なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:職業安定法

ai_pet_family
1.Githubの利用規約とネット系人材紹介会社
ある方が、Twitter上で「「Githubをみてメールしました」との人材紹介会社からのメールが来るけれど、これはGithubの利用規約違反ではないか?」という趣旨の投稿をされているのを見かけました。

以前より、私もGithubやSNSなどネット上で個人情報を収集している最近のネット系人材紹介会社(LAPRASHackerBase Jobsなど)に関心があったので、Githubの利用規約をみてみました。

すると、Github利用規約「5.情報利用の制限」はつぎのように規定しており、たしかに、ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板など販売することなどの目的で、Githubのサービスから取得して利用することはできないとはっきり禁止規定が存在します。

Github利用規約
5.情報利用の制限
「ユーザ個人情報」を、ユーザに対して未承諾メールを送信する、人事採用担当者ヘッドハンター求人掲示板など販売するといった目的を含め、スパム目的で本「サービス」から取得 (スクレイピング、APIを介した情報収集、その他の手段による取得) した情報利用することはできません。


github利用規約5情報の利用制限
(Githubより)

・Github利用規約

また、Github企業向け利用規約「3.プライバシー」も次のように規定し、企業(「お客様」)はGithubから「外部ユーザー」(=当該企業の顧客には未だなっていないユーザー)個人情報を収集して使用するには、当該ユーザー「利用目的」への「承認」が必要であると明記しています。

つまり、ここでも企業がユーザーの個人情報を取得し利用するためには、ユーザー本人の同意が必要であると明記されています。

「お客様がGitHubから「ユーザ個人情報」を収集した場合、お客様は「外部ユーザ」承認した目的にのみその個人情報を使用するものとします。


github企業向け利用規約
(Githubより)

このようにみてみると、人材紹介会社が、Github上のユーザーの本人の同意なしに、ユーザーの個人情報を収集し、分析、加工するなどして求人を行っている企業の人事部やヘッドハンターなどに第三者提供することは、Githubの利用規約に違反していることになります。

もし、Github上のユーザーの個人情報の企業などによる違法・不当な収集・利用があった場合、「GitHubはGitHubまたは「外部ユーザ」からの苦情、削除要請、および連絡拒否の要請速やかに対応する」と規定されており(Github企業向け利用規約「5.情報利用の制限」)、また、企業などは「当社やその他ユーザからの苦情、削除要請、および連絡拒否の要請速やかに対応する」(Github利用規約「6.プライバシー」)ことが義務付けられています。

2.ネット系人材紹介会社と職業安定法5条の4・2019年の厚労省通達
また、2019年に就活生のネット閲覧履歴などのAI分析に基づく内定辞退予測データの販売が大きな社会的問題となったリクナビ事件を受けて、厚労省職業安定局は2019年9月6日付で「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)との通達を発出しています。

・厚労省職業安定局「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)|厚労省(PDF)

厚労省通達職発0906第3号

この2019年の通達では、人材紹介会社や求人企業などは、求職者の個人情報を収集する際には、「本人から直接収集」するか、あるいは「本人の同意」の下に収集をしなければならないと明記されており、職業安定法5条の4および指針通達平成11年第141号第4「法5条の4に関する求職者等の個人情報の取扱い」の規定が再確認されています。(なお、本人同意は形式的なものであってはならないこと、人材会社等のサービスを利用するために本人の同意を条件とするなど同意を事実上強制してはならないこと等も明記されていることも注目されます。)

また、この2019年の通達では、「人材会社などの事業者の判断により求職者の個人情報選別または加工を行うことの禁止」を明記していることも大いに注目されます。(これは、EUのGDPR22条や、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)などの「コンピュータによる個人データの自動処理のみによる法的決定・重要な決定の拒否権」と同じ趣旨の考え方であると思われ注目されます。平成28年の個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」制定後は、日本の官庁はこの自動処理拒否権を無視・否定しているかに見えたのですが、この考え方は現在も日本で有効であるようです。すなわち、現在の日本政府は、AIやコンピュータによる個人情報の無制限な利活用を許容していないことになります。

