なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:リクナビ

hellowork_mendan
1.ネット版ハローワークがバージョンアップ
厚労省サイトによると、ハローワークのネット版(ウェブサイト)が1月6日より大幅にバージョンアップしたとのことです。そこで見てみたのですが、ログイン画面のプライバシーポリシーが非常に残念な出来栄えで驚きました。

・ハローワーク・インターネットサービス利用規約・プライバシーポリシー|厚労省

2.求職情報公開サービス
(1)個人を特定できない情報
このプライバシーポリシーによると、求職者がこのハローワークのネットサービス(「求職者マイページ 」)を申込む際に、ハローワーク窓口に「求職情報公開」および「求職情報公開サービス」を拒否(オプトアウト)しないと、 求職者の個人情報・個人データが求人企業、自治体および民間人材ビジネス企業提供・第三者提供されるとさらっと書かれており、ぎょっとします。

ここで、求人企業や民間人材ビジネス起業などに提供される個人情報について、このプライバシーポリシーは、「(個人を特定できない情報)」とかっこ書きをつけています。

しかし、このネット版ハローワークや現実のハローワークで登録され取り扱われている求職者の氏名・住所・生年月日・学歴・職歴・資格などのデータは、どう考えても厚労省職安局(あるいは委託されたIT企業)のサーバーの求職者個人DBの一部の個人データのはずです。

行政機関個人情報保護法2条2項1号は、個人情報とは、「特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 」と定めています。

このかっこ書きの部分(「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」)に照らすと、ハローワークの求職者データベースの一部のデータを民間企業に提供する際にそれを「個人を特定できないから個人情報ではない」というこのプライバシーポリシーは間違っています。

厚労省職業安定局は、これは非識別情報(匿名加工情報)なのだと主張するのかもしれませんが、それならそれでプライバシーポリシーにしっかりと明示するべきです。(統計データについては明文化されていますが、ここで明示されていないので、統計データでもないようです。)

(2)「民間人材ビジネス企業」に個人データを第三者提供?
また、第三者提供先が「民間人材ビジネス企業」としか書かれておらず、求職者本人からみてあまりにも漠然・広範囲であり、第三者提供の同意のための透明性がまったく保たれていません。これでは求職者は、自分の個人情報がどこのどんな事業者まで転々と流通してしまうのかまったく分かりません。

ハロワPP
(厚労省サイトのネット版ハローワークのプライバシーポリシーより)

なお、ハローワークや民間人材ビジネス会社を規制する職業安定法も、個人情報の定義につき行政機関個人情報保護法と同様の規定を置いており(4条11号)、またハローワーク等に対して利用目的を特定しその範囲内で個人情報を収集・利用するよう規定し(5条の4第1項)、さらにハローワークなどに対して安全管理措置を講じることを義務づけています(5条の4第2項)。加えて、ハローワークなどの職員には求職者の個人情報などについて守秘義務が課せられています(51条、51条の2、国家公務員法100条参照)。 にもかかわらず、職業安定法の所管である厚労省職業安定局・ハローワーク自身が、職業安定法の各規定に抵触しているおそれがあります。

このような状態でプライバシーポリシーに「企業などからメールなどが送信されることがあります」とあるのは、CCCのTポイントなのか、リクナビのような民間サービスを目指しているのかと目が点になってしまいします。

医療データほどセンシティブではないものの、学歴・職歴などがまとまったハローワークの求職者の個人情報・個人データは非常にデリケートな情報のはずですが、厚労省職業安定局は、そのような認識を持っていないのでしょうか?

ちょっと前に大量の就活生の個人データを不正に利用・加工・第三者提供するなどして大炎上したリクナビ事件で、リクルートグループやトヨタ等に対し、職安法に基づき行政指導などを行ったのは厚労省職業安定局・東京労働局ですが、その厚労省職安局がリクナビの真似してどうするのかと思います。

3.その他
その他にも、このプライバシーポリシーは、

・利用目的が「ハローワーク業務に使う」と漠然としておりまったく特定されていない
・開示・訂正等請求の手続きに関する条文が存在しない
・安全管理措置について組織的・人的・物理的安全管理措置の規定がない
・そもそも条文構成になっていない

等などざっと見ただけでもツッコミどころ満載です。

利用規約を読むと、このネット版ハローワークはマイナンバー(個人番号)も利用可能のようで、つまり個人情報保護委員会の管轄に含まれるようであり、同委員会はぜひ、厚労省職業安定局・ハローワークに対して助言・指導などを行っていただきたいと思われます。

