もしリクナビ問題がEUで起こったら
1. はじめに
2019年12月4日、個人情報保護委員会(以下「PPC」という)は、いわゆる内定辞退率を提供する、下記概要のサービス(「本サービス」)に関し、株式会社リクルートおよび株式会社リクルートキャリア(以下「RCA社」という)に対し、個人情報保護法(以下「法」という)に基づく勧告を行いました。また、同サービスの利用企業(「契約企業」)に対し、法に基づく指導を行いました。なお、今回の処分は、2019年8月26日のRCA社に対する処分に続くものです。
【本サービスの概要】
名称は『リクナビDMPフォロー』。契約企業の書類選考合格または内定の通知(以下「内定」と総称)を受けた学生(以下「内定者」という)について、その大学・学部・学科(以下「大学」と総称)の情報と、その内定者が、内定後に「リクナビ2019」または「リクナビ2020」サイトおよび他のRCA社・他社サイト(以下「リクナビ」と総称)において契約企業以外の企業の情報(ページ)を閲覧したか否かおよび閲覧回数のデータ(以下「内定後他社情報閲覧履歴」という)を基に、その内定者が契約企業の内定を辞退する確率(以下「内定辞退率」という)を算出し契約企業に提供するサービス。
契約企業は、内定辞退率の低い内定者をフォロー(面談、電話等)し、内定辞退率の高い内定者にはフォローを実施しなかったものと思われます。
ここでは、仮定の話として、もし、この事案(以下「本件」という)が、「一般データ保護規則」(GDPR)とCookieの利用を厳しく規制するePrivacy指令がある欧州連合(EU)域内で起こったらどうなっていたかを、PPCの処分と比較しながら検討してみました。
結論を言ってしまえば、次のようになります。
・ EUでは本サービスは適法に成立する余地がない。もし行えば、RCA社、契約企業のいずれも重大な違反を認定され制裁金等厳しい処分を受けたと思われる。
以下、この結論に至った理由を、事実関係およびPPCの処分内容の解説、EU法の当てはめの順で解説します。
なお、本件の事実関係については、PPCの公表文をみてもあまりよく分かりません。そこで、本稿においては、以下のPPCおよびRCA社からの公表文の他、各種の報道等を総合して事実を整理してみました。但し、それでも分かりにくい部分があり、一部筆者の推測が含まれています。
2019年8月26日付けPPC「個人情報の保護に関する法律第42条第1項の規定に基づく勧告等について」(以下「8月PPC公表文」という)
2019年8月26日付けRCA社 『リクナビDMPフォロー』に係る当社に対する勧告等について(以下「8月RCA社公表文」という)
2019年12月4日付けPPC「個人情報の保護に関する法律に基づく行政上の対応について」(以下「12月PPC公表文」という)
2019年12月18日更新RCA社『リクナビDMPフォロー』に関するお詫びとご説明(以下このWebページからリンクされている各ページを含め全体を「お詫び」という)
2. 内定辞退率算出の仕組み
本サービスは、時期により内定辞退率提供の仕組みが変わっています。なお、各スキームの名称は「お詫び」によるもので、以下、この名称を使用します。
(a) 「アンケートスキーム」(前記)
契約企業が学生に行ったWebアンケートで取得されたCookieを利用し内定辞退率を算出し、個人が特定されない形で(すなわち個人データの第三者提供とならない形で)契約企業に提供したとするスキーム。
(b) 「プライバシーポリシースキーム」(後期)
契約企業から提供を受けた学生の姓名等を利用し内定辞退率を算出し、個人データの第三者提供となる形で契約企業に提供し、このことに関しリクナビのプライバシーポリシー上で説明し学生の同意を得たとするスキーム。
3. アンケートスキーム
(1). Cookieとは
アンケートスキームでは、内定辞退率算出のためCookieが利用されています。そこで、ここでは、先ず、前提知識として、Cookieとは何かについて下図により説明します。
Cookieとは、ブラウザ(サイトを閲覧等するためのソフト)(GoogleのChrome、AppleのSafari 等)を使いWebサイトを訪問した者(「ユーザ」)のパソコン等(より具体的にはそのブラウザ)に対し、そのサイトを運用するために使われているWebサーバ(コンピュータ)から自動的に送信されそのパソコン等に保存されるデータであって、そのブラウザを識別するためのもの(またはその仕組み)です。
