ai_pet_family
1.Githubの利用規約とネット系人材紹介会社
ある方が、Twitter上で「「Githubをみてメールしました」との人材紹介会社からのメールが来るけれど、これはGithubの利用規約違反ではないか?」という趣旨の投稿をされているのを見かけました。

以前より、私もGithubやSNSなどネット上で個人情報を収集している最近のネット系人材紹介会社(LAPRASHackerBase Jobsなど)に関心があったので、Githubの利用規約をみてみました。

すると、Github利用規約「5.情報利用の制限」はつぎのように規定しており、たしかに、ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板など販売することなどの目的で、Githubのサービスから取得して利用することはできないとはっきり禁止規定が存在します。

Github利用規約
5.情報利用の制限
「ユーザ個人情報」を、ユーザに対して未承諾メールを送信する、人事採用担当者ヘッドハンター求人掲示板など販売するといった目的を含め、スパム目的で本「サービス」から取得 (スクレイピング、APIを介した情報収集、その他の手段による取得) した情報利用することはできません。


github利用規約5情報の利用制限
(Githubより)

・Github利用規約

また、Github企業向け利用規約「3.プライバシー」も次のように規定し、企業(「お客様」)はGithubから「外部ユーザー」(=当該企業の顧客には未だなっていないユーザー)個人情報を収集して使用するには、当該ユーザー「利用目的」への「承認」が必要であると明記しています。

つまり、ここでも企業がユーザーの個人情報を取得し利用するためには、ユーザー本人の同意が必要であると明記されています。

「お客様がGitHubから「ユーザ個人情報」を収集した場合、お客様は「外部ユーザ」承認した目的にのみその個人情報を使用するものとします。


github企業向け利用規約
(Githubより)

このようにみてみると、人材紹介会社が、Github上のユーザーの本人の同意なしに、ユーザーの個人情報を収集し、分析、加工するなどして求人を行っている企業の人事部やヘッドハンターなどに第三者提供することは、Githubの利用規約に違反していることになります。

もし、Github上のユーザーの個人情報の企業などによる違法・不当な収集・利用があった場合、「GitHubはGitHubまたは「外部ユーザ」からの苦情、削除要請、および連絡拒否の要請速やかに対応する」と規定されており(Github企業向け利用規約「5.情報利用の制限」)、また、企業などは「当社やその他ユーザからの苦情、削除要請、および連絡拒否の要請速やかに対応する」(Github利用規約「6.プライバシー」)ことが義務付けられています。

2.ネット系人材紹介会社と職業安定法5条の4・2019年の厚労省通達
また、2019年に就活生のネット閲覧履歴などのAI分析に基づく内定辞退予測データの販売が大きな社会的問題となったリクナビ事件を受けて、厚労省職業安定局は2019年9月6日付で「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)との通達を発出しています。

・厚労省職業安定局「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)|厚労省(PDF)

厚労省通達職発0906第3号

この2019年の通達では、人材紹介会社や求人企業などは、求職者の個人情報を収集する際には、「本人から直接収集」するか、あるいは「本人の同意」の下に収集をしなければならないと明記されており、職業安定法5条の4および指針通達平成11年第141号第4「法5条の4に関する求職者等の個人情報の取扱い」の規定が再確認されています。(なお、本人同意は形式的なものであってはならないこと、人材会社等のサービスを利用するために本人の同意を条件とするなど同意を事実上強制してはならないこと等も明記されていることも注目されます。)

また、この2019年の通達では、「人材会社などの事業者の判断により求職者の個人情報選別または加工を行うことの禁止」を明記していることも大いに注目されます。(これは、EUのGDPR22条や、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)などの「コンピュータによる個人データの自動処理のみによる法的決定・重要な決定の拒否権」と同じ趣旨の考え方であると思われ注目されます。平成28年の個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」制定後は、日本の官庁はこの自動処理拒否権を無視・否定しているかに見えたのですが、この考え方は現在も日本で有効であるようです。すなわち、現在の日本政府は、AIやコンピュータによる個人情報の無制限な利活用を許容していないことになります。

ネット系人材会社LAPRASなどは、サイトの説明によると、転職を希望している「転職顕在層」だけでなく、「転職潜在層」のGithubなどネット上の個人データを収集・加工して求人企業の人事部などに提供を行うビジネスを業務を行っているようです。また、同社サイトはオプトアウト手続きのための入力フォームを現在も設置しており、やはり本人の同意を得ていない個人の個人データをネット上で収集し加工するビジネスを現在も行っているようです。

LAPRAS宣伝
(LAPRAS社サイトより)

そのため、LAPRASなどネット系人材紹介会社の業務は、(LAPRASの場合は「転職潜在層」に関して)個人の個人情報について、「本人から直接取得」あるいは「本人の同意」を得て収集しておらず、また、それらの個人情報・個人データを事業者の判断で選別・加工して、その個人データを求人企業などに提供しているようです。

したがって、Githubなどネットで個人情報を収集してるネット系人材会社のLAPRASなどのビジネスモデルは、やはり、Githubの利用規約に違反してると共に、職安法5条の4や厚労省の通達平成11年第141号、2019年の厚労省通達職発0906第3号などに違反しているのではないかと思われます。

■参考文献
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』93頁
・山本龍彦『AIと憲法』101頁

■関連する記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた