なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護法

ヤフースコア
1.はじめに
ヤフー株式会社は、本年7月1日(月)よりヤフーが保有するビッグデータから開発した独自のスコア「Yahoo!スコア」を同社と契約した事業者が活用できる新ビジネスの提供を開始することを発表しました。同社サイトによると、Yahoo!スコアとは、①本人確認の度合い、②信用行動度合い、③消費行動度合い、④Yahoo! JAPAN利用度合いを測る4カテゴリーに属するスコアと、それらを集約した総合スコアで構成されるとのことです。しかし、このヤフーの情報銀行的な新ビジネスは、個人情報保護法の定める特に目的外利用の禁止(15条、16条)などとの関係から適法といえるのでしょうか?

・ヤフーが保有するビッグデータから開発した「Yahoo!スコア」 7月1日よりビジネスソリューションサービスの提供を開始|ヤフー株式会社

2.個人情報の目的外利用の禁止
個人情報保護法は、「事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と定め(15条1項)、そして事業者は、「特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と定められています(16条1項)。

つまり国民の個人情報・プライバシー保護のために、事業者は漠然とした目的ではなく、できるだけ具体的な特定された利用目的を策定し、それをウェブサイトなどで公表しなければならず、そして個人情報を本人から取得したあとも、それを利用目的の範囲を超えて取り扱ってはならないのです(目的外利用の禁止)。

3.ヤフーのプライバシーポリシー
この点、ヤフー株式会社のプライバシーポリシーをみると、個人情報の利用目的はつぎのように列挙されています。

2.パーソナルデータの利用目的
当社は、以下のことを行うためパーソナルデータを利用させていただきます。

(1) お客様に適したサービス等をご提供するため
(2) お客様からのお問い合わせに対応するため
(3) 商品の配送、代金請求、ポイント付与等をするため
(4) お客様にサービス等に関するお知らせをするため
(5) サービス等を安全にご提供するため。これには、利用規約に違反しているお客様を発見して当該お客様に通知をしたり、サービス等を悪用した詐欺や不正アクセスなどの不正行為を調査・検出・予防したり、これらに対応することが含まれます
(6) サービス等の改善および新たなサービス等を検討するため
(7) サービス等のご利用状況等を調査、分析するため

利用目的

・プライバシーポリシー|ヤフー株式会社

今回のYahoo!スコアは、6号の「サービス等の改善および新たなサービス等を検討するため」と7号の「サービス等のご利用状況等を調査、分析するため」が関わってくると思われますが、「Yahoo!Japanをご利用のお客さまの各サービスのご利用状況などのデータをスコア化し、当社が契約した事業者に当該スコアデータ等を第三者提供します」等とは明示されていません。したがって、ヤフーがプライバシーポリシーの改正を行うことなく7月1日以降、Yahoo!スコアの個人データを契約した事業者に第三者提供することは、個人情報の目的外利用であり違法です(15条、16条違反)。

あるいは産業技術総合研究所情報セキュリティ研究センター主任研究員の高木浩光先生がツイッター上で述べておられるとおり、「Yahoo!知恵袋」に質問を投稿したり回答を投稿しているユーザー達は、まさか自分たちの各行為が自分自身のスコア化に利用されているとは思わないでしょう。そのため、やはりヤフーの行っているスコア化は個人情報の目的外利用といえます。

さらに、ヤフーのサービス一覧をみると、「Yahoo!パートナー」、「Yahoo!しごと検索」などは、同じヤフーのサービスのなかでもより個人のデリケートな機微情報が含まれているように思われます。目的外利用の問題だけでなく、このようなサービスに基づく個人データをヤフーがスコア化することには疑問を感じます。

なお、今回のYahoo!スコアは、ヤフーのプレスリリースなどで「本人の同意に基づき」と大々的に宣伝されたにもかかわらず、自らの個人データのスコア化を望まないユーザーがスコア化を止めるサイトの場所が非常にわかりにくいことなど、ユーザーにとって非常に不親切なものです。

4.開示・訂正・利用停止などの請求権
このようにYahoo!スコアが個人情報保護法15条、16条違反であることから、Yahoo!のユーザーは、同法28条以下の条文に基づき、ヤフーに対して自分の個人情報について開示・訂正・利用停止・削除などの各措置を請求することができます。

5.個人情報保護委員会
また、ヤフーが約6600万人もの大量のユーザー・会員数であることから、今回のYahoo!スコアの影響範囲は大きいものと思われます。報告徴求・立入検査・助言・行政指導などの権限(40条以下)を有する個人情報保護委員会が何らかの対応すべきなのではと、一般人としては思います。


