M&P Legal Note 2019 No.6-1
リクナビの「内定辞退率」提供事案に見る法的問題点
2019年8月16日
松田綜合法律事務所
弁護士 森田岳人
1 リクナビの「内定辞退率」提供事案とは
2019年8月1日、就職情報サイト「リクナビ」を運営するリクルートキャリアが、就活学生の「内定辞退率」を本人の十分な同意なしに予測し38社に有償で提供していたと報道されました(日本経済新聞2019/8/1 18:00等)[1]。そして、報道機関や就活学生からの強い批判を受けたリクルートキャリアは、謝罪と「内定辞退率」を提供していた「リクナビDMPフォロー」というサービスの中止を表明するに至りました[2]。
さらに、2019年8月5日、リクルートキャリアは、個人情報の第三者提供について、就活学生7983名から適切な同意を得られていなかったことが判明したため、「リクナビDMPフォロー」を廃止することを発表しました[3]。
では、今回のリクナビによるサービスは、法的に何が問題だったのでしょうか。
報道によればリクナビが行った具体的な行為は以下の①及び②の2つのようです。
① 過去の大量の個人データ(前年度の応募学生のリクナビ上での行動ログなどのデータ)をAIにより分析し、「内定辞退率」を判別するアルゴリズムを開発し、特定の就活学生の「内定辞退率」を分析した(いわゆるプロファイリング)。
② 上記①のプロファイリングの結果を、第三者である38社に提供した。
そこで、以下ではこの2つの場面に分けて、分析してみます。
2 ①プロファイリングについて
(1) プロファイリングとは
「プロファイリング」は、従前は捜査機関が犯人の動機や行動パターンを推理・分析して犯人像を割り出す方法を指す用語でしたが、最近は、犯罪捜査の場面だけではなく、データを基にして個人の趣味嗜好や行動、興味関心、信頼度などを分析・予測することを広く指すようになっています。
例えばAmazonが過去の購入履歴データ等を利用して、ユーザーが欲しそうな商品を提案してくるのもプロファイリングの一つです。また、大量のデータの分析・予測にAIを利用するのも最近のトレンドです。
(2) 個人情報保護法とプロファイリング
現行の個人情報保護法では、プロファイリングについて特別の規制はありません。
したがって、事業者は、通常と同様に、個人情報の利用目的を特定し(15条1項)、利用目的を通知または公表し(法18条1項)、その目的の範囲内で利用する(法16条1項)のであれば、プロファイリングをすることができます。
それでは、リクナビの事案を見てみましょう。リクナビのプライバシーポリシー[4]には以下の記載があります。なお、就活学生に実際に閲覧させ同意を取得したプライバシーポリシーが、リクナビのホームページに掲載されているプライバシーポリシーと完全に同一かについては確認が取れていませんが、同一であると仮定します。
◆個人情報の利用目的
当社は、本サービスの提供にあたり、以下に定める目的の範囲内で個人情報を取得し、適切に利用します。
(略)
E.本サービスおよび当社のサービスの改善・新規サービスの開発およびマーケティング
F.本サービスおよび当社のサービスにおいて受領した情報の加工、統計および分析
(略)
◆属性情報・端末情報・位置情報・行動履歴等の取得及び利用について
・行動履歴等の利用について
(略)
また、当社は、ユーザーがログインして本サービスを利用した場合には、個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookieを使用して本サービスまたは当社と提携するサイトから取得した行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計し、以下の目的で利用することがあります。
・広告・コンテンツ等の配信・表示等のユーザーへの最適な情報提供
・採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)。
(略)
(※ 下線部は筆者)
このように、リクナビのプライバシーポリシーには「新規サービスの開発」「受領した情報の加工、統計および分析」「行動履歴等を分析・集計」「採用活動補助のための利用企業等への情報提供」という文言が並んでおり、プロファイリングもなんとなく含まれているようにも思われますが、「過去の利用者の行動履歴等を分析し、内定辞退率を算出するアルゴリズムを開発する」「特定の就活学生の行動履歴等から内定辞退率を算定する」といった具体的な利用目的までは記載がありません。
この点は、個人情報保護法上、利用目的を特定(法15条1項)していたと言えるのかが問われることになるでしょう。
