「リクナビ問題に見る日本の個人情報保護法の欠陥」を電子フロンティア財団が指摘

「リクナビ問題に見る日本の個人情報保護法の欠陥」を電子フロンティア財団が指摘

2021/05/13 13:00:00

「リクナビ問題に見る日本の個人情報保護法の欠陥」を電子フロンティア財団が指摘

2019年、就職情報サイトの「リクナビ」が、ユーザーデータを用いて個々の求職者が求人を辞退する確率を予測し、顧客企業に販売していたことが明らかになりました。リクナビによる顧客データの不適切利用は「リクナビ問題」として大々的に報じられたのですが、「このリクナビ問題はプライバシー関連法に存在する抜け道の危険性を示している」と電子フロンティア財団が指摘しています。

より強力で厳格なデータ保護を行うGDPRでは、Cookieが「個人情報を構成する可能性があるもの」として扱われています。また、GDPRでは個人情報とみなされるため、識別子とユーザーの正式な名前(国民IDや運転免許証に記載されているID)を合わせて使用することができません。また処理するデータが、「Cookieなどの複数のデータ」および「他のユーザーと区別される可能性のあるその他の識別子」に基づき「間接的に」ユーザーを識別できるように設計されている場合も、取り扱うデータは個人情報とみなされます。つまり、EUでは個人を識別したり、個人に関する2つ以上の情報をリンクして個人を識別したり、特定の特性を調べ他の特性と比較して個人を識別したりすることは、すべて個人を識別する行為に当たるとされ、その中で扱われる情報は個人情報とされるわけです。そのため、EUでは「ショッピングカートに入れた商品の情報」などの一部の例外を除き、Cookieを使用する際はユーザーに対して「Cookieの利用を通知し同意を求める」ことをプラットフォームに求めています。

作曲家の小林亜星さんが死去 - Yahoo!ニュース 大人も注目のフレーバー 「クーリッシュ 涼みラムネ」 - Peachy - ライブドアニュース 作曲家の小林亜星さんが心不全で死去 代表作に「北の宿から」など - ライブドアニュース

一方で、日本の個人情報保護法は異なる基準を採用しています。では、特定の個人情報をコンピューターを用いて検索することができるように体系的に構成したものが「個人情報データベース」、この個人情報データベース等を構成する個人情報を個人データと定義しています。そのため、Cookieを収集・処理・転送する企業が、通常の業務の中で使用される他の情報とCookieを照合し、個人の身元を確認できるようにすると、Cookieは「個人データ」に該当します。しかし、企業が収集したCookieを他の企業の情報と照合して個人を特定したとしても、Cookieは個人データとはみなされません。つまり、簡単に個人の特定に利用できるCookieが、扱い方次第で個人データとはみなされないようになっているため、企業はCookieを自由に収集・処理・転送できるようになっているわけです。

このような個人情報保護法に存在する抜け道を利用したのがリクナビ問題です。リクナビ問題ではリクルートキャリア、リクルートコミュニケーションズ、そして求人辞退率に関するデータを購入した顧客企業という3つが問題に関与しています。なお、リクルートキャリアはリクナビを運営している企業、リクルートコミュニケーションズは求人辞退率を算出するアルゴリズムを作成・提供した企業です。リクナビ問題では、リクナビのサイトにアクセスしたユーザーに対してCookieを使って個別のIDを割り当て、リクナビのサーバーに送信します。リクナビサーバー側でCookieのIDとユーザーデータが照合され、氏名・メールアドレスといった個人情報のほか、検索した企業・関心のある業界といった情報が統合されます。その後、リクルートキャリアは個人情報保護法に抵触しないように、連絡先や氏名といった個人情報を削除したデータを、リクルートコミュニケーションズへと送信し、求人辞退率の算出を依頼するわけです。 headtopics.com

リクルートコミュニケーションズ側のサーバーでは、リクルートキャリアから送信されてきた「Cookie IDはあるものの、本名や連絡先といった個人情報は削除されたデータ」と求人募集に応募してきたユーザーに割り当てられたIDや、リクナビの閲覧履歴と照合。その後、アルゴリズムを用いて各IDの求人辞退率を算出し、これを顧客企業に送信します。顧客企業は自社サイト上で求人募集を行っていた企業で、自社の応募者情報とリクルートコミュニケーションズから送信されてきた情報を照合することで、「各応募者の求人辞退率」が簡単に予測できるようになっていたというわけです。

日本の個人情報保護法は事前の同意なしでユーザーの個人データをビジネスのために共有することを禁止しています。そのため、リクルートキャリアが自社で求人辞退率を算出し、顧客企業に販売する場合は、ユーザーに対して事前に同意を求める必要があります。しかし、個人情報保護法では「企業が他のデータセットと照合しても個人を特定できないデータ」を個人データとみなしません。そのため、リクルートコミュニケーションズを間に介することで、リクナビ上でユーザーに対して事前に同意を求めることなく、個人情報のやり取りが可能になってしまったわけです。

しかし、リクルートキャリアは顧客企業側が簡単に求人辞退率と応募者の氏名を関連付けることができると知っていたとして、厚生労働省は個人情報の取り扱いが不適切だったとして職業安定法に基づき、同社に対して行政指導を行います。リクルートを行政指導 学生の個人情報不適切扱い 職業安定法違反、厚労省 - 産経ニュースこういった経緯もあり、2020年6月に改正個人情報保護法が可決・成立します。2022年4月に施行する改正個人情報保護法では、ユーザーに対して事前に個人データの収集について同意を求める必要があります。改正個人情報保護法では「他の情報と照合することで個人の特定につながる情報」はすべて個人データとして扱われるため、リクナビ問題のようなスキームも法律違反に該当することとなります。

しかし、改正個人情報保護法においても、行動データと「間接的に」組み合わせる場合は、Cookieが個人データに分類されません。これについて電子フロンティア財団は明確に「これは間違いです。Cookieおよび同様の機械生成識別子(広告識別子など)は、広範なオンライン追跡とプロファイリングを可能にするものです。Cookieはさまざまなウェブサイト上での行動を、ひとりのユーザーとリンクするために使用されています。つまり、追跡技術がひとりの人生における広範かつ膨大な活動を、一つのプロファイルとつなげられるようにしてしまうわけです。Cookieが個人のIDと直接つなげられていないからといって、プロファイルの機密性が低下することはありません」と批判。 headtopics.com

コメダ珈琲店、新食感ドリンク「のむクロネージュ」を発売 - ライブドアニュース 接種効果か 都医療者の感染激減 - Yahoo!ニュース 今週中頃まで寒気による激しい雨に注意 週末から北陸や東北も梅雨入りか 2週間天気(日直予報士) 続きを読む: GIGAZINE(ギガジン) »

新型ウイルスの後遺症患者に呼吸法を教える - BBCニュース

イギリスでは太極拳の指導者が、新型コロナウイルスの感染症から回復した人に、呼吸が楽になる方法を教えている。