なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:リクナビ事件

オープンワークトップページ

■追記(2023年6月20日)
OpenWork(オープンワーク)社は6月16日付で本件が個人情報漏洩事故であるとして、システム対応、被害者への連絡、個人情報保護委員会への報告などを行う旨のプレスリリースを公表しています。
・「リアルタイム応募状況」機能における個人情報の不適切利用に関するお詫びとご報告

1.はじめに
Twitter上で、「なんかopenworkで他人のリアルタイム応募状況が見れるようになっててバリおもろいwwwww」というつぎのような興味深いツイートを見かけました。

オープンワークツイート
(Twitterより)

2.職業安定法・個人情報保護法
これは、氏名は分からなくても年齢や年収等の情報や応募履歴等から特定の個人を識別できるのだから個人情報であり(個情法2条1項1号)、その情報が誰でも閲覧できる状態(全世界への第三者提供つまり個人情報漏洩)になっているのは安全管理措置違反(個情法27条1項、23条)で職業安定法5条の5違反なのではと気になります。

職業安定法は個人情報保護を強化する等の方向で2022年に法改正が行われたばかりの法律であり、同法5条の5は、職業紹介事業者(人材会社など)や求人者(求人企業)などは求職者などの個人情報保護をしっかりしなくてはならないと規定しています。

職業安定法
(求職者等の個人情報の取扱い)
第5条の5 公共職業安定所、特定地方公共団体、職業紹介事業者及び求人者、労働者の募集を行う者及び募集受託者、特定募集情報等提供事業者並びに労働者供給事業者及び労働者供給を受けようとする者(次項において「公共職業安定所等」という。)は、それぞれ、その業務に関し、求職者、労働者になろうとする者又は供給される労働者の個人情報(以下この条において「求職者等の個人情報」という。)を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で、厚生労働省令で定めるところにより、当該目的を明らかにして求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合その他正当な事由がある場合は、この限りでない。
 公共職業安定所等は、求職者等の個人情報を適正に管理するために必要な措置を講じなければならない。

3.プライバシーポリシー・利用規約など
ここでこのOpenWork(オープンワーク)社サイトを見てみました。

オープンワーク01
(OpenWork社のプライバシーポリシー、同社サイトより)

オープンワーク02
(OpenWork社の安全管理措置方針、同社サイトより)

立派なプライバシーポリシーや安全管理措置方針などが策定・公表されていますが、実際の運用がこれでは絵に描いた餅ではないでしょうか。プライバシーポリシーの部分においても、利用目的において「ユーザーの入力した応募履歴などを当社サイトで誰でも閲覧できるようにする」等の記載はなく、やはりこれは本人の同意のない第三者提供(個人情報漏洩)であって問題であるように思えます(個情法27条1項、23条)。

さらにOpenWork社サイトの利用規約をみると、ここでも「ユーザーの入力した応募履歴などを当社サイトで誰でも閲覧できるようにする」等の記載はなく、ユーザー本人の同意は得られていません。

また同利用規約9条(免責)2項(b)(d)などをみると、「当社サービスでユーザーが入力した情報で本人が特定された場合」・「当社の故意・過失によらずユーザー本人以外が本人を識別できる情報を入手した場合」も「当社は一切の責任を負いません」と規定しているのはちょっと酷いのではないかと思いました。

オープンワーク03
(OpenWork社の利用規約、同社サイトより)

これは職業安定法5条の5や個人情報保護法の面からOpenWork社に責任があった場合にもかかわらず同社に責任はないとしている点で悪質に思えます。民法548条の2第2項は利用規約などの定型約款における不当条項は無効とする規定をおいていますが、同法同条との関係で問題があるように思えます。

4.まとめ
このようにOpenWork社はプライバシーポリシーや安全管理措置方針などは一見しっかりしたものを制定・公表していますが、実際の業務運用においては職業安定法や個人情報保護法をよく理解していないのではないかと心配です。2019年には就活生の内定辞退予測データに関するリクナビ事件が発覚し大きな社会問題となり、リクルートキャリアやその取引先のトヨタなどの求人企業は厚労省および個人情報保護委員会から行政指導を受けたばかりなのですが・・・。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.Githubの利用規約とネット系人材紹介会社
ある方が、Twitter上で「「Githubをみてメールしました」との人材紹介会社からのメールが来るけれど、これはGithubの利用規約違反ではないか?」という趣旨の投稿をされているのを見かけました。

以前より、私もGithubやSNSなどネット上で個人情報を収集している最近のネット系人材紹介会社(LAPRASHackerBase Jobsなど)に関心があったので、Githubの利用規約をみてみました。

すると、Github利用規約「5.情報利用の制限」はつぎのように規定しており、たしかに、ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板など販売することなどの目的で、Githubのサービスから取得して利用することはできないとはっきり禁止規定が存在します。