上図で説明すると、ユーザが初めてあるサイトを訪問すると(1回目)、自動的に、そのサイトのサーバからそのユーザのブラウザに対し任意のCookie ID(アルファベットと数字の組合せ)が送信されパソコンでの保存が指示されます。
2回目以降の訪問では、前回ユーザのブラウザに保存されたCookie IDが自動的にパソコン側からサーバに送信(Cookieの読込み)されます。サーバ側でもそのユーザのCookie IDと前回までの操作(例:アカウント登録、買い物かごへの商品保存、サイト内の各ページの閲覧)データが保存されているので、サーバ側ではそのユーザを識別し、ユーザはIDやパスワードを毎回入力することなくサイトを利用でき、また、商品を買い物かごに入れた状態から次の操作をすることができます。
(2). アンケートスキームによる内定辞退率の仕組み
1) アンケート取得情報とリクナビ取得情報の紐づけ
<図1>(RCA社 『リクナビDMPフォロー』とは から引用)
契約企業から内定者(上図の「Aさん」)の内定辞退率算出の委託を受けたRCA社(リクルートキャリア)は、実際の業務をリクルートコミュニケーションズ(以下「RCO社」という)に再委託。RCO社は以下の手順を実施。
(a) 契約企業によるAさんに対するWebアンケート(以下「アンケート」という)から以下の情報を取得。
Aさんがアンケートに入力した際に、Aさんの使用ブラウザに対し発行されたCookie ID(上図右の「A111」)(以下「企業Cookie」という)
契約企業におけるAさんの管理ID(以下「企業ID」という)(上図の「管理ID:C333」)
Aさんがアンケートに入力した自身の大学名
(b) リクナビから以下の情報を取得。
Aさんがリクナビを利用した際に、Aさんの使用ブラウザに対し発行されたCookie ID(上図左の「A111」)(以下「リクナビCookie」という)
Aさんの内定後他社情報閲覧履歴(上図の「閲覧履歴:B222」)
(c) 企業CookieとリクナビCookieをマッチングし、Aさんの企業IDに内定後他社情報閲覧履歴を紐づけ
2) 内定辞退率算出アルゴリズムの作成と内定辞退率の算出
<図2>(RCA社 『リクナビDMPフォロー』とは から引用)
RCO社は以下の手順を実施。
(a) 契約企業から以下の情報取得
契約企業における前年度の内定を辞退した学生(以下「辞退者」という)と辞退しなかった学生(以下「非辞退者」という)の企業ID(上図の「企業管理応募者ID」)
上記辞退者と非辞退者、それぞれの大学名
(b) リクナビから以下の情報取得
前年度の辞退者と非辞退者のリクナビ上の内定後他社情報閲覧履歴(上図の「閲覧行動」)
(c) 上記(a)と(b)の情報から、辞退者と非辞退者、それぞれの大学と内定後他社情報閲覧履歴を把握し、それらの違いから、契約企業ならびに辞退者・非辞退者の大学名および内定後他社情報閲覧履歴の相関関係を得、内定辞退率算定のアルゴリズム(算出式)(*)作成。
(d) 今年度内定者Aさん(管理ID:C333)の大学名とリクナビ上での内定後他社情報閲覧履歴に対し、上記アルゴリズムを適用⇒管理ID:C333(Aさん)の内定辞退率(図1における「スコア」)を算出し契約企業に提出。
(e) 契約企業は、Aさんの内定辞退率が低ければAさんに対しフォローを実施、高ければ不実施。
(*)【内定辞退率算出のアルゴリズム】
例えば、企業からの評価が高・中・低の大学と、学生からの評価(就職人気度)が高・中・低の企業があるとして、高評価の大学の学生は、中評価の企業から内定を受けたとしても、その後もリクナビ上で高評価の他社情報を何度も閲覧している場合には、内定を辞退する確率が高いと予想するというようなことではないかと推測される。
4. アンケートスキームに関するPPCの事実認定
(1). RCA社にとっての内定辞退率の個人データ該当性と同意の要否
12月PPC公表文には次の通り記載されています(1(1)①)。
「2018年度卒業生向けの「リクナビ2019」におけるサービス[注:アンケートスキームによるサービス]では、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。
リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。 」
上記より、アンケートスキームに関し、RCA社は以下のように主張したと推測されます。(a) 内定辞退率は、その「提供を受けた企業側において特定の個人を識別できる」ので個人データに該当する。
(b) しかし、内定辞退率は、提供するRCA社側では「特定の個人を識別できない」ので個人データに該当しない。従って、第三者提供ではあっても「個人データ」の提供ではないから、内定者の同意を得る必要はない。
そして、PPCも、「個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した」としているので、「極めて不適切なサービス」ではあるとしても、法的解釈としてはRCA社の主張を認めたものと思われます。
上記の個人識別可能性について、PPCは、個人データを第三者に提供する場合、提供元を基準に判断するとしており[1]、上記の主張は、この基準(以下「提供元基準」という)に従ったものと思われます。
しかし、この認定には良く分からない点があります。というのは、この公表文では、何故、内定辞退率が、RCA社側では「特定の個人を識別できない」のかの説明がないからです。「お詫び」でも明示的説明がありません。
図1において、リクナビCookie、内定後他社情報閲覧履歴、企業Cookie、企業ID、内定辞退率は全て紐づいています。一方、RCA社は、学生がリクナビ会員として登録した姓名等も保有している筈です。そうであれば、むしろ、RCA社にとり、内定辞退率は、学生の姓名等という「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」情報であって「個人情報」(2(1)一)ではないか、ということです。
しかし、実際には、内定辞退率はRCA社側では「特定の個人を識別できない」とされているのは何故なのでしょうか。
ここで、もう一度、図1を良く見てみます。すると、リクナビのサーバ、契約企業、それぞれのサーバごとに任意にユーザに割り当てられる(従って各サーバ固有の)Cookieが図では同じ「A111」となっています(だからマッチングできた)。また、「お詫び」中に、RCO社は、契約企業によるアンケートからの情報も、RCA社のリクナビからの情報も、「直接」取得したとの記述があります。
このことからすると、契約企業のアンケートのWebページとリクナビのWebページの両方に、RCO社の同じサーバから同じCookie(いわゆる「サードパーティークッキー」)が発行される仕掛け(「タグの埋め込み」[2]と呼ばれる)がされていたという仮説が成り立つように思われます(なお脚注の資料[3]参照)。
そして、RCA社は、RCA社の保有する学生の姓名等と、RCO社が「直接」取得したリクナビCookieや内定辞退率は別々に管理されており相互に紐づけできない、従って、内定辞退率はRCA社側では「特定の個人を識別できない」ず「個人データ」ではないから、「個人データ」の第三者提供に対する本人(学生)の同意は不要と主張し、これが認められたのではないでしょうか。
(2). 契約企業からRCA社側への企業ID等の提供の法的評価
ここで、もう一つ良く分からない点が出てきます。それは、RCA社から契約企業への内定辞退率の提供が、内定辞退率が個人データではないとしても、「第三者」への提供ではあるという前提なのに、何故、法的には契約企業からRCA社への提供である、企業Cookieと企業ID(提供元基準では契約企業にとり個人データ)の提供について本人(学生)の同意が問題とされなかったのかという点です。
これは、12月PPC公表文の契約企業に対する指導内容中に「個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行うこと」とあることから、契約企業とRCA社の関係は委託元と委託先の関係であり、法上、個人データの取扱いの委託に伴って当該個人データが提供される場合、委託先は「第三者」に該当しない(23(5)一)から同意は不要と認定されたものと思われます。
しかし、そうすると、最初の委託元(契約企業)から委託先(RCA社)への個人データの提供においては委託先は「第三者」ではないとみなされているのに、委託先から委託元への内定辞退率(委託の成果物)の提供においては委託元は「第三者」であることになり、そのような法解釈は整合性がとれているのだろうかという気がします。
5. アンケートスキームとGDPR/ePrivacy指令
以下、アンケートスキームにGDPRおよびePrivacy指令を当てはめてみます。
(1). ePrivacy指令
ePrivacy指令(以下「指令」という)は、要旨、次の通り定めています。
インターネット等のユーザの端末機器への情報の保存または当該情報へのアクセスは、ユーザが要求したオンラインサービスを提供するために必須である場合等を除き、ユーザが「データ保護指令」に従い明確かつ十分な情報(特に当該情報の処理目的)が提供された上で同意した場合にのみ許される(指令5(3))。
前述したパソコンへのCookieの保存とそのCookieの読込みは、正に上記の保存とアクセスに該当します。上記から分かるように、そのCookieが個人データであるか否かは関係がありません。
上記の「データ保護指令」は、GDPR施行後はGDPRと読み替えられる(GDPR94(2))ので、Cookieを利用する者は、事前に、Cookieの利用目的についてユーザ(GDPR上は「データ主体」(法上の「本人」))に明確かつ十分な情報を与えた上で、ユーザからGDPR上の要件を満たす同意を得なければなりません。この要件には、その同意がユーザの「自由意思」に基づくものであること、同意の要求が「明確かつ平易な言葉」で行われること等が含まれます(4(11), 7) (数字は条文番号。本稿において同じ)。この要件を満たさない同意は無効とされます(7(2))。
本件では、契約企業のアンケートおよびRCA社のリクナビでこのCookieが利用されていますから、契約企業およびRCA社は、Cookieの利用目的がユーザ(学生)の内定辞退率を算出しフォローの実施・不実施の参考とすることであることを明確かつ十分に通知し、その上で、学生の「自由意思」に基づく同意を得なければなりません。
ここで、データ主体と管理者(データの処理の目的および方法を決定する者)との間に明確な立場・力の不均衡がある場合、その同意は自由意思に基づくものではないと推定され(GDPR前文(43))、例えば、ガイドライン(以下「同意ガイドライン」という)[4]では、雇用主と従業員等の間ではこの不均衡があると解釈されています。
以上より、本件では次の理由からアンケートスキームによる本サービスが適法に成立する余地がありません。
(a) そもそもCookie利用に同意を得ていない。
(b) 仮に同意を得たとしても、学生(ユーザ/データ主体)が「自由意思」で同意したと認められる可能性はない。
(2). GDPR
1) 内定辞退率の個人データ該当性
GDPR上、「個人データ」とは、特定された(identified)または特定し得る個人に関する情報を意味します。ここで、「特定し得る個人」とは、姓名、ID番号等を参照して特定し得る個人を意味します(以上4(1))。GDPR前文(26)によれば、ある個人を特定し得るか否かは、その者を複数の者の中から選り出す(single out)こと等、その個人を直接的または間接的に特定するために自己(管理者)または他の者により利用される合理的可能性がある全ての手段を考慮しなければなりません。
法においては「個人情報」に該当するか否かはその情報(単独でまたはその情報と他の情報との参照)により特定の個人が識別可能か否かが問題とされるのに対し、GDPR上は、ある個人が特定(識別)可能か否かが問題とされ、もし可能ならその個人に関する情報は「個人データ」に該当することになります。
従って、RCA社は、その姓名は分からないが、契約企業から提供された企業IDにより特定される個人について、その企業ID、企業Cookie、リクナビCookie、内定後他社情報閲覧履歴と、それらを基に算出された内定辞退率を保有していますが、これらは全て企業IDにより特定される個人(Aさん)に関する情報ですから、RCA社にとってもGDPR上「個人データ」に該当すると思われます。
なお、RCA社において姓名が分からないことは、上記定義の通り、姓名に限らずID(本件では企業ID)により(1人の)個人が特定できればよいことから問題とならない思われます。また、定義自体およびGDPR前文の「他の者...」から、そもそも、提供元または提供先のいずれかを基準に「個人データ」該当性を判断するものではないと思われます。
要するに、GDPR上は、どこの誰かのものかは分からないが、とにかくある人の情報であることが確かであれば、これを「個人データ」として保護するということではないかと思われます。
2) 同意の必要性
GDPR上、個人データの全ての「処理」(取得、利用、第三者提供その他全ての取扱い)(4(2))について、所定の「処理の適法性の根拠」(6)がなければならず、本件でその根拠として考えられるのはデータ主体(内定者)の同意(6(1)(a))しかありません。
従って、契約企業およびRCA社は、自己が処理する、企業ID、姓名、企業Cookie、リクナビCookie、内定後他社情報閲覧履歴および内定辞退率の全ての処理(契約企業のRCA社からの内定辞退率取得を含む)に関し、内定辞退率を算出しフォローの実施・不実施の参考とするという目的のため行うことについて学生の同意を得なければなりません。
しかし、本件では次の理由からアンケートスキームによる本サービスが適法に成立する余地がありません。
(a) そもそも同意を得ていない。
(b) 仮に同意を得たとしても、学生(データ主体)が「自由意思」で同意したと認められる可能性はない。
なお、EUにおいては、従来から監督機関等が監視(monitoring)行為に対し非常に厳しい見解を示しています[5]。RCA社の内定後他社情報閲覧の利用も監視行為とみなされると思われ、この点からも、GDPR上適法に成立する余地はないように思われます。
3) 前年度内定者および辞退者のデータ
契約企業およびRCA社は、これらデータについても、内定辞退率アルゴリズム作成のために利用することについて前年度の学生の同意を得なければなりません。しかし、上記と同様、同意は得られておらず、得たとしても「自由意思」に基づく有効な同意と認められる可能性はありません。
4) 本サービスを実施した場合に認定される違反行為
以上の通り、アンケートスキームによる本サービスが適法に成立する余地はありませんが、それでもなお、これをEU域内で実施した場合には、ePrivacy指令の他、GDPR上、少なくとも次のような規定の違反となります。
第5条(処理の基本原則:正当な目的のための取得、当該目的と両立しない目的での処理禁止等)
第6条(処理の適法性)
第7条(同意の要件)
第12条(データ主体に対する透明性のある情報提供等)
第13条(データ主体から個人データを直接取得する場合の情報提供)
第24条(処理がGDPRに遵守して行われるようにする義務)
第25条(データ保護バイデザインおよびバイデフォルト)
第28条(GDPR遵守を保証できる処理者(処理委託先)のみ使用する義務等)
第32条(データ主体にとってのリスクに応じた安全確保義務)
第35条(データ保護影響評価実施義務)
第36条(データ主体にとりリスクの高い処理を行う場合の監督機関との事前協議義務)
5) 本サービスを実施した場合に想定される制裁等
2,000万ユーロ(現在約24億円)または前会計年度の全世界売上高の4%のいずれか大きい額を上限とする行政制裁金の対象となると思われます(58(2)(i), 83)。
また、例えば、書類選考合格通知後、リクナビで他社情報を閲覧した結果、契約企業からのフォローがなされず、当該企業に採用される機会を失った学生等、対象となった学生は、契約企業およびRCA社によるGDPR違反の結果蒙った損害(精神的損害を含む)についてその賠償を請求する権利があります(82(1))。なお、この権利は、個人データ保護団体に委任して行使することができます(80(1))。
6. プライバシーポリシースキームにおける問題点
(1). PPCの事実認定
このスキームに関するPPCのRCA社に対する事実認定は、プライバシーポリシー上の説明により同意を得ていなかった学生があること(12月PPC公表文1(1)②~④)およびその説明が明確でなかったことです。説明の不明確性については8月PPC公表文(4)に次の通り記載されています。
「リクルートキャリアは、プライバシーポリシー上で、現DMPフォロー[注:プライバシーポリシースキームによる本サービス]における個人データを第三者である顧客企業へ提供することについて本人の同意を取得するための説明を行っていた。
個人情報の保護に関する法律についてのガイドライン(通則編)においては、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない」とされている。しかしながら、リクルートキャリアのプライバシーポリシーの記載内容は、現DMPフォローにおける個人データの第三者提供に係る説明が明確であるとは認め難い。 」
上記は、内定辞退率の提供は、内定辞退率がRCA社にとり個人データに該当する場合でも、学生にその利用目的を明確に説明した上で同意を得れば法上適法に行う余地があると読めます。
不明確とされた説明文は、少なくとも2019年12月9日時点の「リクナビ2021」のプライバシーポリシーにも、その最後に「◆属性情報・端末情報・位置情報・行動履歴等の取得及び利用について」とのタイトルのもとに存在していた[6]以下の部分です(RCA社8月公表文p5の【本来掲載を予定していたプライバシーポリシー】)。
「また、当社は、ユーザがログインして本サービス[注:リクナビ2021]を利用した場合には、個人を特定したうえで、ユーザが本サービスに登録した個人情報、およびcookieを使用して本サービスまたは当社と提携するサイトから取得した行動履歴等(当該ログイン以前からの行動履歴等を含みます)を分析・集計し、以下の目的で利用することがあります。
・広告・コンテンツ等の配信・表示等のユーザへの最適な情報提供
・採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)。
なお、行動履歴等は、あらかじめユーザー本人の同意を得ることなく個人を特定できる状態で第三者に提供されることはございません。
また、当社は、提供を受けた行動履歴等を集計および分析し、個人を特定できない情報として統計データ等を作成し、当該統計データ等につき何らの制限なく利用することができるものとし、ユーザーはこれを承諾します。」
RCA社としては、プライバシーポリシースキームにおける内定辞退率提供に関し、上記の記述により、リクナビからCookieを利用し取得した「行動履歴」(学生の内定後他社情報閲覧情報履歴)を「分析・集計し」内定辞退率を算出し、その内定辞退率を「利用企業等」(契約企業)の「採用活動補助」(フォローする人としない人の区分け)のため学生「個人を特定したうえで」「利用企業等」に「情報提供」することを説明したと主張したと推測されます。
また、アンケートスキームにおける内定辞退率提供に関しては、RCA社において内定辞退率は「行動履歴等を集計および分析し、個人を特定できない情報として」作成した情報であり「何らの制限なく利用することができる」ので、学生本人の同意なく契約企業に提供したと主張したと思われます。
しかし、上記のリクナビのプライバシーポリシーの文言から、このように理解することは、学生は勿論誰もできないように思われ[7]、学生は何に対し同意するのかが分からず、上記のガイドラインがないとしても、法上有効な「同意」が成立するかは疑問です。しかしながら、PPCの公表文からは、一応の説明はあったが明確ではなかった(に過ぎない)と読めます。
7. プライバシーポリシースキームとGDPR/ePrivacy指令
内定辞退率の個人データ該当性を検討する必要性がないだけで、アンケートスキームで述べたことと同じことが言えます。
更に、上記文言については、GDPR上、個人データの利用目的等は、データ主体(学生)にとり明確かつ平易な言葉を用いて簡潔で理解し易い方法で通知しなければならない(12)とされているので、この点からも明らかにGDPRに違反します。
以 上
【注】
[1] 【法における個人識別可能性の提供元基準】 『「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果』 19番参照
[2] 【タグの埋め込み】 南 春花 「リスティング広告におけるタグの基礎からITPまで、最近の話題がまるわかり!」2019.06.07
[3] 【本件におけるタグの埋め込み】 浅川 直輝 「本件、なぜ「脱法」サービスが生まれたのか」日経 XTECH 2019/09/03
[5] 【監督機関の監視に対する見解の例】 従業員データ処理意見書(2017年6月8日WP29 Opinion 2/2017))
[6] 【2019年12月25日時点のリクナビ2021のプライバシーポリシー】 最後の部分が「◆Cookie等のインフォマティブ情報について」とのタイトルのもとに内容も修正されている。但し、最終改訂日は「2012年10日改訂」のまま。
[7] 【リクナビのプライバシーポリシーの問題点】 杉浦 健二「リクナビによる「内定辞退率」データ提供の問題点はどこにあったか 法的観点から弁護士が解説」(2019年08月15日 Business Lawyers)でも同様に指摘している。
Comments