山本 前回「リクナビが委託と称していたものは、委託を逸脱していたのではないか」、仮に逸脱していないとしても、「委託なら求人企業側が利用者に対して適切に利用目的や内容を通知、公表する義務があるよね」という話をしました。この件はその後どうなったのでしょうか。
板倉 以前からわれわれは、「委託先で勝手に混ぜたら第三者提供になって違反だよ」「委託元と委託先とのデータを混ぜるのも違反だよ」と言ってきました。
今回は委託先が「安全管理措置義務の20条で、分別管理していない」ことを指導勧告されました。「委託先と委託元を混ぜてはいけない、委託元同士も混ぜてはいけない」というのは、今後、求人企業側に対する処分で明らかにされるかもしれません。
山本 2つ目の公表義務については、いかがですか?
高木 前回指摘したのは、「求人企業側で利用目的を特定して通知、公表する義務があるはず」という話でした。その点はマイナビも同じです。エントリーシートから内定辞退予測スコアを算出するサービスをSaaSで提供しているので、「使っている求人企業側が利用目的を特定して通知、公表しないといけないのでは」ということです。
その点が今回の改正大綱骨子で対応しているかというと、「事業者における自主的な取り組みを促す仕組みの在り方」の「保有個人データに関する公表事項の充実」が関係するかもしれません。
III 事業者における自主的な取組を促す仕組みの在り方
2. 保有個人データに関する公表事項の充実
個人情報取扱事業者による保有個人データの本人に対する説明の充実を通じて、本人の適切な理解と関与を可能とし、個人情報取扱事業者の適正な取扱いを促す観点から、個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法などの本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加する。
「個人情報保護法 いわゆる3年ごと見直し制度改正大綱(骨子)」(2P)より
高木 現行法の27条には「保有個人データに関する事項の公表等」という義務があり、誰が保有しているか(1号)や、利用目的(2号)などが公表義務の事項として規定されています。そこに追加する項目が、「取扱体制や講じている措置の内容」だそうです。
何のことですかね? 安全管理をどうしているかの話でしょうか。そんなことはどうでもいいと思うのですがね。もう一つが、「保有個人データの処理の方法」だそうです。処理の方法とは何? というところですが、それを追加するというんですよ。
山本 そうですよね。
高木 これを日本経済新聞は「リクナビ対応だ」と言っています。「データをどんな手法で扱うか示すよう義務付ける」と書いています。「例えば『AIを使って信用度を格付けしている』などの説明が必要になる」と報じています。しかしこれがリクナビ対応なのかどうか……。
企業が個人のデータを使う手法についても、詳しく説明させるルールを作る。現状は個人情報を集める際、「新商品に関するお知らせのため」など利用目的を示していればよい。今後は事前の説明項目を増やし、データをどんな手法で扱うか示すよう義務付ける。例えば「AIを使って信用度を格付けしている」などの説明が必要になる。
日本経済新聞2019年11月28日朝刊「ネット閲覧情報の第三者提供 利用者の同意 義務付け 個人情報保護委」より
山本 すごく違和感があるんですが。これでいいのなら、使いそうな項目や内容をてんこ盛りにしておくだけで、他社のデータに利用者が望まない形で混ぜられてしまうことも問題ないことになってしまいます。
鈴木 利用目的の分割問題ですよ。リクナビ事件で「あっ!」と思ったのは、A社(リクナビ)、B社(求人企業)ともに個人データについて管理責任のあるdata controllerになっているとこです。
controllerとcontrollerの間で管理責任が移るから第三者提供モデルなんですね。主従関係のある委託元であるcontrollerと委託先であるprocessorなら委託モデルになる。
