リクナビ問題から考える「個人情報保護法」

個人情報保護委員会がリクナビに対し、個人情報保護法に違反する行為を是正を求める勧告を出す方針を固めたという報道がありました。委員会が勧告を出すのは初めてで、この勧告でリクルートキャリアは個人情報の内部管理体制の充実などを求められることになります。

日経新聞HP リクナビ問題、個人情報保護委が初の是正勧告へ

第三者提供の制限とは

個人情報保護法では、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない(同法23条1項)として、第三者提供を制限しています。

今回問題なっている、「リクナビDMPフォロー」というサービスは、前年度の応募者のデータと今年度の応募者のデータをあわせて分析し、「選考・内定の辞退の可能性」として企業に提示するもので採用選考の合否判断には用いないこととして提供されていたものとなります。この企業への提供が第三者提供となりますが、“あらかじめ本人の同意を得ないで”とあるように、本人の同意があれば提供は可能です。

リクナビでは、Pマークも取得しており、個人情報保護方針としては以下の記載があり、

■目的外利用の禁止
個人情報は、予め特定された利用目的の達成に必要な範囲を超えて利用しないこととし、そのために必要な措置を講じます。
■第三者提供
個人情報は、法令に基づく場合を除き、本人の同意なく第三者へ提供しません。

プライバシーポリシーには、以下のような記載があります。

・行動履歴等の利用につ

いて
当社は、本サービスにおいて取得した行動履歴等を用いて、ユーザーに適切な広告を配信するために行動ターゲティング広告サービスを利用しています。
また、当社は、ユーザーがログインして本サービスを利用した場合には、個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookieを使用して本サービスまたは当社と提携するサイトから取得した行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計し、以下の目的で利用することがあります。
・広告・コンテンツ等の配信・表示等のユーザーへの最適な情報提供
・採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)。
なお、行動履歴等は、あらかじめユーザー本人の同意を得ることなく個人を特定できる状態で第三者に提供されることはございません。

この記載を読むと、行動履歴については「個人を特定した上で〜利用することがある」として、「本人の同意を得ることなく提供することはない」としており、よくわからない記述となっていますね。

本人の同意とは

個人情報保護法では、あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない(同法16条1項)としています。

同意を得ている事例として、個人情報保護法のガイドライン(通則編)によれば、「本人による同意する旨のホームページ上のボタンのクリック」があれば同意を得ているという事になりますが、同意する内容は「事業の性質及び個人情報の取扱状況に応じ、本人が同意にかかる判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない」とあるように、よくわからない記述では、本人が同意にかかる判断は出来ない状況にあります。つまり、必要な同意を得られていないということになります。

コンプライアンス体制の重要性

「リクナビDMPフォロー」というサービスは、利用する企業側にはメリットのあるサービスなのかもしれませんが、応募学生の立場にたった場合はどうでしょうか。本当にその利用について理解して同意したと思ってもらえるのかという事は、このビジネスを考える上では重要な点です。必ず、「売り手良し」「買い手良し」「世間良し」の三つの「良し」の視点で考えてみる事をおすすめします。特に、かなりデリケートなデータを取り扱うビジネスモデルは慎重な検討が必要です。

コンプライアンスとは法令だけでなく、ルールや規範、倫理なども含めた概念です。中小零細企業では、専門の人材や法務部門を置く事は難しいケースが多いですが、持続可能な企業経営、成長に欠かせないコンプライアンス、レピュテーションリスクや、オペレーションリスクなどへの備えも重要ですね。

専門部門を置くことはできないとお考えの経営者の皆様、当事務所がお役に立てると思います。是非一緒に、成長へのお手伝いをさせてください。