部門向けプライバシー法があります。
PIPEDAは、識別子、デバイスデータ、オンライン活動、アプリケーション利用状況、通信関連データ、および生産性記録を含む、オンラインまたは従業員モニタリングを通じて収集される個人情報を対象とする場合があります。
組織は、モニタリングの明確な目的を特定し、収集を必要な範囲に限定し、透明性のある方法で個人情報を取り扱うべきです。
同意が必要な場合、その同意は意味のあるものであり、どのデータが収集されるのか、なぜ収集されるのか、どのように使用されるのか、および誰がアクセスできるのかについての明確な情報に基づくべきです。
従業員には一般的に、何が監視されるのか、なぜモニタリングが使用されるのか、その情報がどのように使用されるのか、およびどのくらいの期間保存される可能性があるのかを通知するべきです。
モニタリングを通じて収集された個人情報は、適切なセキュリティ保護措置によって保護されるべきです。
州のプライバシー法(アルバータ州PIPA、ブリティッシュコロンビア州PIPA、ケベック州法25)
アルバータ州、ブリティッシュコロンビア州、およびケベック州には、それぞれの州内で適用される可能性のある民間部門向けプライバシー法があります。
これらの法律は一般的に、合理的な目的、限定的な収集、透明性、アクセス権、保存期間の制限、および適切な保護措置など、類似したプライバシー原則に従っています。
従業員モニタリングについては、要件は州、職場の種類、モニタリングの目的、データの機微性、およびそのモニタリングが雇用関係の管理にとって合理的であるかどうかによって異なる場合があります。
雇用主は、必要とされる場合、モニタリングツールを通じて個人情報を収集する前に従業員に通知するべきです。
一部の州では、どの個人情報が収集されるのか、なぜ収集されるのか、どのくらいの期間保存されるのか、および誰がアクセスできるのかを説明するポリシーまたは通知が必要となる場合があります。
複数のカナダの州で事業を行う組織は、モニタリングソフトウェアを導入する前に、連邦および州の両方の要件を確認するべきです。
公式情報源:
カナダプライバシーコミッショナー事務局 - PIPEDA カナダの連邦民間部門プライバシー法の公式概要。
カナダプライバシーコミッショナー事務局 - 職場におけるプライバシー 職場のプライバシー、従業員の個人情報、および雇用主の責任に関するガイダンス。
カナダプライバシーコミッショナー事務局 - 意味のある同意を取得するためのガイドライン カナダの民間部門プライバシー法に基づく意味のある同意に関するガイダンス。
アルバータ州政府 - 個人情報保護法 アルバータ州の民間部門プライバシー法に関するアルバータ州政府の公式ページ。
アルバータ州政府 - 従業員個人情報 アルバータ州PIPAが従業員個人情報にどのように適用されるかに関するガイダンス。
BC Laws - 個人情報保護法 ブリティッシュコロンビア州の個人情報保護法の公式本文。
Legis Quebec - 民間部門における個人情報の保護に関する法律 ケベック州の民間部門プライバシー法の公式本文。
英国
UK GDPR
従業員およびオンライン活動のモニタリングを含む、英国における個人データの処理に適用されます。
正当な利益、法的義務、契約上の必要性、または適切な場合の同意など、モニタリングには明確な合法的根拠が必要です。
モニタリングは必要で、比例的で、透明性があり、過度に侵害的であってはなりません。
雇用主はリスク評価を実施するべきであり、継続的な追跡、キーロギング、またはその他の侵害的なモニタリングなど、モニタリングが個人に高いリスクを生じさせる可能性がある場合には、データ保護影響評価(DPIA)を完了する必要がある場合があります。
スタッフは一般的に、何が監視されるのか、なぜ監視されるのか、どのデータが収集されるのか、どのように使用されるのか、誰がアクセスできるのか、およびどのくらいの期間保存されるのかを知っているべきです。
2018年データ保護法
UK GDPRを補完し、個人データの処理に関する追加の規則、条件、および例外を定めています。
特別カテゴリーのデータ、犯罪関連データ、雇用関連の処理、および法執行機関による処理に関連する規定を含みます。
データ最小化、目的の限定、セキュリティ、説明責任、および個人の権利などの原則を強化します。
個人は一般的に、自身の個人データにアクセスする権利を有し、場合によっては特定の種類の処理に異議を申し立てる権利を有します。
RIPAおよび関連する傍受規則
2000年調査権限規制法および関連する英国の傍受規則は、特定の種類の通信の傍受およびアクセスを規制しています。
通信の傍受は、合法的な権限、同意、またはその他の適用可能な法的根拠もしくは例外がない限り、制限される場合があります。
職場モニタリングについては、特にメール、チャット、通話、メッセージ、またはその他の通信内容を伴う可能性がある場合、通信モニタリングは慎重に評価されるべきです。
秘密裏または非開示のモニタリングは非常に慎重な取り扱いを要し、多くの場合違法となる可能性があり、明確な正当性と適切な法的確認がある例外的な状況でのみ検討されるべきです。
ICO雇用慣行ガイダンス
英国情報コミッショナー事務局は、労働者のモニタリングおよび従業員の個人データの取扱いに関するガイダンスを提供しています。
ICOは、モニタリングは対象を絞り、比例的で、明確な目的によって正当化され、過度であってはならないと強調しています。
雇用主は、モニタリングツールを導入する前に、特にモニタリングが侵害的または継続的である場合、労働者への影響を考慮するべきです。
雇用主は、何が監視されるのか、なぜ監視されるのか、データがどのように使用されるのか、誰がアクセスできるのか、およびどのくらいの期間保存されるのかを説明する明確な書面のポリシーを作成するべきです。
このガイダンスは、透明性、説明責任、適切な場合の協議、および労働者の合理的なプライバシー期待の尊重を重視しています。
公式情報源:
ICO - 雇用慣行およびデータ保護:労働者のモニタリング 労働者のモニタリングおよび関連するデータ保護義務を含む、雇用慣行に関するICOの公式ガイダンスハブ。
ICO - 合法的根拠に関するガイド UK GDPRに基づく個人データ処理の合法的根拠に関するICOガイダンス。
ICO - DPIAはいつ必要か? データ保護影響評価が必要となる場合を説明するICOガイダンス。
legislation.gov.uk - 2018年データ保護法 2018年データ保護法の公式本文。
legislation.gov.uk - 2000年調査権限規制法 2000年調査権限規制法の公式本文。
GOV.UK - 通信傍受:実務規範 通信傍受に関する英国政府の実務規範。
オーストラリアおよびニュージーランド
1988年プライバシー法(オーストラリア)
1988年プライバシー法は、オンラインモニタリングまたは職場関連システムを通じて収集される可能性のある特定のデータを含め、オーストラリアの組織が個人情報をどのように取り扱うかについての包括的な枠組みを定めています。
同法は、対象組織に対し、合理的に必要な情報のみを収集すること、個人情報がどのように使用されるかについて透明性を確保すること、およびそれを安全に保つことを求めています。
同法には詳細な職場監視規則は含まれておらず、民間部門の雇用主が取り扱う従業員記録は、一定の場合にオーストラリアプライバシー原則の適用を免除されることがあります。ただし、個人情報を伴うモニタリングは、従業員記録の免除が適用されない場合、サービス提供者が従業員データを取り扱う場合、またはその他のプライバシー義務が生じる場合など、一部の状況では引き続きプライバシー法の対象となる可能性があります。
実務上、モニタリングツールを使用する雇用主およびサービス提供者は、明確な事業目的を定義し、過度な追跡を避け、プライバシーポリシーおよび内部文書でその実務を説明し、関連する州または準州の職場監視法を考慮するべきです。
職場監視法(オーストラリア州レベル)
オーストラリアの一部の州および準州では、ニューサウスウェールズ州の2005年職場監視法(Workplace Surveillance Act 2005)やオーストラリア首都特別地域の2011年職場プライバシー法(Workplace Privacy Act 2011)など、職場監視法によって職場モニタリングをより直接的に規制しています。
これらの法律は、雇用主がカメラ、コンピューター、および追跡監視をいつ、どのように使用できるかを管理する場合があり、多くの場合、モニタリング開始前に事前の書面通知、明確なポリシー、および特定の条件を求めます。
