(EFF)侵略的で秘密裏に労働者を追跡する「ボスウェア」の内幕

Categories
< Back
You are here:
Print

(EFF)侵略的で秘密裏に労働者を追跡する「ボスウェア」の内幕

以下の文章は、米国の電子フロンティア財団のブログ記事の飜訳です。

オンラインでの労働に従事する労働者が増えており、企業による労働者監視が職場(工場やオフィス)からプライベート空間にまで野放図に拡がりをみせている。そして労務管理のための様々なツールがIT企業から売り出されており活況を呈している。日本語で読める記事も多くあり、たとえば「テレワーク 監視」などのキーワードで検索してみると、在宅勤務監視の行き過ぎへの危惧を指摘する記事がいくつかヒットする。(検索はlGoogleを使わないように。DuckDuckGoとかで)

しかし、もうすでに日常になってしまい忘れられているのは、オフィスや工場以外で働く労働者への監視はずいぶん前から機械化されてきていたということだ。営業や配送の労働者はGPSや携帯で監視され、店舗で働く労働者は監視カメラで監視されてきた。こうしたシステムがプライベートな空間に一挙に拡大するきっかけをCOVID-19がつくってしまった。

下記のブログではいったいどの程度の監視が可能になっているのかを具体的な製品に言及しながら述べている。あるていどITの技術を知っている人にとっては想定内だろうが、あまり詳しくない人たちにとってはまさにSFのような世界かもしれない。プライベートな空間であってももはやプライバシーはないに等しいだけのことが可能になっている。失業率が高くなるなかで、こうした監視に抗うことも難しくなっているが、この記事の最後で著者たちは、プライバシーの権利など労働者の基本的な権利を放棄して仕事を維持するのか、さもなくば権利をとるか、という選択は選択の名に値しないと述べている。そのとおりだ。しかし、今世界的な規模でおきているのは、まさに場所と時間の制約もなく資本が労働者を常時監視して支配下の置くことができるだけの技術を握ってしまったということだ。こうした状況では、伝統的な労働運動の枠組では対抗できないだろう。運動の側が労働運動、消費者運動、学生運動、農民運動、環境運動、女性解放運動、マイノリティの権利運動などの分業を超えて、あらゆる属性にある人々を統合的に監視して資本に従属させる(従属や強制の自覚を奪いつつ)構造と対峙できる新しい運動のパラダイムが必要になっていると思う。(小倉利丸)


侵略的で秘密裏に労働者を追跡する「ボスウェア」の内幕

ベンネット・サイファーズ、カレン・グルロ 2020年6月30日

COVID-19は何百万人もの人々に在宅で仕事をさせているが、労働者を追跡するためのソフトウェアを提供する企業が、全国の雇用者に自社製品を売り込むために急増している。

サービスは比較的無害に聞こえることが多い。一部のベンダーは「自動時間追跡」や「職場分析」ソフトウェアと名乗っている。また、データ侵害や知的財産権の盗難を懸念する企業に向けて売り込んでいる業者もある。これらのツールを総称して「ボスウェア」と呼ぶことにしよう。ボスウェアは雇用主を支援することを目的としているが、クリックやキーストロークをすべて記録したり、訴訟のために密かに情報を収集したり、従業員を管理するために必要かつ適切な範囲をはるかに超えたスパイ機能を使用したりすることで、労働者のプライバシーやセキュリティを危険にさらす。

これは許されることではない。家庭がオフィスになっても、家庭であることに変わりはない。労働者は、仕事のために、不用意な監視の対象になったり、自宅で精査されることにプレッシャーを感じたりしてならない。

どうすべきか?

