内定辞退率の提供サービスをめぐる「リクナビ問題」の概要と、令和2年改正個人情報保護法への影響

IT・情報セキュリティ

 いわゆる「内定辞退率」の提供サービスをめぐる「リクナビ問題」ではどのようなことが問題となりましたか。また令和2年改正個人情報保護法にはどのような影響がありましたか。

 令和元年12月4日に、個人情報保護委員会は、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(以下「リクルートキャリア社」という)およびその親会社である株式会社リクルート(以下「リクルート社」という)に対し、いわゆる内定辞退率を提供するサービスに関して、個人情報保護法に基づく勧告を行いました。また、同サービスの利用企業に対し、個人情報保護法に基づく指導を行いました(以下「12月4日勧告等」という)(※1、※2)
 なお、個人情報保護委員会は、リクルートキャリア社に対して、令和元年8月26日付で勧告等を行っていました(※3)が、当該勧告等の原因となった事項以外にも個人情報保護法に抵触する事実が確認されたため、改めて令和元年12月4日に上記の勧告を行いました。

(※1)個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」(令和元年12月4日)
(※2)「①利用目的の通知、公表等を適切に行うこと」「②個人データを第三者に提供する場合、組織的な法的検討を行い、必要な対応を行うこと」「③個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行うこと」という個人情報保護法41条に基づく指導が全35社に対して行われた(うち、11社については①のみの指導)。
(※3)個人情報保護委員会「個人情報の保護に関する法律第42条第1項の規定に基づく勧告等について」(令和元年8月26日)

解説

目次

  1. リクナビ事件における個人情報保護法上の論点
    1. 12月4日勧告等において認定された「勧告の原因となる事実」
    2. 勧告① アンケートスキーム(2019年2月以前の仕組み)
    3. 勧告② アンケートスキーム化におけるイレギュラーケース
    4. 勧告③ プライバシーポリシースキーム(2019年3月以降)
  2. リクナビ問題による令和2年改正個人情報保護法への影響

リクナビ事件における個人情報保護法上の論点

12月4日勧告等において認定された「勧告の原因となる事実」

 12月4日勧告等において個人情報保護委員会が認定した「勧告の原因となる事実」は以下のとおりです。

  1. 2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。
    リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。

  2. 本サービスにおける突合率を向上させるため、ハッシュ化すれば個人情報に該当しないとの誤った認識の下、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していた。ハッシュ化されていても、リクルートキャリア社において特定の個人を識別することができ、本人の同意を得ずに内定辞退率を利用企業に提供していた。

  3. 「リクナビ2020」プレサイト開設時(2018年6月)に、本サービスの利用目的が同サイト内に記載されたことをもって、サービス利用企業から提供を受けた氏名で突合し内定辞退率を、算出していた。
    しかしながら、プレサイト開設時のプライバシーポリシーには第三者提供の同意を求める記載はなく、2019年3月のプライバシーポリシー改定までの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していた。

  4. 本人の同意なく第三者提供が行われた本人の数は、上記②、③及び前回の勧告の対象となった事実によるもの等を合わせ、26,060人となった。

 以下では、上記の①から③までの各勧告に該当する事実について、リクルートキャリアが公表している「『リクナビDMPフォロー』に関するお詫びとご説明」をもとに検討します。

勧告① アンケートスキーム(2019年2月以前の仕組み)

【勧告①】
2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。
リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。

(1)アンケートスキーム 1

 2019年2月以前に実施していたアンケートスキームにおいては、リクルートキャリア社が契約企業から学生の姓名・メールアドレス等の個人情報の提供を受けるのではなく、契約企業が学生向けに実施したウェブアンケートを通じて、リクルートキャリア社の委託先である株式会社リクルートコミュニケーションズ(以下「リクルートコミュニケーションズ社」という)が以下の情報を直接取得していました。

  1. 契約企業固有の応募者管理ID(契約企業が付与していた応募者の管理ID)
  2. Cookie情報
  3. 選考プロセスにおける辞退・承諾情報

 また、リクルートコミュニケーションズ社は、「リクナビ」のウェブサイトを通じて「Cookie情報」およびリクナビサイト上での「業界ごとの閲覧履歴」を直接取得していました。
 そして、リクルートコミュニケーションズ社は「契約企業固有の応募者管理ID」とリクナビサイト上での「業界ごとの閲覧履歴」を、ウェブアンケートとリクナビサイトの「Cookie情報」によって紐づけ、スコアを算出 2 していました。