秘密または隠密の監視は厳しく制限されており、特定の権限または法的承認が必要となる場合があります。これは、通常の業績追跡の方法として扱われるべきではありません。
オンラインモニタリングツールに関しては、影響を受ける州および準州の雇用主は、必要とされる場合、明確かつ適時の通知を提供し、コンピューター、インターネット、メール、または追跡監視が適用される法定条件に沿っていることを確保するべきです。
2020年プライバシー法(ニュージーランド)
ニュージーランドの2020年プライバシー法は、同国のプライバシー枠組みを定めており、職場またはオンラインモニタリングを通じて収集される情報を含め、機関が取り扱う個人情報に適用されます。
同法は、組織に対し、合法かつ必要な目的のためにのみ情報を収集すること、その実務について開示的であること、および該当する場合には個人に自身の個人情報へのアクセスを提供することを求めています。
規制当局のガイダンスでは、従業員のモニタリング、録音、または撮影は、プライバシー法およびプライバシー原則に沿って行われなければならないと強調されています。雇用主はまた、モニタリングが従業員の信頼、士気、および職場関係にどのような影響を与えるかを考慮するべきです。
雇用主には、スタッフと協議し、モニタリングが必要な理由を説明し、明確な職場ポリシーを使用し、継続的または詳細な追跡の影響を考慮することが推奨されています。
公式情報源:
OAIC - プライバシー法 オーストラリアの1988年プライバシー法およびオーストラリアプライバシー原則の公式概要。
OAIC - 従業員記録の免除 民間部門の雇用主による従業員記録の取扱いが、オーストラリアプライバシー原則の適用を免除される場合について説明しています。
OAIC - 職場のモニタリングおよび監視 職場モニタリングが州、準州、およびその他の関連するオーストラリア法に関わる可能性があることを説明するガイダンス。
ACT Legislation - 2011年職場プライバシー法 2011年職場プライバシー法に関するACTの公式法令ページ。
ニュージーランド法令 - 2020年プライバシー法 ニュージーランドの2020年プライバシー法の公式本文。
ニュージーランドプライバシーコミッショナー - 2020年プライバシー法 ニュージーランドのプライバシー原則の公式概要。
Employment New Zealand - 従業員のプライバシー 従業員のプライバシー、職場モニタリング、従業員の録音・録画・撮影に関するガイダンス。
アジア太平洋地域
PDPA(個人データ保護法)- シンガポール
従業員またはオンラインモニタリングを通じて収集される可能性のあるデータを含め、組織によって収集、使用、または開示される個人データを対象とします。
組織に対し、適切な目的のために、かつ同意、みなし同意、または認められる場合のその他の適用可能な例外に基づいて、個人データを収集、使用、または開示することを求めています。
透明性、適切な通知、目的の限定、およびデータ保護措置を強く重視しています。
組織は、個人データが収集、使用、または開示される目的について、個人に通知するべきです。
保存期間は、法的または事業上の目的に必要な範囲に限定されるべきです。
PDPA - マレーシア
雇用関連の文脈で個人データが収集または使用される場合を含め、商取引において処理される個人データに適用されます。
組織に対し、一般原則、通知および選択の原則、開示原則、セキュリティ原則、保存原則、データ完全性原則、およびアクセス原則を含む主要な個人データ保護原則を遵守することを求めています。
組織は、個人データ収集の目的およびデータがどのように使用されるかについて、明確な通知を提供するべきです。
データは、特定され明示された目的のために処理され、適切なセキュリティ対策によって保護され、必要以上に長く保存されてはなりません。
保存、データセキュリティ、アクセス権、訂正権、および第三者処理に関する規則を含みます。
APPI(個人情報の保護に関する法律)- 日本
顧客および従業員の個人データを含む、事業者およびその他の対象事業体による個人情報の取扱いを規律します。
組織に対し、利用目的を特定し、その明示された目的の範囲内で個人情報を取り扱うことを求めています。
個人データを取り扱う従業員およびサービス提供者のデータセキュリティ、正確性、保存管理、および適切な監督を重視しています。
個人情報を伴うモニタリングの実務は、内部ポリシーおよび明示された利用目的に沿ったものであるべきです。
個人は、状況に応じて、開示、訂正、利用停止、または削除の権利を有する場合があります。
PIPL(個人情報保護法)- 中国
中国国内における個人情報処理、および中国国内の個人に関わる中国国外での一定の処理活動を対象とする包括的な個人情報保護法です。
明確かつ合理的な目的、データ最小化、透明性、および適切なセキュリティ対策を求めています。
多くの場合、同意が必要となる可能性がありますが、状況に応じてその他の合法的な処理根拠が適用される場合もあります。
機微な個人情報、一定の開示、越境移転、またはその他の高リスクな処理活動については、別個の同意が必要となる場合があります。
個人に対し、アクセス、訂正、削除、同意の撤回、および処理規則の説明などの権利を与えています。
公式情報源:
シンガポールPDPC - 個人データ保護法 シンガポールの個人データ保護法の公式概要。
シンガポールPDPC - データ保護義務 同意、通知、目的の限定、保護、および保存などの主要な義務を説明するPDPCの公式ページ。
シンガポールPDPC - PDPAの主要概念に関する助言ガイドライン 同意および例外を含む、PDPAの主要概念を説明する公式ガイダンス。
マレーシア個人データ保護局 - 2010年個人データ保護法 2010年個人データ保護法に関するマレーシア政府の公式ページ。
マレーシア個人データ保護局 - 個人データ保護の原則 マレーシアの7つの個人データ保護原則の公式概要。
マレーシア個人データ保護局 - 個人データ保護通知に関するガイダンス 個人データ保護通知の作成に関する公式ガイダンス。
日本個人情報保護委員会 - 個人情報の保護に関する法律 日本の個人情報の保護に関する法律の公式英訳。
日本個人情報保護委員会 日本のプライバシー規制当局の公式ウェブサイト。
中国国家法律法規データベース - 個人情報保護法 中国の個人情報保護法の公式中国語本文。
中国サイバースペース管理局 - 個人情報保護法 中国の個人情報保護法に関するCACの公式公表。
ラテンアメリカ
LGPD(Lei Geral de Protecao de Dados)- ブラジル
ブラジルのLGPDは、デジタル手段によって処理されるデータを含む、個人データの処理を規制しています。データが識別された、または識別可能な個人に関するものである場合、オンラインまたは職場でのモニタリングを通じて収集された情報に適用されることがあります。
組織は、モニタリングに適切な法的根拠を特定し、データ収集の目的を説明するべきです。モニタリングは必要な範囲に限定され、透明性をもって実施され、適切なセキュリティ対策によって支えられるべきです。
個人には、アクセス、訂正、削除、ポータビリティ、データ共有に関する情報、および該当する場合の同意撤回を含む権利が認められる場合があります。
アルゼンチン、メキシコ、チリの国家プライバシー法
アルゼンチン、メキシコ、チリには、状況および関係するデータの種類に応じて、モニタリングツールを通じて収集された個人データに適用される可能性のある国家データ保護枠組みがあります。
地域全体に共通するプライバシー上の期待には、明確かつ適切な目的を有すること、データ収集について個人に通知すること、データ利用を必要な範囲に限定すること、および適切な保護措置によって個人データを保護することが含まれます。
個人は、適用される法律に応じて、自身の個人データへのアクセス、訂正、更新、削除、または特定の利用への異議申し立ての権利を有する場合があります。
具体的な要件は国によって異なり、時間の経過とともに変更される可能性があるため、組織はこれらの市場でオンラインまたは職場モニタリングを導入する前に、最新の現地規則を確認するべきです。
公式情報源:
ブラジル - 法律第13,709/2018号、一般個人データ保護法(LGPD) ブラジルのLGPDの公式統合本文。
アルゼンチン - 情報アクセス庁:個人データ保護 個人データ保護に関するアルゼンチン当局の公式ページ。
