なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:リクルート

hellowork_mendan
1.ネット版ハローワークがバージョンアップ
厚労省サイトによると、ハローワークのネット版(ウェブサイト)が1月6日より大幅にバージョンアップしたとのことです。そこで見てみたのですが、ログイン画面のプライバシーポリシーが非常に残念な出来栄えで驚きました。

・ハローワーク・インターネットサービス利用規約・プライバシーポリシー|厚労省

2.求職情報公開サービス
(1)個人を特定できない情報
このプライバシーポリシーによると、求職者がこのハローワークのネットサービス(「求職者マイページ 」)を申込む際に、ハローワーク窓口に「求職情報公開」および「求職情報公開サービス」を拒否(オプトアウト)しないと、 求職者の個人情報・個人データが求人企業、自治体および民間人材ビジネス企業提供・第三者提供されるとさらっと書かれており、ぎょっとします。

ここで、求人企業や民間人材ビジネス起業などに提供される個人情報について、このプライバシーポリシーは、「(個人を特定できない情報)」とかっこ書きをつけています。

しかし、このネット版ハローワークや現実のハローワークで登録され取り扱われている求職者の氏名・住所・生年月日・学歴・職歴・資格などのデータは、どう考えても厚労省職安局(あるいは委託されたIT企業)のサーバーの求職者個人DBの一部の個人データのはずです。

行政機関個人情報保護法2条2項1号は、個人情報とは、「特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 」と定めています。

このかっこ書きの部分(「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」)に照らすと、ハローワークの求職者データベースの一部のデータを民間企業に提供する際にそれを「個人を特定できないから個人情報ではない」というこのプライバシーポリシーは間違っています。

厚労省職業安定局は、これは非識別情報(匿名加工情報)なのだと主張するのかもしれませんが、それならそれでプライバシーポリシーにしっかりと明示するべきです。(統計データについては明文化されていますが、ここで明示されていないので、統計データでもないようです。)

(2)「民間人材ビジネス企業」に個人データを第三者提供?
また、第三者提供先が「民間人材ビジネス企業」としか書かれておらず、求職者本人からみてあまりにも漠然・広範囲であり、第三者提供の同意のための透明性がまったく保たれていません。これでは求職者は、自分の個人情報がどこのどんな事業者まで転々と流通してしまうのかまったく分かりません。

ハロワPP
(厚労省サイトのネット版ハローワークのプライバシーポリシーより)

なお、ハローワークや民間人材ビジネス会社を規制する職業安定法も、個人情報の定義につき行政機関個人情報保護法と同様の規定を置いており(4条11号)、またハローワーク等に対して利用目的を特定しその範囲内で個人情報を収集・利用するよう規定し(5条の4第1項)、さらにハローワークなどに対して安全管理措置を講じることを義務づけています(5条の4第2項)。加えて、ハローワークなどの職員には求職者の個人情報などについて守秘義務が課せられています(51条、51条の2、国家公務員法100条参照)。 にもかかわらず、職業安定法の所管である厚労省職業安定局・ハローワーク自身が、職業安定法の各規定に抵触しているおそれがあります。

このような状態でプライバシーポリシーに「企業などからメールなどが送信されることがあります」とあるのは、CCCのTポイントなのか、リクナビのような民間サービスを目指しているのかと目が点になってしまいします。

医療データほどセンシティブではないものの、学歴・職歴などがまとまったハローワークの求職者の個人情報・個人データは非常にデリケートな情報のはずですが、厚労省職業安定局は、そのような認識を持っていないのでしょうか?

