連載
» 2019年12月02日 05時00分 公開

ハッシュ化したからOKでしょ?:プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)中編 #イベントレポート #完全版 (3/5)

[鈴木正朝, 高木浩光, 板倉陽一郎, 山本一郎,@IT]

何が個人情報なのか

高木 パブコメにかけられた指針案を拝見すると、具体的に個人情報関係でどういう場合に問題となるかが例示されています。その内容が、安全管理されていない場合とか、同意なく提供する場合とか、説明せずに取得している場合とか、まさにリクナビ事案前の時代に取り沙汰されていたようなことばかり。「個人情報って何のために保護するんだっけ?」がよく分からないまま、「取りあえずルールだから守っていた」ようなことばかりが問題の対象にされています。

 リクナビ事案ではっきりしたように、データで人を選別をする行為が問題の本丸なのに、公取の指針案はそこに引っ掛けていないんですね。提供の制限や取得の話は、それを間接的に未然防止するためのルールにすぎないわけで、問題の核心に迫っていない。そこが気になっています。パブコメに意見を出そうと思っているところです。

山本 まさに公取からすると、実際にこうした問題が起きると思っていなかった、まだ具体的には視野に入っていなかったということなんでしょうかね。

鈴木 高木さんも指摘されていますが、公取の「個人情報」の捉え方が不正確でした。まるで財産的価値があるような書きぶりになっています。

 冒頭、それぞれの法に従って対象情報を決めればいいと言いました。ですが、公取は市場などを中心に見るわけですから、財産的取引の対象たるデータを射程にするでしょうけれども、「個人情報は財産的価値があるものだ」という誤ったメッセージが出るのは困るなぁと思って読みました。

山本 その辺りの論点で言うと、リクルートキャリアは個人情報の該当性についてなぜここまで取り違えたのか、という論点が出てくると思います。もちろん、公取の守備範囲や観点もあるとは思うのですが、リクルートキャリアはなぜこういう勘違いをしてしまったのでしょうか。

高木 先ほどのリクナビの資料を再度見ましょう。

図4(再掲)

 矢印が指している「個人が特定できない」とか「できる」と書かれているところ、「業務委託契約の範囲で」と書かれているところに注目です。

 左の旧スキームは「IDを使って突合しているので個人情報ではない」と、リクルートキャリアは今もそう思っているようです。右の新スキームについても、会見で面白いことを言っていました。個人情報だと認めたからサービス廃止にしたわけですが、当初は新スキームのこれも個人情報とは思っていなかったそうです。「個人情報保護委員会からの指摘を受けて、個人情報だと理解した」との説明がありました。

 会見の説明によると、具体的には「氏名などをハッシュ値にしていたから個人情報じゃない」と思っていたそうです。つまり、「求人企業で氏名をハッシュ化して、リクナビで氏名をハッシュ化して、これらを突合して同じ人を判別する」方法でやっていたみたいなんですね。

山本 頭悪いですよね。

高木 その方法で個人情報でないことになるという発想は、どういう誤解をされているのかが大変興味深いわけです。つまり、「氏名そのものの保護が、個人情報を保護する理由なんだ」というふうに思われていたのだと思います。

 ついでに言うと、個人情報保護委員会もちょっとおかしくて、新スキームのハッシュ化の方は個人情報だと言い、旧スキームの別IDによる突合の方は、個人情報に該当しないというリクナビの言い分を認めてしまっています。同じことなのになぜ区別しているのかと……。

山本 今回の発表を見る限り、個人情報保護委員会はリクナビの旧スキームに関しては問題視していなかったですよね。

高木 もしかすると、求人企業側への執行がまだ準備中だからなのかもしれません。今回の委員会の発表文は、旧スキームについて何も言っていません。リクナビの言い分になぞって書いてあるだけです。

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。