ネット系人材会社LAPRASなどは、サイトの説明によると、転職を希望している「転職顕在層」だけでなく、「転職潜在層」のGithubなどネット上の個人データを収集・加工して求人企業の人事部などに提供を行うビジネスを業務を行っているようです。また、同社サイトはオプトアウト手続きのための入力フォームを現在も設置しており、やはり本人の同意を得ていない個人の個人データをネット上で収集し加工するビジネスを現在も行っているようです。

LAPRAS宣伝
(LAPRAS社サイトより)

そのため、LAPRASなどネット系人材紹介会社の業務は、(LAPRASの場合は「転職潜在層」に関して)個人の個人情報について、「本人から直接取得」あるいは「本人の同意」を得て収集しておらず、また、それらの個人情報・個人データを事業者の判断で選別・加工して、その個人データを求人企業などに提供しているようです。

したがって、Githubなどネットで個人情報を収集してるネット系人材会社のLAPRASなどのビジネスモデルは、やはり、Githubの利用規約に違反してると共に、職安法5条の4や厚労省の通達平成11年第141号、2019年の厚労省通達職発0906第3号などに違反しているのではないかと思われます。

■参考文献
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』93頁
・山本龍彦『AIと憲法』101頁

■関連する記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた











このエントリーをはてなブックマークに追加 mixiチェック

いらすとや個人情報
1.改正個人情報保護法
『週刊東洋経済』2021年3月6日号64頁に、2020年に改正のあった個人情報保護法についての解説記事(「22年施行 情報の「利用」を重視する 個人情報保護の規制強化」)が掲載されていたので読んでみたところ、いくつか気になる点がありました。

本記事は、新卒の就活生の採用において、リクルートキャリア社が分析し販売した就活生の「内定辞退予測データ」をトヨタなどの採用企業が購入して利用していたことが2019年に発覚し、大きな社会問題となったいわゆる「リクナビ事件」やDMP(Data Management Platform)業務を中心的な題材として改正個人情報保護法の解説を行っています。

2.個人関連情報
本記事は、DMPベンダー企業(C社)のサーバーに、A社、B社などさまざまな企業のサイトを閲覧したユーザー・顧客の閲覧履歴が顧客のcookieなどの顧客IDごとに蓄積されてゆき、DMPベンダー企業C社がこの蓄積された閲覧履歴のデータを分析してゆくと、それぞれの顧客がその顧客IDごとに、例えば「40代であり、男性で、自動車に興味がある」などと推測・プロファイリングすることができるとしています(分析結果データ)。

週刊東洋経済閲覧履歴
(「週刊東洋経済」2021年3月6日号65頁より)

そして、C社からこれらの分析結果データを購入したB社は、B社のサーバーに蓄積されたCookieなどの顧客IDや自社の顧客DBなとと情報を突合・名寄せを行い、顧客の実名等を割り出し、マーケティング活動などを行うとしています。

その上で、本記事は、(顧客IDが)「1234のユーザーが40代男性で自動車に興味があるという情報は、まさに個人関連情報だ」としています。

ところで、今回の法改正で新設された、個人関連情報とは、「生存する個人に関する情報であって個人情報、匿名加工情報および仮名加工情報のいずれにも該当しないもの」と定義されています(改正個人情報保護法26条の2第1項かっこ書き)。解説書は、個人関連情報について、「氏名等と結びついていないインターネットの閲覧履歴、位置情報、Cookieなど」が個人関連情報の具体例であるとしています(佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁)。

この点、本記事の説明における、DMPベンダー企業のC社のサーバーに収集された、ユーザーのCookieなどの顧客IDやサイト閲覧履歴などのデータは、まさに個人関連情報ですが、それらの情報・データをC社が分析した結果である、「1234のユーザーが40代男性で自動車に興味があるという情報・データ」は、個人関連情報ではなく、個人情報(個人情報保護法2条1項1号)なのではないでしょうか。

