• カテゴリー別アーカイブ 個人情報保護法
  • リクナビ問題から考える「個人情報保護法」

    個人情報保護委員会がリクナビに対し、個人情報保護法に違反する行為を是正を求める勧告を出す方針を固めたという報道がありました。委員会が勧告を出すのは初めてで、この勧告でリクルートキャリアは個人情報の内部管理体制の充実などを求められることになります。

    日経新聞HP リクナビ問題、個人情報保護委が初の是正勧告へ

    第三者提供の制限とは

    個人情報保護法では、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない(同法23条1項)として、第三者提供を制限しています。

    今回問題なっている、「リクナビDMPフォロー」というサービスは、前年度の応募者のデータと今年度の応募者のデータをあわせて分析し、「選考・内定の辞退の可能性」として企業に提示するもので採用選考の合否判断には用いないこととして提供されていたものとなります。この企業への提供が第三者提供となりますが、“あらかじめ本人の同意を得ないで”とあるように、本人の同意があれば提供は可能です。

    リクナビでは、Pマークも取得しており、個人情報保護方針としては以下の記載があり、

    ■目的外利用の禁止
    個人情報は、予め特定された利用目的の達成に必要な範囲を超えて利用しないこととし、そのために必要な措置を講じます。
    ■第三者提供
    個人情報は、法令に基づく場合を除き、本人の同意なく第三者へ提供しません。

    プライバシーポリシーには、以下のような記載があります。

    ・行動履歴等の利用につ

    いて
    当社は、本サービスにおいて取得した行動履歴等を用いて、ユーザーに適切な広告を配信するために行動ターゲティング広告サービスを利用しています。
    また、当社は、ユーザーがログインして本サービスを利用した場合には、個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookieを使用して本サービスまたは当社と提携するサイトから取得した行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計し、以下の目的で利用することがあります。
    ・広告・コンテンツ等の配信・表示等のユーザーへの最適な情報提供
    ・採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)。
    なお、行動履歴等は、あらかじめユーザー本人の同意を得ることなく個人を特定できる状態で第三者に提供されることはございません。

    この記載を読むと、行動履歴については「個人を特定した上で〜利用することがある」として、「本人の同意を得ることなく提供することはない」としており、よくわからない記述となっていますね。

    本人の同意とは

    個人情報保護法では、あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない(同法16条1項)としています。

    同意を得ている事例として、個人情報保護法のガイドライン(通則編)によれば、「本人による同意する旨のホームページ上のボタンのクリック」があれば同意を得ているという事になりますが、同意する内容は「事業の性質及び個人情報の取扱状況に応じ、本人が同意にかかる判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない」とあるように、よくわからない記述では、本人が同意にかかる判断は出来ない状況にあります。つまり、必要な同意を得られていないということになります。

    コンプライアンス体制の重要性

    「リクナビDMPフォロー」というサービスは、利用する企業側にはメリットのあるサービスなのかもしれませんが、応募学生の立場にたった場合はどうでしょうか。本当にその利用について理解して同意したと思ってもらえるのかという事は、このビジネスを考える上では重要な点です。必ず、「売り手良し」「買い手良し」「世間良し」の三つの「良し」の視点で考えてみる事をおすすめします。特に、かなりデリケートなデータを取り扱うビジネスモデルは慎重な検討が必要です。

    コンプライアンスとは法令だけでなく、ルールや規範、倫理なども含めた概念です。中小零細企業では、専門の人材や法務部門を置く事は難しいケースが多いですが、持続可能な企業経営、成長に欠かせないコンプライアンス、レピュテーションリスクや、オペレーションリスクなどへの備えも重要ですね。

    専門部門を置くことはできないとお考えの経営者の皆様、当事務所がお役に立てると思います。是非一緒に、成長へのお手伝いをさせてください。


  • 個人情報漏えい被害は過去最悪のペースで増加中です

    昨年の10月に、医学関連書籍を出版するM社のウェブサイトが不正アクセスを受け、会員のアカウント情報が流出された事件で、その後の第三者の調査会社による調査の結果報告が先日公表されていました。

    • 2018/10/12と10/22に流出の可能性のある顧客にメールで案内
    • 2018/10/27   個人情報保護委員会に報告
    • 2019/1/8  警察署に相談及び調査会社の報告書資料提出
    • 2019/5/29 改修作業完了

    同社によれば公式サイトが不正アクセスを受け、一部登録会員のメールアドレスとパスワードが流出したものです。書籍・雑誌の購入はウェブサイトリニューアル後、ユーザー登録とログイン機能部分を2018年10月22日に閉鎖し、ログインせずに利用措置、2019年5月29日に脆弱性に対する改修を完了しログイン機能を再開とのことでした。(同社ホームページより)

    今日のNHKニュースサイトでも、不正アクセスによる個人情報漏えい被害が過去最悪のペースで増えていると報道されていました。

    https://www3.nhk.or.jp/news/html/20190610/k10011946951000.html?utm_int=news_contents_news-main_002

    背景にあるのは、ボットと呼ばれる個人情報を悪用する自動プログラムによるサイバー攻撃の拡大です。

    年々巧妙になる手口をどのくらい発見できるでしょうか。また、被害に合わないための運用は出来ているでしょうか。

    当事業所が推進しているPマーク制度は、顧客からの信頼獲得だけではなく、取得することで、個人情報保護への全社的な理解が進み運用改善に役立ちます。運用することでリスクを大幅に軽減することができます。ただし、コンサル会社に委託して取得しただけのPマークは意味をなしません。取得もコンサル会社、更新もコンサルか会社任せ、これではPマーク取得しているとはいえませんね。

    Pマークはただ取得すれば良いのではなく、実際に「自社に合った運用」が大切なのです。

    最後に、IT大手のNTTドコモとKDDI、ソフトバンク、アマゾン、LINE、ヤフー6社によるサイバー防災訓練が6/7〜6/21まで開催されています。お笑い芸人のみやぞんさんの動画もあったりして、楽しく学べます。是非皆さんでご覧ください!

    https://www.cyber-bousai.jp/?utm_source=6

    ■Pマークの取得、運営のご相談は、是非当事業所にご連絡ください。

    info@0ffice-olea.com


  • Pマーク取得の補助金について

    プライバシー・マーク(Pマーク)の取得については、助成金を活用できる自治体があります。法人の場合は本店または主たる事務所の登記地が区内にあること、個人事業主の場合は主たる店舗、事業所等の所在地が区内にあることなどの要件により活用できる可能性がありますので、是非お問合せください

    (助成金のある市区町村例  2019.5月現在)

    茨城県 ひたちなか市

    東京都 港区 大田区 江東区 江戸川区 練馬区 世田谷区