なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:リクナビ

いらすとや個人情報
1.改正個人情報保護法
『週刊東洋経済』2021年3月6日号64頁に、2020年に改正のあった個人情報保護法についての解説記事(「22年施行 情報の「利用」を重視する 個人情報保護の規制強化」)が掲載されていたので読んでみたところ、いくつか気になる点がありました。

本記事は、新卒の就活生の採用において、リクルートキャリア社が分析し販売した就活生の「内定辞退予測データ」をトヨタなどの採用企業が購入して利用していたことが2019年に発覚し、大きな社会問題となったいわゆる「リクナビ事件」やDMP(Data Management Platform)業務を中心的な題材として改正個人情報保護法の解説を行っています。

2.個人関連情報
本記事は、DMPベンダー企業(C社)のサーバーに、A社、B社などさまざまな企業のサイトを閲覧したユーザー・顧客の閲覧履歴が顧客のcookieなどの顧客IDごとに蓄積されてゆき、DMPベンダー企業C社がこの蓄積された閲覧履歴のデータを分析してゆくと、それぞれの顧客がその顧客IDごとに、例えば「40代であり、男性で、自動車に興味がある」などと推測・プロファイリングすることができるとしています(分析結果データ)。

週刊東洋経済閲覧履歴
(「週刊東洋経済」2021年3月6日号65頁より)

そして、C社からこれらの分析結果データを購入したB社は、B社のサーバーに蓄積されたCookieなどの顧客IDや自社の顧客DBなとと情報を突合・名寄せを行い、顧客の実名等を割り出し、マーケティング活動などを行うとしています。

その上で、本記事は、(顧客IDが)「1234のユーザーが40代男性で自動車に興味があるという情報は、まさに個人関連情報だ」としています。

ところで、今回の法改正で新設された、個人関連情報とは、「生存する個人に関する情報であって個人情報、匿名加工情報および仮名加工情報のいずれにも該当しないもの」と定義されています(改正個人情報保護法26条の2第1項かっこ書き)。解説書は、個人関連情報について、「氏名等と結びついていないインターネットの閲覧履歴、位置情報、Cookieなど」が個人関連情報の具体例であるとしています(佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁)。

この点、本記事の説明における、DMPベンダー企業のC社のサーバーに収集された、ユーザーのCookieなどの顧客IDやサイト閲覧履歴などのデータは、まさに個人関連情報ですが、それらの情報・データをC社が分析した結果である、「1234のユーザーが40代男性で自動車に興味があるという情報・データ」は、個人関連情報ではなく、個人情報(個人情報保護法2条1項1号)なのではないでしょうか。

つまり、個人情報とは、「生存する個人に関する情報」であって、「特定の個人を識別することができるもの」です(法2条1項1号)。ここでいう「特定の個人を識別することができる」とは、「生存する具体的な人物と情報との間に同一性を認めることができること」(個人情報保護委員会・個人情報ガイドラインQ&A1-1)であり、特定の個人の「実名」等を識別できることまでは要件とされていません。すなわち、例えば防犯カメラの映像データにおいて、映っている人物の顔や身体的特徴などの「識別のための情報」によって、特定の個人がいわば「この人」であると識別できる場合には、当該個人の実名等が不明であっても、その情報は個人情報となります(岡本久道『個人情報保護法 第3版』72頁)。また、事実そのものを示す情報(事実情報)だけでなく、人事考課のような判断・評価を表す情報(評価情報)も個人情報に該当します(岡本・前掲69頁)。

そのため、DMPベンダー企業C社において、Cookieなどの顧客IDによって特定の個人を「この人」と識別できるうえに、閲覧履歴などを評価・分析した評価情報である「顧客ID1234のユーザーが40代男性で自動車に興味があるという情報・データ」はやはり個人情報であると考えられます。したがって、これらの分析結果の情報を個人関連情報としている本記事は不正確ではないかと思われます。

なお、本記事65頁は、Cookieについて「ブラウザに保存されるテキスト形式の情報のことであり、顧客IDなどを保存するのに使われる」と解説していますが、Cookieが保存されるのは正確にはブラウザではなくパソコンやスマホのストレージ(記憶装置)であると思われます。

(DMPの事業については、従来、Cookieなどは個人ではなくブラウザに付番された情報であるので個人情報ではないという説明がなされてきたようです。しかし、共用のパソコンなどであればともかく、個人のスマートフォンなどは「一人一端末」であることがほとんでであると思われ、その場合、Cookie等の情報は限りなく個人情報そのものと考えられます。)

3.仮名加工情報
本記事66頁は、仮名加工情報とは、「個人情報から、①氏名等、②個人識別符号(生体認証情報やマイナンバー等)、③クレジットカード番号や銀行口座番号など、を削除した情報である」と解説しています。

この点、仮名加工情報について、改正法2条9項は
改正個人情報保護法
2条9項
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(後略)
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(後略)

と規定しています。つまり、個人情報については個人情報の記述の一部を削除し、個人識別符号に該当する個人情報については個人識別符号の全部を削除したもので他の情報と照合しない限り特定の個人を識別できないよう加工されたものが仮名加工情報です。「クレジットカード番号や銀行口座番号など」は、個人情報(個人識別符号)の一部として明確化がなされるように前回(平成27年)の個人情報保護法改正の際に盛り込まれようとしたものの、経済界の一部の強い反対によりお蔵入りとなったものです。そのため、「個人情報から、③クレジットカード番号や銀行口座番号などを削除した情報」としている本記事は、③の部分については正確でないように思われます。(この点は今後制定される、個人情報保護委員会の施行令・施行規則で明らかになると思われます。)

また、本記事66頁は、「仮名加工情報に加工しておけば、(略)本人からの開示や利用停止等の請求の対象にならない」ことが「企業にとって前向きな改正」と解説しています。

この点、本記事の筆者である影島広泰弁護士は、「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号38頁においても、「仮名加工情報については、15条2項(利用目的の変更)、22条の2(漏えい等の報告)、27条から34条まで(開示・利用停止等の保有個人データに関する本人の権利)の規定は適用されないとされている(改正法35条の2第9項)。したがって、本稿で述べてきた開示請求や利用停止等の請求への対応が難しいデータについては、仮名加工情報に加工して保有・利用するというのが、有力な解決策の1つとなると考えられる。」と解説しておられます。

しかし、仮名加工情報は、例えば製薬会社などの製薬の研究開発のため、企業内部におけるデータ利用などを想定し、企業などの個人情報取扱事業者としての義務を緩和するものです。そのため、仮名加工情報を利用する際に当該企業が他の情報と照合するなどして本人を識別するは禁止されますし(識別行為禁止義務)、第三者提供も禁止されています(改正法35条の2第7項)。また、仮名加工情報のなかの連絡先などの情報を利用することも禁止されています(改正法35条の2第8項)。

もし影島氏が、企業からみて好ましくない顧客のリスト表などの個人情報・個人データを匿名加工情報にすべきだと考えておられるのであれば、しかしそのような個人情報は匿名加工情報に加工しても、個人を特定する用途には利用できませんし、第三者提供もできませんし、さらに連絡先を利用することも禁止されているので、結局、このような各種の用途には利用できず無意味なデータとなってしまうのではないでしょうか。

あるいは、「顧客から隠すために保有個人データを匿名加工情報に加工する」という行為は、今回新設された不適正利用の禁止規定(改正法16条の2)に抵触するのではないでしょうか。

4.閲覧履歴などを採用選考に利用できるのか?
さらに、本記事は、就活生からの本人の同意さえ取れば、リクナビ事件のようなネット閲覧履歴等も企業が採用選考に利用できることを前提として書かれているようです。

しかし、就活生本人から同意を取得すれば、たしかに個人情報保護法はクリアできるかもしれませんが、「採用選考に思想信条や内心等に関連する情報の取得はしてはならない」「社会的差別のもととなる情報を取得してはならない」「本人の仕事をする能力についてのみ採用選考をすること」等としている職業安定法などの労働法に抵触し、やはりネット閲覧履歴等を採用選考に企業などが利用することは許されないのではないでしょうか(職安法5条の4、同法3条、厚労省指針通達労働省平成11年第141号第4、厚労省「公正な採用選考の基本」、浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁)。

・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

厚労省指針通達平成11年労働省第141号

第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)
1 個人情報の収集、保管及び使用
(1) 職業紹介事業者等は、その業務の目的の範囲内で求職者等の個人情報(以下単に「個人情報」という。)を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。
 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
 思想及び信条
 労働組合への加入状況
(2) 職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと。
(以下略)

つまり、DMP事業者は数千、数万のサイトから情報を収集し、分析したデータをターゲティング広告などに利用しています。そして収集されたネットの閲覧履歴などは、就活生の就職活動に関するデータだけでなく、就活生の趣味嗜好や思想信条、政治的傾向、愛読書や好きなアーティスト等などの情報や、あるいは本人の人種、性別、出身地などのさまざまな情報が含まれます。

しかし、企業等が採用選考にあたり、「思想信条、趣味嗜好、政治的傾向、労働組合歴、愛読書、尊敬する人物」などの情報や、「人種、性別、肌の色、出身地、親の職業・資産状況」などの情報で選考してはならないと職業安定法などが規定しているのは、日本が「個人の尊重」(憲法13条)や内心の自由(19条)や平等原則(14条)などの基本的人権の確立(11条、97条)を掲げる自由主義、民主主義の国家だからです。企業などは、個別の国民から本人同意を取得することはできても、国会による改正などを経ない限り、職業安定法や憲法あるいはわが国の国家のあり方を変えることはできないからです。

そのため、採用側の企業が就活生などから本人の同意を取得することで、かりに個人情報保護法をクリアすることができたとしても、閲覧履歴などの個人の内心に関する情報や社会的差別の原因となるおそれのある情報を、企業が採用選考のために収集し利用することはやはり許されないことになります。

(そのことは、ネット上の情報を収集して業務を行っている、LAPRASなどのネット系人材紹介会社にも同様にあてはまると思われます。)

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁
・岡村久道『個人情報保護法 第3版』72頁、69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・高木浩光「個人データ保護とは何だったのか」『世界』2019年11月号55頁
・影島広泰「情報の「利用」を重視する 個人情報保護の規制強化」『週刊東洋経済』2021年3月6日号64頁
・影島広泰「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える




週刊東洋経済 2021年3/6号 [雑誌]

一問一答 令和2年改正個人情報保護法 (一問一答シリーズ)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法〔第3版〕

このエントリーをはてなブックマークに追加 mixiチェック

hellowork_mendan
1.ネット版ハローワークがバージョンアップ
厚労省サイトによると、ハローワークのネット版(ウェブサイト)が1月6日より大幅にバージョンアップしたとのことです。そこで見てみたのですが、ログイン画面のプライバシーポリシーが非常に残念な出来栄えで驚きました。

・ハローワーク・インターネットサービス利用規約・プライバシーポリシー|厚労省

2.求職情報公開サービス
(1)個人を特定できない情報
このプライバシーポリシーによると、求職者がこのハローワークのネットサービス(「求職者マイページ 」)を申込む際に、ハローワーク窓口に「求職情報公開」および「求職情報公開サービス」を拒否(オプトアウト)しないと、 求職者の個人情報・個人データが求人企業、自治体および民間人材ビジネス企業提供・第三者提供されるとさらっと書かれており、ぎょっとします。

ここで、求人企業や民間人材ビジネス起業などに提供される個人情報について、このプライバシーポリシーは、「(個人を特定できない情報)」とかっこ書きをつけています。

しかし、このネット版ハローワークや現実のハローワークで登録され取り扱われている求職者の氏名・住所・生年月日・学歴・職歴・資格などのデータは、どう考えても厚労省職安局(あるいは委託されたIT企業)のサーバーの求職者個人DBの一部の個人データのはずです。

行政機関個人情報保護法2条2項1号は、個人情報とは、「特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 」と定めています。

このかっこ書きの部分(「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」)に照らすと、ハローワークの求職者データベースの一部のデータを民間企業に提供する際にそれを「個人を特定できないから個人情報ではない」というこのプライバシーポリシーは間違っています。

