リクナビによる「内定辞退率」データ提供の問題点はどこにあったか 法的観点から弁護士が解説

8月1日、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア（以下、リクルートキャリア）は、同社が提供していた「リクナビDMPフォロー」サービスにおいて、いわゆる「内定辞退率」データをクライアントである採用企業に提供していたことを公表。その際、ユーザーである学生の個人データの扱いや同意の取得方法等が適切だったかが問われています。

8月5日には7,983名の学生からプライバシーポリシー同意取得の不備と、「リクナビDMPフォロー」の廃止についてリクルートキャリアから報告されました。

ユーザーから同意を取得する方法や個人データの扱い、また行動履歴等を分析した結果の活用方法に関して議論がなされる本事案について、STORIA法律事務所 東京オフィスの杉浦 健二弁護士に見解を伺いました。

同意取得の方法以前に、同意の対象となるプライバシーポリシーの内容の明確性が問われた事案

本事案について、ユーザーである学生からの同意取得の方法をはじめとした個人情報取り扱いの観点からは、どういった点に問題があったと考えられますか。

報道によればリクルートキャリアは「リクナビDMPフォロー」を通して、就活生の内定辞退率を個人が特定できるかたちで、同サービスを利用する企業38社に提供していたとのことでした¹。リクナビ2020のプライバシーポリシーには、以下のような記載がなされています。

この「行動履歴等（当該ログイン以前からの行動履歴等を含みます）を分析・集計」した結果こそが、今回問題となっている内定辞退率にあたると考えられます。同プライバシーポリシーの記載では、「行動履歴等は、あらかじめユーザー本人の同意を得ることなく個人を特定できる状態で第三者に提供されることはございません」とあるものの、冒頭の傍線で示した「個人を特定したうえで、」の文言がどの文節にかかるのかがはっきりしないために、個人が特定されるかたちで内定辞退率を企業に提供するという意味なのか、個人が特定されないかたちで企業に提供するという意味なのかが不明確といえます。

個人情報保護法上、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないものとされています（個人情報保護法23条1項）。リクルートキャリアの8月1日付プレスリリースによれば、「ご同意いただいたプライバシーポリシーに基づき、リクナビサイト上での行動履歴の解析結果を取引企業に対して提供しておりました」との記載があるため、リクルートキャリア自身はユーザー個人が特定されるかたちで内定辞退率を提供することについて、同プライバシーポリシーによって同意を取得できていると判断していたようです。その後、リクルートキャリアは8月5日付プレスリリースで、学生7983名については同プライバシーポリシーによる形式的な同意すら得られていなかったことを発表しました。

しかし本件で問題なのは、プライバシーポリシーの内容が不明確であることで、これら7983名以外の学生についても適切な同意が得られていなかった可能性が残っているという点であると考えます。

ユーザーである学生から、個人情報の取扱いについて適切な同意を得る方法はどうあるべきだったと考えられますか。

個人データを第三者に提供するにあたってあらかじめ本人の同意を得たといえるためには、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならないものとされています（個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」2-12「本人の同意」、平成28年11月（平成31年1月一部改正））。

たとえばプライバシーポリシーを公表している場合は、当該プライバシーポリシーの内容に同意する旨のボタンをクリックしてもらう方法が考えられますが、同意の前提として、プライバシーポリシーで示された取扱い方法で自分の個人情報が取り扱われる旨を理解していることが必要となります。

リクナビ2020のプライバシーポリシーの記載内容は上記のとおり明確であったとはいえず、同意ボタンをクリックする方法等をとっていたとしても、ユーザー個人が特定されるかたちで各企業に対して内定辞退率が提供されることについて本人の同意を得たといえるかどうかは疑問の残るところです。本件では同意取得の方法以前に、同意の対象となるプライバシーポリシーの内容の明確性が問われた事案であったといえます。

今回のプライバシーポリシーの問題となった部分について、より明確な内容にしようとすれば、たとえば以下のような文案が考えられます。

この文案であれば、「行動履歴等を分析・集計したデータ」について、ユーザー個人を特定できる状態で利用企業等に提供される可能性があることは、少なくとも明確となります。

しかし、この文案によっても、行動履歴等を分析・集計した個人データに「内定辞退率」とのラベルが貼られて利用企業等に提供されることまでは想起できないため、プライバシーポリシーの明確性については問題とならなかったとしても、「内定辞退率」とのラベルが貼られて個人データが利用企業等に提供されるビジネスモデルになお批判が集まった可能性は否定できません。

「内定辞退率」を選考に利用しない条件で有償提供するという契約に無理があった

リクルートキャリアは8月1日のリリースにおいて「学生の応募意思を尊重し、合否の判定には当該データを活用しないことを企業に参画同意書として確約いただいています」としています。しかしクライアント企業が当該データを合否の判定に用いていないかは確認が難しいことから、合否判定に利用された懸念があるとする声もあります。当該データの用途の取り決め方法については適切だったのでしょうか。

たしかにリクナビ2020のプライバシーポリシー上、企業に提供した内定辞退率（ユーザー行動履歴等の分析・集計結果）については「選考に利用されることはありません」と記載されています。またリクルートキャリアの8月1日付プレスリリースによれば「提供された情報を合否の判定に活用しないことにご同意いただいた企業にのみ、本サービスをご提供してきました」「ご利用いただいている企業には当社から定期的に利用状況の確認をさせていただいております」とも記載されています。

しかし、たとえこれらの運用が十分に行われていたとしても、「リクナビDMPフォロー」を導入する各企業側とすれば、内定辞退率データを選考に利用したい動機があることは否めず、各企業が実際に選考に利用していなかったかどうかも不明です。