つまり、個人情報とは、「生存する個人に関する情報」であって、「特定の個人を識別することができるもの」です(法2条1項1号)。ここでいう「特定の個人を識別することができる」とは、「生存する具体的な人物と情報との間に同一性を認めることができること」(個人情報保護委員会・個人情報ガイドラインQ&A1-1)であり、特定の個人の「実名」等を識別できることまでは要件とされていません。すなわち、例えば防犯カメラの映像データにおいて、映っている人物の顔や身体的特徴などの「識別のための情報」によって、特定の個人がいわば「この人」であると識別できる場合には、当該個人の実名等が不明であっても、その情報は個人情報となります(岡本久道『個人情報保護法 第3版』72頁)。また、事実そのものを示す情報(事実情報)だけでなく、人事考課のような判断・評価を表す情報(評価情報)も個人情報に該当します(岡本・前掲69頁)。

そのため、DMPベンダー企業C社において、Cookieなどの顧客IDによって特定の個人を「この人」と識別できるうえに、閲覧履歴などを評価・分析した評価情報である「顧客ID1234のユーザーが40代男性で自動車に興味があるという情報・データ」はやはり個人情報であると考えられます。したがって、これらの分析結果の情報を個人関連情報としている本記事は不正確ではないかと思われます。

なお、本記事65頁は、Cookieについて「ブラウザに保存されるテキスト形式の情報のことであり、顧客IDなどを保存するのに使われる」と解説していますが、Cookieが保存されるのは正確にはブラウザではなくパソコンやスマホのストレージ(記憶装置)であると思われます。

(DMPの事業については、従来、Cookieなどは個人ではなくブラウザに付番された情報であるので個人情報ではないという説明がなされてきたようです。しかし、共用のパソコンなどであればともかく、個人のスマートフォンなどは「一人一端末」であることがほとんでであると思われ、その場合、Cookie等の情報は限りなく個人情報そのものと考えられます。)

3.仮名加工情報
本記事66頁は、仮名加工情報とは、「個人情報から、①氏名等、②個人識別符号(生体認証情報やマイナンバー等)、③クレジットカード番号や銀行口座番号など、を削除した情報である」と解説しています。

この点、仮名加工情報について、改正法2条9項は
改正個人情報保護法
2条9項
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(後略)
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(後略)

と規定しています。つまり、個人情報については個人情報の記述の一部を削除し、個人識別符号に該当する個人情報については個人識別符号の全部を削除したもので他の情報と照合しない限り特定の個人を識別できないよう加工されたものが仮名加工情報です。「クレジットカード番号や銀行口座番号など」は、個人情報(個人識別符号)の一部として明確化がなされるように前回(平成27年)の個人情報保護法改正の際に盛り込まれようとしたものの、経済界の一部の強い反対によりお蔵入りとなったものです。そのため、「個人情報から、③クレジットカード番号や銀行口座番号などを削除した情報」としている本記事は、③の部分については正確でないように思われます。(この点は今後制定される、個人情報保護委員会の施行令・施行規則で明らかになると思われます。)

また、本記事66頁は、「仮名加工情報に加工しておけば、(略)本人からの開示や利用停止等の請求の対象にならない」ことが「企業にとって前向きな改正」と解説しています。

この点、本記事の筆者である影島広泰弁護士は、「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号38頁においても、「仮名加工情報については、15条2項(利用目的の変更)、22条の2(漏えい等の報告)、27条から34条まで(開示・利用停止等の保有個人データに関する本人の権利)の規定は適用されないとされている(改正法35条の2第9項)。したがって、本稿で述べてきた開示請求や利用停止等の請求への対応が難しいデータについては、仮名加工情報に加工して保有・利用するというのが、有力な解決策の1つとなると考えられる。」と解説しておられます。

しかし、仮名加工情報は、例えば製薬会社などの製薬の研究開発のため、企業内部におけるデータ利用などを想定し、企業などの個人情報取扱事業者としての義務を緩和するものです。そのため、仮名加工情報を利用する際に当該企業が他の情報と照合するなどして本人を識別するは禁止されますし(識別行為禁止義務)、第三者提供も禁止されています(改正法35条の2第7項)。また、仮名加工情報のなかの連絡先などの情報を利用することも禁止されています(改正法35条の2第8項)。

もし影島氏が、企業からみて好ましくない顧客のリスト表などの個人情報・個人データを匿名加工情報にすべきだと考えておられるのであれば、しかしそのような個人情報は匿名加工情報に加工しても、個人を特定する用途には利用できませんし、第三者提供もできませんし、さらに連絡先を利用することも禁止されているので、結局、このような各種の用途には利用できず無意味なデータとなってしまうのではないでしょうか。

あるいは、「顧客から隠すために保有個人データを匿名加工情報に加工する」という行為は、今回新設された不適正利用の禁止規定(改正法16条の2)に抵触するのではないでしょうか。

4.閲覧履歴などを採用選考に利用できるのか?
さらに、本記事は、就活生からの本人の同意さえ取れば、リクナビ事件のようなネット閲覧履歴等も企業が採用選考に利用できることを前提として書かれているようです。

しかし、就活生本人から同意を取得すれば、たしかに個人情報保護法はクリアできるかもしれませんが、「採用選考に思想信条や内心等に関連する情報の取得はしてはならない」「社会的差別のもととなる情報を取得してはならない」「本人の仕事をする能力についてのみ採用選考をすること」等としている職業安定法などの労働法に抵触し、やはりネット閲覧履歴等を採用選考に企業などが利用することは許されないのではないでしょうか(職安法5条の4、同法3条、厚労省指針通達労働省平成11年第141号第4、厚労省「公正な採用選考の基本」、浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁)。

・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

厚労省指針通達平成11年労働省第141号

第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)
1 個人情報の収集、保管及び使用
(1) 職業紹介事業者等は、その業務の目的の範囲内で求職者等の個人情報(以下単に「個人情報」という。)を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。
 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
 思想及び信条
 労働組合への加入状況
(2) 職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと。
(以下略)

つまり、DMP事業者は数千、数万のサイトから情報を収集し、分析したデータをターゲティング広告などに利用しています。そして収集されたネットの閲覧履歴などは、就活生の就職活動に関するデータだけでなく、就活生の趣味嗜好や思想信条、政治的傾向、愛読書や好きなアーティスト等などの情報や、あるいは本人の人種、性別、出身地などのさまざまな情報が含まれます。

しかし、企業等が採用選考にあたり、「思想信条、趣味嗜好、政治的傾向、労働組合歴、愛読書、尊敬する人物」などの情報や、「人種、性別、肌の色、出身地、親の職業・資産状況」などの情報で選考してはならないと職業安定法などが規定しているのは、日本が「個人の尊重」(憲法13条)や内心の自由(19条)や平等原則(14条)などの基本的人権の確立(11条、97条)を掲げる自由主義、民主主義の国家だからです。企業などは、個別の国民から本人同意を取得することはできても、国会による改正などを経ない限り、職業安定法や憲法あるいはわが国の国家のあり方を変えることはできないからです。

そのため、採用側の企業が就活生などから本人の同意を取得することで、かりに個人情報保護法をクリアすることができたとしても、閲覧履歴などの個人の内心に関する情報や社会的差別の原因となるおそれのある情報を、企業が採用選考のために収集し利用することはやはり許されないことになります。

(そのことは、ネット上の情報を収集して業務を行っている、LAPRASなどのネット系人材紹介会社にも同様にあてはまると思われます。)

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁
・岡村久道『個人情報保護法 第3版』72頁、69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・高木浩光「個人データ保護とは何だったのか」『世界』2019年11月号55頁
・影島広泰「情報の「利用」を重視する 個人情報保護の規制強化」『週刊東洋経済』2021年3月6日号64頁
・影島広泰「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える




週刊東洋経済 2021年3/6号 [雑誌]

一問一答 令和2年改正個人情報保護法 (一問一答シリーズ)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法〔第3版〕

