Jul 21, 2022

Microsoft Office 365には、ワーカーを「スパイ」する機能があります

やっぱりね。以下、「出典」の機械翻訳。 


Microsoftは、雇用主がスタッフの電子メールを読んだり、職場でのコンピューターの使用を監視したりできるOffice365のツールに対する「透明性」の要求に直面しています。

 

企業は、Microsoft Officeのリスク管理ツールを使用して、仕事で発行されたコンピューターでの従業員の活動を密かに監視できます。

このソフトウェア会社は、Office 365スイートにツールを提供しており、雇用主はこのツールを使用してスタッフの電子メールを読み、通話に費やす時間と会議に参加する回数を監視できます。

世界中の企業で広く使用されているMicrosoftOfficeスイートの監視機能は、University College LondonUCL)の研究者による論文で公開されました。

調査によると、Microsoftが従業員のプライバシーを保護するための措置を講じてから約18か月後、企業はOffice365に組み込まれた機能を利用してスタッフのコンピューターを監視し続けています。

この開示により、Microsoftは、企業がOffice 365生産性ツールを使用して特定された従業員を監視するときにスタッフに警告するようにソフトウェアを変更するよう求められました。

調査に参加したキャンペーングループPrivacyInternationalの上級技術者であるEliotBendinelli氏は、Microsoftは企業が収集できるデータについてより透明性を高めるべきだと述べた。

「雇用主またはIT管理者がすべての通信とドキュメントを読み、従業員のオンラインアクティビティに関するデータに知らないうちにアクセスできることは、Office365の最も問題のある機能の1つです」と彼はComputerWeeklyに語りました

マイクロソフトは、生産性スコアツールを使用してマネージャーが個々の従業員を監視できるとの批判を受けて2020年にOffice365の従業員のプライバシーを保護するための対策を導入しました。

「雇用主がすべての通信とドキュメントを読み、従業員のオンラインアクティビティに関するデータに知らないうちにアクセスできることは、Office365の最も問題のある機能の1つです。」 Eliot Bendinelli、プライバシーインターナショナル

同社は、レポートを、個々のユーザーが追跡できない方法で、従業員が電子メールを送信し、共有ドキュメントで共同作業し、グループチャットに参加した量を測定する集約データに置き換えました。

しかし、UCLコンピューターサイエンスの卒業生であるDemetrisDemetriadesPrivacyInternationalの調査によると、雇用主はOffice365の機能を使用して個々の従業員を監視できます。

Demetriadesは、雇用主がOffice 365のガバナンスおよびリスク管理ツールを使用して、特定の従業員から送信された電子メールまたはメッセージの内容を確認し、個々のユーザーが仕事用コンピューターを使用して実行したアクティビティを特定できることを発見しました。

マイクロソフトの「コンテンツ検索」および「監査」ツールは、雇用主が従業員の活動の詳細な全体像を構築するために使用できると、彼はComputerWeeklyに語った。

「ビジネス用の電子メールを介して実行される対話が何であれ、監査およびコンテンツ検索機能はそれを識別してログに記録します。たとえば、電子メールの時刻、受信者、および電子メールの内容をログに記録します。メールに添付ファイルや写真が含まれている場合、雇用主もそれを見ることができます」と彼は言いました。

プライバシーインターナショナルは、Demetriadesの調査に関する記事で これらのツールを使用して従業員の詳細なプロファイルを作成できると主張しています。  

「これらの2つの包括的な機能を組み合わせることで、雇用主はすべての従業員のかなり親密な絵を細部に至るまで描くことができます。これには、彼らがとるほとんどの行動のリストだけでなく、組織内で交換されているすべてのコンテンツや電子メールを介した外部コミュニケーションに簡単にアクセスできる可能性も含まれます」と述べています。

チームプレーヤーの監視

IT​​理者は、Microsoft Teamsビデオ会議、メッセージング、およびコラボレーションソフトウェアの管理センターを使用して、従業員が通話に費やす時間、交換するメッセージの数、および参加する11の会議の数を評価することもできます。

このソフトウェアは、従業員が各会議に出席したり、各メッセージを送信したりするために使用するデバイスを記録し、雇用主が従業員について推測できるようにする可能性があります。