チリ - 私生活の保護に関する法律第19,628号 チリの個人データ保護法の公式本文。
チリ - 個人データの保護および処理に関する法律第21,719号 チリの近代化されたデータ保護枠組みの公式本文。
中東地域
UAEデータ保護法(2021年連邦法令第45号)
UAEの連邦個人データ保護法は、個人データの処理に関する一般的な枠組みを定めています。同法の適用範囲、および適用されるセクター別またはフリーゾーンの規則に応じて、UAEで個人データを処理する組織、またはUAE国内の個人の個人データを処理する組織に適用される場合があります。
モニタリングに関して、組織は明確かつ合法的な目的を定義し、データ収集を必要な範囲に限定し、透明性とセキュリティを強く重視するべきです。
組織は、必要とされる場合、モニタリングについてスタッフに通知し、個人データを収集する理由を文書化し、監視されたデータを取り扱うための内部ポリシーおよび保護措置を整備するべきです。
カタールデータプライバシー保護法
カタールの個人データプライバシー法は、電子的に処理される、または電子処理を目的とする個人データを対象としています。
同法は、個人のデータプライバシーに対する権利を認めており、個人データ処理が透明性、公正性、およびプライバシーの尊重などの原則に従うことを求めています。
モニタリングシステムについては、組織は明確かつ合法的な目的を有し、必要とされる場合には個人に通知し、適切なセキュリティ対策によって個人データを保護するべきです。
組織はまた、利用可能な場合には、アクセス権および訂正権を含む適用される権利を尊重するべきです。
サウジアラビア個人データ保護法(PDPL)
サウジアラビアのPDPLは、同王国内における個人データの処理を規制し、サウジアラビア国内の個人の個人データを伴う場合には、同王国外での一定の処理活動にも適用されることがあります。
モニタリングに関して、組織は明確な目的を定義し、プライバシーポリシーを採用し、個人データがどのように収集・使用されるかを個人に通知するべきです。
多くの場合、同意が必要となる可能性がありますが、状況に応じてその他の合法的な根拠が適用される場合もあります。
モニタリングツールを使用する雇用主は、監視されたデータを保護し、内部アクセスを制限し、不必要な収集を避け、PDPLの透明性、セキュリティ、および保存要件に沿って従業員情報を取り扱うべきです。
公式情報源:
UAE法令 - 個人データの保護に関する2021年連邦法令第45号 UAE連邦個人データ保護法の公式本文。
カタールAl Meezan - 個人データプライバシー保護に関する2016年法律第13号 カタールの個人データプライバシー法の公式英語PDF本文。
SDAIA - データ保護法 サウジアラビアの個人データ保護法に関するサウジデータ・AI庁の公式ページ。
SDAIA - 個人データ保護法 サウジアラビアの個人データ保護法の公式英語版。
責任あるモニタリングのための最終的な考慮事項
オンラインおよび従業員モニタリングに関する法律は、国、州、業界、および職場環境によって大きく異なります。同じモニタリングツールであっても、その設定方法、収集されるデータ、ユーザーへの通知の有無、および情報の使用方法によって、ある状況では許容され、別の状況では不適切または違法となる場合があります。
責任あるモニタリングプログラムには、一般的に以下が含まれるべきです。
モニタリングのための明確かつ正当な目的
何が監視されるのか、なぜ監視されるのかを説明する書面による内部ポリシー
必要とされる場合のユーザーまたは従業員への通知
限定的かつ比例的なデータ収集
強力なアクセス管理およびセキュリティ保護措置
収集データの明確な保存期間
モニタリング実務の定期的な見直し
高リスク、機微、秘密裏、または越境モニタリングのシナリオに関する法的確認
Spyrixは、認可された使用のためのモニタリングソフトウェアを提供しています。ただし、各組織は、モニタリングツールの具体的な使用が、適用される法律、内部ポリシー、および通知要件に準拠しているかどうかを判断する責任を負います。判断に迷う場合、組織はモニタリングソフトウェアを導入する前、またはより侵害的なモニタリング機能を有効にする前に、資格のある法律専門家に相談するべきです。