ブログ/ BLOG

  1. ホーム
  2. ブログ
  3. 人工知能(AI)、ビッグデータ法務
  4. リクナビ「内定辞退率」データ提供の法的論点まとめと、プロファイリングの法的問題について|知的財産・I…

人工知能(AI)、ビッグデータ法務 IT企業法務

リクナビ「内定辞退率」データ提供の法的論点まとめと、プロファイリングの法的問題について

アバター画像 杉浦健二

リクルートキャリア社が「リクナビDMPフォロー」サービスにおいて、いわゆる「内定辞退率」データを採用企業に提供していた件が連日のように報道されています。

本件については既に外部サイトにおいて下記記事を寄稿しておりますが、

リクナビによる「内定辞退率」データ提供の問題点はどこにあったか 法的観点から弁護士が解説(BUSINESS LAWYERS)

今回は「リクナビDMPフォロー」をめぐる法的論点を網羅的に確認するとともに、上記の記事では触れられなかったプロファイリングの法的問題について取り上げてみます。

リクナビ問題をめぐる法的論点を、網羅的に確認する

本稿作成時点(2019年8月26日)で報道された事実関係をもとに、リクナビDMPフォローをめぐる法的論点をひととおり挙げたうえで簡潔にコメントします。
やや細かいので、興味がない方は読み飛ばしてください。

リクルートキャリア社(R社)側

【リクナビ2020ユーザーである学生の内定辞退率データ(個人データ)を採用企業に提供した行為について】

▼個人情報保護法関連

・利用目的はできる限り特定されていたといえるか(個情法15条1項)
リクナビ2020プライバシーポリシーにおける「採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)」との記載で、ユーザーである学生は、自分の内定辞退率データが、自分が採用活動をしている企業に対して提供されることを想定できたといえるか?

→ガイドライン(以下GL)通則編では「利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない」と記載されている(GL通則編P26)。

・利用目的は本人に通知又は公表されていたか(個情法18条1項)
→学生のうち7983名については、「リクナビDMPフォロー」に関する表記漏れがあるプライバシーポリシーが表示されていた(R社8月5日付プレスリリース)。

・「偽りその他不正の手段」による個人情報の取得にあたらないか(個情法17条1項)
→GL通則編は「意図的に虚偽の情報を示して、本人から個人情報を取得する場合」を不正の手段による個人情報を取得している事例として挙げる(GL通則編P32事例3)。

・目的外利用にあたらないか(個情法16条1項)
→内定辞退率データの提供は、利用目的の達成に必要な範囲内の取扱いといえるか?

・適法な個人データの第三者提供といえるか(個情法23条)
→学生のうち7983名については同意取得がなされていなかった(R社8月5日付プレスリリース)。ではその他の学生からは同意を取得していたといえるか?プライバシーポリシーは明確であったといえるか、同意取得フローに問題はなかったか。冒頭のBUSINESS LAWYERS記事参照

(2019年8月26日追記)
同日付で、個人情報保護委員会よりR社に対し、個情法42条1項に基づく勧告及び第41条に基づく指導がなされました(「個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について」)。同勧告では、安全管理措置義務を講じる義務の違反(個情法20条)についても指摘されています。

▼職業安定法関連

・募集情報等提供事業者が負う、個人情報の適正管理義務違反はないか(職安法42条の2、厚労省職業安定局「募集情報等提供事業の業務運営要領」、厚労省指針第六の二(二)

採用企業側

▼個人情報保護法関連

【1 応募学生の個人データをR社に提供した行為について】

・利用目的の特定はされていたか(個情法15条1項)
・利用目的は本人に通知又は公表されていたか(個情法18条1項)
・不正な手段による取得にあたらないか(個情法17条1項)
・目的外利用にあたらないか(個情法16条1項)
→採用企業は応募学生に対して、各学生の個人データが第三者(本件ではR社)に提供されることを、利用目的において特定していたか。(「個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない」(GL通則編P26))

・適法な委託に基づく第三者提供といえるか(個情法23条5項1号)
→「利用目的の達成に必要な範囲内」の委託といえるか。
複数の委託元から提供を受けた各個人データを委託先において突合処理することは原則として委託の範囲外(「『個人情報の保護に関する法律についてのガイドライン(通則編)』の改正案に関する意見募集の結果について」No6参照)となることからすれば、R社が委託によらずに自ら取得していたリクナビ2020ユーザーの行動履歴等と、採用企業が委託に基づきR社に提供した個人データを突合処理することは委託の範囲外となる可能性有。
一方で、採用企業がR社に対して個人データの「取得の委託」まで行っており、この委託に基づきR社がリクナビ2020ユーザーから個人データを取得していたといえる場合は、適法な委託となる余地は残る。

