M&P Legal Note 2019 No.7-1
リクナビ問題から見る個人情報とビジネス
2019年10月9日
松田綜合法律事務所
弁護士 森田岳人
1 はじめに
2019年8月1日、就職情報サイト「リクナビ」を運営するリクルートキャリアが、「リクナビDMPフォロー」というサービスにおいて、就活学生の「内定辞退率」を本人の十分な同意なしに38社に有償で提供していたと報道されました。それをきっかけに、リクナビに対する社会的非難が高まり、2019年8月26日には個人情報保護委員会から勧告・指導がされ[1]、また2019年9月6日に東京労働局からも指導がなされたこと[2]は、皆様もご承知のことと思います。
リクナビ問題に関する法的留意点(主にプロファイリング、第三者提供)ついてはすでに前回のニュースレターで解説しましたが、その後になされたリクルートキャリアに対する行政処分の内容、また近年注目されつつあるプラットフォーマー規制、さらにはこれからのビジネスと個人情報との関係性などについて解説します。
2 個人情報保護委員会の勧告・指導内容に関して
(1)勧告・指導
2019年8月26日、個人情報保護委員会は、個人情報保護法に基づき、リクルートキャリアに対して勧告及び指導を行いました。個人情報保護委員会が勧告を行ったのは、2005年の個人情報保護法制定後、初めてのことです。
では、勧告・指導の内容を具体的に見ていきます。
(2)勧告の原因となる事実1:安全管理措置違反
2 勧告の原因となる事実
(1)リクルートキャリアが大量に取り扱う個人情報は、求人企業の採用活動に関わる情報であり、「リクナビ2020」の会員となった学生等の人生をも左右しうることから、その適正な取扱いについては重大な責務を負っていると認められる。
また、リクルートキャリアは、自らが個人情報を取得するだけでなく、多くの個人情報取扱事業者からの委託を受け、個人情報を取り扱っており、これらの情報を適切に区分し、安全に管理する必要がある。
しかしながら、現 DMP フォローの商品を検討する際に、旧 DMP フォローの仕組みから個人データの取扱いに係る重大な変更があったにもかかわらず、法令順守等に関して適切な判断を行っていなかった。また、顧客企業との個人データのやり取りにおいて、法における適用関係等について適切な検討を行っておらず、現 DMP フォローに係る個人データの安全管理のために必要かつ適切な措置を講じていなかった。これは、法第20条の規定に違反するものである。
(※ 下線部は筆者)
上記は、個人情報保護法第20条の安全管理措置に違反していたことを指摘しています。
しかし、「法令順守等に関して適切な判断を行っていなかった」「法における適用関係等について適切な検討を行っておらず」との記載だけでは、リクルートキャリアが具体的に何を怠っていたのかが、これだけではよくわかりません。
おそらく本人の同意なく個人データを第三者提供したことについて十分な事前の検討や判断を行っていなかったことを指していると思われますが、このあたりはせっかくの初めての勧告であり、先例的価値もあるところですから、もう少し明確に記載していただきたかったと思います。
(3)勧告の原因となる事実2:安全管理措置違反
(2)リクルートキャリアは、個人データの第三者提供の同意を得るため、プライバシーポリシーをウェブサイト上で公表し必要な同意を得る仕組みとしていたが、平成31年3月にプライバシーポリシーを改訂した際の事務手続き等の不備により、一部の会員から必要な同意を得ていない状態となった。リクルートキャリアにおいて、この不備を予防、発見、修正する体制がなかったため、令和元年7月に個人情報保護委員会からプライバシーポリシーに関する照会を受け、点検を行うまでこの状態が放置されていたなど、不適切な管理体制であった。これは、法第20条の規定に違反するものである。
上記は、リクルートキャリアが本人の同意を得ずに個人データを第三者提供してしまったことに関し、リクルートキャリアの体制の不備、すなわち個人情報保護法第20条の安全管理措置の違反を指摘するものです。
これについては当然かと思われます。
(3)勧告の原因となる事実3:同意なき第三者提供
⑶ 個人データを第三者提供する場合には、本人の同意を得る必要があるところ、⑴及び⑵の結果として、7,983人の個人データについて第三者提供の同意を得ないまま、現 DMP フォローによりリクルートキャリアの顧客企業に提供された。これは、法第23条第1項の規定に違反するものである。
上記は、本人同意がなく個人データを第三者(顧客企業)に提供していることについて、個人情報保護法第23条第1項の第三者提供禁止の違反を指摘するものであり、こちらも当然です。さらに厳しい処分(命令)となる可能性もあったように思われますが、故意ではなく、過失(「事務手続き等の不備」)であることから、勧告にとどまったのでしょう。
(4)指導
(1)事実概要
リクルートキャリアは、プライバシーポリシー上で、現 DMP フォローにおける個人データを第三者である顧客企業へ提供することについて本人の同意を取得するための説明を行っていた。