法律・法学ランキング

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

個人情報保護委員会

1.森永乳業で12万件の個人情報流出事故が発覚
毎日新聞などによると、森永乳業は5月9日、同社の健康食品通販サイトで、クレジットカードや銀行振り込みなどで商品を購入した、最大約12万人分のカード情報や個人情報が流出した恐れがあると発表しました。カード会社からサイトの複数の利用者に不正使用の被害が生じていると連絡を受けてこの個人情報流出事故が発覚したそうです。

・健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ|森永乳業

・森永乳業 顧客情報流出の恐れ 通販サイト 最大12万人|毎日新聞

2.個人情報保護委員会の個人データ漏えい事案発生時の対応に関する告示
個人情報保護委員会が平成28年に制定した、「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「ガイドライン(通則編)」という)の「4 漏えい等の事案が発生した場合等の対応」は、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」と規定しており、それを受けて、同委員会は平成29年に告示「個人データの漏えい等の事案が発生した場合等の対応について」を策定しました(以下「個人データ漏えい事案発生時の対応に関する告示」とする)。

・個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)|個人情報保護委員会

この「個人データ漏えい事案発生時の対応に関する告示」は、個人情報流出事故が発覚した場合の民間企業等がとるべき対応をつぎのように規定しています。

①事業者内部における報告及び被害の拡大防止のための措置の実施
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び速やかな実施
⑤影響を受ける可能性のある本人への連絡
⑥事実関係及び再発防止策等の公表
⑦個人情報保護委員会や監督官庁への速やかな報告

3.個人情報保護委員会や監督官庁への速やかな報告
⑦の、「個人情報保護委員会や監督官庁への速やかな報告」については、個人情報保護法改正前の金融庁や総務省の個人情報ガイドラインが監督官庁に「直ちに」報告することを規定していたため、個人情報漏洩事故が発生した企業は、迅速な報告が求められます。そのため金融業界などは、②の事実関係の調査及び原因究明である程度の事実が判明した段階で、監督官庁には第一報を報告すべきです。

なお、EU一般データ保護規則(GDPR)33条は、個人情報流出事故が発生してから72時間以内に監督官庁に報告することを要求しています。例えば欧州のユーザーにスマホアプリなどを提供している事業者などは、迅速な対応が要求されます。

また、不正アクセスなどが原因の場合は、警察への報告も必要です。

4.事実関係及び再発防止策等の公表
⑥の「事実関係及び再発防止策等の公表」については、できれば経営陣が公表したくないと悩むところでしょう。しかし、「ガイドライン(通則)」が、「二次被害の防止、類似事案の発生防止等」の観点から上の①から⑦までの対応を求めていることを考えると、やはり個人情報流出事故により、顧客に二次被害の発生するおそれがあったり、類似の個人情報流出事故の発生のおそれがあるような場合は、事業者は速やかに記者会見やウェブサイトへのプレスリリースの掲載などの公表を実施すべきです。

今回の雪印乳業の事案のように、すでにクレジットカード情報が流出し、その不正利用が発生している状況では、さらなる二次被害を防止するため、公表はやむを得ないでしょう。

5.報告を要しない場合
なお、「個人データ漏えい事案発生時の対応に関する告示」は後半で、例外として「報告を要しない場合」をいくつか列挙しています。

ただし、たとえば「漏えい等事案に係る個人データについて高度な暗号化等の秘匿化がされている場合」という規定について、個人情報保護法ガイドラインQ&Aをみると、「適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていること」(Q&A12-10)と解説されており、必ずしも公表しなくてよいハードルが下がったとはいえないように思われます。

・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A|個人情報保護委員会

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・竹内朗・鶴巻暁など『個人情報流出対応における実践的リスクマネジメント』17頁、19頁

個人情報保護法〔第3版〕

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))

このエントリーをはてなブックマークに追加 mixiチェック

1.はじめに
2月27日付の日経新聞に、「人事は見ている?就活生のSNS」という興味深い記事が掲載されていました。

・人事は見ている? 就活生のSNS|日経新聞

同記事によると、日経新聞記者の取材に対して、大半の大手企業の採用担当は、就活生のSNSは見ていないとはっきり否定したそうです。ただしあるベンチャー企業は、「日常の「素」の姿が見たいので、SNSは必ずチェックする」と回答したそうです。さらに、同記事は、ある金融機関のリクルーターとの面談の際に、そのリクルーターから、自分がSNSで書き込んでいたあるミュージシャンの話題をふられたという元就活生の生々しい事例を取り上げています。

