EU一般データ保護規則(GDPR)と内部告発: 同意に依存すべきでない理由

内部告発システムを介して通報を行う場合、メッセージに個人データを含める人もいます。従業員、サプライヤー、その他の関係者に向けて内部告発システムの構築を考えている組織では、プライバシーの側面について検討する必要があります。では、内部告発を実際にEU一般データ保護規則(以下GDPR)に準拠させるには、どうしたらいいのでしょうか?

EU規則2016/679(一般データ保護規則GDPR)の第6条では、個人データの「処理の合法性」を要求しています。データ処理に対する同意を得ることは優れたオプションのように感じられるかもしれませんが、内部告発に関していえば、その限りではありません。

それはなぜでしょうか?

同意は「自由に提示される」必要がありますが、雇用主と従業員の間には依存関係が存在します。上司が同意を求めれば、ほとんどの従業員はそれに従って同意してしまうものです。第29条データ保護作業部会は、その意見書2/2017(WP 249)において、「例外的な状況でない限り、雇用主は同意以外の法的根拠を確保する必要がある」としています。

より実践的な見地からも、同意は確実性のない根拠であり、いつでも撤回される場合があります。重大な調査を実施している過程で、従業員が突然同意を撤回した場合には、成すすべがなくなります。

法的側面と実践的側面の議論以外に、従業員がセクシャルハラスメントを受けたケースを考えてみましょう。内部告発システムでは、同意のためのチェックボックスをオンにしないと通報を行えない設計だとします。従業員が勇気を振り絞ってようやく匿名で声を上げることにしたのに、最初の質問が「個人データの処理に同意しますか?」である場合、どう感じるでしょうか。 通報者が怖気づく可能性が高いだけでなく、公の場で訴えざるをえなくなる場合もあります。重要な案件を見過ごしてはなりません。

同意を求めることは不毛です。では、内部告発においてGDPRを遵守するにはどうしたらよいのでしょうか?

それは、この手段以外では検知することができない不正行為を早期の段階で検知する必要がある、という正当な利害をデータ処理の根拠とすることです。究極的にはデータ保護およびプライバシー権は非常に大切ですが、ここでの最終的な目的は、効果的な内部告発メカニズムを構築することです。つまり、人々が自由に声を上げられるようにすることで、組織が深刻な不正行為を実際に検知して対応できるようにする必要があるのです。

エキスパートにご相談ください

詳細について学んだり、アイディアについて話し合ったり、ご意見を共有することをお望みですか?

お問い合わせ

Share this page