契約の取り決め方法としては、リクルートキャリアからの利用状況の確認にとどまらず、リクルートキャリアから各企業に対する立入調査条項を含めることも考えられますが、自社の顧客である各企業に対する調査権限を認めるような条項を定めることは非現実的といえます。企業が選考に利用したいと考える価値があるデータを、選考に利用しない条件で有償で提供するという契約内容自体にそもそも無理があったといえるかもしれません。

サービスを利用するために、ユーザー本人が望まない個人情報の利用に同意せざるを得ないケースもあるのではないかと懸念されます。「本人の同意」に加え、データ利活用時代における、個人情報を提供する側、利用する企業側双方が納得できる仕組みについてはどのように考えますか。

ユーザーが個人情報の提供を望まないのに、他のサービスに乗り換えられないために個人情報を提供せざるを得ないケースが問題視されています。現在、GAFAをはじめとした大手IT企業による個人情報の収集方法について、公正取引委員会が、独占禁止法違反である「優越的地位の濫用」にあたるケースを示す運営指針（ガイドライン）案を策定中であると報道されています²。ユーザーに利用目的を知らせなかったり、サービス提供に必要な範囲を超えて個人情報を取得したりするようなケースについて、今後規制が進むことが予想されます。

またEUの「一般データ保護規則（GDPR）」では個人データの利用停止はいつでも行える（EU 一般データ保護規則 第7条）のに対し、日本の個人情報保護法では、個人データの利用停止は個人情報保護法違反があった場合にのみ可能とされている（個人情報保護法30条）点は問題ではないかとの声があり、2019年4月に個人情報保護委員会が公表した「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理（個人情報保護委員会、平成31年4月25日）」では、個人データの利用停止制度の導入について検討がされています。

「リクナビDMPフォロー」を利用したクライアント企業が問われ得る法的責任

「リクナビDMPフォロー」は38社で「試験的な運用」がなされていたと公表されています。今回の件について、利用していたクライアント企業に責任等は生じますか。

報道によれば各企業は、「リクナビDMPフォロー」の利用にあたって、選考結果や学歴などの応募学生の個人データをリクルートキャリアに提供していたとのことでした³。個人データを第三者に提供する場合、原則として本人の同意が必要となることは先に述べた通りですが（個人情報保護法23条1項）、各企業が、個人データの取扱いを利用目的の達成に必要な範囲でリクルートキャリアに委託していたといえる場合、個人情報保護法上は本人の同意を得る必要はないとされています（個人情報保護法23条5項1号）。

本件では、各企業がリクルートキャリアに提供した応募学生の個人データについて、たとえばリクルートキャリアが委託に基づかず自ら取得した行動履歴等の個人データを突合して内定辞退率を算出し、各企業に提供する内容の業務委託契約であったような場合は、各企業による応募学生の個人データの提供は個人情報保護法23条5項1号が定める委託の範囲を超えるものとして、各企業は個人情報保護法違反の責任を問われる可能性が生じます。この場合、個人情報保護委員会は各企業に対して、必要に応じて報告を求めたり立入検査を行うことができるほか、実態に応じて指導・助言、勧告・命令を行うことができ（個人情報保護法40条、41条、42条）、命令に違反した者は6ヶ月以下の懲役又は30万円以下の罰金に処する旨も定められています（個人情報保護法84条）。

本件では、職業安定法への抵触の可能性もあるとされていますが、この点についてはいかがでしょうか。

本サービスのような、人事労務分野においてAIやデータを活用する手法はHRテックと呼ばれ、近年注目が集まっています。ただしHRテックの分野では、職業安定法に抵触しないかどうかの検討が不可欠となります。職業安定法では、採用活動を行う企業には求職者の個人情報の取扱いについての義務が課せられる旨が定められているところ（職業安定法5条の4）、厚生労働省の指針⁴によれば「職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならない」とされています。

本件では、38社の企業が、個人が特定できる状態の内定辞退率という個人情報の提供を受けていたとされています。仮に38社の企業が、リクルートキャリアから個人情報の提供を受けることについて応募学生から同意を得ていなかったとすれば、上記指針に抵触する可能性が生じます。

個人情報を扱ううえで、適法かどうかの判断は今まで以上に重要となりますね。

今回の件で、「リクナビDMPフォロー」と同様のHRテックビジネスに対する世間の目は厳しくなることが予想されます。個人情報保護法、職業安定法等の法令を遵守することはもちろん、たとえ適法であっても、採用時における求職者情報というデリケートなデータを取り扱う以上、そのビジネスモデル自体が批判を受けることも想定されますので、これまで以上に慎重な検討が求められるものと考えます。

特に個人データの第三者提供を行う場合は、不明確なプライバシーポリシーを提示して形式的な同意を得ておくだけでは不十分であり、ユーザーの個人データが第三者提供される旨が明確にわかるようまず利用目的の欄に記載したうえで、提供を予定する個人データの項目もできる限り具体的に記載することが求められるでしょう。さらに個人データの第三者提供に同意することで、ユーザーにとってどのようなメリットが生じるのか（たとえば当該サービスの無償提供や、より充実したサービスが提供可能となること等）まで触れられていれば望ましいものといえます。

明確でわかりやすい内容のプライバシーポリシーを提示し、ユーザーも納得したうえで真に同意していると評価できる個人情報の取扱いを行うことが、結果的にユーザーや世間からも評価されるサービスの実現につながるのではないかと考えます。