プライバシーフリーク、リクナビ問題後初の個人情報保護法改正の問題点にかみつく!――プライバシーフリーク・カフェ(PFC)個人情報保護法改正編01 #イベントレポート #完全版:実はゆるゆるだった「Pマーク」(1/5 ページ)
リクナビ問題の法的解釈の問題点は、個人情報保護法改正でクリアになるのか――鈴木正朝、高木浩光、板倉陽一郎、山本一郎のプライバシーフリークたちが、集結した。※本稿は、2019年12月2日時点の情報です
2019年12月2日、プライバシーフリークの会主催の「プライバシーフリーク・カフェneo どうなる? 個人情報保護法改正」をアイティメディアで開催した。
プライバシーフリーク・カフェ(PFC)とは、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が、情報法と社会について、自由気ままに、そして真面目に放談するセミナーで、5年にわたって活動を続けている。
今回の「どうなる? 個人情報保護法改正」では、個人情報保護法の3年ごとの見直しによる改正大綱の骨子、2019年夏に起こったリクナビ問題をテーマに、4頭の虎が吠えた――。
リクナビは、旧スキームも違法だった?
山本一郎(以降、山本) 今回のPFCは、個人情報保護委員会から出た個人情報保護法改正大綱の骨子について話をしつつ、リクナビ問題についても議論していきます。
まず、今回の骨子で前回PFCで積み残した部分がどういう取り扱いになったのかを踏まえて、話を進めます。
内定辞退予測スコア問題で、リクナビを運営するリクルートキャリアは、「予測スコアには旧スキームと新スキームがある」と説明しました。リクナビ問題では新スキームだけが問題視され、旧スキームは個人情報保護委員会から不問になったようでしたが、その後、変化はありましたでしょうか。
内定辞退予測スコア問題
リクナビだけじゃない――不正利用元年に理解すべき個人情報の概念と倫理
大手就活サイト「リクナビ」を運営していたリクルートキャリアが、学生の同意を得ないまま履歴書情報とWebアクセス履歴を突き合わせ、機械学習技術を用いて「内定辞退率」を予測し、「リクナビDMPフォロー」(リクナビDMP)というサービス名で34社に販売していた事件
高木浩光(以降、高木) 公表された骨子には、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、第三者提供の制限の規律を適用する」と書かれています。これは明らかに旧スキームのことかなと思います。日本経済新聞の報道でもそう書かれています。
IV データ利活用に関する施策の在り方
2. 提供先において個人データとなる場合の規律の明確化
個人に関する情報の活用手法が多様化する中にあって、個人情報の保護と適正かつ効果的な活用のバランスを維持する観点から、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
「個人情報保護法 いわゆる3年ごと見直し制度改正大綱(骨子)」(3P)より
山本 要は、元から適法とは言い難かったということですか。
高木 そう思います。図1は、2019年11月25日の個人情報保護委員会で検討された資料の「本人同意なきデータの第三者提供」のスライドです。「A社とB社でCookie、IDなどを共有」とあって、いわゆるcookie sync的なものが書かれています。B社がこのIDにひも付いた個人情報を取り扱っている事実をA社が知りながら、そのIDと共に個人に関する情報を提供する場合の図です。
リクナビの旧スキームがこれに当たりますが、リクナビ以外にも、資生堂がこうしたCookie、IDと突合をやっているという話が2019年3月の読売新聞(2019年3月20日朝刊解説面)に出ていました。資生堂は「Cookieは個人情報ではないので法令違反とは考えていない」とコメントしていましたが、その件もこれに該当すると思われます。
山本 後半にも重要なポイントとして出てきますので、この図をぜひ覚えてください。要は、当初は「ココだけだめ」と言われたものが、後から気付いたら、「ココ」以外にもいろいろなものが実はだめだったということです。この辺り、改正大綱の骨子ではいかがでしょうか?
板倉陽一郎(以降、板倉) 改正大綱の骨子IV−2が該当箇所です。表題が「提供先において個人データとなる場合の規律の明確化」ですから、元から個人情報と捉えていたとも解釈できるわけですね。
ピンク本と呼ばれる平成27年(2015年)改正前の「立案担当者解説」(図2)を見ると、当時から「日常的に行われていない他の事業者への特別な照会を要する場合」は容易な照合ではなく、「組織的、経常的に相互に情報交換が行われている場合など」は元から容易に照合できる場合に当たる、といっていたわけです。
先ほどの図1を見ると、「相互に情報交換が行われているに該当するならば、元から容易照合性があった」ともいえる一方、「明確化」というのは全部が解釈の問題というわけでもありません。
平成27年の改正時は、保有個人データについての「開示等の求め」が「開示等の請求等」(32条)になりました。裁判上の請求権性を「明確化」したとされていますが、条文も書き換えました。要するに「明確化」というのは、解釈の問題として処理するのも、改正するのも、どちらもあり得るのではないでしょうか。
山本 この解説もどうとも読めるのがまずいんだと思いますが、「個人情報保護委員会が不問にしたのだから、リクナビの旧スキームはセーフだった」と理解してよいのでしょうか。
板倉 現行法で違法かというと、個人情報委員会はいったん、旧スキームは個人データに当たらないものの提供だといって不問に付していますから、どちらかというと硬めの「提供元基準」でやっていると思います。
関連記事
プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)前編 #イベントレポート #完全版
学生の就職活動を支援するための「人材」サービスが、本人の権利利益をないがしろにして己の利益のためだけに野放図に使っていたことこそが、問題だ!(by厚生労働省)――リクナビ事件の問題点を、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人がさまざまな角度で討論した。※本稿は、2019年9月9日時点の情報です
プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)中編 #イベントレポート #完全版
Ad Techが守ってきたルールを、HR Techは軽々と破ってしまったのか――リクナビ事件の問題点を、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人がさまざまな角度で討論した
プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)後編 #イベントレポート #完全版
求人企業は自分たちの問題とは思っていないのではないか――リクナビ事件の論点は、業務委託とコントローラーの視点へ。鈴木正朝、高木浩光、板倉陽一郎、山本一郎の咆哮を聞け!
リクナビだけじゃない――不正利用元年に理解すべき個人情報の概念と倫理
就活サイト「リクナビ」が就活生の「内定辞退率」を企業に販売し、影響を受けた(と思われる)学生の就職活動の妨げとなった。問題の根源は何か、リクナビが反省すれば問題は解決するのか――HR業界の闇を明らかにするために、あのフリークたちが集結した!
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。