欧州連合(EU)の一般データ保護規則(GDPR)が施行されてから1年半以上が過ぎた。多くの企業がなおも対応に苦慮するなか、ドイツの裁判所が同規則に絡んだ裁判で判決(29
Ca
5451/19)を下したので、ここで取り上げてみる。
裁判は指紋を活用したタイムレコーダーを導入した企業の従業員が同社を相手取って起こしたもの。同社では長年、勤怠管理を各被用者がタイムカードに手書きで記入する方式を通して行ってきた。だが、なかには不正記入の疑いのある社員もいたことから、2018年8月1日から指紋認証タイプのタイムレコーダー「ZEUS」を導入した。
ZEUSでは各被用者の指紋からアルゴリズムで指紋の特徴点(ミニューシー)を取り出して記録。ミニューシーと指紋を照合して本人確認を行う方式を採用している。指紋自体はシステムに記録されておらず、ミニューシーから指紋を再現することもできない。
原告社員はZEUSによる勤怠管理を拒否し、8月1日以降も従来方式のタイムカードを使用し続けた。このため10月5日付で警告処分(Abmahnung)を受けたものの、その後も拒否。19年3月26日に再び警告処分を受けた。警告処分が累積すると解雇される可能性があることもあり、原告は、警告処分は不当だとしてその取り消しを求めて提訴。一審のベルリン労働裁判所は原告勝訴を言い渡した。判決理由で裁判官は、ミニューシーは指紋を再現できなくてもGDPRに定められた生体データに当たると指摘。生体データの処理は本人の明確な同意がない限り違法だとするGDPR9条1~2項の規定を踏まえ、指紋・ミニューシーデータの提供を被告は原告に強要できないとの判断を示した。
裁判官はまた、指紋・ミニューシーの採取を通した勤怠管理は当該被用者の基本的人権を著しく侵害すると指摘。タイムカードの不正記入が広く横行している場合は認められるが、被告企業では横行の事実がないとの判断を示した。