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・厚労省の障害者向け「就労パスポート」を法的に考える-個人情報保護法・プライバシー・憲法

ブログランキング・にほんブログ村へにほんブログ村

人気ブログランキング

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法〔第3版〕

このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.はじめに
NHKの報道番組「クローズアップ現代+」が、「人事・転職ここまで!? AIがあなたを点数化」という番組を10月29日に放送しました。そのなかで、”AI人材紹介会社”のLAPRAS(ラプラス)が取り上げられ、その恐ろしさがネット上で反響を呼んでいます。

・人事・転職ここまで!? AIがあなたを点数化|NHK

LAPRASは、インターネット上のウェブサイト、ブログ、SNSなどの記載、書き込みなどをAIプログラムが収集し、データベータ化し、プロフィールなどを作成して人材紹介を行う会社であるようです。同社は、同事業を行っていたscoutyの後継会社です。

2.オプトアウト手続き
scoutyがLAPRASになって、大きく変わったのは、LAPRASからの求人企業への個人情報の第三者提供などについてオプトアウト制度を採用することとしています(個人情報保護法23条2項)。

つまり、"当社から求人企業に個人情報(データ)を第三者提供されたくないお客様は、当社にお申し出ください。”とする制度を明示したことであると思われます。

このように、個人情報の第三者提供という、“出口”の部分についてオプトアウト手続きが明確化されたことは大きな一歩前進ですが、”入口”にあたる、個人情報の収集・管理・利用などについてはどうなっているのでしょうか。

3.職業安定法5条の4
この点、個人情報の取得については、職業安定法5条の4、厚労省通達平成11年141号第4は、「本人から直接取得」することを原則とし、つぎに「本人の同意」を得た上で紹介会社等が本人以外のものから情報を収集することができるという仕組みになっています。

にもかかわらずLAPRASは、本人から直接個人情報を取得するのではなく、また、本人からあらかじめ同意も得ず、勝手にこっそり本人のネット上の書き込み等から個人データ取得して人材紹介業を行っていますが、これは職業安定法5条の4等に抵触しているのではないでしょうか。

4.個人情報保護法18条2項
また、個人情報保護法18条2項は、事業者が本人から「書面(電磁的記録を含む)」により個人情報(データ)を取得するときは、「あらかじめ本人に利用目的を明示」せよと規定しています。

(取得に際しての利用目的の通知等)
第十八条
    (略)
 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

この点、ラプラスは、AIプログラム等が、個人・本人のネット上の書き込み等から個人データの収集を始める段階では本人への利用目的の明示を行ってないようです。(NHKのクロ現+や数年前のニュース記事等によると。)これは明らかに個人情報保護法18条2項に反しているのではないかと懸念されます。

5.正確性・安全管理措置
さらに、もしLAPRASのAIプログラムにバグなどの瑕疵があり、ネット上の他人の書き込み等を間違えて本人のものとしていること等があるとしたら、個人データの正確性の確保(19条)や、個人データの安全管理措置(20条)にも違反してるのではないかと懸念されます。

LAPRASサイトをみると、同社のAIプログラムはネット上のさまざまな個人データを収集、分析、突合し、自動で本人のプロフィールなどを作成するそうですが、このプロフィールが本人からみて本当に正しいのか等の問題も発生するものと思われます。

6.守秘義務
加えて、職業安定法51条は人材紹介会社等に守秘義務を課しています。この義務違反には罰則があります(66条9号)。

本人にとって、例えば大学・大学院研究室サイトなどに掲載された本人の業績などはあまり問題がないかもしれませんが、その一方でネット上の過去のツイッターなどのSNSにおける書き込みや、過去に本人が匿名で書いたブログ記事などは、一般論としては本人にとって「黒歴史」であり、本人が求人企業などに見せたいとは思わない「秘密」であろうと思われます。

このようなさまざまな「黒歴史」で「秘密」な個人データをLAPRASはコンピュータプログラムを使って自動的に突合・分析し、個人データベースを作成し、本人のプロフィールを作成し、求人企業に対してそれらのデータをみせた上で「こんな人いますよ」と営業を行っているわけですが、もし安易に求人企業にこれらの「秘密」を元にした個人データベースやプロフィール等を見せているとしたら、それは守秘義務違反となるのではないでしょうか。

7.厚労省職業安定局の通達
この点、リクナビ事件について厚労省職業安定局は9月6日に、「本人の同意なく…あるいは十分な同意がない…内定辞退予測の…本人のあずかり知らぬ形での募集企業への提供は…学生本人の立場を弱め…学生の不安感を惹起するもの…職安法51条に照らし違法のおそれがある」との趣旨の通達を出しています。