厚労省職業安定局は、これは非識別情報(匿名加工情報)なのだと主張するのかもしれませんが、それならそれでプライバシーポリシーにしっかりと明示するべきです。(統計データについては明文化されていますが、ここで明示されていないので、統計データでもないようです。)

(2)「民間人材ビジネス企業」に個人データを第三者提供?
また、第三者提供先が「民間人材ビジネス企業」としか書かれておらず、求職者本人からみてあまりにも漠然・広範囲であり、第三者提供の同意のための透明性がまったく保たれていません。これでは求職者は、自分の個人情報がどこのどんな事業者まで転々と流通してしまうのかまったく分かりません。

ハロワPP
(厚労省サイトのネット版ハローワークのプライバシーポリシーより)

なお、ハローワークや民間人材ビジネス会社を規制する職業安定法も、個人情報の定義につき行政機関個人情報保護法と同様の規定を置いており(4条11号)、またハローワーク等に対して利用目的を特定しその範囲内で個人情報を収集・利用するよう規定し(5条の4第1項)、さらにハローワークなどに対して安全管理措置を講じることを義務づけています(5条の4第2項)。加えて、ハローワークなどの職員には求職者の個人情報などについて守秘義務が課せられています(51条、51条の2、国家公務員法100条参照)。 にもかかわらず、職業安定法の所管である厚労省職業安定局・ハローワーク自身が、職業安定法の各規定に抵触しているおそれがあります。

このような状態でプライバシーポリシーに「企業などからメールなどが送信されることがあります」とあるのは、CCCのTポイントなのか、リクナビのような民間サービスを目指しているのかと目が点になってしまいします。

医療データほどセンシティブではないものの、学歴・職歴などがまとまったハローワークの求職者の個人情報・個人データは非常にデリケートな情報のはずですが、厚労省職業安定局は、そのような認識を持っていないのでしょうか?

ちょっと前に大量の就活生の個人データを不正に利用・加工・第三者提供するなどして大炎上したリクナビ事件で、リクルートグループやトヨタ等に対し、職安法に基づき行政指導などを行ったのは厚労省職業安定局・東京労働局ですが、その厚労省職安局がリクナビの真似してどうするのかと思います。

3.その他
その他にも、このプライバシーポリシーは、

・利用目的が「ハローワーク業務に使う」と漠然としておりまったく特定されていない
・開示・訂正等請求の手続きに関する条文が存在しない
・安全管理措置について組織的・人的・物理的安全管理措置の規定がない
・そもそも条文構成になっていない

等などざっと見ただけでもツッコミどころ満載です。

利用規約を読むと、このネット版ハローワークはマイナンバー(個人番号)も利用可能のようで、つまり個人情報保護委員会の管轄に含まれるようであり、同委員会はぜひ、厚労省職業安定局・ハローワークに対して助言・指導などを行っていただきたいと思われます。

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・厚労省の障害者向け「就労パスポート」を法的に考える-個人情報保護法・プライバシー・憲法

ブログランキング・にほんブログ村へにほんブログ村









このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.はじめに
NHKの報道番組「クローズアップ現代+」が、「人事・転職ここまで!? AIがあなたを点数化」という番組を10月29日に放送しました。そのなかで、”AI人材紹介会社”のLAPRAS(ラプラス)が取り上げられ、その恐ろしさがネット上で反響を呼んでいます。

・人事・転職ここまで!? AIがあなたを点数化|NHK

LAPRASは、インターネット上のウェブサイト、ブログ、SNSなどの記載、書き込みなどをAIプログラムが収集し、データベータ化し、プロフィールなどを作成して人材紹介を行う会社であるようです。同社は、同事業を行っていたscoutyの後継会社です。

2.オプトアウト手続き
scoutyがLAPRASになって、大きく変わったのは、LAPRASからの求人企業への個人情報の第三者提供などについてオプトアウト制度を採用することとしています(個人情報保護法23条2項)。

つまり、"当社から求人企業に個人情報(データ)を第三者提供されたくないお客様は、当社にお申し出ください。”とする制度を明示したことであると思われます。

このように、個人情報の第三者提供という、“出口”の部分についてオプトアウト手続きが明確化されたことは大きな一歩前進ですが、”入口”にあたる、個人情報の収集・管理・利用などについてはどうなっているのでしょうか。

3.職業安定法5条の4
この点、個人情報の取得については、職業安定法5条の4、厚労省通達平成11年141号第4は、「本人から直接取得」することを原則とし、つぎに「本人の同意」を得た上で紹介会社等が本人以外のものから情報を収集することができるという仕組みになっています。

にもかかわらずLAPRASは、本人から直接個人情報を取得するのではなく、また、本人からあらかじめ同意も得ず、勝手にこっそり本人のネット上の書き込み等から個人データ取得して人材紹介業を行っていますが、これは職業安定法5条の4等に抵触しているのではないでしょうか。

4.個人情報保護法18条2項
また、個人情報保護法18条2項は、事業者が本人から「書面(電磁的記録を含む)」により個人情報(データ)を取得するときは、「あらかじめ本人に利用目的を明示」せよと規定しています。

(取得に際しての利用目的の通知等)
第十八条
    (略)
 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

この点、ラプラスは、AIプログラム等が、個人・本人のネット上の書き込み等から個人データの収集を始める段階では本人への利用目的の明示を行ってないようです。(NHKのクロ現+や数年前のニュース記事等によると。)これは明らかに個人情報保護法18条2項に反しているのではないかと懸念されます。

5.正確性・安全管理措置
さらに、もしLAPRASのAIプログラムにバグなどの瑕疵があり、ネット上の他人の書き込み等を間違えて本人のものとしていること等があるとしたら、個人データの正確性の確保(19条)や、個人データの安全管理措置(20条)にも違反してるのではないかと懸念されます。

LAPRASサイトをみると、同社のAIプログラムはネット上のさまざまな個人データを収集、分析、突合し、自動で本人のプロフィールなどを作成するそうですが、このプロフィールが本人からみて本当に正しいのか等の問題も発生するものと思われます。

6.守秘義務
加えて、職業安定法51条は人材紹介会社等に守秘義務を課しています。この義務違反には罰則があります(66条9号)。

本人にとって、例えば大学・大学院研究室サイトなどに掲載された本人の業績などはあまり問題がないかもしれませんが、その一方でネット上の過去のツイッターなどのSNSにおける書き込みや、過去に本人が匿名で書いたブログ記事などは、一般論としては本人にとって「黒歴史」であり、本人が求人企業などに見せたいとは思わない「秘密」であろうと思われます。

このようなさまざまな「黒歴史」で「秘密」な個人データをLAPRASはコンピュータプログラムを使って自動的に突合・分析し、個人データベースを作成し、本人のプロフィールを作成し、求人企業に対してそれらのデータをみせた上で「こんな人いますよ」と営業を行っているわけですが、もし安易に求人企業にこれらの「秘密」を元にした個人データベースやプロフィール等を見せているとしたら、それは守秘義務違反となるのではないでしょうか。

7.厚労省職業安定局の通達
この点、リクナビ事件について厚労省職業安定局は9月6日に、「本人の同意なく…あるいは十分な同意がない…内定辞退予測の…本人のあずかり知らぬ形での募集企業への提供は…学生本人の立場を弱め…学生の不安感を惹起するもの…職安法51条に照らし違法のおそれがある」との趣旨の通達を出しています。

厚労省通知リクナビ事件
(厚労省サイトより)

・募集情報等提供事業等の適切な運営について|厚労省職業安定局(令和元年9月6日)

本人の同意を得ていない内定辞退予測の募集企業への提供が、本人の秘密侵害であるとして人材紹介会社の守秘義務違反となるのなら、本人の同意を得ずに勝手にさまざまなネット上から情報を収集し、それを分析・加工した個人データも同様に本人の秘密であるとして、その本人のあずかり知らぬところでの募集企業などへの提供は、守秘義務違反となるのではないでしょうか。

8.人材会社「の判断による選別または加工」の禁止
くわえて、本通知は、本人の個人データを、「人材会社の判断による選別または加工」を行うことも禁止しています。LAPRASは、ネット上の本人のツイッターなどのSNSやブログ記事などの個人データを収集し、LAPRASの判断により選別・加工を行い、プロフィールなどDBを運営して事業を行っていますが、この本人のさまざまな個人データを収集したうえで選別・加工を行うビジネスモデルは職業安定法に反し、個人情報保護法制の趣旨に反するものであると思われます。

(なお、「コンピュータによる個人データの自動処理」については、1996年にILOが「労働者の個人データの保護に関する行動準則」を制定し、そのなかには、「一般原則 5.6 電子的な監視で収集された個人データを、労働者の成績を評価する唯一の要素とすべきではない。」との条文があります。この考え方は欧州では、EU指令からGDPRに引き継がれています。日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」などに表れています。(堀部政男『プライバシー・個人情報保護の新課題』163頁))

9.まとめ
このように職業安定法や厚労省通達、個人情報保護法などに照らすと、さまざまな面でLAPRASの業務は、ビジネスモデルの根幹の部分で法令に抵触しているように思われます。

■関連する記事
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ禍の就活のSNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング









このエントリーをはてなブックマークに追加 mixiチェック

computer_server

1.はじめに
最近の各社の新聞報道によると、人材紹介業のリクルート(リクナビ)、マイナビが、就活生の「内定辞退予測データ」をAI・コンピュータにより作成し、ホンダ、トヨタなどの採用企業に販売していたことが明らかとなり大きな問題となっています。

また、その後の報道によると、この内定辞退予測については、①まず委託契約を締結した採用企業からリクルート等に対して、昨年以前の就活生の自社サイト上の行動履歴・エントリーシートなどの個人データが提供され、②リクルートは提供された個人データと自社が保有している個人データとを紐付け・照合し、これらのデータを分析・加工し、③それぞれの採用企業ごとの内定辞退予測データを作成し、それぞれの採用企業に提供・納品していたとのことです。

個人情報保護委員会・厚労省はリクルート等に対してだけでなく、トヨタなど採用企業側の調査を行っているとのことです。

2.個人データの安全管理措置・保存期限
個人情報保護法19条、20条はつぎのようになっています。

(データ内容の正確性の確保等)
第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

つまり、顧客など個人から個人情報(個人データ)を取得した事業主は、その個人データが漏洩、滅失または毀損することを防止するための措置を講じなければならないとされています(安全管理措置、20条)。そして同じ趣旨から、事業者は自社が社内で取り扱う様々な個人データの類型ごとにあらかじめそれぞれの保存期限を定めておき、それぞれの保存期限がきた個人データは削除・廃棄などをすることが求められています(19条)。

すなわち、トヨタ、ホンダなどの事業者は、採用という結果になった就活生以外の就活生の個人データについては、その結果になった時点ですみやかに社内のサーバーなどに保管されたエントリーシートなどの個人データは廃棄・消去しなければ違法となります(19条、20条)。

にもかかわらず、内定辞退予測データを分析・加工させるために、トヨタ、ホンダなどの採用企業が昨年より前の就活生のエントリーシートなどの個人情報を社内で保存しておき、リクルート、マイナビなどに渡すことは個人情報保護法上違法です(19条、20条)。

報道によると、内定辞退予測データの作成にあたっては、採用企業から提供された個人データしか使用していないので法令違反はないとマイナビは主張しているようですが、その前提に問題があるように思われます。

3.トヨタ等からリクルート等への就活生の個人データの提供
また内定辞退予測データの作成のために、トヨタなど採用企業は委託契約を締結し、リクルート等に就活生のエントリーシートデータ・自社サイトの閲覧履歴などの個人データを提供しています。それを受けて、リクルート等は自社サイトの閲覧履歴などリクルートが保有する個人データのビッグデータを名寄せ・紐付けし分析して、就活生一人一人の内定辞退予測データを作成し、トヨタなどに提供していたそうです。

個人情報保護法上、「委託」は第三者提供の例外と位置づけられているため(23条5項1号)、このスキームは合法であるとリクルートやトヨタは考えているのかもしれません。しかし、個人情報保護法上、委託というスキームは、委託元の持つ個人データの「全部又は一部」を委託先に処理などを依頼するものであって、委託先でさらに委託先などが持つさらなる個人データを追加し加工することを許すスキームではありません。そのため、リクルートやトヨタなどが行ったこの内定辞退予測データの作成は、個人情報保護法の委託・第三者提供の法的枠組みを踏み越えるものであり違法です(23条)。

なお、労働分野・雇用分野の個人情報保護については、職業安定法5条の4に条文があり、さらにこの5条の4について厚労省から指針通達(平成11年141号)が出されています。リクルートやトヨタ等の採用企業は職業安定法5条の4とその指針通達にも抵触しています。
・厚労省の指針通達(平成11年141号)
https://www.mhlw.go.jp/www2/topics/topics/saiyo/dl/160802-01.pdf

また、労働分野における個人情報保護に関して、平成27年に厚労省が「雇用分野における個人情報保護に関するガイドライン」を制定しています。
・厚労省 雇用分野における個人情報保護に関するガイドライン
https://www.mhlw.go.jp/file/06-Seisakujouhou-11600000-Shokugyouanteikyoku/0000134231.pdf


4.職業紹介事業者などの守秘義務
さらに、職業安定法は、リクルートなどの職業紹介事業者等に対して、「その業務上取り扱つたことについて知り得た人の秘密を漏らしてはならない。」と守秘義務を課しています(51条)。この守秘義務違反には罰則があり、法人の両罰規定も設けられています(66号9号、67条)。

ある就活生がある企業に入社する意向を固め、逆にある企業を内定辞退しようとしているという情報は、その就活生の内心に係る極めて機微な情報です。また、職業紹介事業者は一方は就活生・求職者、もう一方は採用企業の両方を顧客とする業態ですが、職業紹介事業者が就活生の内定辞退予測データを採用企業に提供することは、顧客である就活生の信頼を完全に損なうものであり、社会通念上の信義則に反しています(民法1条2項)。リクルートなどの行為は職業安定法上の守秘義務に反するとともに、民事上の信義則に違反していると思われます。

5.プライバシーポリシーと約款の合理的解釈・不意打ち条項
なお、リクルートなどのプライバシーポリシーの個人情報の利用目的のところをみると、「本サービスの改善・新規サービスの開発およびマーケティング」などの項目が列挙されており、形式的には内定辞退予測データの作成・提供などもこれに含まれるように思えます。同様の規定は採用企業側サイトにもあるようです。

リクルート プライバシーポリシー
(リクナビのプライバシーポリシーの「個人情報の利用目的」の部分)

しかし、プライバシーポリシーなどを含む約款は、事業者が作成すればそれがすべて顧客・利用者を拘束するものではありません。この点について裁判例は古くから、「当事者の合理的解釈」をもとに判断を行っています(最高裁平成13年4月20日など)。

そのため、もし訴訟となれば、1年以上前の就活生の個人データを保存しておいてリクルートなどに提供することや、それらの個人データをもとに、多くの就活生にとって利益相反の内定辞退予測データを作成してリクルートなどが採用企業に提供することは、「当事者(=就活生)の合理的意思に反する」として、違法・無効なものと判断される可能性があります。

あるいは、かりに内定辞退予測データの授受がプライバシーポリシーなどに明記されていたとしても、それは「不意打ち条項」「不当条項」として無効と判断される可能性があります(消費者契約法10条、改正民法548条の2第2項)。

■追記1
今回のリクナビ事件を受けて、個人情報保護委員会は8月26日に、厚生労働省は9月6日に文書を発表しました。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について|個人情報保護委員会
・募集情報等提供事業等の適正な運営について|厚生労働省

■追記2
2019年12月4日に、個人情報保護委員会はリクルートキャリアや内定辞退予測データを購入したトヨタなどの各社に対して行政指導を行い、文書の発表を行いました。
・「個人情報の保護に関する法律に基づく行政上の対応について」を公表しました。|個人情報保護委員会









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