求人企業は自分たちの問題とは思っていないのではないか――リクナビ事件の論点は、業務委託とコントローラーの視点へ。鈴木正朝、高木浩光、板倉陽一郎、山本一郎の咆哮を聞け! ※本稿は、2019年9月9日時点の情報です
「第2回JILIS情報法セミナー in 東京」冒頭で行われた、「プライバシーフリーク・カフェ」の全貌をお伝えするイベントレポート完全版。後編も鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人がリクナビ事件の問題点をさらに踏み込んで討論します。
山本 リクルートキャリアの問題は、「個人情報の取り扱い方には問題はあったが、やろうとした内定辞退予測スコア弾き出しというプロセス自体は悪くはない」という擁護の声もありました。それって本来の個人情報保護の文脈の趣旨からするとどうなのかな、と言及しておいた方がいいと思うのですが。
高木 いろいろな方のTwitterでの発言を見ていまして、面白いなと思ったのが、何かの専門の方の、「確かに個人情報の取り扱いには問題があったが、やろうとしていたことには問題がなかった」という発言。やろうとしたことにこそ問題があったわけで、むしろ個人情報保護法というのは、そのやっちゃいけないことを未然に防ぐためのルールだったわけです。
つまり、本人同意を要するというルールがあることによって、確かな同意を取ろうとすれば、本当のことを説明しなければならないことになります。先ほど板倉先生から指摘があったように、こんな事業を包み隠さず説明したら誰も同意するわけがないので、初めからやらないはずですよね。やってはいけないことを個別に禁止しなくても、間接的なルールによって結果的に事業者が自制することになるようになっているわけです。人々をだまさない限りできないような事業はもともと生まれないようにする仕掛けです。
「やろうとしていたことには問題がなかった」と発言している人たちに疑問を持ったのは、「じゃあ、なぜ、個人情報の取り扱いの方は問題だと思うんですか?」ということです。たぶんそういう人たちは、「ルールは意味が分からなくても守るもの」と思っているのでしょう。そのルールは何のためにあるのか、そこが問題になっているということが、こうも理解されないんだなと思いました。
山本 委託を逸脱した問題に飛びます。リクルートキャリアは、いろいろな企業から頂戴している採用に関する情報や他のサイトも含めたCookieの情報を、突合させる形で混ぜてしまいました。それを本人情報としてスコアリングして企業に提供したという流れが問題の非常に大きな引き金になったと思います。混ぜたら委託ではなくなって第三者提供になるという微妙な解釈がカギになると思うのですが、いかがでしょうか。
鈴木 微妙というか、昔から、平成15年法の制定当時から起きている問題です。例えばコールセンターの受託業務。個人情報保護法ができた直後は、コールセンターがA社、B社、C社と多数の業務を受託し、預かっている顧客データなどが必ずしもきれいに整理されていない、手元でも名簿やマニュアルなどの文書類も区別整理されていない、ということが問題視されたことがありました。
A社、B社、C社とユーザー企業の帽子をかぶり変えながら、データベースを切り分けながらそれぞれのユーザー企業の伸びた手として、受託企業としてそれぞれ独立して対応すべきところを、労務管理上も、情報管理上も乱雑な運用状態でやっていたのが「それは安全管理上、障壁立てないと漏えい状態だよ、ユーザー企業も委託先の監督責任の問題だよ」ということで経産省などに指導されてきた、といういきさつがあります。
これがここ10年で、コールセンターは治ってきた。そうしたら今度は、こちら(HR)で同じようにデータの混在が起きているようだと。でも、これは本質的にはコントローラーとプロセッサの概念を導入して整理すべき案件で、内定辞退予測サービスを提供するための前提として「全体として一体的に運用している」わけですよ。
山本 まさにそういうことです。
鈴木 業務委託とデータ処理の委託ってズレてもいいのかどうか、そもそもどういうコンセプトだったのか、曖昧だったきらいもあるんですが、第三者提供と委託はどちらを選択するか法律構成の問題として全くの任意でいいのかどうかとかね。恣意的に利用目的が分断されたりとか、本人に全容が分からないことでいいのかなぁとか。法の潜脱を許すような解釈や法律ではいかんよなぁと。こういうことだと思います。
山本 第三者委員会を歴任し、たくさんもうけている大御所の弁護士が「何でも委託にすればいいじゃないか」という大変な物騒な話をされていたかと思うのですが、そういう議論がまかり通ってしまうのはマズいのではないかと感じます。
高木 私も企業法務の方のブログでちらっと見掛けました。弁護士かいわいで話題になって、「あの先生は全部委託でいいと言っているよ」的な話も聞こえてきます。これはまずいですね。
山本 ぞっとしました。どう考えても、まずいですよ。
高木 ただ、ここは、個人情報保護委員会が、2018年12月のガイドライン改正で、委託に関するところを明確化していて、混ぜるのはダメだとはっきりしたので、もう解決したのかと思っているのですけども、まだまだ他社も含めて誤解が多いようです。
実は、リクナビのライバルに当たる「マイナビ」も、同じようなサービスを提供しているではないかという指摘があり、報道でマイナビの広報は、「基本構造は全く違います」と釈明されていました。
調べてみたところ、確かにマイナビのサービスは、あくまでもエントリーシートに書かれた内容を人工知能で解析して、いかほどの能力かを測るとともに、辞退可能性がどれくらいあるかのスコアも付けるというもののようです。これは、各社のデータが混ぜられることなく学習して評価しているのであれば、求人企業が自分のところのデータの処理をマイナビに委託していることになります。
ところが、報道でマイナビ広報は、「受領するエントリーシートは個人を特定できない形になっており、当社と企業間にも個人情報のやりとりはありません」と言ってしまったんです。
山本 すごいですよね。全否定するだけでもびっくりなのに、否定の仕方が否定になっていないようにも思うんですけれども。
高木 これはびっくりで、個人データ処理の委託なんて昔からあちこちでずっとやってきたことで、当然、氏名が要らなければ氏名を抜いて仮名化して処理を委託しているのが常ですけども、その場合に、受託者側でそれが個人情報でないなんてこと、今まで誰も言わなかったですよ。当然に個人情報を預かっている立場だったはずです。
Copyright © ITmedia, Inc. All Rights Reserved.