厚労省通知リクナビ事件
(厚労省サイトより)

・募集情報等提供事業等の適切な運営について|厚労省職業安定局(令和元年9月6日)

本人の同意を得ていない内定辞退予測の募集企業への提供が、本人の秘密侵害であるとして人材紹介会社の守秘義務違反となるのなら、本人の同意を得ずに勝手にさまざまなネット上から情報を収集し、それを分析・加工した個人データも同様に本人の秘密であるとして、その本人のあずかり知らぬところでの募集企業などへの提供は、守秘義務違反となるのではないでしょうか。

8.人材会社「の判断による選別または加工」の禁止
くわえて、本通知は、本人の個人データを、「人材会社の判断による選別または加工」を行うことも禁止しています。LAPRASは、ネット上の本人のツイッターなどのSNSやブログ記事などの個人データを収集し、LAPRASの判断により選別・加工を行い、プロフィールなどDBを運営して事業を行っていますが、この本人のさまざまな個人データを収集したうえで選別・加工を行うビジネスモデルは職業安定法に反し、個人情報保護法制の趣旨に反するものであると思われます。

(なお、「コンピュータによる個人データの自動処理」については、1996年にILOが「労働者の個人データの保護に関する行動準則」を制定し、そのなかには、「一般原則 5.6 電子的な監視で収集された個人データを、労働者の成績を評価する唯一の要素とすべきではない。」との条文があります。この考え方は欧州では、EU指令からGDPRに引き継がれています。日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」などに表れています。(堀部政男『プライバシー・個人情報保護の新課題』163頁))

9.まとめ
このように職業安定法や厚労省通達、個人情報保護法などに照らすと、さまざまな面でLAPRASの業務は、ビジネスモデルの根幹の部分で法令に抵触しているように思われます。


法律・法学ランキング

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

プライバシー・個人情報保護の新課題

このエントリーをはてなブックマークに追加 mixiチェック

computer_server

1.はじめに
最近の各社の新聞報道によると、人材紹介業のリクルート(リクナビ)、マイナビが、就活生の「内定辞退予測データ」をAI・コンピュータにより作成し、ホンダ、トヨタなどの採用企業に販売していたことが明らかとなり大きな問題となっています。

また、その後の報道によると、この内定辞退予測については、①まず委託契約を締結した採用企業からリクルート等に対して、昨年以前の就活生の自社サイト上の行動履歴・エントリーシートなどの個人データが提供され、②リクルートは提供された個人データと自社が保有している個人データとを紐付け・照合し、これらのデータを分析・加工し、③それぞれの採用企業ごとの内定辞退予測データを作成し、それぞれの採用企業に提供・納品していたとのことです。

個人情報保護委員会・厚労省はリクルート等に対してだけでなく、トヨタなど採用企業側の調査を行っているとのことです。

2.個人データの安全管理措置・保存期限
個人情報保護法19条、20条はつぎのようになっています。

(データ内容の正確性の確保等)
第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

つまり、顧客など個人から個人情報(個人データ)を取得した事業主は、その個人データが漏洩、滅失または毀損することを防止するための措置を講じなければならないとされています(安全管理措置、20条)。そして同じ趣旨から、事業者は自社が社内で取り扱う様々な個人データの類型ごとにあらかじめそれぞれの保存期限を定めておき、それぞれの保存期限がきた個人データは削除・廃棄などをすることが求められています(19条)。

すなわち、トヨタ、ホンダなどの事業者は、採用という結果になった就活生以外の就活生の個人データについては、その結果になった時点ですみやかに社内のサーバーなどに保管されたエントリーシートなどの個人データは廃棄・消去しなければ違法となります(19条、20条)。

にもかかわらず、内定辞退予測データを分析・加工させるために、トヨタ、ホンダなどの採用企業が昨年より前の就活生のエントリーシートなどの個人情報を社内で保存しておき、リクルート、マイナビなどに渡すことは個人情報保護法上違法です(19条、20条)。

報道によると、内定辞退予測データの作成にあたっては、採用企業から提供された個人データしか使用していないので法令違反はないとマイナビは主張しているようですが、その前提に問題があるように思われます。

3.トヨタ等からリクルート等への就活生の個人データの提供
また内定辞退予測データの作成のために、トヨタなど採用企業は委託契約を締結し、リクルート等に就活生のエントリーシートデータ・自社サイトの閲覧履歴などの個人データを提供しています。それを受けて、リクルート等は自社サイトの閲覧履歴などリクルートが保有する個人データのビッグデータを名寄せ・紐付けし分析して、就活生一人一人の内定辞退予測データを作成し、トヨタなどに提供していたそうです。

個人情報保護法上、「委託」は第三者提供の例外と位置づけられているため(23条5項1号)、このスキームは合法であるとリクルートやトヨタは考えているのかもしれません。しかし、個人情報保護法上、委託というスキームは、委託元の持つ個人データの「全部又は一部」を委託先に処理などを依頼するものであって、委託先でさらに委託先などが持つさらなる個人データを追加し加工することを許すスキームではありません。そのため、リクルートやトヨタなどが行ったこの内定辞退予測データの作成は、個人情報保護法の委託・第三者提供の法的枠組みを踏み越えるものであり違法です(23条)。

なお、労働分野・雇用分野の個人情報保護については、職業安定法5条の4に条文があり、さらにこの5条の4について厚労省から指針通達(平成11年141号)が出されています。リクルートやトヨタ等の採用企業は職業安定法5条の4とその指針通達にも抵触しています。
・厚労省の指針通達(平成11年141号)
https://www.mhlw.go.jp/www2/topics/topics/saiyo/dl/160802-01.pdf

また、労働分野における個人情報保護に関して、平成27年に厚労省が「雇用分野における個人情報保護に関するガイドライン」を制定しています。
・厚労省 雇用分野における個人情報保護に関するガイドライン
https://www.mhlw.go.jp/file/06-Seisakujouhou-11600000-Shokugyouanteikyoku/0000134231.pdf


4.職業紹介事業者などの守秘義務
さらに、職業安定法は、リクルートなどの職業紹介事業者等に対して、「その業務上取り扱つたことについて知り得た人の秘密を漏らしてはならない。」と守秘義務を課しています(51条)。この守秘義務違反には罰則があり、法人の両罰規定も設けられています(66号9号、67条)。

ある就活生がある企業に入社する意向を固め、逆にある企業を内定辞退しようとしているという情報は、その就活生の内心に係る極めて機微な情報です。また、職業紹介事業者は一方は就活生・求職者、もう一方は採用企業の両方を顧客とする業態ですが、職業紹介事業者が就活生の内定辞退予測データを採用企業に提供することは、顧客である就活生の信頼を完全に損なうものであり、社会通念上の信義則に反しています(民法1条2項)。リクルートなどの行為は職業安定法上の守秘義務に反するとともに、民事上の信義則に違反していると思われます。

5.プライバシーポリシーと約款の合理的解釈・不意打ち条項
なお、リクルートなどのプライバシーポリシーの個人情報の利用目的のところをみると、「本サービスの改善・新規サービスの開発およびマーケティング」などの項目が列挙されており、形式的には内定辞退予測データの作成・提供などもこれに含まれるように思えます。同様の規定は採用企業側サイトにもあるようです。

リクルート プライバシーポリシー
(リクナビのプライバシーポリシーの「個人情報の利用目的」の部分)

しかし、プライバシーポリシーなどを含む約款は、事業者が作成すればそれがすべて顧客・利用者を拘束するものではありません。この点について裁判例は古くから、「当事者の合理的解釈」をもとに判断を行っています(最高裁平成13年4月20日など)。

そのため、もし訴訟となれば、1年以上前の就活生の個人データを保存しておいてリクルートなどに提供することや、それらの個人データをもとに、多くの就活生にとって利益相反の内定辞退予測データを作成してリクルートなどが採用企業に提供することは、「当事者(=就活生)の合理的意思に反する」として、違法・無効なものと判断される可能性があります。

あるいは、かりに内定辞退予測データの授受がプライバシーポリシーなどに明記されていたとしても、それは「不意打ち条項」「不当条項」として無効と判断される可能性があります(消費者契約法10条、改正民法548条の2第2項)。

■追記1
今回のリクナビ事件を受けて、個人情報保護委員会は8月26日に、厚生労働省は9月6日に文書を発表しました。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について|個人情報保護委員会
・募集情報等提供事業等の適正な運営について|厚生労働省

■追記2
2019年12月4日に、個人情報保護委員会はリクルートキャリアや内定辞退予測データを購入したトヨタなどの各社に対して行政指導を行い、文書の発表を行いました。
・「個人情報の保護に関する法律に基づく行政上の対応について」を公表しました。|個人情報保護委員会

個人情報保護法〔第3版〕

労働法 (法律学講座双書)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