・委託先であるR社に対する監督義務(個情法22条)

【2 事件報道後、R社から提供を受けた内定辞退率データを削除した行為について】

→第三者提供を受ける場合の記録保存義務に違反していないか(個情法26条4項)

▼職業安定法関連

【3 R社から内定辞退率データの提供を受けた行為について】

・本人の同意の下で本人以外の者から収集する等適法かつ公正な手段により個人情報を収集したといえるか(職安法5条の4、厚労省指針第四の一(二)
→学生から、R社から当該学生の個人データ(内定辞退率)の提供を受けることについて同意を取得していたといえるか?

その他の法的論点

・今後、独占禁止法上の「優越的地位の濫用」にあたる可能性(公正取引委員会指針案)
→消費者が他のサービスに乗り換えるのが難しい場合や、サービスを利用継続するために消費者が不当な扱いを受け入れざるを得ない場合などにおいて、個人データを本人の同意なく利用等すると、独占禁止法の「優越的地位の濫用」にあたる可能性が生じる旨の指針案が、公正取引委員会において検討されている(2019年7月16日付日経電子版

(2019年8月30日追記)
2019年8月29日、公取委は「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」を公表しました(公取委サイト)。
これに伴い、同日、個人情報保護委員会も、公取委の同「考え方(案)」に対する考え方を公表しています(個人情報保護委サイト)。

・EU一般データ保護規則(GDPR)に抵触する可能性はなかったか
→EU域内に拠点のない管理者又は処理者による個人データの取扱いであっても、①EU域内にいるデータ主体に対する商品サービスの提供や②EU域内で起こるデータ主体の行動の監視にあたる場合はGDPRが適用される(GDPR3条2項)。
※その他の海外諸法の検討は割愛

・プロファイリング問題
以下ではこちらのトピックを取り上げます。

プロファイリングとは何か

「リクナビDMPフォロー」では、学生ユーザーのリクナビ2020等のウェブサイトにおける閲覧履歴をもとに「内定辞退率」データが生成されていた点も問題となりました。

ウェブサイトの閲覧履歴や購買履歴等のパーソナルデータをコンピュータが分析し、その人の趣味嗜好や能力、健康状態や行動などを自動で予測することをプロファイリングといいます(※1)。プロファイリングは、本件のような採用活動だけでなく、個人向け融資の審査、マーケティング、さらに米国の一部の州では裁判官の量刑評価にも用いられています(※2)

※1: GDPRでは、プロファイリングは「自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱い」と定義されている(GDPR4条4項)
※2:「COMPAS」と呼ばれるNorthpointe 社の構築した再犯リスク評価システム

プロファイリングの問題点とは(内定辞退率の場合)

プロファイリングは、AIなどのコンピュータが、個人の閲覧履歴等のパーソナルデータをもとに評価・判断するため、「AIがなぜそのように評価・判断したのか」という判断基準や判断過程が不透明である問題点があります。

特に深層学習(ディープラーニング)では、データをどのような基準で評価するかの重み付けをAI自身が行うため、「なぜこの結論に至ったのか」という判断基準や判断過程が人間には分からない部分があります。

たとえば内定辞退率の場合、AIが、当該学生のいかなるデータ(例えばどのサイトをどの程度閲覧していたかなど)を重視した結果、内定辞退率の高低を算出するに至ったのか、人間には分からない場合も考えられます。学生からすれば、根拠も不明確なまま「あなたの内定辞退率は〇%」とラベルを貼られれば、不安や不満を感じるのは当然ではないでしょうか(さらに本件では、内定辞退率とのラベルが貼られて採用企業に提供されていた事実すら伝えられていなかった)。

「内定辞退率データは採用活動には用いられていない」とのことですが、学生がその企業に入社した後も、勤務先企業が自分の内定辞退率データを保持し続けているとすれば、どのように感じるでしょうか。企業が内定辞退率データをどのように利用するか(採用時のみならず、入社後の退職可能性の推認や昇給昇格の判断の参考にされる可能性を物理的に否定することは難しい)を学生側はコントロールできない以上、やはり本件は個人データ取得時に先だって、事前に学生に対して十分な説明がされたうえで、適切な同意を得て行われるべきビジネスモデルであったと感じます。

個人情報保護法ではプロファイリングは明確に禁止されていないが・・

このようなプロファイリングの問題点に鑑みて、GDPRでは、プロファイリングに対して異議を唱える権利や(GDPR21条)、自動処理のみに基づいて重要な決定をされない権利(GDPR22条)が定められています。

一方で、日本の個人情報保護法には、プロファイリングの定義規定や、これを明確に禁止する規定はありません(※3)。ただ法で明確に禁止されていないからといってプロファイリングを無限定に行えば、今回の「内定辞退率」問題のような事態を引き起こすリスクは、今後ますます増大していくものと考えられます。

※3: 本稿作成日時点。今後の改正で盛り込まれる可能性はある。なおプロファイリングによる要配慮個人情報の予測は、要配慮個人情報の取得(個情法17条2項)に該当するとの見解もある(山本龍彦「プライバシーの権利を考える」(信山社)266頁)

プロファイリングを行う際に望ましいと考える設計運用案

ではプロファイリングを行う事業者としては、今後どのような点に留意すればよいでしょうか。
以下は、今後プロファイリングを行う際に望ましいと考える設計や運用の提案です。

・プライバシーポリシーの利用目的において、AIを用いたプロファイリングが行われることを記載しておく(個情法15条1項)。特定の程度としては、ガイドライン通則編(GL通則編P26)より一歩踏み込んで、プロファイリングを行うことに加え、プロファイリング結果にどのようなラベル(本件であれば「内定辞退率」)をつけて利用する予定かについても、可能な限り記載しておく。要は、後でユーザーや世間にビジネスモデルの全容が知られた場合でも炎上しない運用こそ、最大のリスクヘッジであると考える。

・特定個人が識別されるかたちのプロファイリング結果は、その全体が個人情報となることを十分に理解しておく。

・出力されるプロファイリング結果に要配慮個人情報(個情法2条3項。本人の人種、信条、社会的身分、病歴、犯罪の経歴等)が含まれる場合は、プロファイリングによる要配慮個人情報の予測が要配慮個人情報の取得にあたるとの見解(上記※3)があることにも鑑みて、本人の同意を得ておくことが無難な運用と考える。

・AIプロファイリングの結果のみに基づいて意思決定をしない。AIプロファイリング結果は、あくまで人間による判断をサポートするものとして用いる(ケンタウルスモデル)。このような取り扱いは、GDPRにおいて自動処理のみに基づいて重要な決定をされない権利(GDPR22条)を明記していることにも沿う。

・AIプロファイリングを拒否するユーザーに対して、サービスを使えないとするのではなく、サービスを利用継続できるような仕組み(AIプロファイリングを回避してもサービスを利用できる仕組み)を設計しておく(GDPR21条、22条参照)。

・プロファイリングを実施することがユーザーの利益につながることを、あらかじめユーザーに理解してもらう(例えばユーザーが求める新たな商品やサービス、取引相手などユーザーによりマッチする選択肢を提案できる、無償や低廉な価格でのサービス提供が可能になるなど)。そのうえで納得を得たうえでサービスを利用してもらう。

個人情報を尊重するサービス設計こそ、自社の強みとなる

上記の設計運用案は、現在の個人情報保護法やガイドラインで求められている基準を、さらに一歩進めたものです。しかし昨今の個人情報に関する世間の感覚や、GDPR等の海外法、そして今後予定される個人情報保護法改正等を見据えれば、このような個人情報を尊重する設計や運用を法やガイドラインに先んじて行うことは、自社のサービス自体が評価される契機になるものと考えます。

「法律に明確に違反してないからOK」ではなく、「ビジネスモデルが明るみになった場合にもユーザーの支持を得られるか」「ユーザーとクライアントに胸を張ってサービスの意義や正当性を説明できるか」という視点は、今後はより求められていくものと考えますし、このような「正直さ」「誠実さ」を自社の強みとできる企業こそが、今後はより求められていくものと考えます。

弁護士杉浦健二

・最新情報はツイッターやFBページでお届けしております。

参考文献
労務行政研究所「HRテクノロジーで人事が変わる」(労務行政)
山本龍彦「AIと憲法」(日本経済新聞出版社)
野呂悠登「AIによる個人情報の取扱いの留意点」(ビジネスロージャーナル2018年6月号)
松尾剛行「AI・HRテック対応人事労務情報管理の法律実務」(弘文堂)