プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む！――プライバシーフリーク・カフェ（PFC）前編 #イベントレポート #完全版：自らの業の役割を何と心得るか！（4/5 ページ）

[鈴木正朝, 高木浩光, 板倉陽一郎, 山本一郎，＠IT]

個人情報保護委員会と厚労省の見解の相違

山本　具体的な勧告や指導の内容に移ります。個人情報保護委員会が2019年8月26日にリクルートキャリアに出した勧告・指導の内容についても、最初に触れておきます。

　リクナビ2020新スキームに対する是正勧告は、まず「ポリシーの変更し忘れで7983人分の問題視されるリストが出た」こと。これは第20条「安全管理措置」の問題、第23条1項「第三者提供時の同意の問題」の違反である、と強く出てきました。この辺り、板倉先生、解説をお願いいたします。

板倉陽一郎（以降、板倉）　勧告と指導の両方がなされており、公表されています（個人情報保護委員会「個人情報の保護に関する法律第42条第1項の規定に基づく勧告などについて」令和元年8月26日）。

　勧告の方は、先ほど山本さんが仰った「ポリシーの変更し忘れ」という点で、「プライバシーポリシーにより必要な同意を得ていない」というのが前提事実です。どうも画面遷移の設計でしくじったようです。この必要な同意を得なかったことを中心に勧告が出ています。

　これは、個人情報保護法20条と23条1項の両方が根拠です。同意を取っていないのに第三者提供をしているのは、「個人データの全部、又は一部の提供には原則本人同意が必要である」という23条1項に違反します。他方、20条でよくあるのは、「サイバー攻撃を受けて漏えいが起きてしまった。セキュリティ（安全管理措置）が不十分でした」というケースですが、今回20条違反とされているのは、このような典型的なものとは若干異なります。

　事実が2つあります。

　1つは「自らが個人情報を取得するだけでなく、多くの個人情報取扱事業者からの委託を受け、個人情報を取り扱っており、これらの情報を適切に区分し、安全に管理する必要があるのにできていなかった」こと。自分の情報と受託で扱っている情報の分別管理ができていない、という点を20条違反だとしているのです。

　もう1つは「プライバシーポリシーがきちんと表示できていないのに直す体制ができていない」ことです。「不備を予防、発見、修正する体制がなかった」とされています。これも20条違反だとしています。いわれてみればいずれも「組織的安全措置違反」の一部かもしれませんが、普段個人情報保護法を扱っている人たちもあまり20条の問題だとは考えていなかった範囲まで20条違反としています。

　勧告の内容も割とシビアです。9月30日までに「個人データを取り扱う際に、適正に個人の権利利益を保護するよう、組織体制を見直し、経営陣をはじめとして全社的に意識改革を行うなど、必要な措置をとり、具体的な措置の内容を報告せよ」としています。

　かなり厳しいなと思うのは、「法における適用関係などについて適切な検討を行っておらず」という認定です。これは「自社に適用される法律の関係が分かっていない」ということです。要するに「始める段階でちゃんとスキームが組めていない」というところまで個人情報保護委員会はいっています。

　旧スキームの検討の前にやらないといけないのは、リクナビにおける第三者提供の同意はどのように取得されるのか、というリクルートキャリアの主張の検討です。リクナビ2020の利用規約の第15条を見ると「個人情報はプライバシーポリシーに従って取り扱う」とあります。そしてプライバシーポリシーには「第三者提供に係る条項」があります。リクルートキャリアは、「これらに同意してもらうことで、第三者提供の同意を得た」と考えているわけです。

　ところが個人情報保護委員会指導では、「同意に係る判断を行うために必要と考えられる、合理的かつ適切な範囲の内容が示されていない」と認定しています。従って、プライバシーポリシーが画面遷移に組み込まれてからも、第三者提供義務に反していることになり、指導の原因になっているわけです。

　リクルートキャリアは学生向けサイトで、「本サービスの提供に当たり、学生の皆さまには『リクナビ』にご登録いただく際にプライバシーポリシーにご同意いただいておりますが、本サービスに関する記述が分かりやすいものとはなっておらず、結果、行動ログなどの情報がどのように取り扱われるか、学生の皆さまに十分に理解いただくことができない内容となっておりました」として、プライバシーポリシーの文言が個人情報がどのように取り扱われるかについて読み取れるものではなかったということを認めています。

　勧告の原因となった事実は「プライバシーポリシーを見せそびれた」ということですから、いわば「過失犯」です。他方、指導の原因となった事実は「適切でない文言で同意をいわば詐取した」ということですから、「故意犯」です。

　過失犯が勧告で、故意犯が指導となると、指導の方が監督権限の行使としては軽いので、若干違和感があります。旧スキームは、個人情報保護委員会の認定では「リクルートキャリアから顧客企業への個人データの第三者提供が行われない形態」と認定しており、旧スキームにおける提供は違法とはいっていません。

　厚労省の方は、指導自体が公表されていないので、報道からサルベージする（拾い出す）しかありません。この後の倉重先生からの解説にもあると思いますが、例えば、例えば、「データの世紀　厚労省、個人情報活用に厳格判断　リクナビに行政指導」（日本経済新聞2019年9月6日電子版）で厚労省は、「旧スキームも適切ではない」といっています。その根拠法令は「職業安定法」です。職業安定法は、5条の4で「求職者などの個人情報を適正に管理するために必要な措置を講じなければならない」（第2項）としている他、秘密保持義務の条項が51条2項にあるので、これらを根拠にしているようです。

　個人情報の解釈を個人情報保護委員会とは変えて適用したのか、秘密保持義務の対象（「業務上取り扱ったことについて知り得た人の秘密」＋「業務に関して知り得た個人情報その他厚生労働省令で定める者に関する情報」）に該当するとして適用したのか、はっきりとは分かりませんが、厚労省は旧スキームも違法だといっています。

図5