たとえば、マネージャーは、ラップトップではなく電話から早朝の会議に参加する従業員がまだベッドにいる可能性があると想定する場合があります。

Microsoftは、組織全体または個々のグループの従業員がOffice365アプリケーションをどのように使用しているかを示す集約データを企業に提供します。また、同様の企業と比較して、従業員がOffice365の機能をどの程度使用しているかを示す生産性スコアも提供します。

小規模な組織の場合でも、このデータを使用して、個々の従業員のパフォーマンスを推測することができます。DemetriadesPrivacyInternational発見しました。

マイクロソフトが提供する監査およびコンテンツ検索ツールは、雇用主が雇用契約の違反、嫌がらせに関する会社の方針の違反、企業秘密の開示を特定できるようにするなど、正当な用途があります。

しかし、DemetriadesPrivacy Internationalは、監査ツールの誤用から従業員を保護するためのセーフガードはないと主張しており、企業がこれらのツールを有効にすることを選択した場合、Office365ユーザーには警告が表示されません。

「この透明性の欠如と従業員側の制限は、従業員の完全な知識なしに、それらが悪用されて監視マシンに変わる可能性があることを意味します」と彼らは主張します。

「デフォルトで仮名化」

MicrosoftUCLの調査に矛盾していませんが、Computer Weeklyに対する声明の中で、Office365のユーザーに関するマスクされた情報または「偽装された」情報を「デフォルトで」使用すると述べています。

「私たちは、テクノロジーを使用して個々の従業員をスパイすることを信じていません。採用と使用法に関する洞察を提供するMicrosoft365分析ツールのほとんどは、グループ全体または組織全体の集計レベルで提供します。」 マイクロソフトの広報担当者

識別可能なユーザー情報を明らかにすることは、Microsoft365コンプライアンスセンターの監査ログに記録されたイベントとして扱われると同社は付け加えた。

「私たちは、テクノロジーを使用して個々の従業員をスパイすることを信じていません。データ主導の洞察は、ITプロフェッショナルがソリューションを展開および管理し、サービスを提供し、規制要件を満たし、組織全体の問題を修正する方法の重要な部分でした」とスポークスマンは述べています。

「採用と使用法に関する洞察を提供するMicrosoft365分析ツールのほとんどは、グループ全体または組織全体の集計レベルで提供されます。これらのツールは、組織が効果的に運営され、投資を最大限に活用できるようにするための重要な部分です」とスポークスマンは付け加えました。

マイクロソフトは従業員に監視について警告する必要があります

Microsoftプライバシーポリシーで、組織がOffice 365を使用して「通信およびファイルのコンテンツ」を含む「データにアクセスして処理する」ことができると述べていますが、彼らの会社が使用しているソフトウェア。

Microsoftは、雇用主が「監査」および「コンテンツ検索」ツールを使用する方法を制限していません。つまり、雇用主が同意なしに従業員をスパイするためにそれらを悪用する可能性があります。

雇用主がどのOffice365機能がオンになっているのかを開示しない場合、従業員は「Office 365でのすべてのアクションが監視されているかどうか、または通信が誰かによって読み取られているかどうか」を知る方法がない、とプライバシーグループは主張しました。

Demetriades氏によると、Microsoftは、従業員が雇用主にスパイされるのを防ぐために、どの生産性アプリが有効または無効になっているか、組織がどのデータをどのような状況で収集しているかを一覧表示する、すべての従業員がアクセスできる専用のダッシュボードを導入するなど、さらに多くのことができると述べました。

Microsoftはまた、企業が「監査」および「コンテンツ検索」機能をオンにしたときにOffice 365ユーザーに通知する必要があり、管理者がOffice 365でユーザー名を非表示にして、名前付きの個人に関するレポートを生成するオプションを無効にした場合も、彼は付け加えました。

「これらの機能は生産性に優れているため、完全に削除する必要があると言っているわけではありませんが、集計情報を提供するために使用する必要があります」とDemetriades氏は述べています。

これらの指標を使用するのではなく、個々の従業員が生産的であるかどうかを確認する方法は他にもあります、と彼は付け加えました。

雇用主には法的責任があります

英国のデータ保護法の下では、雇用主は、ソフトウェアを使用して従業員を監視する際に、法律を確実に遵守する責任があります。

企業は、職場での従業員の監視が(社会通念等に対して)均衡していることを確認する必要があります。(社会通念等に対して)均衡している場合は、最初に通知せずに従業員に関するデータを収集することを正当化できるかどうかを確認する必要があります。