個人情報の保護に関する法律についてのガイドライン(通則編)においては、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない」とされている。しかしながら、リクルートキャリアのプライバシーポリシーの記載内容は、現 DMP フォローにおける個人データの第三者提供に係る説明が明確であるとは認め難い。
(※ 下線部は筆者)
上記は「勧告」より弱い「指導」の対象に過ぎませんが、実は重要な内容ではないかと考えています。
個人情報保護法では、本人の同意があれば第三者提供が許されています(法23条1項)。この「本人の同意」について、ガイドラインでは、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない」と記載されていますが、実務上はかなり緩く運用されています。
具体的かつ詳細に第三者提供の内容を本人に説明すれば、同意がとりにくくなったり、第三者提供が狭い範囲に限定されてしまいます。そのため、抽象的な説明だけして、できるだけ簡単に本人同意を取ることが、実務上広く行われています。
この点、EUの一般データ保護規則(GDPR)では、「同意」とは「自由に与えられ、特定され、説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するもの」という定義をしており、さらに補足説明として、極めて詳細なガイドラインまで定めています[3]。そのため、同意を取得したとしても、少しでも不備があれば後から同意の有効性が否定されるリスクが高いため、同意を前提にビジネスを組み立てるのは極力避けるべきだとも言われています。
このようなGDPRと比較すれば、日本の個人情報保護法上の「同意」が、極めて緩く解釈されていることがおわかりいただけるかと思います。
リクルートキャリアのプライバシーポリシーでも、「・採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)。」との記載がありました。リクルートキャリアは、このプライバシーポリシーにユーザーが同意したことをもって、「内定辞退率」の第三者提供にも同意したとみなしていたわけです。
しかし、今回、個人情報保護委員会は、上記のようなプライバシーポリシーでは本人同意を得たとは言えないと判断し、行政指導を行いました。
これまで「同意」を極めて緩く解釈し、形式的な同意さえとればいくらでも第三者提供ができるかのように行動してきたビジネスの現場に、個人情報保護委員会が強い警鐘をならしたものととらえるべきだと思います。
第三者提供について本人同意を得たことを前提にビジネスを行っている事業者は、改めて同意の取得方法について確認をし、不十分であれば早急に見直すべきだと思われます。
3 独占禁止法によるプラットフォーマー規制
(1)経緯
独占禁止法によるプラットフォーマー規制にも触れておきたいと思います。
公正取引委員会は、2019年8月29日、「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」(以下「考え方」といいます)を公表し、パブリックコメントに付しました[4]。
公表のタイミングがちょうどリクナビ問題が出た直後になってしまいましたが、この公正取引委員会の考え方は、もともとリクナビをターゲットして公表されたものではありません。
近年、いわゆるGAFAをはじめとするデジタル・プラットフォーマーが台頭し、さまざまなサービスを展開していく一方で、公正な競争をゆがめたり、消費者が一方的に不利益な立場に立たされるなどのリスクも顕在化しました。そのため、政府(経産省、総務省、公正取引委員会)は、2018年より検討会を立ち上げ、2018年12月12日に中間論点整理をとりまとめ[5]、同月18日に、「プラットフォーマー型ビジネスの台頭に対応したルール整備の基本原則」を策定し、公表しました[6]。
さらに、その後ワーキンググループでの議論を経て、2019年5月21日には、プラットフォーマー型ビジネスの台頭に対応したルール整備に関するオプションを公表しました[7]。
その流れを受け、上記の公正取引委員会による考え方が公表されました。
(2)内容
この公正取引委員会の考え方は、デジタル・プラットフォーマーが消費者に対して行うサービスにおいて、独占禁止法の「優越的地位の濫用」に該当しうることを明確に指摘するものです。
この考え方は、法令を改正するものではなく、現行の独占禁止法の範囲内で、公正取引委員会の解釈を示すものに過ぎません。しかしながら、これまで独占禁止法は、主にB to Bの取引において適用されてきましたが、今回、デジタル・プラットフォーマーによるB to Cの取引においても適用していく方針が示されたことに大きな意義があります。
この考え方では、「優越的地位の濫用」となる場合として、例えば以下のような具体例を挙げています。
【想定例⑥】 デジタル・プラットフォーマーF社が,サービスを利用する消費者から取得した個人情報を,消費者の同意を得ることなく第三者に提供した(注7)。
(注7)個人情報を第三者に提供することについて,例えば,電子メールによって個々の消費者に連絡し,自社のウェブサイトにおいて,消費者から取得した個人情報を第三者に提供することに同意する旨の確認欄へのチェックを得た上で提供する場合には,通常,問題とならない。ただし,消費者が,サービスを利用せざるを得ないことから,個人情報の第三者への提供にやむを得ず同意した場合には,当該同意は消費者の意に反するものと判断される場合がある。
(※ 下線部は筆者)
「やむを得ずに同意した場合」が具体的にどのような場面かまでの説明はありませんが、形式的に同意を取るだけでは、同意とはみなされない場合がありますので、同意を前提としたビジネスモデルをとっているプラットフォーマーは、至急、同意の取得方法の見直しが必要になるでしょう。
例えば、優越的地位にあるプラットフォーマーが、ユーザーに提供している本来的なサービスに必要ではないにもかかわらず個人データの第三者提供への同意をユーザーに求める場合には、ユーザーは本来的なサービスを受けたいために、渋々ながら第三者提供への同意をすることもありえるわけですが、当該同意及び第三者提供については優越的地位の濫用とみなされるおそれがあります。
今回のリクナビの問題も、そもそもリクナビが「プラットフォーマー」と言えるのかという論点はありますが、形式的な同意では足りないという個人情報保護委員会の指導の内容は、上記の公正取引委員会の考え方と通ずるものがあり、仮にリクナビが「プラットフォーマー」に該当する場合には、独占禁止法上の優越的地位の濫用と判断される可能性があります。
4 個人情報とビジネス
以上のように、今後、個人情報をビジネスで利用する場合には、個人上保護法だけではなく、独占禁止法などの関連法にも十分配慮していく必要があります。そのためには、ビジネスモデルやサービス内容の構築の段階から、各社の営業部門・新規開発部門と、法務部等の管理部門が連携し、各種規制への対応策をビジネスモデルやサービス内容に組み込んでいくことが、コンプライアンスの観点だけでなく、他社との競争戦略上も重要になってくると思われます。
この点に関し、気になる出来事を3つほど挙げておきます。
- アップル発表会、「プライバシー保護」前面に[8](日本経済新聞 2019/6/4)
- NTTドコモ 個人情報の活用状況を透明化、自由に設定[9](日本経済新聞 2019/8/27)
- 個人情報や検索結果を収集しない検索サービスDuckDuckGoが、アメリカで急速にユーザー数を伸ばしています[10]。
いずれも、個人情報やプライバシーを競争戦略上の重要ポイントと捉えており、今後もこのような動きが世界中で広まっていくものと思われます。
以上
<参考>
M&P Legal Note 2019 No.6-1 リクナビの「内定辞退率」提供事案に見る法的問題点
<注釈>
[1] https://www.ppc.go.jp/files/pdf/190826_houdou.pdf
[2] https://www.recruitcareer.co.jp/news/pressrelease/2019/190906-01/
[3] https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
[4] https://www.jftc.go.jp/houdou/pressrelease/2019/aug/190829_dpfpc.html
[5] https://www.jftc.go.jp/houdou/pressrelease/h30/dec/181212_1.html
[6] https://www.jftc.go.jp/houdou/pressrelease/h30/dec/181218.html
[7] https://www.jftc.go.jp/houdou/pressrelease/2019/may/190521_1.html
[8] https://www.nikkei.com/article/DGXMZO45648930U9A600C1000000/?n_cid=SPTMG002
[9] https://www.nikkei.com/article/DGXMZO49060910X20C19A8TJ2000/
[10] https://duckduckgo.com/traffic
この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。
松田綜合法律事務所
弁護士 森田岳人
morita@jmatsuda-law.com
〒100-0004 東京都千代田区大手町二丁目1番1号 大成大手町ビル10階
電話:03-3272-0101 FAX:03-3272-0102
この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。