もしリクナビ問題がEUで起こったら?

記事広告:『終身雇用終焉後の法務キャリア

はじめに

2019年12月、個人情報保護委員会(「PPC」)は、リクルートキャリア(「RCA社」)のいわゆる内定辞退率提供サービスに関し、個人情報保護法(「法」)に基づき勧告を行い、併せてその利用企業(「企業」)への指導を行いました。

【内定辞退率提供サービス】(「本サービス」) 

企業の書類選考合格または内定の通知(「内定」と総称)を受けた学生(「内定者」)について、その大学・学部・学科(「大学」と総称)の情報と、その内定者が、内定後にリクナビを含む自社・他社サイト(「リクナビ」と総称)上で他社の情報(ページ)を閲覧した履歴(「閲覧履歴」)を基に、その内定者が企業の内定を辞退する確率(「内定辞退率」)を算出し企業に提供するサービス

企業は、内定辞退率の低い内定者をフォロー(面談、電話等)し、内定辞退率の高い内定者は少なくとも積極的にはフォローしなかった可能性があると思われます。

ここでは、仮定の話として、もし、本件が、「一般データ保護規則」(GDPR)とCookie規制(ePrivacy指令)があるEUで起こったらどうなっていたかを、日本での処分と比較しながら検討してみました。

なお、本稿は、字数の関係で詳細を省略しています。詳細をご覧になりたい方はこちら(「詳細版」)をご覧ください。

 アンケートスキーム

本サービスは、時期により内定辞退率提供の仕組みが変わっています。

最初に行われた「アンケートスキーム」では、下図の通り、RCA社は、その委託先であるリクルートコミュニケーションズ(「RCO社」)を使い、企業名で学生に行ったWebアンケート(「アンケート」)から内定者(「Aさん」)の大学名、AさんのパソコンのCookie(その意味については詳細版3(1)参照)(「企業Cookie」)、企業の学生管理ID(「企業ID」)を取得し、これらを、リクナビから取得されたAさんのパソコンのCookie(「リクナビCookie」)、Aさんが内定後にリクナビで他社情報を見た閲覧履歴と紐づけました。

(RCA社 『リクナビDMPフォロー』とは から引用)

これとは別に、RCA社は、企業の前年度の内定辞退者と非辞退者の大学名、リクナビ上の閲覧履歴を紐づけ、内定辞退率算定のアルゴリズムを作成しました。

内定辞退率算出アルゴリズムは、例えば、企業からの評価が高・中・低の大学と、学生からの評価(就職人気度)が高・中・低の企業があるとして、高評価の大学の学生は、中評価の企業から内定を受けたとしても、その後もリクナビ上で高評価の他社情報を何度も閲覧している場合には、内定を辞退する確率が高いと予想するというようなことではないかと推測されます。

RCA社は、このアルゴリズムを、今年度内定者Aさんに適用し、最終的に管理ID:C333の内定辞退率(「スコア」)として企業に納品しました。

アンケートスキームに関するPPCの事実認定

PPC公表文からは、内定辞退率は、RCA社側では「特定の個人を識別できない」ので個人データに該当せず(提供元基準)、「法の趣旨を潜脱」するが、企業への第三者提供ではあっても法23条1項に基づく内定者の事前同意(法23(1))は不要と読めます。

しかし、RCA社は、内定辞退率を学生がリクナビ会員として登録した姓名等と照合できるように思われるのに、何故「個人データ」ではないのでしょうか(公表文に説明なし)。

それは、各社のサーバごとに任意にユーザに割り当てられる筈のCookieが図では二つとも同じ「A111」となっている(だからマッチングできた)ことからすると、企業のアンケートとリクナビの両方に、RCO社の同じサーバから同じCookieが発行される仕掛け(「タグの埋め込み」[1])がされていたからだと推測されます[2]

そして、RCA社としては、自身の保有するリクナビ学生姓名等と、RCO社が取得したリクナビCookieや内定辞退率は別々に管理されており相互に紐づけできないので、内定辞退率はRCA社では「特定の個人を識別できない」から「個人データ」ではないと主張したのではないでしょうか。

アンケートスキームとePrivacy指令

EUの ePrivacy指令(「指令」)によれば、サイトの運営者等(ここでは、企業とRCA社)は、上記のようなユーザ(学生)のパソコンのCookieの利用等を行う場合、事前に、その利用目的(ここでは内定辞退率算出とそれに基づく内定後フォローの実施・不実施決定)(「本目的」)についてユーザに「明確かつ平易な言葉」で伝えた上、その(真に)「自由意思」に基づく同意を得なければなりません(指令5(3), GDPR94(2), 4(11), 7) 。この要件を満たさない場合、同意を得ても無効とされます(GDPR7(2))。

従って、次の理由から、EUでは、ePrivacy指令上、本サービスが適法に成立する余地がありません。

・ そもそもCookie利用に同意を得ていない。

・ 仮に同意を得たとしても、学生が「自由意思」で同意したと認められる可能性はない。

アンケートスキームとGDPR

◆ 内定辞退率等の個人データ該当性

GDPR上、「個人データ」とは、特定されたまたは特定し得る個人に関する情報を意味します。ここで、「特定し得る個人」とは、姓名、ID番号等を参照して特定し得る個人を意味します(以上4(1))。

RCA社は、その姓名は知らないものの、企業から提供された企業IDにより特定される個人についてその内定辞退率等を保有していますが、これらは全て企業IDにより特定される個人(Aさん)に関する情報です。従って、内定辞退率等はRCA社にとってもGDPR上「個人データ」に該当します。

