ai_pet_family
1.はじめに
NHKの報道番組「クローズアップ現代+」が、「人事・転職ここまで!? AIがあなたを点数化」という番組を10月29日に放送しました。そのなかで、”AI人材紹介会社”のLAPRAS(ラプラス)が取り上げられ、その恐ろしさがネット上で反響を呼んでいます。

・人事・転職ここまで!? AIがあなたを点数化|NHK

LAPRASは、インターネット上のウェブサイト、ブログ、SNSなどの記載、書き込みなどをAIプログラムが収集し、データベータ化し、プロフィールなどを作成して人材紹介を行う会社であるようです。同社は、同事業を行っていたscoutyの後継会社です。

2.オプトアウト手続き
scoutyがLAPRASになって、大きく変わったのは、LAPRASからの求人企業への個人情報の第三者提供などについてオプトアウト制度を採用することとしています(個人情報保護法23条2項)。

つまり、"当社から求人企業に個人情報(データ)を第三者提供されたくないお客様は、当社にお申し出ください。”とする制度を明示したことであると思われます。

このように、個人情報の第三者提供という、“出口”の部分についてオプトアウト手続きが明確化されたことは大きな一歩前進ですが、”入口”にあたる、個人情報の収集・管理・利用などについてはどうなっているのでしょうか。

3.職業安定法5条の4
この点、個人情報の取得については、職業安定法5条の4、厚労省通達平成11年141号第4は、「本人から直接取得」することを原則とし、つぎに「本人の同意」を得た上で紹介会社等が本人以外のものから情報を収集することができるという仕組みになっています。

にもかかわらずLAPRASは、本人から直接個人情報を取得するのではなく、また、本人からあらかじめ同意も得ず、勝手にこっそり本人のネット上の書き込み等から個人データ取得して人材紹介業を行っていますが、これは職業安定法5条の4等に抵触しているのではないでしょうか。

4.個人情報保護法18条2項
また、個人情報保護法18条2項は、事業者が本人から「書面(電磁的記録を含む)」により個人情報(データ)を取得するときは、「あらかじめ本人に利用目的を明示」せよと規定しています。

(取得に際しての利用目的の通知等)
第十八条
    (略)
 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

この点、ラプラスは、AIプログラム等が、個人・本人のネット上の書き込み等から個人データの収集を始める段階では本人への利用目的の明示を行ってないようです。(NHKのクロ現+や数年前のニュース記事等によると。)これは明らかに個人情報保護法18条2項に反しているのではないかと懸念されます。

5.正確性・安全管理措置
さらに、もしLAPRASのAIプログラムにバグなどの瑕疵があり、ネット上の他人の書き込み等を間違えて本人のものとしていること等があるとしたら、個人データの正確性の確保(19条)や、個人データの安全管理措置(20条)にも違反してるのではないかと懸念されます。

LAPRASサイトをみると、同社のAIプログラムはネット上のさまざまな個人データを収集、分析、突合し、自動で本人のプロフィールなどを作成するそうですが、このプロフィールが本人からみて本当に正しいのか等の問題も発生するものと思われます。

6.守秘義務
加えて、職業安定法51条は人材紹介会社等に守秘義務を課しています。この義務違反には罰則があります(66条9号)。

本人にとって、例えば大学・大学院研究室サイトなどに掲載された本人の業績などはあまり問題がないかもしれませんが、その一方でネット上の過去のツイッターなどのSNSにおける書き込みや、過去に本人が匿名で書いたブログ記事などは、一般論としては本人にとって「黒歴史」であり、本人が求人企業などに見せたいとは思わない「秘密」であろうと思われます。

このようなさまざまな「黒歴史」で「秘密」な個人データをLAPRASはコンピュータプログラムを使って自動的に突合・分析し、個人データベースを作成し、本人のプロフィールを作成し、求人企業に対してそれらのデータをみせた上で「こんな人いますよ」と営業を行っているわけですが、もし安易に求人企業にこれらの「秘密」を元にした個人データベースやプロフィール等を見せているとしたら、それは守秘義務違反となるのではないでしょうか。

7.厚労省職業安定局の通達
この点、リクナビ事件について厚労省職業安定局は9月6日に、「本人の同意なく…あるいは十分な同意がない…内定辞退予測の…本人のあずかり知らぬ形での募集企業への提供は…学生本人の立場を弱め…学生の不安感を惹起するもの…職安法51条に照らし違法のおそれがある」との趣旨の通達を出しています。

厚労省通知リクナビ事件
(厚労省サイトより)

・募集情報等提供事業等の適切な運営について|厚労省職業安定局(令和元年9月6日)

本人の同意を得ていない内定辞退予測の募集企業への提供が、本人の秘密侵害であるとして人材紹介会社の守秘義務違反となるのなら、本人の同意を得ずに勝手にさまざまなネット上から情報を収集し、それを分析・加工した個人データも同様に本人の秘密であるとして、その本人のあずかり知らぬところでの募集企業などへの提供は、守秘義務違反となるのではないでしょうか。

8.人材会社「の判断による選別または加工」の禁止
くわえて、本通知は、本人の個人データを、「人材会社の判断による選別または加工」を行うことも禁止しています。LAPRASは、ネット上の本人のツイッターなどのSNSやブログ記事などの個人データを収集し、LAPRASの判断により選別・加工を行い、プロフィールなどDBを運営して事業を行っていますが、この本人のさまざまな個人データを収集したうえで選別・加工を行うビジネスモデルは職業安定法に反し、個人情報保護法制の趣旨に反するものであると思われます。

(なお、「コンピュータによる個人データの自動処理」については、1996年にILOが「労働者の個人データの保護に関する行動準則」を制定し、そのなかには、「一般原則 5.6 電子的な監視で収集された個人データを、労働者の成績を評価する唯一の要素とすべきではない。」との条文があります。この考え方は欧州では、EU指令からGDPRに引き継がれています。日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」などに表れています。(堀部政男『プライバシー・個人情報保護の新課題』163頁))

9.まとめ
このように職業安定法や厚労省通達、個人情報保護法などに照らすと、さまざまな面でLAPRASの業務は、ビジネスモデルの根幹の部分で法令に抵触しているように思われます。

■関連する記事
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ禍の就活のSNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング