連載
» 2019年12月03日 05時00分 公開

混ぜるな危険:プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)後編 #イベントレポート #完全版 (2/4)

[鈴木正朝, 高木浩光, 板倉陽一郎, 山本一郎,@IT]

コントローラーは誰だ

鈴木 単なる安全管理措置として、さすがに氏名や電話番号を委託先に渡してリスク範囲を拡大するのは嫌だから、単にそれらをマスキングしたり、削除したりしているだけでしょう。でも番号で元データとマッチングできるようにしているんだから、こんなの提供元においては個人情報のままですよね。

 これは処理としては、記名式Suicaの履歴データ無断提供事件のときと同じでしょう。「IDだけハッシュ化して不可逆的に別IDにすれば完全匿名化だ」って、産業界や大手法律事務所の弁護士さんなどから批判されて、われわれは四面楚歌でしたけども。「匿名化したのに個人情報のままってバカじゃないの、これだからプライバシーフリークは困る」と大勢にたたかれたことがありましたよね。

 あのときに、またそれ以降も学習しなかったんですよ。そこから4、5年たって、いまだに「匿名も仮名も区別がつかない」状態にとどまっていたわけですよ。これではGAFA(Google、Apple、Facebook、 Amazon)に席巻されて当たり前じゃないですか。GAFAは技術力に加えてコンプライアンス力も上ですからね。

 そして、本件は委託でしょう。委託元は委託先を監督する立場なわけですよ。委託先に預けたデータが個人データだと契約含めてしっかり認識させて処理させる責任があるんですよね。

山本 実際、今回の話で言うと、求人企業側って自分たちの問題じゃないと思っている節があるんですが、どうですかね。データコントロールしているのは、実は求人企業の側であって、リクルートキャリアは委託を受けている側に過ぎません。もちろん、委託だからって他の企業からの就職情報の閲覧履歴をかき集めて勝手に分析して同意なくスコアリングしているのは問題ですが、本質で言えば、データコントローラーである求人企業にも配慮するべき責任があるようにも感じます。

鈴木 GDPR(EU一般データ保護規則)のように日本の個人情報保護法も、コントローラーという概念を入れないと当事者意識、管理責任主体としての意識が希薄なままになりますよね。委託元には委託先の監督義務があるという22条には、コントローラーっぽいコンセプトが垣間見られますけど、取得からその他の取り扱い全般にわたって誰が本人や行政庁や社会に対して責任を負うのかを分かりやすくするためにコントローラーという概念を入れてほしいですよ。

 複数事業者で一体的な業務モデルを運用している場合、それが委託か第三者提供か法律構成次第で恣意的にそれぞれの関係事業者に分断できる。個人情報該当性を判断する対象情報も分断されて、個人情報に該当しないという潜脱を許す、明示すべき利用目的の内容が分断されるので、本人からみてその全容がつかめなくなるという弊害もあります。

 要するに、就活生は、契約企業とリクナビを別々に見ても、どこの何を見てどうやって内定辞退予測のスコアリングをするのかつながらないので、よく分からないまま同意に誘導されたりする。今回の事件でこうした弊害が明るみに出たのですから、次の改正ではここの対応はしていただきたいですよね。

山本 そこはやっぱり受託者の方が強くなっている、ということですかね。データが集まる以上、利用者に無断でスコアリングしたり、突合したりすると有利になるのは当然ともいえます。

板倉 結局、何と何を混ぜたかというと、「募集企業を紹介するためにリクナビが保有していた情報」と、募集企業がリクナビが提供している求人情報の管理機能を利用しているが故に「リクナビが募集企業から委託を受けた情報」ですよ。

 求人情報の管理機能に伴って取り扱っている個人データは、自分で保有しているわけではない。受託なわけです。この「個別の募集企業が管理しているデータ」は分別管理しなければいけなかった。

 こういう構図は珍しくありません。受託企業は、個人データの取り扱いに関するいろいろなサービスを提供します。個人情報の取り扱いに責任を持たなければいけない保有者はそれを使うユーザー企業だというのは、いろんな場面であります。私はいろんなところでアドバイスしていますが、カメラソリューションとか、AIソリューションとかはみんなそうです。ソリューションのユーザー企業の方が、委託元であり、個人情報の保有者になります。

 こういうことになるのは、要するに、ベンダーにエンジニアと法務機能がたくさんあり、ユーザー企業にいないということです。そうすると、利用目的や第三者提供の同意などは、ソリューションを提供するベンダー企業が「これを使ってくださいね」と用意する。Cookieポリシーもそうです。

 広告企業は広告主のWebサイトに「これを貼っておいてくださいね」とお願いしなければならないけれど、金をもらう相手にお願いするわけですから、非常にやりづらいんです。だから、日本経済新聞の一面で「この人たちはCookieポリシーを貼っていません」と書かれるまで直さないし(「データの世紀 情報共有先、5割が明示せず 閲覧履歴など主要100社 本人知らぬ間に拡散」日本経済新聞2019年2月26日電子版)、カメラソリューションをユーザー企業が用いる場合も、カメラの利用目的を適切に通知公表しないということが起きているんです。

 エンジニアや法務の偏在という構造的な問題もありますが、営業の人は頑張って「これをWebサイトに貼らないのであれば、お金をもらってでもこのソリューションは提供できません」と言うしかないですね。

鈴木 委託元は委託先を監督せよといわれても、委託先の方にスキルが集約されるから、監督するスキルがないんですよ、構造的にね。

 だから、板倉先生が言うように、クライアントたる委託元を違法にさせないように委託先が面倒見るような業務内容にセットしたパッケージを作らないと。それは受託事業をやる側のいわば社会的責務と考えて、コントローラーたる契約企業の顔を立ててあげてください、と。お客さまの適法化まで含めてお仕事です、と意識をあらためてもらう外ないかなぁと思っています。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。