「リクナビ問題に見る日本の個人情報保護法の欠陥」を電子フロンティア財団が指摘

2019年、就職情報サイトの「リクナビ」が、ユーザーデータを用いて個々の求職者が求人を辞退する確率を予測し、顧客企業に販売していたことが明らかになりました。リクナビによる顧客データの不適切利用は「リクナビ問題」として大々的に報じられたのですが、「このリクナビ問題はプライバシー関連法に存在する抜け道の危険性を示している」と電子フロンティア財団が指摘しています。

Japan’s Rikunabi Scandal Shows The Dangers of Privacy Law Loopholes | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2021/05/japans-rikunabi-scandal-shows-dangers-privacy-law-loopholes

世界中のテクノロジーユーザーはデータ保護についてますます懸念を抱くようになっていますが、多くの人は自分に関するデータがどのように収集されているかを正確に認識していません。ユーザーデータの収集として広く知られているのは、ウェブサイトがブラウザを認識するために使用するCookieなどの追跡技術を使用した、ユーザーの行動に関する広範なプロファイルの作成です。

このようなユーザープロファイルをベースに、求人辞退率を算出し、顧客企業に販売していたというのが「リクナビ問題」です。電子フロンティア財団は、「リクナビ問題は、企業が個人情報保護法(APPI)を守りながら、データ保護義務を回避するような抜け道をどのように利用しているかを示しています。また、個人情報保護法における不適切な箇所や、そこに存在する抜け道の危険性を浮き彫りにしています」と指摘しています。

なお、これまでの個人情報保護法を改正する改正個人情報保護法が2022年4月に施行される予定ですが、電子フロンティア財団は「改正個人情報保護法でも抜け道を完全に閉じるには不十分です」と指摘しています。

リクナビ問題を起こした就職情報サイトのリクナビは、IndeedやGlassdoorを所有するリクルートグループの子会社であったリクルートキャリア(記事作成時点ではリクルートが運営)が運営していました。リクナビは求職者が就職の機会を探すためのサイトで、ほとんどの場合は、大学生やキャリアを始めたばかりの社会人を対象としています。リクナビは多くのインターネットプラットフォームと同様にCookieを利用し、ユーザーが求人情報を検索・閲覧・操作する方法に関するデータを収集していました。

そして、リクナビキャリアはリクナビで収集したデータをユーザーの同意なしに利用し、個々の求職者の求人辞退率を予測するアルゴリズムを作成。この求人辞退率に関するデータを、2018年3月から2019年2月にかけて顧客企業に販売していました。顧客企業としてはトヨタや三菱電機といった大手企業を含む35社が挙げられています。リクルートキャリアがリクナビの情報を基に求人辞退率に関するデータを販売していると報じられたのち、同社は求人辞退率に関するデータを「採用に使用しないように」と顧客企業と契約を結んでいると説明しましたが、「実際にそのように扱われていた保証はありません」と電子フロンティア財団は指摘。日本では終身雇用が根強く残っているため、「リクルートキャリアが販売した求人辞退率に関するデータが学生の就職や今後のキャリアに大きな影響を与えた可能性がある」という指摘もあります。

【就活ならリクナビ2022】新卒・既卒の就職活動・採用情報サイト

日本のデータ保護法である個人情報保護法に存在する抜け道は、リクナビ問題を理解するために重要な要素です。世界で3番目に大きな経済大国であり、世界でも最も技術的に進んだ国のひとつである日本は、EUの一般データ保護規則(GDPR)と同等の保護レベルを有したデータ保護法を持つ国として最初に認められました。ただし、日本の個人情報保護法はEUにおけるCookie規制から「かなり遅れを取っている」と電子フロンティア財団は指摘しています。

より強力で厳格なデータ保護を行うGDPRでは、Cookieが「個人情報を構成する可能性があるもの」として扱われています。また、GDPRでは個人情報とみなされるため、識別子とユーザーの正式な名前(国民IDや運転免許証に記載されているID)を合わせて使用することができません。また処理するデータが、「Cookieなどの複数のデータ」および「他のユーザーと区別される可能性のあるその他の識別子」に基づき「間接的に」ユーザーを識別できるように設計されている場合も、取り扱うデータは個人情報とみなされます。

つまり、EUでは個人を識別したり、個人に関する2つ以上の情報をリンクして個人を識別したり、特定の特性を調べ他の特性と比較して個人を識別したりすることは、すべて個人を識別する行為に当たるとされ、その中で扱われる情報は個人情報とされるわけです。そのため、EUでは「ショッピングカートに入れた商品の情報」などの一部の例外を除き、Cookieを使用する際はユーザーに対して「Cookieの利用を通知し同意を求める」ことをプラットフォームに求めています。

一方で、日本の個人情報保護法は異なる基準を採用しています。個人情報の保護に関する法律についてのガイドラインでは、特定の個人情報をコンピューターを用いて検索することができるように体系的に構成したものが「個人情報データベース」、この個人情報データベース等を構成する個人情報を個人データと定義しています。そのため、Cookieを収集・処理・転送する企業が、通常の業務の中で使用される他の情報とCookieを照合し、個人の身元を確認できるようにすると、Cookieは「個人データ」に該当します。しかし、企業が収集したCookieを他の企業の情報と照合して個人を特定したとしても、Cookieは個人データとはみなされません。つまり、簡単に個人の特定に利用できるCookieが、扱い方次第で個人データとはみなされないようになっているため、企業はCookieを自由に収集・処理・転送できるようになっているわけです。

このような個人情報保護法に存在する抜け道を利用したのがリクナビ問題です。リクナビ問題ではリクルートキャリア、リクルートコミュニケーションズ、そして求人辞退率に関するデータを購入した顧客企業という3つが問題に関与しています。なお、リクルートキャリアはリクナビを運営している企業、リクルートコミュニケーションズは求人辞退率を算出するアルゴリズムを作成・提供した企業です。

リクナビ問題では、リクナビのサイトにアクセスしたユーザーに対してCookieを使って個別のIDを割り当て、リクナビのサーバーに送信します。リクナビサーバー側でCookieのIDとユーザーデータが照合され、氏名・メールアドレスといった個人情報のほか、検索した企業・関心のある業界といった情報が統合されます。その後、リクルートキャリアは個人情報保護法に抵触しないように、連絡先や氏名といった個人情報を削除したデータを、リクルートコミュニケーションズへと送信し、求人辞退率の算出を依頼するわけです。

リクルートコミュニケーションズ側のサーバーでは、リクルートキャリアから送信されてきた「Cookie IDはあるものの、本名や連絡先といった個人情報は削除されたデータ」と求人募集に応募してきたユーザーに割り当てられたIDや、リクナビの閲覧履歴と照合。その後、アルゴリズムを用いて各IDの求人辞退率を算出し、これを顧客企業に送信します。顧客企業は自社サイト上で求人募集を行っていた企業で、自社の応募者情報とリクルートコミュニケーションズから送信されてきた情報を照合することで、「各応募者の求人辞退率」が簡単に予測できるようになっていたというわけです。

日本の個人情報保護法は事前の同意なしでユーザーの個人データをビジネスのために共有することを禁止しています。そのため、リクルートキャリアが自社で求人辞退率を算出し、顧客企業に販売する場合は、ユーザーに対して事前に同意を求める必要があります。

しかし、個人情報保護法では「企業が他のデータセットと照合しても個人を特定できないデータ」を個人データとみなしません。そのため、リクルートコミュニケーションズを間に介することで、リクナビ上でユーザーに対して事前に同意を求めることなく、個人情報のやり取りが可能になってしまったわけです。

しかし、リクルートキャリアは顧客企業側が簡単に求人辞退率と応募者の氏名を関連付けることができると知っていたとして、厚生労働省は個人情報の取り扱いが不適切だったとして職業安定法に基づき、同社に対して行政指導を行います。

リクルートを行政指導　学生の個人情報不適切扱い　職業安定法違反、厚労省 - 産経ニュース

こういった経緯もあり、2020年6月に改正個人情報保護法が可決・成立します。2022年4月に施行する改正個人情報保護法では、ユーザーに対して事前に個人データの収集について同意を求める必要があります。改正個人情報保護法では「他の情報と照合することで個人の特定につながる情報」はすべて個人データとして扱われるため、リクナビ問題のようなスキームも法律違反に該当することとなります。

しかし、改正個人情報保護法においても、行動データと「間接的に」組み合わせる場合は、Cookieが個人データに分類されません。これについて電子フロンティア財団は明確に「これは間違いです。Cookieおよび同様の機械生成識別子(広告識別子など)は、広範なオンライン追跡とプロファイリングを可能にするものです。Cookieはさまざまなウェブサイト上での行動を、ひとりのユーザーとリンクするために使用されています。つまり、追跡技術がひとりの人生における広範かつ膨大な活動を、一つのプロファイルとつなげられるようにしてしまうわけです。Cookieが個人のIDと直接つなげられていないからといって、プロファイルの機密性が低下することはありません」と批判。

さらに、データブローカー業界のおかげでCookieで収集した情報を個人と結びつけることが簡単になっているとも電子フロンティア財団は指摘しています。