本稿作成時点(2019年8月26日)で報道された事実関係をもとに、リクナビDMPフォローをめぐる法的論点を一通り挙げたうえで簡潔にコメントします。やや細かいので、興味がない方は読み飛ばしてください。
【リクナビ2020ユーザーである学生の内定辞退率データ(個人データ)を採用企業に提供した行為について】
▼個人情報保護法関連
リクナビ2020プライバシーポリシーにおける「採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)」との記載で、ユーザーである学生は、自分の内定辞退率データが、自分が採用活動をしている企業に対して提供されることを想定できたといえるか?
→ガイドライン(以下GL)通則編では「利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない」と記載されている(GL通則編P26)。
→学生のうち7983名については、「リクナビDMPフォロー」に関する表記漏れがあるプライバシーポリシーが表示されていた(R社8月5日付プレスリリース)。
→GL通則編は「意図的に虚偽の情報を示して、本人から個人情報を取得する場合」を不正の手段による個人情報を取得している事例として挙げる(GL通則編P32事例3)。
→内定辞退率データの提供は、利用目的の達成に必要な範囲内の取扱いといえるか?
→学生のうち7983名については同意取得がなされていなかった(R社8月5日付プレスリリース)。ではその他の学生からは同意を取得していたといえるか? プライバシーポリシーは明確であったといえるか、同意取得フローに問題はなかったか。(⇒冒頭のBUSINESS LAWYERS記事参照)
(8月26日追記)
同日付で、個人情報保護委員会よりR社に対し、個情法42条1項に基づく勧告及び第41条に基づく指導がなされました(「個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について」)。同勧告では、安全管理措置義務を講じる義務の違反(個情法20条)についても指摘されています。
▼職業安定法関連
▼個人情報保護法関連
【1.応募学生の個人データをR社に提供した行為について】
→採用企業は応募学生に対して、各学生の個人データが第三者(本件ではR社)に提供されることを、利用目的において特定していたか。(「個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない」(GL通則編P26))
・適法な委託に基づく第三者提供といえるか(個情法23条5項1号)
→「利用目的の達成に必要な範囲内」の委託といえるか。
複数の委託元から提供を受けた各個人データを委託先において突合処理することは原則として委託の範囲外(「『個人情報の保護に関する法律についてのガイドライン(通則編)』の改正案に関する意見募集の結果について」No6参照)となることからすれば、R社が委託によらずに自ら取得していたリクナビ2020ユーザーの行動履歴等と、採用企業が委託に基づきR社に提供した個人データを突合処理することは委託の範囲外となる可能性有。
一方で、採用企業がR社に対して個人データの「取得の委託」まで行っており、この委託に基づきR社がリクナビ2020ユーザーから個人データを取得していたといえる場合は、適法な委託となる余地は残る。
【2.事件報道後、R社から提供を受けた内定辞退率データを削除した行為について】
→第三者提供を受ける場合の記録保存義務に違反していないか(個情法26条4項)
▼職業安定法関連
【3.R社から内定辞退率データの提供を受けた行為について】
→学生から、R社から当該学生の個人データ(内定辞退率)の提供を受けることについて同意を取得していたといえるか?
・今後、独占禁止法上の「優越的地位の濫用」にあたる可能性(公正取引委員会指針案)
→消費者が他のサービスに乗り換えるのが難しい場合や、サービスを利用継続するために消費者が不当な扱いを受け入れざるを得ない場合などにおいて、個人データを本人の同意なく利用等すると、独占禁止法の「優越的地位の濫用」にあたる可能性が生じる旨の指針案が、公正取引委員会において検討されている(2019年7月16日付日経電子版)
・EU一般データ保護規則(GDPR)に抵触する可能性はなかったか
→EU域内に拠点のない管理者又は処理者による個人データの取扱いであっても、(1)EU域内にいるデータ主体に対する商品サービスの提供や(2)EU域内で起こるデータ主体の行動の監視にあたる場合はGDPRが適用される(GDPR3条2項)。
※その他の海外諸法の検討は割愛
弁護士・杉浦健二
ウェブビジネスモデル構築、利用規約やプライバシーポリシーの作成を中心としたウェブサービス法務全般に携わる。顧問先企業としてウェブサービス、AI/ITベンダ等多数。STORIA法律事務所共同代表。ブログ更新中。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR