事故から学ぶ

学生に説明なく内定辞退予測販売 リクナビ、就活の個人情報

事故概要

業種 リクナビ
発生時期 2019/08/1
漏えい人数 7,983人
事故概要

就職情報サイト「リクナビ」を運営するリクルートキャリア(東京)が、就職活動中の学生が「内定を辞退する確率」を個人データから人工知能(AI)で予測し、本人への十分な説明なしに企業に販売していたことが分かった。説明の在り方が不十分として個人情報保護委員会が調査をしており、リクナビは辞退率のデータ提供を一時休止した。
リクナビは事前に情報提供の同意を得ているとして「個人情報保護法には違反していないとしているが、そもそも同意しなければ学生はリクナビを利用できず、また同意を求める内容も、利用者の行動履歴を分析・集計し、外部企業に情報提供するという表現で、『内定辞退予測』が企業に提供されることまでは予測できない、といった意見が寄せられている。
また「データの外部提供の同意がない学生は7983人だった」としたが、リクナビ利用者は80万人にのぼることから、知らないうちに個人情報を企業に売られた利用者はさらに増える可能性がある。リクナビはメーカーなど38社にデータを販売していたという。

引用元 共同通信

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
21-21 (第21条)従業者の監督 意識付け教育

チェックリストにある要求ルール:

情報管理の大切さなどを定期的に説明するなどのように、従業員に意識付けを行っていますか?
個人情報は取得時にあらかじめ同意を得た利用目的の範囲で使用することを守っていますか。
業務上知り得た個人情報を、私的に利用したり他人と共有しないように教育していますか?
個人情報に対する従業者の感度を高める教育をしていますか?感度を高めることがリスクに対する気づきを生み、事故を減らすことができます。

■ 推奨対策

対策:

個人情報取扱事業者は、個人情報保護法第15条第1項により、個人情報を取り扱うに当たって、利用目的をできる限り特定しなければならないとされています。さらに、利用目的はできるだけ具体的に特定し、特定した利用目的は、あらかじめ公表しておくか、個人情報を取得する際に本人に通知する必要があるとされています。
その上で、取得した個人情報は、特定した利用目的の範囲内で利用する必要があり、個人情報保護法第16条第1項により、特定した利用範囲以外のことに利用する場合は、あらかじめ本人の同意を得なければならないと定められています。
今回は、「この程度なら同じようなもんだから同意を得たことに使用」という判断が誤りで、さらに、また匿名にしたから大丈夫だろう、と甘く考えたことにも問題があります。事細かに利用目的を特定し、それぞれ本人に承諾を得る必要がある、と法で定められています。

具体例:

個人情報保護法の条文は、事業者都合だけで勝手に解釈すると、保護法違反に問われる、という事案です。
個人情報を漏えいさせたのではないが、取り扱いが根本から間違っているので、個人情報保護委員会が調査を開始した、という法運用に関わる事案でもあります。
利用者から見たら、ひとりの個人だったら、という考えを持つことが、間違いを防ぐ視点です。事業者から見たら、このぐらい、あるいは面倒だから、というのは大体事故になるので、ぜひ、多面的な目線で法律を理解し対応することを心がけてください。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。