アンケートスキームにおけるデータの流れ

アンケートスキームにおけるデータの流れ
(出典:株式会社リクルート「『リクナビDMPフォロー』とは」(2019年12月4日、2021年9月3日最終閲覧))

 リクルートコミュニケーションズ社では、これらの情報だけでは特定の個人を識別することはできませんでしたが、契約企業においては、「応募者管理ID」は特定の個人の姓名と紐づけられているため、個人を特定のうえ、スコアを活用してフォローに利用することが可能でした。

提供データの例

提供データの例(出典:株式会社リクルート「『リクナビDMPフォロー』とは」(2019年12月4日、2021年9月3日最終閲覧))

(2)評価

 『「契約企業固有の応募者管理ID」に紐づけられたスコア』は、その提供元であるリクルートキャリア社にとっては特定の個人が識別できないため、「個人情報」3(個人情報保護法2条1項1号)に該当しないということは可能かもしれません。
 この点、契約企業は、ウェブアンケートを通じて、リクルートキャリア社(実際には委託先であるリクルートコミュニケーションズ社)に①契約企業固有の応募者管理ID(契約企業が付与していた応募者の管理ID)、②Cookie情報、③選考プロセスにおける辞退・承諾情報を提供しています。
 個人情報保護法は、特定の情報が提供先で特定の個人が識別することができず個人情報として認識できないとしても、提供元において、特定の個人であることを識別できる情報については個人情報として扱うことを求めています(いわゆる提供元基準)。
 この考え方に基づけば、①契約企業固有の応募者管理ID(契約企業が付与していた応募者の管理 ID)、②Cookie情報、③選考プロセスにおける辞退・承諾情報という情報は、提供先であるリクルートキャリア社にとっては特定の個人の識別はできなくても、提供元の契約企業にとっては特定の個人の識別は可能であるため、「個人情報」に該当していた可能性があります。そうであるとすれば、契約企業においては、本人の事前の同意を得ない個人データの第三者提供として、個人情報保護法23条1項違反であった可能性があります。

 契約企業から提供を受けた情報がリクルートキャリア社にとっても「個人情報」に該当するとすれば(提供元基準を採り、かつ、「個人情報」該当性について相対性を認めない場合)、『契約企業固有の応募者管理ID』に紐づけられたスコアは「個人情報」に該当し、リクルートキャリア社による契約企業への提供は、応募者本人の事前の同意のない個人データの第三者提供として個人情報保護法23条1項違反となります。

 これに対して、契約企業から受けた情報がリクルートキャリア社にとっては、特定の個人が識別できないのであるから「個人情報」ではないと評価する場合には(提供元基準を採り、「個人情報」該当性の判断の相対性を認める場合)、「契約企業固有の応募者管理ID」に紐づけられたスコアについてもリクルートキャリア社にとっては特定の個人が識別できないので、「個人情報」に該当せず、リクルートキャリア社による契約企業への提供は、応募者本人の事前の同意のない個人データの第三者提供ではなく個人情報保護法23条1項違反とならないことになります。
 もっとも、契約企業においては、「契約企業固有の応募者管理ID」と特定の応募者個人を識別可能であるため、「契約企業固有の応募者管理ID」に紐づけられたスコアは、個人情報(個人データ)に該当することになります。

 勧告①は、後者の立場から、「リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた」としている可能性が高いといえるでしょう。

勧告② アンケートスキーム化におけるイレギュラーケース

【勧告②】
本サービスにおける突合率を向上させるため、ハッシュ化すれば個人情報に該当しないとの誤った認識の下、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していた。ハッシュ化されていても、リクルートキャリア社において特定の個人を識別することができ、本人の同意を得ずに内定辞退率を利用企業に提供していた。

(1)アンケートスキーム化におけるイレギュラーケース

 2019年2月以前に実施していたアンケートスキームにおいて、一部の契約企業との間で、対象学生のCookie情報を利用した特定(突合)率を向上させる目的で、アンケートスキームとは異なるスキームでスコア算出を実施するケースがありました。このイレギュラーケースにおいては、当該一部の契約企業から氏名等の個人情報の提供を受けていました。
 リクルートコミュニケーションズ社において取扱うデータがハッシュ化されたものであれば、契約企業に提供する際も非個人情報として取扱えるという誤った認識のもと、契約企業から預かった学生の情報とリクナビ会員の情報がハッシュ化された状態で紐づけられており、これを通じて算出したスコアは、学生本人の同意なく当該契約企業に対して第三者提供されていました。