なお、EU域内における個人データの包括的な規制として有名なGDPR(General Data Protection Regulation:一般データ保護規則。2018年5月25日施行)では、プロファイリングについて、データ主体(個人)に異議を申し立てる権利(GDPR21条)や、自動的な意思決定に服さない権利(GDPR22条)を明示的に与えるとともに、37ページにもわたるプロファイリングに関する詳細なガイドラインが作成され、明確かつ厳しい規制がされています[5]。
一方、個人情報保護委員会が最近公表した日本の個人情報保護法改正に向けた中間整理[6]では、プロファイリングに関し、GDPRのような厳しい規制を導入することまでは触れられていません。
しかし、最近、プロファイリングの典型である信用スコア(個人の行動履歴等から個人の信用度を数値化する)について、みずほ銀行とソフトバンクによる「J.Score」、ドコモによる「ドコモスコアリング」、ヤフーによる「Yahoo!スコア」、LINEによる「LINEスコア」などが立て続けに公表されている一方で、スコアリングに対する拒否反応やプライバシー侵害を懸念する声も出ていること、個人情報保護法改正に向けた中間整理でも、個人情報の利用停止請求権を拡充する方向性が示されていることなどから、今後の社会情勢や法改正の議論の行方次第では、プロファイリングに対する法規制が導入される可能性もありますので、注視していく必要があります。
(3) 民法(損害賠償)とプロファイリング
個人情報保護法は基本的に個人情報を取り扱う事業者を規制する法律であり、違反があった場合には、最終的には個人情報保護委員会による行政処分がされます。
さらに、個人情報を不適切に取り扱ってしまった場合(例えば情報漏洩)、被害にあった個人がプライバシー侵害等を主張して、企業に対して民法上の損害賠償請求をすることがあります。最近では、2014年のベネッセの個人情報流出事件(業務委託先の社員が約3500万件の顧客情報を持ち出し名簿業者に売却した事件)に関し、ベネッセに一人あたり2000円の損害賠償義務を認めた判決が出ています(東京高等裁判所令和元年6月27日判決)。
したがって、個人情報を取り扱うときには、個人情報保護法以外に民法上の損害賠償リスクも考えなければなりません。
それではプロファイリングについて、民法上の損害賠償リスクはどの程度あるのでしょうか。つまり、プロファイリングをされたことにより、人権(プライバシー権、自己決定権、その他の権利)を侵害されたとして損害賠償を受けるリスクがあるのでしょうか。
この点は法律的な議論があまり進んでいないところであり、また裁判例もあるわけではありません。
しかしながら、例えば事前の同意なく、皆さんのスマホに残された行動履歴やウェブサイトの閲覧履歴、SNSでの交友関係等のデータをAIで分析し、高度なプライバシーに属するような事柄(例えば思想・信条・宗教・性格・性的嗜好)を極めて高確率で的中させるアルゴリズムを開発した企業がいた場合、少なからず精神的なショックと憤りを感じないでしょうか。
また、例えば、アルゴリズムの開発過程において用意されたデータに偏りがあったため、一定の属性を持つ者が不当に低く評価されるアルゴリズムが開発され、皆さんがその誤ったプロファイリングに基づいて差別的取り扱いをされた場合には、どう感じるでしょうか。
プロファイリングは目的や利用方法を誤れば個人の人権を侵害する可能性があり、民法上の損害賠償の問題となりうるということを意識する必要があります。
就活学生にとって、どの企業に就職するかは人生の中で最も重要な選択の一つであり、懸命な努力と熟慮の末に自ら決定するものです。
ところが、リクナビ上における自己の行動履歴等が機械によって自動的に分析され、「内定辞退率」なる数値が算定され、しかもその機械による評価が正しいかどうかの保証もなく、また自己による検証の機会もなく、リクナビや情報提供先企業に利用されるということについて、就職の機会を不当に妨害されないかという不安や、就職先を自ら決定する権利を侵害されたような気持ちになることは理解できるものがあります。
一方、「内定辞退率」が就活学生にとって機微にわたる情報であることは、リクナビも十分認識し、慎重に取り扱っていたように思われます。
リクナビのプライバシーポリシーには以下の記載があります。
◆属性情報・端末情報・位置情報・行動履歴等の取得及び利用について
(略)
・行動履歴等の利用について
(略)
また、当社は、ユーザーがログインして本サービスを利用した場合には、個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookieを使用して本サービスまたは当社と提携するサイトから取得した行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計し、以下の目的で利用することがあります。
・広告・コンテンツ等の配信・表示等のユーザーへの最適な情報提供
・採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)。
(略)
行動履歴等の利用を無効にしたい場合は、オプトアウトページにアクセスし、手順に従ってください。
(略)
(※ 下線部は筆者)
すなわち、リクナビでは、行動履歴等を分析・集計した結果については、あくまで採用活動補助に使うものであり、選考に利用されることはないと明示しています。また、今回の問題に関するリクルートキャリアのプレスリリースでは、「学生の応募意思を尊重し、合否の判定には当該データを活用しないことを企業に参画同意書として確約いただいています。」「いかなる時期であっても提供された情報を合否の判定に活用しないことにご同意いただいた企業にのみ、本サービスをご提供してきました。ご利用いただいている企業には当社から定期的に利用状況の確認をさせていただいております。」と説明されています。
また、リクナビの上記プライバシーポリシーについては、就活学生が会員登録をする際に同意させる仕組みを取っていたようです。したがって、リクナビは、就活学生に無断でプロファイリングをしていたわけではありません。
さらに、行動履歴等の利用を無効にするための手段(オプトアウト)も用意している旨が説明されています。
このようにリクナビも就活学生に対して一定の配慮をしていたことはうかがわれます。
ただ、報道を見る限り、情報提供先企業が「内定辞退率」を合否判定に使用していないという確証がないこと、そもそもプライバシーポリシーの記載が抽象的であり、就活学生が、自己の行動履歴等をプロファイリングされ、機械が自動で「内定辞退率」を算定することまで認識した上で同意していたのかについては強い疑問が残ることなどからすれば、リクナビの当初の見込みの甘さを指摘せざるを得ません。
プロファイリングの社会的有用性は広く認められており、今後もますます利用されていくと思われますが、一方で、個人の人権を侵害し損害賠償を受けるリスクもありますので、プロファイリングを行うに当たっては、慎重な検討をする必要があるでしょう。
3 ②第三者提供について
(1) 個人情報保護法と第三者提供
リクナビはプロファイリングから得られた就活学生の「内定辞退率」を、38社に販売していました。
個人情報保護法は、個人データを第三者に提供するには、原則として本人の同意が必要としています(法23条1項)。
「内定辞退率」も特定の個人と紐づいた個人データとなりますので、第三者提供を行うには就活学生本人の同意が必要となります。
そこで、リクナビのプライバシーポリシーを見てみますと、以下の記載があります。
◆個人情報の第三者への提供
当社は、原則として、ユーザー本人の同意を得ずに個人情報を第三者に提供しません。提供先・提供情報内容を特定したうえで、ユーザーの同意を得た場合に限り提供します。
(※ 下線部は筆者)
したがって、リクナビも、個人情報を同意なく第三者提供しないことを原則としつつ、「提供先・提供情報内容を特定したうえで」、ユーザーの同意を得た場合に第三者提供をすることを明言しています。
そして、同じプライバシーポリシーの中に以下の記載があります。
◆属性情報・端末情報・位置情報・行動履歴等の取得及び利用について
(略)
・行動履歴等の利用について
(略)
また、当社は、ユーザーがログインして本サービスを利用した場合には、個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookieを使用して本サービスまたは当社と提携するサイトから取得した行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計し、以下の目的で利用することがあります。
・広告・コンテンツ等の配信・表示等のユーザーへの最適な情報提供
・採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)。
(※ 下線部は筆者)
このプライバシーポリシーについては、リクナビの会員登録の際に就活学生から同意を取得していたようです。そのため、上記の「採用活動補助のための利用企業等への情報提供」に就活学生も同意したことになるので、「内定辞退率」の第三者提供も個人情報保護法上問題ない、というのがリクナビの基本的な主張のようです。
しかし、「採用活動補助のための利用企業等への情報提供」という文言を見たときに、就活学生が、「内定辞退率」の第三者提供が含まれると認識できたのかは、かなり疑問です。
また、リクナビ自身が、プライバシーポリシーの中で「提供先・提供情報内容を特定したうえで」同意を取得すると記載していますが、「採用活動補助のための利用企業等への情報提供」という文言で「提供先・提供情報内容」を特定したと言えるのかも疑問です。
そのため、報道でも、リクナビの上記の同意取得手続きには問題があるのではないかという指摘がされていました。
さらに、当初の報道から数日後の2019年8月5日になり、リクナビは、社内調査の結果、サイトでのミスにより一部学生(7983名)について第三者提供の同意が取得できていなかったことが判明したと発表しました。
詳細はまだ不明ですが、この発表が事実であれば、同意がないにもかかわらず個人データが第三者提供されていたことになり、明らかに個人情報保護法違反となります。今後、個人情報保護委員会から何らかの処分がされる可能性もあるでしょう。
実務上、本人同意を取得して個人データの第三者提供を行うことは頻繁に行われていますが、同意の取得手続きについて甘く考えている事例も多く見かけます。残念ながら、リクナビもその典型例となってしまいました。
(2) 民法(損害賠償)と第三者提供
個人情報を本人の同意なく第三者提供をしてしまった場合、個人情報保護法上の問題となるだけでなく、本人から、人権(プライバシー権、人格権等)を侵害されたとして民法上の損害賠償請求をされるリスクがあります。上記2(3)で挙げたベネッセ事件がその一例です。
それでは、リクナビの事案のように、プロファイリングの結果が第三者提供されたときの損害賠償リスクはどう考えればよいでしょうか。
プロファイリングにより算出された「内定辞退率」は、就活学生の行動履歴等から機械的に算出された数値に過ぎず、住所・氏名・生年月日といった典型的なプライバシー情報と同列に保護すべきなのかは疑問もあるところです。
一方で、「内定辞退率」は、採用の合否判定においてネガティブに使用される恐れがある情報であって、就活学生にとってセンシティブな情報です。しかも、その機械が算出した「内定辞退率」については、就活学生に検証や反論する機会も与えられていません。
これらの事情から、「内定辞退率」が就活学生にとってみだりに公開されたくない情報の一つであり、プライバシーの範疇と考えることができれば、当該情報を同意なく第三者提供することは民法上も不法行為となり、損害賠償義務が生じる可能性はあります。
4 最後に
上記のとおり、今回のリクナビの事案は、AIを利用したプロファイリングの問題点や、プロファイリングの結果を第三者提供する際の問題点を改めて考えさせる事案でした。
現在検討されている個人情報保護法改正の議論にも影響する可能性がありますので、今後の報道や個人情報保護委員会の動きには、引き続き注目していく必要があるでしょう。
以上
[1]https://www.nikkei.com/article/DGXMZO48076190R00C19A8MM8000/?n_cid=SPTMG053
[2]https://www.recruitcareer.co.jp/news/pressrelease/2019/190801-02/
[3]https://www.recruitcareer.co.jp/news/pressrelease/2019/190805-01/
[4]https://job.rikunabi.com/2020/general/move/?screen=navg/help/privacy_policy.html&isc=r20rcnz00251
[5] GDPR関連については個人情報保護委員会が日本語の仮訳等の情報提供をしています。
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/
[6] 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」2019年4月25日 https://www.evernote.com/shard/s16/res/bda9c84c-f62c-4f3f-a3fb-60c4eb7943fd
この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。
松田綜合法律事務所
弁護士 森田岳人
morita@jmatsuda-law.com
〒100-0004 東京都千代田区大手町二丁目1番1号 大成大手町ビル10階
電話:03-3272-0101 FAX:03-3272-0102
この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。