無縫地帯

リクナビ「内定辞退率」問題、りそなHD、京セラなど利用企業にも行政指導などの方針(追記あり)

個人情報保護委員会は、12月4日、リクルートキャリア社が提供したサービス「リクナビDMPフォロー」で提供した学生の内定辞退率データの利用企業にも指導や勧告を行うと発表しました。

かねて問題となっていたリクルートグループのリクルートキャリア社が販売していたサービス「リクナビDMPフォロー」で生成された学生の「内定辞退率」データについて、続報がありました。すでに指導、勧告が行われているリクルートキャリア社だけでなく、これらのデータを購入し、採用希望の学生の採否判定への利用をしていたかもしれない企業に対しても行政指導や勧告が行われる運びとなり、今日12月4日17時30分より個人情報保護委員会が記者レクを行うとのことです。

リクナビ内定辞退予測、利用企業にも行政指導(日本経済新聞 19/12/4)

個人情報保護委は、個人情報保護法に違反する恐れがある場合に「指導」を、違反が明らかな場合に是正を求める「勧告」を出す。8月にはリクルートキャリアに勧告と指導の両方を出した。
リクナビ内定辞退予測、利用企業にも行政指導
なぜ利用企業にまで行政指導や勧告が出るのかという点について掻い摘んで申し上げるならば、一連の大学生・大学院生など学生の新卒採用の仕組みとしては、リクルートキャリア社と利用企業の契約形態がどうであったのかが大事になります。

リクルートキャリア社に利用企業が採用希望の学生の採用情報の取り扱いを「委託」していたのだとしたら、リクルートキャリア社はそもそもデータの処理のみ(プロセッサ)が委託され、データの取り扱いは利用企業がオペレータとして実施する形になります。ここでリクルートキャリア社が「内定辞退率を使いませんか」と持ち掛けて「それいいですね」と利用企業が乗っかってしまえば利用企業がその内定辞退率データの実施に責任を持たなければなりません。

プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)後編 #イベントレポート #完全版 (1/4):混ぜるな危険(@IT 19/12/3)

本件については、9月9日に行われた当情報法制研究所主催の「第2回JILIS情報法セミナー in 東京」にて『プライバシーフリークカフェ』の議論でも事前に状況は詳細に説明させていただいております。

リクナビ「内定辞退率」予測データ、トヨタなど20社超が購入 (1/2)(ITmedia NEWS 19/8/26)

そして、実際のところリクナビの一連の「内定辞退率」算出のスキームは分かっていたとしても、どのデータがどのくらい利活用されていたのか、詳細までは公表されていません。問題についてはリクルートキャリア社のホームページで謝罪と説明が掲載されているのですが、企業からの採用業務を受託し、採用希望の学生のデータの取り扱いを行っている(プロセッサである)リクルートキャリア社の問題にとどまらず、そこで発生した適法とは言えない行為を行った発注側(コントローラである)の利用企業側の責任も問うというのは避けられない帰結であろうと思います。

『リクナビDMPフォロー』に関するお詫びとご説明

本件においては、目下ちょうど個人情報保護法の3年ごと見直しに伴う「改正大綱の骨子」が発表され、我が国における個人情報の取り扱いに関するおおよその道筋が見えつつある中で、きちんと問題を棚卸しし、同様の事態の再発を防ぐという点で非常に重要なことではないかと思います。一方で、今回はリクルートキャリア社が槍玉に挙げられる形になりましたが、同業他社も含めた人材業界では適法とは言えない個人に関する情報の不適切な利活用や突合によるスコアリングやHR Techが横行している状態でもあるため、単にリクルートグループ一社を叩いて終わるべきものでもないのではないかと強く思います。

(追記 18:16)

記者会見の結果、処分について、指導と勧告がそれぞれ行われた利用企業について実名が発表されました。

[[image:image01|center|]]

:
リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。
これはつまり、提供元では個人特定できないデータ群ながら、提供先で突合が行われれば個人特定が可能であるということを「知りながら」個人データの第三者提供を行ったということで、今回の個人情報保護法の改正大綱の骨子の内容をしっかりとフォローアップしているものであると評価されると思います。

2.提供先において個人データとなる場合の規律の明確化
個人に関する情報の活用手法が多様化する中にあって、個人情報の保護と適正かつ効果的な活用のバランスを維持する観点から、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)
つまり、リクルートキャリア社がDMPフォローにおいて個人特定が不能なデータとして利用企業に提供しても、利用企業の側が補完させられる(Cookieなどの)データと紐づけて突き合わせを行えば、容易に個人が特定できます。これをリクルートキャリア社が「知りながら」利用企業に提示したこと自体もアウト判定になっているあたり、個人情報保護委員会は本件では充分な仕事をした、と言えると思います。

ただ、記者レクの内容を精査しても、相変わらずリクルートキャリア社が何の情報をどう確保して内定辞退率を弾き出したのかという具体的なところは開示されていません。もしも、利用企業だけでなく、エントリーしている多くの学生のデータをすべて教師データとして喰わせて機械学習させていたとするならば、これはこれで更なる問題になるかもしれず、もう少しきちんとウォッチしていきたいと思います。

また、本件については等しく厚生労働省からも何らかの指導・勧告が出て何らおかしくない事案でありまして、改めて、注視してまいります。