(2)評価

 ハッシュ化とは、元のデータから一定の計算手順に従ってハッシュ値と呼ばれる規則性のない固定長の値を求め、その値によって元のデータを置き換える方法であり、ハッシュ関数と呼ばれる特殊な計算手順により、任意長の長さのデータから固定長の一見ランダムに思えるハッシュ値を得ることができます 4
 個人情報保護法は、特定の情報が提供先で特定の個人を識別することができず個人情報として認識できないとしても、提供元において、特定の個人であることを識別できる情報については個人情報として扱うことを求める「提供元基準」により、ハッシュ化をして、個人データの提供先にとっては特定の個人を識別できなくしても、提供元の個人情報取扱事業者にとっては、個人情報保護法上の「匿名加工情報」としての処理(加工方法等情報の漏洩防止措置等)をしない限りは、「個人情報」に該当することになります。
 勧告②が「ハッシュ化すれば個人情報に該当しないとの誤った認識」としているのは「提供元基準」の考え方によるものです。

勧告③ プライバシーポリシースキーム(2019年3月以降)

【勧告③】
「リクナビ2020」プレサイト開設時(2018年6月)に、本サービスの利用目的が同サイト内に記載されたことをもって、サービス利用企業から提供を受けた氏名で突合し内定辞退率を、算出していた。
しかしながら、プレサイト開設時のプライバシーポリシーには第三者提供の同意を求める記載はなく、2019年3月のプライバシーポリシー改定までの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していた。

(1)プライバシーポリシースキーム(2019年3月以降)

 リクルートキャリア社は、プライバシーポリシースキームにおいて、契約企業の委託先として、契約企業から、委託業務に必要な限度で氏名などの個人情報の提供を受けます。その後、リクルートキャリア社の委託先であるリクルートコミュニケーションズ社において、提供された個人情報とリクナビに登録された個人情報を紐づけたうえで、当該学生のリクナビサイト上での「業界ごとの閲覧履歴」などからスコアを算出していました。

 リクルートキャリア社は、契約企業から、学生に関する①応募者管理ID(契約企業が付与していた応募者の管理ID)、②姓名・メールアドレス、③大学・学部・学科、④選考プロセスにおける辞退・承諾情報の提供を受けていました。
 また、契約企業によって異なる「企業独自管理情報」の提供を受けていたケースもあります。一例としては、①契約企業の説明会予約有無、②エントリーシートの記述内容、③契約企業が利用していた適正検査の項目の値、④応募職種があげられます。

(2)プライバシーポリシー更新漏れによる同意取得の不備

 「リクナビ2020」では、2018年6月のプレサイト開設時のプライバシーポリシーにおいては、第三者提供の同意を求める記載がありませんでした。
 「リクナビ2020」は、学生が使用する複数の画面においてプライバシーポリシーへの同意を求めるサイト構成になっていますが、2019年3月に行われた、「リクナビDMPフォロー」の提供にあたり必要な内容へのプライバシーポリシーの変更が、一部の画面において反映されていませんでした。

 これにより、『リクナビ2020』に会員登録されている学生のうち、以下に当てはまる計13,840名の情報が、適切な同意を得られていない状態で企業に提供されていました。

  • 2019年3月以降にプレエントリー・イベント予約・説明会予約・ウェブテスト受検等の機能を利用していない者で、かつ

  • 『リクナビDMPフォロー』を導入した企業への応募者の中で2019年3月以降に『リクナビDMPフォロー』のスコア提供対象となった者

プライバシーポリシー更新漏れによる同意取得不備の流れ
(出典:株式会社リクルート「『リクナビDMPフォロー』の法的な不備とその影響範囲」(2019年12月4日、2021年9月3日最終閲覧))

(3)評価

 第三者提供の同意を求める記載がない、2019年3月よりも前のプライバシーポリシーにのみ同意しており、第三者提供の同意を求める改定後のプライバシーポリシーへの同意を取得できていない状態の学生(応募者)の個人データが「リクナビDMPフォロー」の対象となっていたという、個人情報保護法23条1項違反の事態です。

リクナビ問題による令和2年改正個人情報保護法への影響

 参議院内閣委員会(令和2年6月4日)における政府参考人答弁では、「今回の改正法案におきましては、こうした懸念に対して、利用停止権、消去権の拡充、それから不適正利用の禁止、第三者提供記録の開示、それから提供先において個人データとなることが想定される情報の本人同意、これがリクナビの事件を教訓として盛り込んだ条項でございますけれども、こうした規律を導入することとしてございます」とされています。

 すなわち、令和2年改正個人情報保護法(以下、改正法)のうち、以下の改正がリクナビ問題に基づくものです。

  • 個人関連情報の第三者提供の制限等(改正法26条の2)
  • 不適正な利用の禁止(改正法16条の2)
  • 第三者提供記録の開示義務(改正法28条5項)
  • 利用停止・消去権の拡充(改正法30条5項、6項)
令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 関連書籍
  • 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 著者:渡邉 雅之
  • 定価:本体 3,200円+税
  • 出版社:第一法規
  • 発売年月:2021年9月

  • 令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。

  1. 株式会社リクルート「『リクナビDMPフォロー』の法的な不備とその影響範囲」によれば、リクルートコミュニケーションズ社内の「リクナビDMPフォロー」のスコア算出等を行っていた部署では、広告配信等の「リクナビDMPフォロー」とは異なるサービスの運用も行っており、これらのサービスにおいて、一部の契約企業から応募者管理IDとともに個人情報を取得していた実態があったということです。これらの個人情報を「リクナビDMPフォロー」において、実際に利用していた事実は把握されていませんが、「リクナビDMPフォロー」において取得していた情報と、別サービスにおいて取得していた情報が同一部署内に存在していたことで、「リクナビDMPフォロー」において一部の契約企業に納品していた情報が、他の情報と照合することによって、特定の個人を識別することが可能な状態になっていたとされています。
     これにより、「リクナビ2019」会員のうち、「リクナビDMPフォロー」のスコア提供は、契約企業への個人情報の提供とみなすべきところ、アンケートスキーム期のプライバシーポリシーには契約企業への個人情報の提供に必要な同意を得るための文言が盛り込まれていなかったため、これらの情報提供は未同意の状態で行われていたものと、同社は認識しています。 ↩︎

  2. スコアの算出においては、契約企業における前年度の「選考参加者/辞退者、または、内定承諾者/辞退者」の「業界ごとの閲覧履歴」や契約企業から預かった情報から、応募学生の当該契約企業に対する選考離脱や内定辞退の可能性を予測するためのアルゴリズムを作成。そのアルゴリズムを用いて、当該契約企業から提供を受けた今年度の応募学生の「業界ごとの閲覧履歴」から、当該応募学生の当該契約企業に対する選考離脱や内定辞退の可能性をスコア化していました。
     スコア算出において参照していた閲覧履歴は、「リクナビ」とリクルートキャリア社が提携する就職情報サイトにおける業界ごとの閲覧履歴(ページの閲覧数など)であり、それ以外のデータ(検索エンジンでの検索履歴やサイトの利用履歴など)は参照していません。また、学生がどの企業に応募しているかといったエントリー情報や、志望業種など学生が自らリクナビ内に登録した情報も、スコア算出には利用されていません。
     さらに「リクナビDMPフォロー」は、契約企業の前年度における「選考参加または内定承諾者」および「選考辞退または内定辞退者」の群のデータ(企業管理応募者ID、大学、学部、学科、企業独自管理情報、閲覧行動など)の違いを分析し、アルゴリズムを作成していました。作成されるアルゴリズムは、企業ごとに異なるため、スコアに影響を与えるデータは、企業ごとに異なります。 ↩︎

  3. 個人情報取扱事業者の「個人情報データベース等」(個人情報保護法2条4項)を構成する「個人情報」(同条1項各号)が「個人データ」です(同条6項)。厳密には第三者提供の制限(同法23条)は、「個人データ」について適用され、「個人情報」には適用されませんが、リクナビサービスにおける「個人情報」は事業者(リクルートキャリア社やリクルートコミュニケーションズ社および契約企業)の個人情報データベース等を構成し、「個人データ」に該当すると考えられるため、本稿においては「個人情報」と「個人データ」を区別していません。 ↩︎

  4. 個人情報保護委員会事務局レポート「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(2017年2月)21頁 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する