ボスウェアは通常、コンピュータやスマートフォンにとどまり、そのデバイス上で起こるすべてのデータにアクセスする権限を持つ。ほとんどのボスウェアは、多かれ少なかれ、ユーザーの行動をすべて収集する。私たちは、これらのツールがどのように機能するのかを知るために、マーケティング資料、デモンストレーション、カスタマーレビューを調べた。個々のモニタリングの種類が多すぎてここでは紹介しきれないが、これらの製品の監視方法を一般的なカテゴリに分解してみる。

最も広く、最も一般的なタイプの監視は、”アクティビティ監視 “だ。これには通常、労働者がどのアプリケーションやウェブサイトを使用しているかのログが含まれる。これには、誰に件名やその他のメタデータを含めてメッセージを送ったかや、ソーシャルメディアへの投稿が含まれている場合もある。ほとんどのボスウェアはキーボードやマウスからの入力レベルも記録する。例えば、多くのツールでは、ユーザーがどれだけタイプしてどれだけクリックしたかを分単位で表示し、それを生産性の代理として使用する。生産性モニタリングソフトウェアは、これらのデータをすべてシンプルなチャートやグラフに集約して、管理者に労働者が何をしているかを高レベルで把握させることを試みる。

私たちが調べたどの製品も、各労働者のデバイスのスクリーンショットを頻繁に撮影する機能を備えており、中にはスクリーンのライブ映像を直接提供しているものもある。この生の画像データは多くの場合、タイムラインに配列されているため、上司は労働者の一日をさかのぼって、任意の時点で何をしていたかを確認することができる。いくつかの製品はキーロガーとしても機能し、未送信の電子メールやプライベートパスワードを含む、労働者が行ったすべてのキーストロークを記録する。中には、管理者がユーザーのデスクトップを遠隔操作できるものもある。これらの製品は通常、仕事に関連した活動と個人アカウントの資格情報、銀行データあるいは医療情報を区別しない。

ボスウェアの中には、さらに進んで、従業員のデバイス周辺の物理的な世界にまで到達するものもある。モバイルデバイス用のソフトウェアを提供している企業は、ほとんどの場合、GPSデータを使用した位置追跡機能を搭載している。StaffCop EnterpriseとCleverControlの少なくとも2つのサービスでは、雇用主が従業員のデバイス上でWebカメラやマイクをこっそり起動させることができる。

ボスウェアを導入する方法は大きく分けて 2 つある。労働者から見えるアプリとして(そしておそらくは労働者がコントロールできるアプリとして)導入する方法と、労働者からは見えない秘密のバックグラウンドプロセスとして導入する方法の 2 つだ。私たちが調査したほとんどの企業では、どちらの方法でも雇用主がソフトウェアをインストールできるようになっている。

目に見えるモニタリング

時には、労働者は自分を監視しているソフトウェアを見ることができる。彼らはしばしば 「クロッキングイン (出勤)」と 「クロッキングアウト(退勤) 」としてフレーム化された監視をオンまたはオフにするオプションを持つ可能性がある。もちろん、労働者が監視をオフにしたという事実は雇用者にも見える。例えば、Time Doctorでは、労働者は作業セッションから特定のスクリーンショットを削除するオプションを与えられるかもしれない。しかし、スクリーンショットを削除すると、関連する作業時間も削除されるため、労働者は監視されている間の時間だけが評価される。

労働者は、自分について収集された情報の一部または全部へのアクセス権を与えられる可能性がある。WorkSmartを開発したCrossover社は、その製品をコンピュータ作業用のフィットネス・トラッカーに例えている。そのインターフェイスでは、労働者は自分の活動に関してシステムが導いた結論をグラフやチャートの配列で見ることができる。

ボスウェア会社によって、労働者に透明性を提供するレベルが異なる。中には、上司が持っている情報のすべて、あるいは大部分にアクセスできるようにしている会社もある。また、Teramindのように、スイッチを入れてデータを収集していることを示しながらも、収集しているすべての情報を明らかにしない企業もある。どちらの場合も、雇用主への具体的な要求やソフトウェア自体の精査がなければ、正確にはどのようなデータが収集されているのかが不明瞭になることがしばしば起きる。

見えないモニタリング

目に見える監視ソフトウェアを開発している企業の大半は、監視している人から身を隠そうとする製品も製造している。Teramind、Time Doctor、StaffCopなどは、可能な限り検出と削除を困難にするように設計されたボスウェアを作っている。技術的なレベルでは、これらの製品はストーカーウェアと区別がつかない。実際、一部の企業では、従業員のウイルス対策ソフトが監視ソフトの活動を検出してブロックしないように、製品をインストールする前にウイルス対策ソフトを特別に設定するように雇用主に要求している

(キャプション)TimeDoctorのサインアップの流れからのスクリーンショットで、雇用主は目に見える監視と目に見えない監視を選択できる。

この種のソフトウェアは、労働者の監視という特定の目的のために販売されている。しかし、これらの製品のほとんどは、実際には単なる汎用的な監視ツールである。StaffCopは家庭での子供のインターネット使用を監視するために特別に設計された製品のバージョンを提供しており、ActivTrakのソフトウェアは子供の活動を監視するために親や学校関係者が使用することもできると述べている。いくつかのソフトウェアのカスタマーレビューは、多くの顧客が実際にオフィスの外でこれらのツールを使用していることを示している。

目に見えないモニタリングを提供するほとんどの企業は、雇用主が所有するデバイスにのみ使用することを推奨している。しかし、多くの企業は、リモートや「サイレント」インストールのような機能も提供しており、従業員のデバイスがオフィスの外にある間に、従業員の知らないうちに監視ソフトウェアを従業員のコンピュータにロードすることができる。これは、多くの雇用主は、彼らが配布するコンピュータの管理者権限を持っているために行なえることである。しかし、一部の労働者にとっては、使用している会社のラップトップが唯一のコンピュータであるため、会社の監視が仕事以外の行動についても常に存在することになる。雇用主、学校関係者、親密なパートナーがこのソフトウェアを悪用する可能性は大いにある。そして被害者は、自分がそのような監視の対象になっていることを知らないかもしれない。

下の表は、一部のボスウェアベンダーが提供している監視・制御機能を示している。これは包括的なリストではなく、業界全体を代表するものではないかもしない。業界ガイドで紹介されている企業や、検索結果から情報を公開しているマーケティング資料を持っている企業に注目した。

表. ボスウェア製品の一般的な監視機能

  行動モニター
(apps, websites)
スクリーンショット
スクリーン録画
キーロッギング カメラ、マイクをONに 労働者から秘匿
ActivTrak(*1) 確認 確認     確認
CleverControl 確認 確認 確認 確認(1,2) 確認
DeskTime 確認 確認     確認
Hubstaff 確認 確認      
Interguard 確認 確認 確認   確認
StaffCop 確認 確認 確認 確認(1,2) 確認
Teramind(*2) 確認 確認 確認   確認
TimeDoctor 確認 確認     確認
Work Examiner 確認 確認 確認   確認
WorkPuls 確認 確認 確認   確認
各社のマーケティング資料をもとに、いくつかの労働者モニタリング製品の特徴を紹介。調査した10社のうち9社が、労働者が知らなくてもデータを収集できる「サイレント」または「インビジブル」なモニタリングソフトを提供していた。

*1 日本の代理店あり。 https://www.syscomusa.com/08-17-2020/6932/

*2 日本の販売代理店あり。https://www.jtc-i.co.jp/product/teramind/teramind.html


ボスウェアの普及率は?

労働者監視ビジネスは新しいものではなく、世界的なパンデミックが発生する前にすでにかなりの規模になっていた。ボスウェアがどの程度普及しているかを評価するのは難しいが、COVID-19の影響で労働者が在宅勤務を余儀なくされていることから、はるかに普及していることは間違いない。InterGuardを所有するAwareness Technologiesは、発生からわずか数週間で顧客ベースで300%以上増加したと主張している。私たちが調査したベンダーの多くは、企業への売り込みでCOVID-19を悪用している。

世界の大企業の中にも、ボスウェアを利用しているところがある。Hubstaffの顧客には、Instacart、Groupon、Ringなどがいる。Time Doctorは83,000人のユーザーを抱えており、その顧客にはAllstate、Ericsson、Verizon、Re/Maxなどが含まれる。ActivTrakは、アリゾナ州立大学、エモリー大学、デンバーとマリブの都市を含む6,500以上の組織で使用されている。StaffCopやTeramindのような企業は、顧客に関する情報を開示していないが、ヘルスケア、銀行、ファッション、製造業、コールセンターなどの業界の顧客にサービスを提供していると主張している。モニタリング・ソフトウェアのカスタマー・レビューには、これらのツールがどのように使用されているかのより多くの例が記載されています。