結論を先取りすると、就活生のSNSなどを企業の人事部が勝手に見て就活生の情報を取得することは、職業安定法およびそれに関連する厚労省の通達違反する違法なものです

(関連)
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた

2.職安法・指針・厚労省サイトなど
この点、職業安定法5条の4(求職者等の個人情報の取り扱い)は、1項で、求人者、公共職業安定所、職業紹介事業者などは、『求職者等(略)の個人情報を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。』と規定し、同2項は、求人者等は、『求職者等の個人情報を適正に管理するために必要な措置を講じなければならない。』と規定しています。

そして、厚労省の指針(平成11年労働省告示第141号)は、この職安法5条の4についてさらにつぎのとおり詳細を規定しています。

厚労省告示141号
・指針(平成11年労働省告示第141号)|厚生労働省

さらに厚労省の企業の採用について解説するサイトの「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」はつぎのように注意をうながしています。

採用の基本
・公正な採用選考の基本|厚生労働省

3.本記事の事例などの検討
(1)企業の採用担当は就活生等のSNSを見ることができるか
うえでみたように、平成11年労働省告示第141号の第4の1(2)は、企業等が就活生等から個人情報を取得する際には、就活生から直接取得または就活生の同意が必要であるとしています。また厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「c」は、「身元調査など」を行うべきでない採用選考の方法としています。

したがって、企業の採用担当者等が、就活生本人の同意を得ないで当該就活生のSNSを見て個人情報を取得することは、平成11年労働省告示第141号の第4の1(2)に反し、つまり職業安定法5条の4違反となります。この場合、企業等は職業安定法に基づく改善命令を受ける場合があります(法48条の3)。また、当該企業が改善命令に違反した場合は、6か月以下の懲役または30万円以下の罰金の罰則を科せられる場合があります(法65条7号)。加えて法人たる企業も罰則を科される場合があります(法67条)。

さらに、就活生など求職者は、面接などで違法な事柄があった場合は、厚生労働大臣に申告を行い、厚生労働大臣に必要な調査や措置を行わせることができます(法48条の4)。

なお、少し前に、AIを使いSNSなどネット上の情報を勝手に収集しスカウトを行う人材紹介会社であるスカウティ社がネット上で話題となりましたが、職業安定法5条の4およびその指針との関係で、この人材紹介会社の業務も違法のおそれが強いと思われます。

(2)リクルーターからSNSに書き込んでいたミュージシャンの話題をふられた
うえでみたように、企業の採用担当者等は、就活生本人から直接取得する場合、あるいは本人の同意を得た場合にしか個人情報を取得できず、そうでなければ就活生のSNSをみて個人情報を取得することができません。

そしてさらに、職業安定法5条の4は、企業の採用の「業務の目的の達成に必要な範囲内で」しか、企業は求職者の個人情報を取得できないとしています。あるミュージシャンを好きか否かが、一般企業の採用業務の目的達成に必要とは通常考えられません。

また、平成11年労働省告示第141号は、「思想・信条」に関する個人情報の取得を禁止しており、厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「b」は、「購読新聞・雑誌・愛読書・尊敬する人物・人生観・生活信条」などの情報を企業が就活生から取得することを禁止しています。

音楽をどの程度愛好するかは人により異なると思われますが、しかしある人にとってはある音楽が、人生観・生活信条や尊敬する人物に関連することもあり得ると思われ、本記事に掲載されている、音楽の話題を出してきたリクルーターは、勝手に本人のSNSをみているだけでなく、思想・信条に関連しうるセンシティブな話題をリクルーター面接の場に出しているという点で、二重に法的に問題であると思われます。

(3)デモなどへの参加の有無を面接等で問うこと
なお、この季節になるとしばしばネット上で話題になるのが、デモなどへの参加の有無を面接等で問うことの当否です。

これも、平成11年労働省告示第141号および厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「b」が、「労働組合への加入状況、学生運動、社会運動など」に関する個人情報の取得を禁止していることから許されません。

■関連するブログ記事
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた(追記あり)
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・SNSなどネットで個人情報を収集する”AIスカウト”人材紹介会社について考える

■参考文献
・菅野和夫『労働法 第9版』161頁
・大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁
・安西愈『トップ・ミドルのための 採用から退職までの法律知識〔十四訂〕』18頁



















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