このエントリーをはてなブックマークに追加 mixiチェック

hellowork_mendan
1.ネット版ハローワークがバージョンアップ
厚労省サイトによると、ハローワークのネット版(ウェブサイト)が1月6日より大幅にバージョンアップしたとのことです。そこで見てみたのですが、ログイン画面のプライバシーポリシーが非常に残念な出来栄えで驚きました。

・ハローワーク・インターネットサービス利用規約・プライバシーポリシー|厚労省

2.求職情報公開サービス
(1)個人を特定できない情報
このプライバシーポリシーによると、求職者がこのハローワークのネットサービス(「求職者マイページ 」)を申込む際に、ハローワーク窓口に「求職情報公開」および「求職情報公開サービス」を拒否(オプトアウト)しないと、 求職者の個人情報・個人データが求人企業、自治体および民間人材ビジネス企業提供・第三者提供されるとさらっと書かれており、ぎょっとします。

ここで、求人企業や民間人材ビジネス起業などに提供される個人情報について、このプライバシーポリシーは、「(個人を特定できない情報)」とかっこ書きをつけています。

しかし、このネット版ハローワークや現実のハローワークで登録され取り扱われている求職者の氏名・住所・生年月日・学歴・職歴・資格などのデータは、どう考えても厚労省職安局(あるいは委託されたIT企業)のサーバーの求職者個人DBの一部の個人データのはずです。

行政機関個人情報保護法2条2項1号は、個人情報とは、「特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 」と定めています。

このかっこ書きの部分(「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」)に照らすと、ハローワークの求職者データベースの一部のデータを民間企業に提供する際にそれを「個人を特定できないから個人情報ではない」というこのプライバシーポリシーは間違っています。

厚労省職業安定局は、これは非識別情報(匿名加工情報)なのだと主張するのかもしれませんが、それならそれでプライバシーポリシーにしっかりと明示するべきです。(統計データについては明文化されていますが、ここで明示されていないので、統計データでもないようです。)

(2)「民間人材ビジネス企業」に個人データを第三者提供?
また、第三者提供先が「民間人材ビジネス企業」としか書かれておらず、求職者本人からみてあまりにも漠然・広範囲であり、第三者提供の同意のための透明性がまったく保たれていません。これでは求職者は、自分の個人情報がどこのどんな事業者まで転々と流通してしまうのかまったく分かりません。

ハロワPP
(厚労省サイトのネット版ハローワークのプライバシーポリシーより)

なお、ハローワークや民間人材ビジネス会社を規制する職業安定法も、個人情報の定義につき行政機関個人情報保護法と同様の規定を置いており(4条11号)、またハローワーク等に対して利用目的を特定しその範囲内で個人情報を収集・利用するよう規定し(5条の4第1項)、さらにハローワークなどに対して安全管理措置を講じることを義務づけています(5条の4第2項)。加えて、ハローワークなどの職員には求職者の個人情報などについて守秘義務が課せられています(51条、51条の2、国家公務員法100条参照)。 にもかかわらず、職業安定法の所管である厚労省職業安定局・ハローワーク自身が、職業安定法の各規定に抵触しているおそれがあります。

このような状態でプライバシーポリシーに「企業などからメールなどが送信されることがあります」とあるのは、CCCのTポイントなのか、リクナビのような民間サービスを目指しているのかと目が点になってしまいします。

医療データほどセンシティブではないものの、学歴・職歴などがまとまったハローワークの求職者の個人情報・個人データは非常にデリケートな情報のはずですが、厚労省職業安定局は、そのような認識を持っていないのでしょうか?

ちょっと前に大量の就活生の個人データを不正に利用・加工・第三者提供するなどして大炎上したリクナビ事件で、リクルートグループやトヨタ等に対し、職安法に基づき行政指導などを行ったのは厚労省職業安定局・東京労働局ですが、その厚労省職安局がリクナビの真似してどうするのかと思います。

3.その他
その他にも、このプライバシーポリシーは、

・利用目的が「ハローワーク業務に使う」と漠然としておりまったく特定されていない
・開示・訂正等請求の手続きに関する条文が存在しない
・安全管理措置について組織的・人的・物理的安全管理措置の規定がない
・そもそも条文構成になっていない

等などざっと見ただけでもツッコミどころ満載です。

利用規約を読むと、このネット版ハローワークはマイナンバー(個人番号)も利用可能のようで、つまり個人情報保護委員会の管轄に含まれるようであり、同委員会はぜひ、厚労省職業安定局・ハローワークに対して助言・指導などを行っていただきたいと思われます。

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・厚労省の障害者向け「就労パスポート」を法的に考える-個人情報保護法・プライバシー・憲法

ブログランキング・にほんブログ村へにほんブログ村









このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.はじめに
NHKの報道番組「クローズアップ現代+」が、「人事・転職ここまで!? AIがあなたを点数化」という番組を10月29日に放送しました。そのなかで、”AI人材紹介会社”のLAPRAS(ラプラス)が取り上げられ、その恐ろしさがネット上で反響を呼んでいます。

・人事・転職ここまで!? AIがあなたを点数化|NHK

LAPRASは、インターネット上のウェブサイト、ブログ、SNSなどの記載、書き込みなどをAIプログラムが収集し、データベータ化し、プロフィールなどを作成して人材紹介を行う会社であるようです。同社は、同事業を行っていたscoutyの後継会社です。

2.オプトアウト手続き
scoutyがLAPRASになって、大きく変わったのは、LAPRASからの求人企業への個人情報の第三者提供などについてオプトアウト制度を採用することとしています(個人情報保護法23条2項)。

つまり、"当社から求人企業に個人情報(データ)を第三者提供されたくないお客様は、当社にお申し出ください。”とする制度を明示したことであると思われます。

このように、個人情報の第三者提供という、“出口”の部分についてオプトアウト手続きが明確化されたことは大きな一歩前進ですが、”入口”にあたる、個人情報の収集・管理・利用などについてはどうなっているのでしょうか。

3.職業安定法5条の4
この点、個人情報の取得については、職業安定法5条の4、厚労省通達平成11年141号第4は、「本人から直接取得」することを原則とし、つぎに「本人の同意」を得た上で紹介会社等が本人以外のものから情報を収集することができるという仕組みになっています。

にもかかわらずLAPRASは、本人から直接個人情報を取得するのではなく、また、本人からあらかじめ同意も得ず、勝手にこっそり本人のネット上の書き込み等から個人データ取得して人材紹介業を行っていますが、これは職業安定法5条の4等に抵触しているのではないでしょうか。

4.個人情報保護法18条2項
また、個人情報保護法18条2項は、事業者が本人から「書面(電磁的記録を含む)」により個人情報(データ)を取得するときは、「あらかじめ本人に利用目的を明示」せよと規定しています。

(取得に際しての利用目的の通知等)
第十八条
    (略)
 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

この点、ラプラスは、AIプログラム等が、個人・本人のネット上の書き込み等から個人データの収集を始める段階では本人への利用目的の明示を行ってないようです。(NHKのクロ現+や数年前のニュース記事等によると。)これは明らかに個人情報保護法18条2項に反しているのではないかと懸念されます。

5.正確性・安全管理措置
さらに、もしLAPRASのAIプログラムにバグなどの瑕疵があり、ネット上の他人の書き込み等を間違えて本人のものとしていること等があるとしたら、個人データの正確性の確保(19条)や、個人データの安全管理措置(20条)にも違反してるのではないかと懸念されます。

LAPRASサイトをみると、同社のAIプログラムはネット上のさまざまな個人データを収集、分析、突合し、自動で本人のプロフィールなどを作成するそうですが、このプロフィールが本人からみて本当に正しいのか等の問題も発生するものと思われます。

6.守秘義務
加えて、職業安定法51条は人材紹介会社等に守秘義務を課しています。この義務違反には罰則があります(66条9号)。

本人にとって、例えば大学・大学院研究室サイトなどに掲載された本人の業績などはあまり問題がないかもしれませんが、その一方でネット上の過去のツイッターなどのSNSにおける書き込みや、過去に本人が匿名で書いたブログ記事などは、一般論としては本人にとって「黒歴史」であり、本人が求人企業などに見せたいとは思わない「秘密」であろうと思われます。

