リクナビ 問題。 リクナビ「内定辞退予測」問題って?

リクナビ「内定辞退率」データ提供の法的論点まとめと、プロファイリングの法的問題について

リクナビ 問題

AIの技術を使って内定辞退率を算出し、企業に販売していたリクルートキャリア。 まずはこのビジネスのどこに問題があったのか、当局から違法だと指摘されたところを中心に見ていきます。 リクルートキャリアは、2019年2月までは、「cookie」と呼ばれる電子情報を使い、個人を特定しないようにして企業に内定辞退率を販売していましたが、3月以降は、個人データを直接やり取りする方法に切り替えました。 政府の個人情報保護委員会は、3月以降のリクルートキャリアと企業との個人データのやり取りで学生本人の同意を得ていなかったケースがあったと指摘。 また、3月以降に個人データの扱い方を変更した際に法律面での適切な検討を行わず、個人データを安全に管理する対策をとっていなかったとして、これらの対応が個人情報保護法に反するとしています。 そもそも学生の「内定辞退率」という特異なサービスはどのように生まれたのか。 会社によると、内定辞退率のアイデアが出たのは2017年の夏ごろ、就活関連のビジネスを手がける担当者の会議の中でした。 このアイデアが次第に営業や商品企画、システム開発などさまざまな部門に共有され、「局所的に連携を繰り返す形で検討が進んだ」といいます。 現場のアイデアがあれよあれよという間にサービスの実現に向けて動いていく。 ベンチャー精神を尊重するボトムアップ型の意思決定プロセスだといえば聞こえがいいですが、そこには現場の暴走を許す危うさが潜んでいました。 親会社のリクルートやリクルートキャリアの説明の中で、私は「責任者不在の検討体制」ということばに注目しました。 責任者不在?いったいどういうことなのか。 両社によると、アイデアが生まれた当初から、商品の全体像を把握して判断を下すべき責任者が設置されておらず、学生の個人データやプライバシーの問題をどう扱うべきか、責任をもって判断できる人がいなかったといいます。 一方、今回の問題で個人情報保護委員会は内定辞退率を購入する契約をしていた自動車メーカーや総合商社など、大手の37の企業に対しても、個人データを外部に提供する際の法的検討などが不適切だったとして、是正を求める指導を行いました。 不適切だと指摘された大手企業の対応とはどのようなものだったのか。 NHKは内定辞退率を購入していたと公表している企業に対して、アンケート調査を行いました。 回答があった22社のうち、「個人情報保護法や職業安定法に照らして適正かどうか事前に検討したか」という質問に対して、「リクルートキャリアから適正だと伝えられた」と答えた企業が10社。 「検討」すらしなかった企業も1社ありました。

次の

リクナビ「内定辞退予測」問題って?