「本当の問題は、白黒の答えがないことです。ある状況で(社会通念等に対して)均衡しているものは、別の状況では(社会通念等に対して)均衡していません」と彼は言いました。

たとえば、小売業者が隠しカメラを設置することは、スタッフがティルからの盗難を疑う理由がある場合に、おそらく(社会通念等に対して)均衡的かつ合法です。ただし、企業が最も生産性の低いタイピストを特定するために、組織で雇用されているすべての秘書が行ったキーストロークを記録することは(社会通念等に対して)均衡していません。

「全員を監視することは、少数の人を監視することよりもはるかに問題があります。Microsoft Office 365の問題の1つは、すべての従業員を監視できるため、正当化するのが難しいことです」とDavis氏は述べています。

彼は、Microsoftは、雇用主がOffice365から収集したデータをスタッフに保持している他のデータと組み合わせることができることを認めていなかったと述べた。

従業員を監視する正当な理由

人材育成業界を専門とするアナリスト、フォスウェイグループのCEOであるデビッドウィルソン氏は、企業が従業員を監視したいと思う正当な理由があると述べた。

これには、職場のアプリを監視して使用パターンを特定したり、電子メールを監視して知的財産の盗難や職場での嫌がらせを特定したりすることが含まれます。

「ビジネス上重要または法的な理由がある場合、企業がスタッフの電子メールや閲覧履歴にアクセスすることを許可されるべきではないと主張するのは難しいです。問題は、ガバナンスと監視機能が悪用されないようにすることの1つです。」 デビッドウィルソン、フォスウェイグループ

「ビジネス上重要または法的な理由がある場合、企業がスタッフの電子メールや閲覧履歴にアクセスすることを許可されるべきではないと主張するのは難しいです。問題は、ガバナンスと監視機能が悪用されないようにすることの1つです」と彼は言いました。  

たとえば、製薬会社は、従業員が誤って機密情報を競合他社に漏らさないように、ソフトウェアを使用して電子メールやソーシャルメディアを自動的にスクリーニングし、競合他社が言及されているかどうかを確認することに同意を求めます。

同じソフトウェアを使用して、競合企業に仕事を申請した雇用主を特定することができます。

Office365シミュレーション

Demetriadesは、Office 365の試用版を使用して、UCLの情報セキュリティのマスターのための研究プロジェクトの一環として、2人のユーザーとシステム管理者で構成される企業ネットワークをシミュレートしました。

「私は雇用主を表す管理者アカウントを設定し、従業員を表す2のユーザーアカウントを追加しました」と彼はComputerWeeklyに語りました。「私はラップトップと電話を使用し、各ユーザーを1つのデバイスにログインさせ、簡単なメッセージを操作し、データを収集するための会議を設定しようとしました。プラットフォームはデータを追跡し、グラフとメトリックの生成を開始しました。」

ソフトウェアエンジニアのDemetriades氏は、雇用主が特定の従業員から送信された電子メールを選択して読むのは「非常に簡単」だと述べた。

マイクロソフトは2020年にOffice365のプライバシーを強化しました

マイクロソフトは、この機能が雇用主によって悪用される可能性があるという批判に応えて、202012月のブログ投稿で生産性スコアツールからユーザー名を削除する計画を発表しました。

「組織内の誰も、生産性スコアを使用して、個々のユーザーがMicrosoft365でアプリやサービスをどのように使用しているかに関するデータにアクセスすることはできません」と投稿で述べています。

同社はまた、ソフトウェアのインターフェースを変更して、生産性スコアの目的が個々の従業員を監視するのではなく、組織内のテクノロジーの採用を監視することであることを明確にしました。

しかし、Demetriadesの調査によると、雇用主はOffice365を使用してスタッフの活動を監視できます。

Microsoftは声明の中で、ITプロフェッショナルが問題を特定して修正したり、ソフトウェアライセンスを追跡したりするために、「ユーザーレベルの情報」にアクセスする必要があるシナリオがあると述べています。

「これらのレポートへのアクセスは、ITに重点を置いた少数の役割にのみ制限されています。さらに、マイクロソフトは通常、デフォルトでユーザー、グループ、サイトの情報を隠す措置を講じています」と広報担当者は述べています。

 

出典

Microsoft Office 365 has ability to ‘spy’ on workers (06/21)

https://www.computerweekly.com/news/252521757/Microsoft-Office-365-has-ability-to-spy-on-workers

 

No comments: