日本の改革

日本の改革に関するブログです。あるべき改革や政策等について考えていきます。

リクルートキャリアの悪辣な脱法行為:2020年の個人情報保護法改正で、EU同様、Cookieや閲覧履歴も個人情報にして、「忘れられる権利」も認めるべき!

リクナビによる「内定辞退率」無断売買問題、学生の不利益は就職後、一生ついてまわる可能性があります。現行法での個人情報保護の不十分さによって、明らかな実害が出た形です。2020年予定の個人情報保護法改正で、EUの一般データ保護規則(GDPR)同様、クッキー情報等も個人情報として、規制を強化すべきです。

リクルートの「内定辞退率」予測売買は、脱法・違法行為で、学生に実害

就職情報サイト「リクナビ」を運営するリクルートキャリアが就活生の同意を得ずに「内定辞退率」の予測を顧客企業に販売していた問題は、大変悪質なスキャンダルです。問題は、単にプライバシーポリシーが分かりにくいとかいうだけの話ではありません。個人情報保護法自体に重大な欠陥があり、企業がそこを突いた悪辣な脱法行為を行っていた事件です。

メディアの中には、そう大した問題ではないんじゃないか、人手不足で学生が売り手市場だし、採用担当もかわいそう、という論調まであります。

www.businessinsider.jp

しかし、それならそれで、個人情報の利用について、しっかり本人の同意を取るべきです。学生が分からないところでこの情報が利用され、就職の可否が決まる可能性があるのは、許されるべきではありません。

本件は、ネットの就職サービスを利用する学生に極めて大きな不利益が及びかねない、深刻な事件です。個人情報に関する権利を侵害されるだけでなく、就職の機会、更には、就職後の人生でずっと続く大きな不利益を学生は受ける可能性があります。しかも、後に見るように、リクルートキャリア社は、現行法を潜脱しようとする脱法行為までしていました。2020年に予定されている個人情報保護法改正では、この事件からうかがえる立法事実を十分踏まえた議論が必要です。

まず、現行法を踏まえたうえでの政府の対応には、今のところ問題はないと思います。むしろ、出来る範囲で厳しく規制を行っています。

政府の個人情報保護委員会は8月26日、リクルートキャリアに、同委初の是正勧告を出しました。学生のリクナビ上での閲覧記録などを解析して「内定辞退率」を算出し、企業に提供したサービスにつき、同意を得ずに利用企業に提供したことなどが、個人情報保護法違反にあたると判断されました。7月に指摘を受けるまで状況を放置していた管理体制の不備や、8千人以外にもリクナビによる利用目的などの説明が不足として、「指導」の対象としました。

https://www.ppc.go.jp/files/pdf/190826_houdou.pdf

www.nikkei.com

更に、厚労省も、職業安定法に基づき行政指導することを決定。同法に基づく指針では、求職者の個人情報を適切に管理することを定めており、本人の同意を得ないで個人情報を第三者に提供することの禁止などを規定しているからです。

https://www.mhlw.go.jp/content/000498874.pdf

厚労省、リクナビに行政指導へ 購入企業は継続調査 :日本経済新聞

本当は公正取引委員会も動いてほしいところですが、それはここではおくとして、リクルートキャリア社が、リクナビというサービスでどのような脱法・違法行為をしていたかを見てみます。

以下、日経xTECHの浅川直輝記者の記事によります。

リクナビは毎年会員を更新しており、2019年3月から運用しているのは「リクナビ2020」、前年は「リクナビ2019」と言います。個人情報保護委員会の勧告も、会社の(遅すぎたうえに不十分な)お詫びも、2019会員か2020会員かで対応を分けています。理由は、リクナビ2019とリクナビ2020とでは仕組みが違っているからで、個人情報保護委員会リクナビ2020について法律違反を認定しましたが、リクナビ2019について態度を明確にしませんでした。仮にリクナビ2020の旧スキームのままだった場合、違法認定されなかった可能性がある、と浅川記者は書いています。

リクナビ2019の旧スキームでも、2020と全く同じく、同意なく個人情報が渡されて学生に不利益が生じていたのに、なぜ形式的には違反を問いにくいのか。

リクルートキャリア社が、データ提供の仲介役としてグループ会社の「リクルートコミュニケーションズ(RCO)」を立てて、姑息な脱法行為を行っていたからです。一番重要なポイントは、学生の閲覧履歴とCookie個人情報保護法上の「個人情報」に該当しない、だからこの二つのデータについては、同意なしに勝手に第三者に渡しても構わないことになっている、という法律の不備があることです。

リクルートキャリア社はこれをいいことに、下の図のように、RCOに、①リクナビの閲覧履歴とクッキー、及び、②契約企業サイトのクッキーと応募者IDをそれぞれ集めて、③RCOリクナビ閲覧歴から出したスコアと応募者IDをひも付けて「個人が特定できない状態で」契約企業に提供していました。後は、受け取った契約企業が、自分の持っている応募者IDを使って、応募者個人の内定辞退率がちゃんと分かるようにしていました。

出所:日経xTECH2019年9月3日記事「リクナビ問題、なぜ「脱法」サービスが生まれたのか」 

tech.nikkeibp.co.jp

ツイッターで、「自由猫@ITや社会を考える系」さんがまとめたところでは、

 ということで、まさにパチンコの換金同様、名前が特定できる個人情報は渡してはいけないけれど、閲覧履歴やクッキーだったら渡してもいい、という個人情報保護法の欠陥をついた悪辣な脱法行為です。

リクルートキャリア社のやり方は、他にも色々大きな問題がある、と批判しているのが、以前同社に勤められていた、株式会社ミクスチャーの楠美義明氏です。

楠美氏は、一連のツイートで同社のサービスとその後の対応についての問題点を批判したうえで、noteで、主張をまとめています。楠美氏は、本件で生じ得る法的問題点として、①同意のない提供が7,983名あったこと、②リクナビ会員約80万人への利用目的の特定不足、③利用企業38社の同意なき第三者提供、④個人データの削除による記録作成義務の違反の四点を挙げています。

そのうえで、リクナビ2020、2021に登録している学生が被るリスクについて、「内定辞退率」が提供されていないケースでも、別の分析結果が企業側に提供されることが十分に考えられるので、場合によっては、入社後の人事評価もリクルートによって不透明な評価をされる可能性がある、等の問題点を指摘しています。

(詳細については、有料記事なので、こちらをご参照ください)

note.mu

同様の問題点は、リクナビだけでなく、多くのネット上のサービスで生じる可能性があります。

先の日経×TECHの横川氏の記事から引用します。

様々なWebサイトからWeb閲覧履歴を収集している「DMP(Data Management Platform)事業者」が持つデータと、自社の顧客データとを互いのCookie IDを突合してひも付け、ユーザーの属性を精緻に把握してターゲティング広告を出稿する――こうした技術はアドテクの1つとして以前から活用されていた。

(中略)

2014~15年ごろから、デジタルマーケティング目的で集めた顧客DBを拡充する手段として、外部データを購入して自社の顧客DBとひも付けて活用する事例が表れ始めた。「ある大手DMP事業者は、Web閲覧履歴データや同データから推定した属性データを積極的に企業に売り込んでいた」と複数の業界関係者が証言する。

リクナビ問題、なぜ「脱法」サービスが生まれたのか | 日経 xTECH(クロステック)

おそらく、リクナビ事件は、氷山の一角でしょう。

2020年個人情報保護法は、経済団体が何と言おうと、厳しく改正を!

公正取引委員会は29日、ITプラットフォーマー独占禁止法で規制するための指針案を公表し、パブコメも開始しています。

www.jftc.go.jp

ITプラットフォーマーに対する独占禁止法上の規制については、本ブログでも何回も取り上げてきましたが、今回は、海外の大手だけでなく、国内の大手サイトのサービスが問題になりました。

日経は、リクナビは代表的なプラットフォーマーとみなされていなかったものの、就職活動を進める上でリクナビを手放せない大学生も多いので、公取の新指針によると「就活のために学生がリクナビの規約に同意せざるを得ないなら優越的地位に該当しうる」という、平山賢太郎弁護士の意見を紹介しています。

www.nikkei.com

公取の新指針について、依田高典京大教授は、「GAFAは、個人データの扱いで批判されて慎重になっている。むしろ対応を求められるのは、井の中のかわずで後手に回っている日本企業だ」としています。まさにリクルートキャリアのような企業のことです。

公取委の指針案、識者の見方は :日本経済新聞

このように、独占禁止法については、厳しい新指針が決まりました。私は、指針だけでなく、独占禁止法の明文に書くべき事項があると思いますが、それでも、まずは行政で出来ることを迅速にやっていることは評価します。前述の通り、個人情報委員会も、現行法の枠内では出来ることをやっています。

問題はむしろ、肝心の個人情報保護法の中身です。

個人情報保護委員会は8月30日、企業が個人情報を漏洩した場合などの報告について、次期法改正で義務化する方向で検討を進めると明らかにした、と日経が報じています。

同委員会がまとめた次期法改正に向けた中間整理へのパブリックコメントでは「義務化は不必要」という意見も多かっようですが、委員会としてはやる気のようで、心強いことです。

個人情報保護委、漏洩報告を義務化へ 次の法改正で :日本経済新聞

第117回 個人情報保護委員会

しかし、それだけでは、はっきり言って、全然足りません。リクナビ事件についてみた通り、そもそも、個人情報の定義が狭すぎるのが問題です。

EUの一般データ保護規則(GDPR)は、Cookieやサイトの閲覧履歴を個人情報として保護すべき対象に加えており、望まないデータの消去を企業に請求できる「忘れられる権利」も認められています。したがって、リクナビ事件のようなケースでも、企業の違法行為について責任を追及することができます。

日本も当然同じことをやるべきですが、日本では3月に経団連がクッキーなどの規制強化には「慎重な検討が必要」とする意見を公表。改正論議は難航しそうだ。

www.nikkei.com

経団連の反対意見はこちらです。

http://www.keidanren.or.jp/policy/2019/027.pdf

また、これについては、新経済連盟も反対です。同連盟は、課徴金にもデータポータビリティにも反対。まるで既得権者の古臭い経団連と全然変わりません。依田教授の言う「井の中のかわず」そのものです。

jane.or.jp

そもそも新経済連盟は、2015年の現行法への改正のときも、「携帯電話番号は個人情報にあたらない」と論陣を張った過去があります。

tech.nikkeibp.co.jp

これも以前のブログで書きましたが、EUの一般データ保護規則(GDPR)では、事業者間で個人データを移動できる権利「データポータビリティ権」も保障されています。

SNS等のユーザーの個人情報保護は、情報銀行などではなく、データポータビリティ権の保障で! - 日本の改革

いよいよ、2020年の個人情報保護法改正に向けて、戦いが始まります。リクナビマイナビ等の就職サイトからアマゾン、グーグル、フェイスブックに至るまで、ネットのサービスは、誰のためにあるのか、誰のための法律を作るべきなのか。政府は、この点を明確にして、新旧の経済団体のちゃちな批判に負けずに、個人情報の範囲を広げ、データポータビリティ権も保障し、更には、ネットのサービスが寡占状態にならないようにすべきです。我々国民も、声を上げていこうではありませんか。