連載
» 2020年03月06日 05時00分 公開

実はゆるゆるだった「Pマーク」:プライバシーフリーク、リクナビ問題後初の個人情報保護法改正の問題点にかみつく!――プライバシーフリーク・カフェ(PFC)個人情報保護法改正編01 #イベントレポート #完全版 (1/5)

リクナビ問題の法的解釈の問題点は、個人情報保護法改正でクリアになるのか――鈴木正朝、高木浩光、板倉陽一郎、山本一郎のプライバシーフリークたちが、集結した。※本稿は、2019年12月2日時点の情報です

[鈴木正朝, 高木浩光, 山本一郎, 板倉陽一郎,@IT]

 2019年12月2日、プライバシーフリークの会主催の「プライバシーフリーク・カフェneo どうなる? 個人情報保護法改正」をアイティメディアで開催した。

 プライバシーフリーク・カフェ(PFC)とは、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が、情報法と社会について、自由気ままに、そして真面目に放談するセミナーで、5年にわたって活動を続けている。

 今回の「どうなる? 個人情報保護法改正」では、個人情報保護法の3年ごとの見直しによる改正大綱の骨子、2019年夏に起こったリクナビ問題をテーマに、4頭の虎が吠えた――。

リクナビは、旧スキームも違法だった?

山本一郎(以降、山本) 今回のPFCは、個人情報保護委員会から出た個人情報保護法改正大綱の骨子について話をしつつ、リクナビ問題についても議論していきます。

 まず、今回の骨子で前回PFCで積み残した部分がどういう取り扱いになったのかを踏まえて、話を進めます。

 内定辞退予測スコア問題で、リクナビを運営するリクルートキャリアは、「予測スコアには旧スキームと新スキームがある」と説明しました。リクナビ問題では新スキームだけが問題視され、旧スキームは個人情報保護委員会から不問になったようでしたが、その後、変化はありましたでしょうか。

内定辞退予測スコア問題

リクナビだけじゃない――不正利用元年に理解すべき個人情報の概念と倫理

大手就活サイト「リクナビ」を運営していたリクルートキャリアが、学生の同意を得ないまま履歴書情報とWebアクセス履歴を突き合わせ、機械学習技術を用いて「内定辞退率」を予測し、「リクナビDMPフォロー」(リクナビDMP)というサービス名で34社に販売していた事件


高木浩光(以降、高木) 公表された骨子には、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、第三者提供の制限の規律を適用する」と書かれています。これは明らかに旧スキームのことかなと思います。日本経済新聞の報道でもそう書かれています。

IV データ利活用に関する施策の在り方

2. 提供先において個人データとなる場合の規律の明確化

 個人に関する情報の活用手法が多様化する中にあって、個人情報の保護と適正かつ効果的な活用のバランスを維持する観点から、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する

「個人情報保護法 いわゆる3年ごと見直し制度改正大綱(骨子)」(3P)より

山本 要は、元から適法とは言い難かったということですか。

高木 そう思います。図1は、2019年11月25日の個人情報保護委員会で検討された資料の「本人同意なきデータの第三者提供」のスライドです。「A社とB社でCookie、IDなどを共有」とあって、いわゆるcookie sync的なものが書かれています。B社がこのIDにひも付いた個人情報を取り扱っている事実をA社が知りながら、そのIDと共に個人に関する情報を提供する場合の図です。

 リクナビの旧スキームがこれに当たりますが、リクナビ以外にも、資生堂がこうしたCookie、IDと突合をやっているという話が2019年3月の読売新聞(2019年3月20日朝刊解説面)に出ていました。資生堂は「Cookieは個人情報ではないので法令違反とは考えていない」とコメントしていましたが、その件もこれに該当すると思われます。

図1 第127回個人情報保護委員会 資料よりデータ管理者

山本 後半にも重要なポイントとして出てきますので、この図をぜひ覚えてください。要は、当初は「ココだけだめ」と言われたものが、後から気付いたら、「ココ」以外にもいろいろなものが実はだめだったということです。この辺り、改正大綱の骨子ではいかがでしょうか?

板倉陽一郎(以降、板倉) 改正大綱の骨子IV−2が該当箇所です。表題が「提供先において個人データとなる場合の規律の明確化」ですから、元から個人情報と捉えていたとも解釈できるわけですね。

 ピンク本と呼ばれる平成27年(2015年)改正前の「立案担当者解説」(図2)を見ると、当時から「日常的に行われていない他の事業者への特別な照会を要する場合」は容易な照合ではなく、「組織的、経常的に相互に情報交換が行われている場合など」は元から容易に照合できる場合に当たる、といっていたわけです。

図2 園部逸夫(編)、 藤原靜雄(編)、個人情報保護法制研究会(著)『個人情報保護法の解説 第二次改訂版』(ぎょうせい、2018年)より

 先ほどの図1を見ると、「相互に情報交換が行われているに該当するならば、元から容易照合性があった」ともいえる一方、「明確化」というのは全部が解釈の問題というわけでもありません。

 平成27年の改正時は、保有個人データについての「開示等の求め」が「開示等の請求等」(32条)になりました。裁判上の請求権性を「明確化」したとされていますが、条文も書き換えました。要するに「明確化」というのは、解釈の問題として処理するのも、改正するのも、どちらもあり得るのではないでしょうか。

山本 この解説もどうとも読めるのがまずいんだと思いますが、「個人情報保護委員会が不問にしたのだから、リクナビの旧スキームはセーフだった」と理解してよいのでしょうか。

板倉 現行法で違法かというと、個人情報委員会はいったん、旧スキームは個人データに当たらないものの提供だといって不問に付していますから、どちらかというと硬めの「提供元基準」でやっていると思います。

※注:セミナー2日後の2019年12月4日、個人情報保護委員会から「株式会社リクルートキャリアに対する勧告等について」として、追加の勧告、指導があり、その中で、旧スキームについて、「リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。」と指摘される展開となった

       1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。