はっきりさせておこう:このソフトウェアは、雇用主が労働者の個人的なメッセージを、労働者の知識や同意なしに読むことができるように特別に設計されている。どんな手段を使っても、これは不必要で非倫理的だ。

雇用主自身がこのことを宣伝する傾向がないため、どれだけの組織が目に見えないモニタリングの使用を選択しているのかはわからない。さらに、目に見えないソフトウェアの多くは明かに検出を回避するように設計されているため、労働者自身が知ることができる信頼できる方法がない。労働者の中には、特定の種類の監視を許可する契約を結んでいる者もいれば、ある種類の監視を防ぐ契約を結んでいる者もいる。しかし、多くの労働者にとっては、自分が監視されているかどうかを知ることは不可能と思われる。監視の可能性を懸念する労働者は、雇用主が提供するデバイスが自分を追跡していると考えるのが最も安全かもしれない

データは何に使われるのか?

ボスウェアのベンダーは、さまざまな用途で製品を販売している。最も一般的なものとしては、時間の追跡、生産性の追跡、データ保護法への準拠、知的財産窃盗防止などがある。例えば、機密データを扱う企業では、会社のコンピュータからデータが漏洩したり盗まれたりしないよう法的義務が課せられている。オフサイトの労働者にとっては、一定レベルのオンデバイス監視が必要になるかもしれない。しかし、雇用主は、そのようなセキュリティ目的の監視が必要であり、適切であり、解決しようとしている問題に特化したものであることを示すことができない限り、そのような監視を行うべきではあない。

残念ながら、多くの使用事例では、雇用者が労働者に対して過度の権力を行使していることが明らかになっている。おそらく私たちが調査した製品の中で最も大きなクラスの製品は、「生産性モニタリング」や時間の追跡機能を強化するために設計されたものである。一部の企業では、これらのツールを管理者と労働者の両方に恩恵をもたらす可能性があるとしている。労働者の一日の一秒一秒の情報を収集することは、上司にとって良いだけでなく、労働者にとっても有益であると彼らは主張する。Work ExaminerやStaffCopのような他のベンダーは、スタッフを信頼しない管理者に直接販売している。これらの企業はしばしば、自社製品から導き出された業績評価基準にレイオフやボーナスを結びつけることを推奨している。

マーケティング資料は、Work Examinerのホームページ(https://www.workexaminer.com/)から引用した。

一部の企業は、懲罰的なツールとして、または潜在的な労働裁判の証拠収集方法として製品を販売している。InterGuardは、そのソフトウェアを「ひそかにリモートでインストールできるので、不正行為の疑いのある者に警告を与えることなく、秘密裏に調査を行い、証拠を収集することができます」と宣伝している。この証拠は、「不当解雇訴訟 」と闘うために使用することができる。言い換えれば、InterGuardは、不当な扱いに対する労働者の法的手段を排除するために、天文学的な量の非公開で秘密裏に収集された情報を使用者に提供することができるということだ。

これらの使用例のどれも、上で説明したような問題にあてはまらない使用例であっても、ボスウェアが通常収集する情報量を正当化するものではない。また、監視が行われている事実を隠すことを正当化するものは何もない。

ほとんどの製品は定期的にスクリーンショットを撮影しているが、どのスクリーンショットを共有とするかを従業員が選択できる製品はほとんどない。つまり、医療、銀行、その他の個人情報の機密性の高い情報が、仕事のEメールやソーシャルメディアのスクリーンショットと一緒にキャプチャされてしまう。キーロガーを含む製品はさらに侵略的であり、多くの場合、労働者の個人アカウントのパスワードをキャプチャすることになる。

