リクナビ「内定辞退率」のデータ提供、プロファイリングの法的解釈は? 弁護士が解説:「STORIA法律事務所」ブログ(3/3 ページ)
リクナビが学生の内定辞退率を本人の十分な同意なしに、予測結果を企業に販売していた件について、AIと著作権に詳しい弁護士の杉浦健二さんが解説します。
リクナビ問題をめぐる法的論点を、網羅的に確認する
本稿作成時点(2019年8月26日)で報道された事実関係をもとに、リクナビDMPフォローをめぐる法的論点を一通り挙げたうえで簡潔にコメントします。やや細かいので、興味がない方は読み飛ばしてください。
リクルートキャリア社(R社)側
【リクナビ2020ユーザーである学生の内定辞退率データ(個人データ)を採用企業に提供した行為について】
▼個人情報保護法関連
- 利用目的はできる限り特定されていたといえるか(個情法15条1項)
リクナビ2020プライバシーポリシーにおける「採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)」との記載で、ユーザーである学生は、自分の内定辞退率データが、自分が採用活動をしている企業に対して提供されることを想定できたといえるか?
→ガイドライン(以下GL)通則編では「利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない」と記載されている(GL通則編P26)。
- 利用目的は本人に通知又は公表されていたか(個情法18条1項)
→学生のうち7983名については、「リクナビDMPフォロー」に関する表記漏れがあるプライバシーポリシーが表示されていた(R社8月5日付プレスリリース)。
- 「偽りその他不正の手段」による個人情報の取得にあたらないか(個情法17条1項)
→GL通則編は「意図的に虚偽の情報を示して、本人から個人情報を取得する場合」を不正の手段による個人情報を取得している事例として挙げる(GL通則編P32事例3)。
- 目的外利用にあたらないか(個情法16条1項)
→内定辞退率データの提供は、利用目的の達成に必要な範囲内の取扱いといえるか?
- 適法な個人データの第三者提供といえるか(個情法23条)
→学生のうち7983名については同意取得がなされていなかった(R社8月5日付プレスリリース)。ではその他の学生からは同意を取得していたといえるか? プライバシーポリシーは明確であったといえるか、同意取得フローに問題はなかったか。(⇒冒頭のBUSINESS LAWYERS記事参照)
(8月26日追記)
同日付で、個人情報保護委員会よりR社に対し、個情法42条1項に基づく勧告及び第41条に基づく指導がなされました(「個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について」)。同勧告では、安全管理措置義務を講じる義務の違反(個情法20条)についても指摘されています。
▼職業安定法関連
- 募集情報等提供事業者が負う、個人情報の適正管理義務違反はないか(職安法42条の2、厚労省職業安定局「募集情報等提供事業の業務運営要領」、厚労省指針第六の二(二))
採用企業側
▼個人情報保護法関連
【1.応募学生の個人データをR社に提供した行為について】
- 利用目的の特定はされていたか(個情法15条1項)
- 利用目的は本人に通知又は公表されていたか(個情法18条1項)
- 不正な手段による取得にあたらないか(個情法17条1項)
- 目的外利用にあたらないか(個情法16条1項)
→採用企業は応募学生に対して、各学生の個人データが第三者(本件ではR社)に提供されることを、利用目的において特定していたか。(「個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない」(GL通則編P26))
・適法な委託に基づく第三者提供といえるか(個情法23条5項1号)
→「利用目的の達成に必要な範囲内」の委託といえるか。
複数の委託元から提供を受けた各個人データを委託先において突合処理することは原則として委託の範囲外(「『個人情報の保護に関する法律についてのガイドライン(通則編)』の改正案に関する意見募集の結果について」No6参照)となることからすれば、R社が委託によらずに自ら取得していたリクナビ2020ユーザーの行動履歴等と、採用企業が委託に基づきR社に提供した個人データを突合処理することは委託の範囲外となる可能性有。
一方で、採用企業がR社に対して個人データの「取得の委託」まで行っており、この委託に基づきR社がリクナビ2020ユーザーから個人データを取得していたといえる場合は、適法な委託となる余地は残る。
- 委託先であるR社に対する監督義務(個情法22条)
【2.事件報道後、R社から提供を受けた内定辞退率データを削除した行為について】
→第三者提供を受ける場合の記録保存義務に違反していないか(個情法26条4項)
▼職業安定法関連
【3.R社から内定辞退率データの提供を受けた行為について】
- 本人の同意の下で本人以外の者から収集する等適法かつ公正な手段により個人情報を収集したといえるか(職安法5条の4、厚労省指針第四の一(二))
→学生から、R社から当該学生の個人データ(内定辞退率)の提供を受けることについて同意を取得していたといえるか?
その他の法的論点
・今後、独占禁止法上の「優越的地位の濫用」にあたる可能性(公正取引委員会指針案)
→消費者が他のサービスに乗り換えるのが難しい場合や、サービスを利用継続するために消費者が不当な扱いを受け入れざるを得ない場合などにおいて、個人データを本人の同意なく利用等すると、独占禁止法の「優越的地位の濫用」にあたる可能性が生じる旨の指針案が、公正取引委員会において検討されている(2019年7月16日付日経電子版)
・EU一般データ保護規則(GDPR)に抵触する可能性はなかったか
→EU域内に拠点のない管理者又は処理者による個人データの取扱いであっても、(1)EU域内にいるデータ主体に対する商品サービスの提供や(2)EU域内で起こるデータ主体の行動の監視にあたる場合はGDPRが適用される(GDPR3条2項)。
※その他の海外諸法の検討は割愛
著者プロフィール
弁護士・杉浦健二
ウェブビジネスモデル構築、利用規約やプライバシーポリシーの作成を中心としたウェブサービス法務全般に携わる。顧問先企業としてウェブサービス、AI/ITベンダ等多数。STORIA法律事務所共同代表。ブログ更新中。
関連記事
- コインチェックから盗まれた「580億円分のNEM」今どこに? ブロックチェーンで“一目瞭然”
コインチェックが運営する仮想通貨取引所「coincheck」から1月26日、580億円相当の仮想通貨「NEM」が盗まれた。このNEMは今、どこにあるのか――その“ありか”は実は、誰でも簡単にたどることができる。 - 「WELQ」はアウトか? セーフか? DeNAの責任は? 著作権法の観点から弁護士が分析してみた
WELQをはじめとした「まとめサイト」の問題は、倫理面や法律面が複雑に絡み合っている。WELQの「リライト」は、著作権法の観点からアウトか、セーフか。著作権に詳しい弁護士の柿沼太一さんが解説する。 - 萌えキャラ生成AI、学習データを“ネットの海”からゲッチュするのはアリか?
「萌えキャラを作れるAIがすごい」「学習データは通販サイトから拝借?」「それって大丈夫なの?」──AIと著作権に詳しい弁護士の柿沼太一さんが考えます。 - 人工知能が作った創作物、現行の法律ではどうなる?
「AIがすごいすごいと言っていると、いつの間にか人間のクリエイター全員が飢え死にしていた、という状況は冗談ではなく生じうるわけです」──AIと著作権に詳しい弁護士の柿沼太一さんが解説する。 - 人工知能が作ったものは誰のモノ? 弁護士が体を張って解説してみた
AI(人工知能)が及ばないとされていた“クリエイティブ領域”の進歩が著しい。AIが描いたコンテンツの権利は誰にあるのか。AIと著作権に詳しい弁護士の柿沼太一さんが解説する。
Copyright © ITmedia, Inc. All Rights Reserved.