ちょっと前に大量の就活生の個人データを不正に利用・加工・第三者提供するなどして大炎上したリクナビ事件で、リクルートグループやトヨタ等に対し、職安法に基づき行政指導などを行ったのは厚労省職業安定局・東京労働局ですが、その厚労省職安局がリクナビの真似してどうするのかと思います。

3.その他
その他にも、このプライバシーポリシーは、

・利用目的が「ハローワーク業務に使う」と漠然としておりまったく特定されていない
・開示・訂正等請求の手続きに関する条文が存在しない
・安全管理措置について組織的・人的・物理的安全管理措置の規定がない
・そもそも条文構成になっていない

等などざっと見ただけでもツッコミどころ満載です。

利用規約を読むと、このネット版ハローワークはマイナンバー(個人番号)も利用可能のようで、つまり個人情報保護委員会の管轄に含まれるようであり、同委員会はぜひ、厚労省職業安定局・ハローワークに対して助言・指導などを行っていただきたいと思われます。

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・厚労省の障害者向け「就労パスポート」を法的に考える-個人情報保護法・プライバシー・憲法

ブログランキング・にほんブログ村へにほんブログ村









このエントリーをはてなブックマークに追加 mixiチェック

computer_server

1.はじめに
最近の各社の新聞報道によると、人材紹介業のリクルート(リクナビ)、マイナビが、就活生の「内定辞退予測データ」をAI・コンピュータにより作成し、ホンダ、トヨタなどの採用企業に販売していたことが明らかとなり大きな問題となっています。

また、その後の報道によると、この内定辞退予測については、①まず委託契約を締結した採用企業からリクルート等に対して、昨年以前の就活生の自社サイト上の行動履歴・エントリーシートなどの個人データが提供され、②リクルートは提供された個人データと自社が保有している個人データとを紐付け・照合し、これらのデータを分析・加工し、③それぞれの採用企業ごとの内定辞退予測データを作成し、それぞれの採用企業に提供・納品していたとのことです。

個人情報保護委員会・厚労省はリクルート等に対してだけでなく、トヨタなど採用企業側の調査を行っているとのことです。

2.個人データの安全管理措置・保存期限
個人情報保護法19条、20条はつぎのようになっています。

(データ内容の正確性の確保等)
第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

つまり、顧客など個人から個人情報(個人データ)を取得した事業主は、その個人データが漏洩、滅失または毀損することを防止するための措置を講じなければならないとされています(安全管理措置、20条)。そして同じ趣旨から、事業者は自社が社内で取り扱う様々な個人データの類型ごとにあらかじめそれぞれの保存期限を定めておき、それぞれの保存期限がきた個人データは削除・廃棄などをすることが求められています(19条)。

すなわち、トヨタ、ホンダなどの事業者は、採用という結果になった就活生以外の就活生の個人データについては、その結果になった時点ですみやかに社内のサーバーなどに保管されたエントリーシートなどの個人データは廃棄・消去しなければ違法となります(19条、20条)。

にもかかわらず、内定辞退予測データを分析・加工させるために、トヨタ、ホンダなどの採用企業が昨年より前の就活生のエントリーシートなどの個人情報を社内で保存しておき、リクルート、マイナビなどに渡すことは個人情報保護法上違法です(19条、20条)。

報道によると、内定辞退予測データの作成にあたっては、採用企業から提供された個人データしか使用していないので法令違反はないとマイナビは主張しているようですが、その前提に問題があるように思われます。

3.トヨタ等からリクルート等への就活生の個人データの提供
また内定辞退予測データの作成のために、トヨタなど採用企業は委託契約を締結し、リクルート等に就活生のエントリーシートデータ・自社サイトの閲覧履歴などの個人データを提供しています。それを受けて、リクルート等は自社サイトの閲覧履歴などリクルートが保有する個人データのビッグデータを名寄せ・紐付けし分析して、就活生一人一人の内定辞退予測データを作成し、トヨタなどに提供していたそうです。

個人情報保護法上、「委託」は第三者提供の例外と位置づけられているため(23条5項1号)、このスキームは合法であるとリクルートやトヨタは考えているのかもしれません。しかし、個人情報保護法上、委託というスキームは、委託元の持つ個人データの「全部又は一部」を委託先に処理などを依頼するものであって、委託先でさらに委託先などが持つさらなる個人データを追加し加工することを許すスキームではありません。そのため、リクルートやトヨタなどが行ったこの内定辞退予測データの作成は、個人情報保護法の委託・第三者提供の法的枠組みを踏み越えるものであり違法です(23条)。

なお、労働分野・雇用分野の個人情報保護については、職業安定法5条の4に条文があり、さらにこの5条の4について厚労省から指針通達(平成11年141号)が出されています。リクルートやトヨタ等の採用企業は職業安定法5条の4とその指針通達にも抵触しています。
・厚労省の指針通達(平成11年141号)
https://www.mhlw.go.jp/www2/topics/topics/saiyo/dl/160802-01.pdf

また、労働分野における個人情報保護に関して、平成27年に厚労省が「雇用分野における個人情報保護に関するガイドライン」を制定しています。
・厚労省 雇用分野における個人情報保護に関するガイドライン
https://www.mhlw.go.jp/file/06-Seisakujouhou-11600000-Shokugyouanteikyoku/0000134231.pdf


4.職業紹介事業者などの守秘義務
さらに、職業安定法は、リクルートなどの職業紹介事業者等に対して、「その業務上取り扱つたことについて知り得た人の秘密を漏らしてはならない。」と守秘義務を課しています(51条)。この守秘義務違反には罰則があり、法人の両罰規定も設けられています(66号9号、67条)。

ある就活生がある企業に入社する意向を固め、逆にある企業を内定辞退しようとしているという情報は、その就活生の内心に係る極めて機微な情報です。また、職業紹介事業者は一方は就活生・求職者、もう一方は採用企業の両方を顧客とする業態ですが、職業紹介事業者が就活生の内定辞退予測データを採用企業に提供することは、顧客である就活生の信頼を完全に損なうものであり、社会通念上の信義則に反しています(民法1条2項)。リクルートなどの行為は職業安定法上の守秘義務に反するとともに、民事上の信義則に違反していると思われます。

5.プライバシーポリシーと約款の合理的解釈・不意打ち条項
なお、リクルートなどのプライバシーポリシーの個人情報の利用目的のところをみると、「本サービスの改善・新規サービスの開発およびマーケティング」などの項目が列挙されており、形式的には内定辞退予測データの作成・提供などもこれに含まれるように思えます。同様の規定は採用企業側サイトにもあるようです。

リクルート プライバシーポリシー
(リクナビのプライバシーポリシーの「個人情報の利用目的」の部分)

しかし、プライバシーポリシーなどを含む約款は、事業者が作成すればそれがすべて顧客・利用者を拘束するものではありません。この点について裁判例は古くから、「当事者の合理的解釈」をもとに判断を行っています(最高裁平成13年4月20日など)。

そのため、もし訴訟となれば、1年以上前の就活生の個人データを保存しておいてリクルートなどに提供することや、それらの個人データをもとに、多くの就活生にとって利益相反の内定辞退予測データを作成してリクルートなどが採用企業に提供することは、「当事者(=就活生)の合理的意思に反する」として、違法・無効なものと判断される可能性があります。

あるいは、かりに内定辞退予測データの授受がプライバシーポリシーなどに明記されていたとしても、それは「不意打ち条項」「不当条項」として無効と判断される可能性があります(消費者契約法10条、改正民法548条の2第2項)。

■追記1
今回のリクナビ事件を受けて、個人情報保護委員会は8月26日に、厚生労働省は9月6日に文書を発表しました。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について|個人情報保護委員会
・募集情報等提供事業等の適正な運営について|厚生労働省

■追記2
2019年12月4日に、個人情報保護委員会はリクルートキャリアや内定辞退予測データを購入したトヨタなどの各社に対して行政指導を行い、文書の発表を行いました。
・「個人情報の保護に関する法律に基づく行政上の対応について」を公表しました。|個人情報保護委員会









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