Work Examinerのキーロガー機能の説明では、特にプライベートパスワードをキャプチャする機能を強調している。

Work Examinerのキーロギング機能についての説明では、特にプライベートパスワードをキャプチャする能力を強調している。

残念ながら、過剰な情報収集はしばしば偶然のことではなく、製品の機能そのものなのだ。Work Examinerは、その製品がプライベートパスワードをキャプチャする能力を具体的に宣伝している。別の会社Teramind社は、メールクライアントに入力されたすべての情報を(その情報が後に削除された場合もふくめて)報告する。また、いくつかの製品では、ソーシャルメディア上のプライベートメッセージから文字列を解析して、雇用主が労働者の個人的な会話の最も親密な詳細を知ることができるようにしている。

はっきりさせておこう:こうしたソフトウェアは、雇用主が労働者の知らないところや同意なしに、労働者のプライベートメッセージを読み取ることができるように特別に設計されている。どのような見方をしたとしても、これは不必要で非倫理的なものだ。

あなたにできることは何か?

現在の米国の法律では、雇用主が所有するデバイスに監視ソフトウェアをインストールする自由度が高すぎる。さらに、労働者が自分のデバイスにソフトウェアを強制的にインストールすることを防ぐことがほとんどできない(監視が勤務時間外には無効にされれうる限りは)。州によって、雇用者ができることとできないことについて異なるルールがある。しかし、労働者は、侵入的な監視ソフトウェアに対する法的手段を制限されてきた。

これは変えることができるし、変えなければならない。州や国の立法府が消費者データのプライバシーに関する法律を採用し続ける中で、雇用者に対する労働者の保護も確立しなければならない。その手始めとして

・雇用者が所有するデバイスであっても、労働者の監視は必要かつ適切であるべきである。
・ツールは、収集する情報を最小限に抑え、プライベートメッセージやパスワードなどの個人データを吸い上げないようにすべきである。
・労働者は、管理者が収集している内容を正確に知る権利を持つべきである。
・そして、労働者にはプライベートに行動する権利が必要であり、これにより、労働者はこれらの法定のプライバシー保護に違反した雇用者を訴えることができる。

一方で、自分が監視対象になっていることを知り、このことで安心できるためには、雇用主との話し合いを行う必要がある。ボスウェアを導入している企業は、その目的が何であるかを考え、より侵入しにくい方法でその目的を達成しようとしなければならない。ボスウェアは多くの場合、誤った種類の生産性を誘発する。例えば、本を読んだり考えたりするために一時仕事の手を休める代わりに、数分おきにマウスを動かしたりタイプしたりすることを強制する。継続的監視は、創造性を阻害し、信頼を失い、燃え尽き症候群の原因となる。雇用主がデータセキュリティに懸念を抱いている場合は、実際の脅威に特化し、プロセスに巻き込まれる個人データを最小限に抑えるツールを検討すべきである。

多くの労働者は気軽に発言できなかったり、雇用主が秘密裏に自分を監視しているのではないかと疑ったりすることがある。労働者が監視の範囲を自覚していない場合、ウェブ履歴からプライベートメッセージ、パスワードに至るまで、あらゆるものを業務用デバイスが収集している可能性があることを考慮する必要がある。可能であれば、個人的なことに業務用デバイスを使用することは避けるべきだ。また、労働者が個人用デバイスに監視ソフトウェアをインストールするように求められた場合、個人情報をより簡単に隔離できるように、業務専用とは別のデバイスを使用するように雇用主に求めることができるかもしれない。

最後に、労働者は、記録的な失業者数となっている時代に雇用を維持する懸念から、監視されていることを話したくないと思うかもしれない。侵襲的で過剰な監視か、さもなくば失業か、という選択は、文字通りの意味での選択とはいえない。

COVID-19は私たち全員に新たなストレスを与えており、私たちの働き方も根本的に変えてしまいそうだ。しかし、私たちはそれによって、より広範な監視の新時代を切り開いてはならない。私たちはこれまで以上にデバイスを通して生活している。そのため、私たちのデジタルライフを政府やテクノロジー企業、雇用主に対して公開しない権利を持つことが、これまで以上に重要になっている。

出典:https://www.eff.org/deeplinks/2020/06/inside-invasive-secretive-bossware-tracking-workers

付記:下訳にhttps://www.deepl.com/translatorを用いました。

Table of Contents