このようなさまざまな「黒歴史」で「秘密」な個人データをLAPRASはコンピュータプログラムを使って自動的に突合・分析し、個人データベースを作成し、本人のプロフィールを作成し、求人企業に対してそれらのデータをみせた上で「こんな人いますよ」と営業を行っているわけですが、もし安易に求人企業にこれらの「秘密」を元にした個人データベースやプロフィール等を見せているとしたら、それは守秘義務違反となるのではないでしょうか。

7.厚労省職業安定局の通達
この点、リクナビ事件について厚労省職業安定局は9月6日に、「本人の同意なく…あるいは十分な同意がない…内定辞退予測の…本人のあずかり知らぬ形での募集企業への提供は…学生本人の立場を弱め…学生の不安感を惹起するもの…職安法51条に照らし違法のおそれがある」との趣旨の通達を出しています。

厚労省通知リクナビ事件
(厚労省サイトより)

・募集情報等提供事業等の適切な運営について|厚労省職業安定局(令和元年9月6日)

本人の同意を得ていない内定辞退予測の募集企業への提供が、本人の秘密侵害であるとして人材紹介会社の守秘義務違反となるのなら、本人の同意を得ずに勝手にさまざまなネット上から情報を収集し、それを分析・加工した個人データも同様に本人の秘密であるとして、その本人のあずかり知らぬところでの募集企業などへの提供は、守秘義務違反となるのではないでしょうか。

8.人材会社「の判断による選別または加工」の禁止
くわえて、本通知は、本人の個人データを、「人材会社の判断による選別または加工」を行うことも禁止しています。LAPRASは、ネット上の本人のツイッターなどのSNSやブログ記事などの個人データを収集し、LAPRASの判断により選別・加工を行い、プロフィールなどDBを運営して事業を行っていますが、この本人のさまざまな個人データを収集したうえで選別・加工を行うビジネスモデルは職業安定法に反し、個人情報保護法制の趣旨に反するものであると思われます。

(なお、「コンピュータによる個人データの自動処理」については、1996年にILOが「労働者の個人データの保護に関する行動準則」を制定し、そのなかには、「一般原則 5.6 電子的な監視で収集された個人データを、労働者の成績を評価する唯一の要素とすべきではない。」との条文があります。この考え方は欧州では、EU指令からGDPRに引き継がれています。日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」などに表れています。(堀部政男『プライバシー・個人情報保護の新課題』163頁))

9.まとめ
このように職業安定法や厚労省通達、個人情報保護法などに照らすと、さまざまな面でLAPRASの業務は、ビジネスモデルの根幹の部分で法令に抵触しているように思われます。

■関連する記事
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ禍の就活のSNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング









このエントリーをはてなブックマークに追加 mixiチェック

1.はじめに
2月27日付の日経新聞に、「人事は見ている?就活生のSNS」という興味深い記事が掲載されていました。

・人事は見ている? 就活生のSNS|日経新聞

同記事によると、日経新聞記者の取材に対して、大半の大手企業の採用担当は、就活生のSNSは見ていないとはっきり否定したそうです。ただしあるベンチャー企業は、「日常の「素」の姿が見たいので、SNSは必ずチェックする」と回答したそうです。さらに、同記事は、ある金融機関のリクルーターとの面談の際に、そのリクルーターから、自分がSNSで書き込んでいたあるミュージシャンの話題をふられたという元就活生の生々しい事例を取り上げています。

結論を先取りすると、就活生のSNSなどを企業の人事部が勝手に見て就活生の情報を取得することは、職業安定法およびそれに関連する厚労省の通達違反する違法なものです

(関連)
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた

2.職安法・指針・厚労省サイトなど
この点、職業安定法5条の4(求職者等の個人情報の取り扱い)は、1項で、求人者、公共職業安定所、職業紹介事業者などは、『求職者等(略)の個人情報を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。』と規定し、同2項は、求人者等は、『求職者等の個人情報を適正に管理するために必要な措置を講じなければならない。』と規定しています。