同意の必要性

GDPR上、個人データの全ての「処理」(全ての取扱い)(4(2))について、所定の根拠(6)がなければならず、本件で考えられるのは学生の同意(6(1)(a))しかありません。ここで、上記4と同様、同意の前提としての利用目的の通知、同意の「自由意思」性等が要求されます。

従って、企業およびRCA社は、内定辞退率、Cookie、閲覧履歴等の全ての処理に関し、本目的のため処理することについて学生の同意を得なければなりません。

しかし、本件では上記4と同様の理由から、EUでは、GDPR上も、本サービスは適法に成立する余地がありません

サービスを実施した場合に認定される違反行為と制裁

ePrivacy指令の他、GDPR上多数の規定違反として制裁金の対象となると思われます(58(2)(i), 83)。

また、例えば、書類選考合格通知後、リクナビで他社情報を閲覧した結果、企業からのフォローがなされず、当該企業に採用される機会を失った学生等は、企業およびRCA社に対し精神的損害等の損害賠償請求ができます(82(1))(人権団体に委任可能)(80(1))。

プライバシーポリシースキームにおける問題点

このスキームでは、RCA社は、本目的に関しリクナビのプライバシーポリシー中に文言(「説明文言」)を入れ、内定辞退率を、自身としても「個人データ」の形で企業に提供することについて、学生から同意を得ることとしました。

これに関するPPCの勧告は、同意漏れの学生があることおよび説明文言が明確でなかったことに対するものです。

しかし、説明文言(内容は詳細版6(1)参照)が本目的を意味していると理解することは、学生は勿論誰もできないように思われ[3]、学生は何に同意するのかが分からず、法上有効な「同意」が成立したかは疑問です。

プライバシーポリシースキームとGDPR/ePrivacy指令

内定辞退率の個人データ該当性を検討する必要性がないだけで、アンケートスキームで述べたことと同じことが言えます

更に、説明文言についても、GDPR上、個人データの利用目的等は、データ主体(学生)にとり明確かつ平易な言葉を用い理解し易い方法で通知しなければならない(12)とされているので、この点からも明らかにGDPRに違反します。

以 上

お知らせ

 

リーガル・ビジネススクールONLINEでは、この記事と同じ筆者によるGDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制を2020年2月1日から毎月1日と15日掲載致します。ご興味のある方は、是非ご覧ください。

                 .                  

【注】

[1] 【タグの埋め込み】 南 春花 「リスティング広告におけるタグの基礎からITPまで、最近の話題がまるわかり!」2019.06.07

[2] 【本件におけるタグの埋め込み】 浅川 直輝 「本件、なぜ「脱法」サービスが生まれたのか」日経 XTECH 2019/09/03

[3] 【リクナビのプライバシーポリシーの問題点】 杉浦 健二「リクナビによる「内定辞退率」データ提供の問題点はどこにあったか 法的観点から弁護士が解説」(2019年08月15日 Business Lawyers)でも同様に指摘している。

 

==========

本コラムは著者の経験にもとづく私見を含むものです。本コラム内容を業務判断のために使用し発生する一切の損害等については責任を追いかねます。事業課題をご検討の際は、自己責任の下、業務内容に則して適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) この「Q&Aで学ぶ英文契約の基礎」シリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com(「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】
浅井 敏雄 (あさい としお)
企業法務関連の研究を行うUniLaw企業法務研究所代表

1978年東北大学法学部卒業。1978年から2017年8月まで複数の日本企業および外資系企業で法務・知的財産部門の責任者またはスタッフとして企業法務に従事。1998年弁理士試験合格。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】
https://www.theunilaw2.com/

 

 

関連記事

More from my site

  • 2021年8月15日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(38)-自動意思決定ガイドライン   GDPRは, データ主体に対し, プロファイリングを含む個人データの自動意思決定に服さない権利を与えており(22), 第36回Q6,Q7でその概要を解説しました。 この自動意思決定に服さない権利およびプロファイリング(4(4))については, WP29が2017年10月3日に採択し2018年2月6日に修正した“Guidelines on […]
  • 2021年8月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(37)-データポータビリティーガイドライン   GDPRは, データ主体の権利に関し, 従来のアクセス権等に加え, データ保護指令にはないデータ・ポータビリティーの権利を新設し(20), 本シリーズの第35回でGDPR上の規定を中心としてその概要を解説しました。 この権利については, WP29が2016年12月13日に採択し2017年4月5日に改訂された“Guidelines on the […]
  • 2021年7月15日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(36)-異議申立権/自動意思決定に服さない権利   今回は, ①異議申立権, および, ②自動意思決定に服さない権利に関し解説します。    【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 異議申立権とは? Q2: 正当利益等に基づく処理に対する異議申立権とは? Q3: ダイレクトマーケティング目的での処理に対する異議申立権とは? Q4: […]
  • ゼロから始める企業法務(第20回/法務担当者の選考方法)2021年7月12日 ゼロから始める企業法務(第20回/法務担当者の選考方法) 皆様、こんにちは!堀切です。 これから企業法務を目指す皆様、念願かなって企業法務として新たな一歩を踏み出す皆様が、法務パーソンとして上々のスタートダッシュを切るための「ノウハウ」と「ツール」をお伝えできればと思っています。今回は法務担当者の選考方法(必要な力量の洗い出しとその見極め方等)について記事にしたいと思います。   「1人法務」から「複数法務」 […]
  • 2021年7月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(35)-受領者への通知/データ・ポータビリティーの権利   今回は, ①管理者が, データ主体の要求に応じ行った個人データの訂正, 消去または処理制限を, その個人データを開示(提供)した各受領者に通知すべき義務, および, ②データ主体のデータ・ポータビリティーの権利に関し解説します。      【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: […]
to top