Github利用規約
5.情報利用の制限
「ユーザ個人情報」を、ユーザに対して未承諾メールを送信する、人事採用担当者ヘッドハンター求人掲示板など販売するといった目的を含め、スパム目的で本「サービス」から取得 (スクレイピング、APIを介した情報収集、その他の手段による取得) した情報利用することはできません。


github利用規約5情報の利用制限
(Githubより)

・Github利用規約

また、Github企業向け利用規約「3.プライバシー」も次のように規定し、企業(「お客様」)はGithubから「外部ユーザー」(=当該企業の顧客には未だなっていないユーザー)個人情報を収集して使用するには、当該ユーザー「利用目的」への「承認」が必要であると明記しています。

つまり、ここでも企業がユーザーの個人情報を取得し利用するためには、ユーザー本人の同意が必要であると明記されています。

「お客様がGitHubから「ユーザ個人情報」を収集した場合、お客様は「外部ユーザ」承認した目的にのみその個人情報を使用するものとします。


github企業向け利用規約
(Githubより)

このようにみてみると、人材紹介会社が、Github上のユーザーの本人の同意なしに、ユーザーの個人情報を収集し、分析、加工するなどして求人を行っている企業の人事部やヘッドハンターなどに第三者提供することは、Githubの利用規約に違反していることになります。

もし、Github上のユーザーの個人情報の企業などによる違法・不当な収集・利用があった場合、「GitHubはGitHubまたは「外部ユーザ」からの苦情、削除要請、および連絡拒否の要請速やかに対応する」と規定されており(Github企業向け利用規約「5.情報利用の制限」)、また、企業などは「当社やその他ユーザからの苦情、削除要請、および連絡拒否の要請速やかに対応する」(Github利用規約「6.プライバシー」)ことが義務付けられています。

2.ネット系人材紹介会社と職業安定法5条の4・2019年の厚労省通達
また、2019年に就活生のネット閲覧履歴などのAI分析に基づく内定辞退予測データの販売が大きな社会的問題となったリクナビ事件を受けて、厚労省職業安定局は2019年9月6日付で「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)との通達を発出しています。

・厚労省職業安定局「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)|厚労省(PDF)

厚労省通達職発0906第3号

この2019年の通達では、人材紹介会社や求人企業などは、求職者の個人情報を収集する際には、「本人から直接収集」するか、あるいは「本人の同意」の下に収集をしなければならないと明記されており、職業安定法5条の4および指針通達平成11年第141号第4「法5条の4に関する求職者等の個人情報の取扱い」の規定が再確認されています。(なお、本人同意は形式的なものであってはならないこと、人材会社等のサービスを利用するために本人の同意を条件とするなど同意を事実上強制してはならないこと等も明記されていることも注目されます。)

また、この2019年の通達では、「人材会社などの事業者の判断により求職者の個人情報選別または加工を行うことの禁止」を明記していることも大いに注目されます。(これは、EUのGDPR22条や、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)などの「コンピュータによる個人データの自動処理のみによる法的決定・重要な決定の拒否権」と同じ趣旨の考え方であると思われ注目されます。平成28年の個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」制定後は、日本の官庁はこの自動処理拒否権を無視・否定しているかに見えたのですが、この考え方は現在も日本で有効であるようです。すなわち、現在の日本政府は、AIやコンピュータによる個人情報の無制限な利活用を許容していないことになります。

ネット系人材会社LAPRASなどは、サイトの説明によると、転職を希望している「転職顕在層」だけでなく、「転職潜在層」のGithubなどネット上の個人データを収集・加工して求人企業の人事部などに提供を行うビジネスを業務を行っているようです。また、同社サイトはオプトアウト手続きのための入力フォームを現在も設置しており、やはり本人の同意を得ていない個人の個人データをネット上で収集し加工するビジネスを現在も行っているようです。

LAPRAS宣伝
(LAPRAS社サイトより)

そのため、LAPRASなどネット系人材紹介会社の業務は、(LAPRASの場合は「転職潜在層」に関して)個人の個人情報について、「本人から直接取得」あるいは「本人の同意」を得て収集しておらず、また、それらの個人情報・個人データを事業者の判断で選別・加工して、その個人データを求人企業などに提供しているようです。

したがって、Githubなどネットで個人情報を収集してるネット系人材会社のLAPRASなどのビジネスモデルは、やはり、Githubの利用規約に違反してると共に、職安法5条の4や厚労省の通達平成11年第141号、2019年の厚労省通達職発0906第3号などに違反しているのではないかと思われます。

■参考文献
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』93頁
・山本龍彦『AIと憲法』101頁

■関連する記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた











このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