そして、厚労省の指針(平成11年労働省告示第141号)は、この職安法5条の4についてさらにつぎのとおり詳細を規定しています。

厚労省告示141号
・指針(平成11年労働省告示第141号)|厚生労働省

さらに厚労省の企業の採用について解説するサイトの「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」はつぎのように注意をうながしています。

採用の基本
・公正な採用選考の基本|厚生労働省

3.本記事の事例などの検討
(1)企業の採用担当は就活生等のSNSを見ることができるか
うえでみたように、平成11年労働省告示第141号の第4の1(2)は、企業等が就活生等から個人情報を取得する際には、就活生から直接取得または就活生の同意が必要であるとしています。また厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「c」は、「身元調査など」を行うべきでない採用選考の方法としています。

したがって、企業の採用担当者等が、就活生本人の同意を得ないで当該就活生のSNSを見て個人情報を取得することは、平成11年労働省告示第141号の第4の1(2)に反し、つまり職業安定法5条の4違反となります。この場合、企業等は職業安定法に基づく改善命令を受ける場合があります(法48条の3)。また、当該企業が改善命令に違反した場合は、6か月以下の懲役または30万円以下の罰金の罰則を科せられる場合があります(法65条7号)。加えて法人たる企業も罰則を科される場合があります(法67条)。

さらに、就活生など求職者は、面接などで違法な事柄があった場合は、厚生労働大臣に申告を行い、厚生労働大臣に必要な調査や措置を行わせることができます(法48条の4)。

なお、少し前に、AIを使いSNSなどネット上の情報を勝手に収集しスカウトを行う人材紹介会社であるスカウティ社がネット上で話題となりましたが、職業安定法5条の4およびその指針との関係で、この人材紹介会社の業務も違法のおそれが強いと思われます。

(2)リクルーターからSNSに書き込んでいたミュージシャンの話題をふられた
うえでみたように、企業の採用担当者等は、就活生本人から直接取得する場合、あるいは本人の同意を得た場合にしか個人情報を取得できず、そうでなければ就活生のSNSをみて個人情報を取得することができません。

そしてさらに、職業安定法5条の4は、企業の採用の「業務の目的の達成に必要な範囲内で」しか、企業は求職者の個人情報を取得できないとしています。あるミュージシャンを好きか否かが、一般企業の採用業務の目的達成に必要とは通常考えられません。

また、平成11年労働省告示第141号は、「思想・信条」に関する個人情報の取得を禁止しており、厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「b」は、「購読新聞・雑誌・愛読書・尊敬する人物・人生観・生活信条」などの情報を企業が就活生から取得することを禁止しています。

音楽をどの程度愛好するかは人により異なると思われますが、しかしある人にとってはある音楽が、人生観・生活信条や尊敬する人物に関連することもあり得ると思われ、本記事に掲載されている、音楽の話題を出してきたリクルーターは、勝手に本人のSNSをみているだけでなく、思想・信条に関連しうるセンシティブな話題をリクルーター面接の場に出しているという点で、二重に法的に問題であると思われます。

(3)デモなどへの参加の有無を面接等で問うこと
なお、この季節になるとしばしばネット上で話題になるのが、デモなどへの参加の有無を面接等で問うことの当否です。

これも、平成11年労働省告示第141号および厚労省サイト「公正な採用選考の基本」の「(3)採用選考時に配慮すべき事項」の「b」が、「労働組合への加入状況、学生運動、社会運動など」に関する個人情報の取得を禁止していることから許されません。

■関連するブログ記事
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた(追記あり)
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・SNSなどネットで個人情報を収集する”AIスカウト”人材紹介会社について考える

■参考文献
・菅野和夫『労働法 第9版』161頁
・大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁
・安西愈『トップ・ミドルのための 採用から退職までの法律知識〔十四訂〕』18頁



















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