リクナビ 問題

8月1日、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(以下、リクルートキャリア)は、同社が提供していた「リクナビDMPフォロー」サービスにおいて、いわゆる「内定辞退率」データをクライアントである採用企業に提供していたことを公表。 その際、ユーザーである学生の個人データの扱いや同意の取得方法等が適切だったかが問われています。 8月5日には7,983名の学生からプライバシーポリシー同意取得の不備と、「リクナビDMPフォロー」の廃止についてリクルートキャリアから報告されました。 ユーザーから同意を取得する方法や個人データの扱い、また行動履歴等を分析した結果の活用方法に関して議論がなされる本事案について、STORIA法律事務所 東京オフィスの杉浦 健二弁護士に見解を伺いました。 同意取得の方法以前に、同意の対象となるプライバシーポリシーの内容の明確性が問われた事案 本事案について、ユーザーである学生からの同意取得の方法をはじめとした個人情報取り扱いの観点からは、どういった点に問題があったと考えられますか。 報道によればリクルートキャリアは「リクナビDMPフォロー」を通して、就活生の内定辞退率を個人が特定できるかたちで、同サービスを利用する企業38社に提供していたとのことでした。 リクナビ2020の には、以下のような記載がなされています。 リクナビ2020 (株式会社リクルートキャリア、2019年8月14日取得、傍線加工 BUSINESS LAWYERS編集部) この「行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計」した結果こそが、今回問題となっている内定辞退率にあたると考えられます。 同プライバシーポリシーの記載では、「行動履歴等は、あらかじめユーザー本人の同意を得ることなく個人を特定できる状態で第三者に提供されることはございません」とあるものの、冒頭の傍線で示した「個人を特定したうえで、」の文言がどの文節にかかるのかがはっきりしないために、個人が特定されるかたちで内定辞退率を企業に提供するという意味なのか、個人が特定されないかたちで企業に提供するという意味なのかが不明確といえます。 個人情報保護法上、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないものとされています(個人情報保護法23条1項)。 リクルートキャリアの によれば、「ご同意いただいたプライバシーポリシーに基づき、リクナビサイト上での行動履歴の解析結果を取引企業に対して提供しておりました」との記載があるため、リクルートキャリア自身はユーザー個人が特定されるかたちで内定辞退率を提供することについて、同プライバシーポリシーによって同意を取得できていると判断していたようです。 その後、リクルートキャリアは で、学生7983名については同プライバシーポリシーによる形式的な同意すら得られていなかったことを発表しました。 しかし本件で問題なのは、プライバシーポリシーの内容が不明確であることで、これら7983名以外の学生についても適切な同意が得られていなかった可能性が残っているという点であると考えます。 ユーザーである学生から、個人情報の取扱いについて適切な同意を得る方法はどうあるべきだったと考えられますか。 個人データを第三者に提供するにあたってあらかじめ本人の同意を得たといえるためには、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならないものとされています(個人情報保護委員会「 」2-12「本人の同意」、平成28年11月(平成31年1月一部改正))。 たとえばプライバシーポリシーを公表している場合は、当該プライバシーポリシーの内容に同意する旨のボタンをクリックしてもらう方法が考えられますが、同意の前提として、プライバシーポリシーで示された取扱い方法で自分の個人情報が取り扱われる旨を理解していることが必要となります。 リクナビ2020のプライバシーポリシーの記載内容は上記のとおり明確であったとはいえず、同意ボタンをクリックする方法等をとっていたとしても、ユーザー個人が特定されるかたちで各企業に対して内定辞退率が提供されることについて本人の同意を得たといえるかどうかは疑問の残るところです。 本件では同意取得の方法以前に、同意の対象となるプライバシーポリシーの内容の明確性が問われた事案であったといえます。 今回のプライバシーポリシーの問題となった部分について、より明確な内容にしようとすれば、たとえば以下のような文案が考えられます。 また、当社は、ユーザーがログインして本サービスを利用した場合には、ユーザーが本サービスに登録した個人情報、およびcookieを使用して本サービスまたは当社と提携するサイト( 当社と提携するサイトはこのリンクをご参照ください)から取得した行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計した データについて、ユーザー個人を特定できる状態で、利用企業等に対して提供する場合があります。 このデータ提供は利用企業等における採用活動補助を目的としてなされるものであり、利用企業等において選考目的で利用されることはありません。 また利用企業等に対して提供されるデータは行動履歴等の分析・集計データであり、行動履歴等そのものは、あらかじめユーザー本人の同意を得ることなく個人を特定できる状態で第三者に提供されることはありません。 この文案であれば、「行動履歴等を分析・集計したデータ」について、ユーザー個人を特定できる状態で利用企業等に提供される可能性があることは、少なくとも明確となります。 しかし、この文案によっても、行動履歴等を分析・集計した個人データに「内定辞退率」とのラベルが貼られて利用企業等に提供されることまでは想起できないため、プライバシーポリシーの明確性については問題とならなかったとしても、「内定辞退率」とのラベルが貼られて個人データが利用企業等に提供されるビジネスモデルになお批判が集まった可能性は否定できません。 「内定辞退率」を選考に利用しない条件で有償提供するという契約に無理があった リクルートキャリアは8月1日のリリースにおいて「学生の応募意思を尊重し、合否の判定には当該データを活用しないことを企業に参画同意書として確約いただいています」としています。 しかしクライアント企業が当該データを合否の判定に用いていないかは確認が難しいことから、合否判定に利用された懸念があるとする声もあります。 当該データの用途の取り決め方法については適切だったのでしょうか。 たしかにリクナビ2020のプライバシーポリシー上、企業に提供した内定辞退率(ユーザー行動履歴等の分析・集計結果)については「選考に利用されることはありません」と記載されています。 またリクルートキャリアの8月1日付プレスリリースによれば「提供された情報を合否の判定に活用しないことにご同意いただいた企業にのみ、本サービスをご提供してきました」「ご利用いただいている企業には当社から定期的に利用状況の確認をさせていただいております」とも記載されています。 しかし、たとえこれらの運用が十分に行われていたとしても、「リクナビDMPフォロー」を導入する各企業側とすれば、内定辞退率データを選考に利用したい動機があることは否めず、各企業が実際に選考に利用していなかったかどうかも不明です。 契約の取り決め方法としては、リクルートキャリアからの利用状況の確認にとどまらず、リクルートキャリアから各企業に対する立入調査条項を含めることも考えられますが、自社の顧客である各企業に対する調査権限を認めるような条項を定めることは非現実的といえます。 企業が選考に利用したいと考える価値があるデータを、選考に利用しない条件で有償で提供するという契約内容自体にそもそも無理があったといえるかもしれません。 サービスを利用するために、ユーザー本人が望まない個人情報の利用に同意せざるを得ないケースもあるのではないかと懸念されます。 「本人の同意」に加え、データ利活用時代における、個人情報を提供する側、利用する企業側双方が納得できる仕組みについてはどのように考えますか。 ユーザーが個人情報の提供を望まないのに、他のサービスに乗り換えられないために個人情報を提供せざるを得ないケースが問題視されています。 現在、GAFAをはじめとした大手IT企業による個人情報の収集方法について、公正取引委員会が、独占禁止法違反である「優越的地位の濫用」にあたるケースを示す運営指針(ガイドライン)案を策定中であると報道されています。 ユーザーに利用目的を知らせなかったり、サービス提供に必要な範囲を超えて個人情報を取得したりするようなケースについて、今後規制が進むことが予想されます。 またEUの「一般データ保護規則(GDPR)」では個人データの利用停止はいつでも行える(EU 一般データ保護規則 第7条)のに対し、日本の個人情報保護法では、個人データの利用停止は個人情報保護法違反があった場合にのみ可能とされている(個人情報保護法30条)点は問題ではないかとの声があり、2019年4月に個人情報保護委員会が公表した「 (個人情報保護委員会、平成31年4月25日)」では、個人データの利用停止制度の導入について検討がされています。 「リクナビDMPフォロー」を利用したクライアント企業が問われ得る法的責任 「リクナビDMPフォロー」は38社で「試験的な運用」がなされていたと公表されています。 今回の件について、利用していたクライアント企業に責任等は生じますか。 報道によれば各企業は、「リクナビDMPフォロー」の利用にあたって、選考結果や学歴などの応募学生の個人データをリクルートキャリアに提供していたとのことでした。 個人データを第三者に提供する場合、原則として本人の同意が必要となることは先に述べた通りですが(個人情報保護法23条1項)、各企業が、個人データの取扱いを利用目的の達成に必要な範囲でリクルートキャリアに委託していたといえる場合、個人情報保護法上は本人の同意を得る必要はないとされています(個人情報保護法23条5項1号)。 本件では、各企業がリクルートキャリアに提供した応募学生の個人データについて、たとえばリクルートキャリアが委託に基づかず自ら取得した行動履歴等の個人データを突合して内定辞退率を算出し、各企業に提供する内容の業務委託契約であったような場合は、各企業による応募学生の個人データの提供は個人情報保護法23条5項1号が定める委託の範囲を超えるものとして、各企業は個人情報保護法違反の責任を問われる可能性が生じます。 この場合、個人情報保護委員会は各企業に対して、必要に応じて報告を求めたり立入検査を行うことができるほか、実態に応じて指導・助言、勧告・命令を行うことができ(個人情報保護法40条、41条、42条)、命令に違反した者は6ヶ月以下の懲役又は30万円以下の罰金に処する旨も定められています(個人情報保護法84条)。 本件では、職業安定法への抵触の可能性もあるとされていますが、この点についてはいかがでしょうか。 本サービスのような、人事労務分野においてAIやデータを活用する手法はHRテックと呼ばれ、近年注目が集まっています。 ただしHRテックの分野では、職業安定法に抵触しないかどうかの検討が不可欠となります。 職業安定法では、採用活動を行う企業には求職者の個人情報の取扱いについての義務が課せられる旨が定められているところ(職業安定法5条の4)、厚生労働省の指針 によれば「職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならない」とされています。 本件では、38社の企業が、個人が特定できる状態の内定辞退率という個人情報の提供を受けていたとされています。 仮に38社の企業が、リクルートキャリアから個人情報の提供を受けることについて応募学生から同意を得ていなかったとすれば、上記指針に抵触する可能性が生じます。 個人情報を扱ううえで、適法かどうかの判断は今まで以上に重要となりますね。 今回の件で、「リクナビDMPフォロー」と同様のHRテックビジネスに対する世間の目は厳しくなることが予想されます。 個人情報保護法、職業安定法等の法令を遵守することはもちろん、たとえ適法であっても、採用時における求職者情報というデリケートなデータを取り扱う以上、そのビジネスモデル自体が批判を受けることも想定されますので、これまで以上に慎重な検討が求められるものと考えます。 特に個人データの第三者提供を行う場合は、不明確なプライバシーポリシーを提示して形式的な同意を得ておくだけでは不十分であり、ユーザーの個人データが第三者提供される旨が明確にわかるようまず利用目的の欄に記載したうえで、提供を予定する個人データの項目もできる限り具体的に記載することが求められるでしょう。 さらに個人データの第三者提供に同意することで、ユーザーにとってどのようなメリットが生じるのか(たとえば当該サービスの無償提供や、より充実したサービスが提供可能となること等)まで触れられていれば望ましいものといえます。 明確でわかりやすい内容のプライバシーポリシーを提示し、ユーザーも納得したうえで真に同意していると評価できる個人情報の取扱いを行うことが、結果的にユーザーや世間からも評価されるサービスの実現につながるのではないかと考えます。

次の

リクナビ問題、AI時代の恐ろしさを象徴…個人データを勝手にスコアリングされ不利益

リクナビ 問題

「リクナビ HP」より リクルートキャリアが運営する就職情報サイトの「 リクナビ」がビジネスとして行った「 内定辞退予測」の問題がクローズアップされています。 就職を希望する学生に企業が内定を出す際、内定を辞退する可能性を予測してくれるサービスが、使い方によっては学生に不利益を与え、かつ、学生の個人情報を無断で使用したという個人情報保護法の観点から問題となっています。 ニュースや新聞、ネットメディアなどでたびたび取り上げられるため、国民の関心も高いと思います。 実は、この問題、就職を希望する学生だけの問題ではなく、国民全体にも近い将来起こりうる深刻な問題なのです。 なぜなら、この問題の本質は、ビジネスにおけるマーケティングの問題だからです。 マーケティング分析のなかで、顧客をなんらかの基準で分類(S:セグメンテーション)し、標的化(T:ターゲティング)して、位置づけ(P:ポジショニング)することは基本中の基本で、有名な経営学者フィリップ・コトラーがSTP理論でも提唱しています。 このSTPを考える上で、さらにイメージを膨らませるために行う分析として、「ペルソナ」という手法があります。 これは、ターゲットとする顧客のイメージを、単なる性別、年齢、所得といった属性による分類で行うだけではなく、その人の行動特性をもイメージしていく手法です。 ところが、これだけだと顧客のイメージがつけにくいため、 「35歳のサラリーマンのAさんは毎朝、〇〇駅で下車後、近くのコンビニX店を利用する。 ジョギングが趣味であり、マラソン大会にも数多く参加し、最近はタイムを気にし始めている。 そのため、日々のカロリー摂取にも気を使うようになり、昼食はおにぎり1個と野菜サラダと決めている」 というように、ペルソナ手法では、ターゲットをよりイメージしやすいようにするのです。 そして、これを用いて消費者の行動を予測し、商品開発に活かしていくのです。 このペルソナ手法を進化させ、ウェブサイトの閲覧履歴や購買履歴等の行動データ(ビッグデータ)をAI(人工知能)やコンピュータが分析し、その人の行動などを自動で予測することを「プロファイリング」といいます。

次の