就職情報サイト「リクナビ」を運営するリクルートキャリアが就活生の内定辞退率を予測したデータを、本人に十分な説明をせずに企業に販売していた件で、政府の個人情報保護委員会は12月4日、データを利用していたトヨタ自動車など35社に行政指導を行った。提供元のリクルートキャリアには2度目の指導・勧告も出した。
同委は(1)利用目的の通知、公表などを適切に行うこと、(2)個人データを第三者に提供する場合、組織的な法的検討を行い、必要な対応を行うこと、(3)個人データの取り扱いを委託する場合、委託先に対する必要・適切な監督を行うこと──を指導した。
トヨタ自動車、京セラ、三菱商事など11社には(1)の内容、デンソー、エヌ・ティ・ティ・コムウェア、レオパレス21など24社には(1)〜(3)の内容を求めた。前者にはリクルートキャリア、後者には親会社のリクルートも含まれている。
リクルートキャリアには2度目の勧告を出し、個人情報を取り扱う社内体制の整備などを要請。8月26日にも同様の勧告を行っていたが、「(1度目の勧告の)原因となった事項以外にも個人情報保護法に抵触する事実が確認されたため、あらためて勧告した」(同委)という。
今回の指導・勧告を受け、リクルートとリクルートキャリアは「今回の一連の事実を重く受け止め、グループ一丸となって再発防止に取組んでいく」と謝罪している。
同委は、リクナビが18年3月〜19年8月に提供していた「リクナビDMPフォロー」というサービスを問題視している。
同サービスは、リクルートキャリアが(1)顧客企業から応募者の個人情報(19年2月まではCookie情報、3月以降は氏名など)を提供してもらう、(2)リクナビの持つ情報と突き合わせ、利用ブラウザや個人を特定する、(3)行動履歴を過去のリクナビユーザーのものと照合し、内定辞退率のスコアを算出する――という仕組みだった。サービス利用の申し込みがあった企業は38社で、そのうち実際にスコアを提供したのは35社だったという。
だが、リクナビのプライバシーポリシーに不備があり、一部の学生から事前に同意を得ないまま、顧客企業と個人情報やスコアをやりとりしていたことが発覚。批判を受け、リクルートキャリアは8月にサービスを廃止した。
リクルートキャリアは8月時点では、スコアを提供した学生は7万4878人で、そのうち事前同意を得ていなかった学生は7893人としていた。だが再調査の結果、12月4日時点でスコア提供の対象になった学生は9万5590人、事前同意を得ていなかった学生は2万6060人に上るという。
同委はプライバシーポリシーの漏れに加え、顧客企業側で特定の個人を識別できることを知りながら、リクナビでは「特定の個人を識別できない」と説明し、リクナビユーザーからの同意取得を回避していた点も指摘。「法の趣旨を潜脱した極めて不適切なサービス」と非難している。
また、リクルートキャリアが「ハッシュ化すれば個人情報に該当しない」という誤った認識のもと、顧客企業から提供を受けた氏名を使って、内定辞退率を算出していた点も問題視した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR