■追記(2023年6月20日)
OpenWork(オープンワーク)社は6月16日付で本件が個人情報漏洩事故であるとして、システム対応、被害者への連絡、個人情報保護委員会への報告などを行う旨のプレスリリースを公表しています。
・「リアルタイム応募状況」機能における個人情報の不適切利用に関するお詫びとご報告
1.はじめに
Twitter上で、「なんかopenworkで他人のリアルタイム応募状況が見れるようになっててバリおもろいwwwww」というつぎのような興味深いツイートを見かけました。
(Twitterより)
2.職業安定法・個人情報保護法
これは、氏名は分からなくても年齢や年収等の情報や応募履歴等から特定の個人を識別できるのだから個人情報であり(個情法2条1項1号)、その情報が誰でも閲覧できる状態(全世界への第三者提供つまり個人情報漏洩)になっているのは安全管理措置違反(個情法27条1項、23条)で職業安定法5条の5違反なのではと気になります。
職業安定法は個人情報保護を強化する等の方向で2022年に法改正が行われたばかりの法律であり、同法5条の5は、職業紹介事業者(人材会社など)や求人者(求人企業)などは求職者などの個人情報保護をしっかりしなくてはならないと規定しています。
職業安定法
(求職者等の個人情報の取扱い)
第5条の5 公共職業安定所、特定地方公共団体、職業紹介事業者及び求人者、労働者の募集を行う者及び募集受託者、特定募集情報等提供事業者並びに労働者供給事業者及び労働者供給を受けようとする者(次項において「公共職業安定所等」という。)は、それぞれ、その業務に関し、求職者、労働者になろうとする者又は供給される労働者の個人情報(以下この条において「求職者等の個人情報」という。)を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で、厚生労働省令で定めるところにより、当該目的を明らかにして求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合その他正当な事由がある場合は、この限りでない。
2 公共職業安定所等は、求職者等の個人情報を適正に管理するために必要な措置を講じなければならない。
3.プライバシーポリシー・利用規約など
ここでこのOpenWork(オープンワーク)社サイトを見てみました。
(OpenWork社のプライバシーポリシー、同社サイトより)
(OpenWork社の安全管理措置方針、同社サイトより)
立派なプライバシーポリシーや安全管理措置方針などが策定・公表されていますが、実際の運用がこれでは絵に描いた餅ではないでしょうか。プライバシーポリシーの部分においても、利用目的において「ユーザーの入力した応募履歴などを当社サイトで誰でも閲覧できるようにする」等の記載はなく、やはりこれは本人の同意のない第三者提供(個人情報漏洩)であって問題であるように思えます(個情法27条1項、23条)。
さらにOpenWork社サイトの利用規約をみると、ここでも「ユーザーの入力した応募履歴などを当社サイトで誰でも閲覧できるようにする」等の記載はなく、ユーザー本人の同意は得られていません。
また同利用規約9条(免責)2項(b)(d)などをみると、「当社サービスでユーザーが入力した情報で本人が特定された場合」・「当社の故意・過失によらずユーザー本人以外が本人を識別できる情報を入手した場合」も「当社は一切の責任を負いません」と規定しているのはちょっと酷いのではないかと思いました。
(OpenWork社の利用規約、同社サイトより)
これは職業安定法5条の5や個人情報保護法の面からOpenWork社に責任があった場合にもかかわらず同社に責任はないとしている点で悪質に思えます。民法548条の2第2項は利用規約などの定型約款における不当条項は無効とする規定をおいていますが、同法同条との関係で問題があるように思えます。
4.まとめ
このようにOpenWork社はプライバシーポリシーや安全管理措置方針などは一見しっかりしたものを制定・公表していますが、実際の業務運用においては職業安定法や個人情報保護法をよく理解していないのではないかと心配です。2019年には就活生の内定辞退予測データに関するリクナビ事件が発覚し大きな社会問題となり、リクルートキャリアやその取引先のトヨタなどの求人企業は厚労省および個人情報保護委員会から行政指導を受けたばかりなのですが・・・。
このブログ記事が面白かったらシェアやブックマークをお願いします!
PR