第594号コラム:小向 太郎 理事(日本大学 危機管理学部 教授)
題:「リクナビ問題は、なぜ何となくスッキリしないのか」
言うまでもなく、リクナビ問題とは、「いわゆる内定辞退率を提供するサービス」をリクナビを運営するリクルートキャリア社が、顧客企業に提供していたことが報道され、このサービスに対してさまざまな非難がされた問題である。個人情報保護委員会は、2019年8月26日に勧告と指導を行っていた。
本コラムのタイトルを提出してから、個人情報保護委員会が、追加の指導を出したと公表があった(2019年12月4日)。cookieやハッシュを用いて個人情報該当性を免れようとしたことについて問題とされている。日本における個人情報保護の問題点を浮き彫りにするもので、これも大変重要であるが、本コラムでは前回の勧告と指導について考えてみたい。
そもそも、「いわゆる内定辞退率を提供するサービス」の何が問題なのか。日本の個人情報保護法は、個人データの第三者提供にあたっては、原則として本人の同意を義務付けている(第23条)。学生に「企業にあなたの内定辞退率を提供して良いですか?」と聞いて同意が得られるわけがない。したがって、これは個人情報保護法違反である。普通に考えれば至極単純な話である。
しかし、本件について、リクルートキャリア社は、一部については同意を取っていたと説明している。各種ニュースでも、このサービスのためにプライバシーポリシーを変更する以前に登録していた学生についてのみ、同意が取れていなかったと報じている。これを聞いて、「同意する学生がいるのか?」と疑問に思った人は多いのではないか。本件が何となくスッキリしないのは、特にこの点である。
現在のプライバシーポリシーを見る限り、おそらく、次の項目に同意をしたことをもって、第三者提供に同意していたとしているのだろう。
・行動履歴等の利用について(抜粋)
当社は、ユーザーがログインして本サービスを利用した場合には、個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookieを使用して本サービス または当社と提携するサイトから取得した行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計し、以下の目的で利用することがあります。
・広告・コンテンツ等の配信・表示等のユーザーへの最適な情報提供
・採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)。
個人情報保護委員会の指針では、第三者提供を行うための同意について、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)平成28年11月(平成31年1月一部改正)45頁)」としている。上記のプライバシーポリシーを見せられて「内定辞退率を提供されてもよいかどうか」について合理的かつ適切に判断できたという学生がいたら、ぜひ会って話を聞いてみたい。
本件の同意取得について、個人情報保護委員会は、「現DMPフォローにおける個人データの第三者提供に係る説明が明確であるとは認め難い」として「指導」を行っているが、同意の取得と認められないとまでは言っていない。おそらく、プライバシーポリシー等による包括的な同意を認めないという受け取り方をされると、このような同意に基づいて第三者提供を行っているビジネス全般に影響が出かねないため、慎重な言い方をしているのだと思う。
日本の個人情報保護法は、いわゆる内部利用についてはかなり自由度が高く、利用目的の特定と、通知や公表を行っていて、その他の不適切な取得等をしなければ、本人の同意やその他の正当化事由は不要である。その一方で、個人情報を取得した後に、利用目的の変更や第三者提供を行うときには、原則として本人の同意が必要で、例外規定も厳格に定められている。EUのGDPRが個人情報の取扱い全般に何らかの適法化根拠(正当化事由)を求めているのに比べると、第三者提供と利用目的変更の規制が突出した、ややアンバランスなものになっている。
真面目に取り組んでいる企業のなかには、事後的に第三者提供や利用目的の変更を行うことは、禁止されているのだと受け止めているところも多い。企業の側から第三者提供や利用目的変更の場合のハードルを緩めてくれという要望が多いのは、そもそも何でも自由に使えるものだったのに、なぜその場面だけそんなに厳しいのかと感じるからである。ただし、これはそもそも内部利用の規制が緩すぎるのであって、本人は後から自分の個人情報の利用を止めてほしいという要望を出すこともほとんどできない(現在検討中の見直しでは、このような利用停止の請求についても議論されている)。
そうした事情もあって、個人情報保護法の解釈においては、ある程度は包括的なものであっても、本人の同意として有効だとしてきた。確かに、あまりに厳格に個別的な同意を求めることにも弊害が多い。しかし、本人が全く予想できず、しかも本人の意志に反することが明らかな第三者提供が、抽象的なプライバシーポリシーへの同意によって認められるのであれば、第三者提供に原則として本人の同意を求めることに、どれだけ実質的な意義があるのか疑わしくなってしまう。そもそも、こうした個別の問題について責任を持った判断をしてもらうために、独立性と専門性を持つ「個人情報保護委員会」を設立したのである。本件のような事例については、ぜひ踏み込んだ考え方を示して規制を行っていただきたい。
【著作権は、小向氏に属します】