私は今まで、法律構成で比較的自由に決まると思っていました。基本は当事者の私的自治の問題であって、A社、B社が話し合って契約関係で委託関係も第三者提供関係も選択できると思っていたんですね。でもリクナビ事件を見て、これは違うんじゃないかと、その自由度は意外と狭いのではないかと思い始めました。
ビジネスモデルの内容によって、その性質によって決まるところも大きいし、本人の権利利益保護の観点から、法律に従って行政庁がそこを規律していくべきなのではないか、と。
オンライン系のビジネスでは、1つのビジネスモデルを複数事業者で実行する例がもはや一般的ですから、「おまえが胴元になって全体のビジネスモデルの個人データを管理し、必要な事項を本人に示し世の中に公表せねばならんだろうが!」と必然的に確定するところもあるだろうなと思います。
虎たちの咆哮はまだまだ続く。個人情報保護法改正編02は、2020年3月10日掲載です。
新潟大学大学院現代社会文化研究科・法学部 教授(情報法)、一般財団法人情報法制研究所理事長、理化学研究所革新知能統合研究センター情報法制チームリーダー
1962年生まれ。修士(法学):中央大学、博士(情報学):情報セキュリティ大学院大学。情報法制学会運営委員・編集委員、法とコンピュータ学会理事、内閣官房パーソナルデータに関する検討会、同政府情報システム刷新会議、経済産業省個人情報保護法ガイドライン作成委員会、厚生労働省社会保障SWG、同ゲノム情報を用いた医療等の実用化推進TF、国土交通省One ID導入に向けた個人データの取扱検討会等の構成員を務める。
個人HP:情報法研究室 Twitter:@suzukimasatomo
国立研究開発法人産業技術総合研究所 サイバーフィジカルセキュリティ研究センター 主任研究員、一般財団法人情報法制研究所理事。1967年生まれ。1994年名古屋工業大学大学院工学研究科博士後期課程修了、博士(工学)。
通商産業省工業技術院電子技術総合研究所を経て、2001年より産業技術総合研究所。2013年7月より内閣官房情報セキュリティセンター(NISC:現 内閣サイバーセキュリティセンター)兼任。コンピュータセキュリティに関する研究に従事する傍ら、関連する法規に研究対象を広げ、近年は、個人情報保護法の制定過程について情報公開制度を活用して分析し、今後の日本のデータ保護法制の在り方を提言している。近著(共著)に『GPS捜査とプライバシー保護』(現代人文社、2018年)など。
一般財団法人情報法制研究所事務局次長、上席研究員
1973年東京生まれ、1996年、慶應義塾大学法学部政治学科卒。2000年、IT技術関連のコンサルティングや知的財産管理、コンテンツの企画、製作を行う「イレギュラーズアンドパートナーズ」を設立。ベンチャービジネスの設立や技術系企業の財務。資金調達など技術動向と金融市場に精通。著書に『ネットビジネスの終わり』『投資情報のカラクリ』など多数。
ひかり総合法律事務所弁護士、理化学研究所革新知能統合研究センター社会における人工知能研究グループ客員主管研究員、国立情報学研究所客員教授、一般財団法人情報法制研究所参与
1978年千葉市生まれ。2002年慶應義塾大学総合政策学部卒、2004年京都大学大学院情報学研究科社会情報学専攻修士課程修了、2007年慶應義塾大学法務研究科(法科大学院)修了。2008年弁護士(ひかり総合法律事務所)。2016年4月よりパートナー弁護士。2010年4月より2012年12月まで消費者庁に出向(消費者制度課個人情報保護推進室(現 個人情報保護委員会事務局)政策企画専門官)。2017年4月より理化学研究所客員主管研究員、2018年5月より国立情報学研究所客員教授。主な取扱分野はデータ保護法、IT関連法、知的財産権法など。近共著に本文中でも紹介された『HRテクノロジーで人事が変わる』(労務行政、2018年)の他、『データ戦略と法律』(日経BP、2018年)、『個人情報保護法のしくみ』(商事法務、2017年)など多数。
Copyright © ITmedia, Inc. All Rights Reserved.