はじめに

2019年、令和元年ともなる記念すべき年の中で、最も大きな個人情報保護に関する問題を挙げるとしたら、多くの人が「リクナビ事件」と答えるだろう。リクナビ事件は、就活生の内定辞退率を企業に販売するサービス「リクナビDMPフォロー（以下、DMPフォロー）」によるものだ。個人情報保護委員会も動きを見せ、大きな問題となった。

本記事では、リクナビ事件の概要と問題点を取り上げ、その中から教訓を抽出してみようと思う。

リクナビ事件の概要

2019年8月、就活サイト「リクナビ」を運営する株式会社リクルートキャリアが、就活生の内定辞退率を本人の同意なしに予測し、有償で38社に提供していたことが報じられた。同月に個人情報保護委員会から勧告・指導を受け、同年9月には厚生労働省から行政指導を受けた。また、個人情報保護法に抵触する新たな事実が確認されたことで、同年12月に再び、個人情報保護委員会から勧告・指導を受けた。

ここでは、時系列順にリクナビ事件の概要を振り返ってみようと思う。

まず、2019年8月1日、日本経済新聞などが、リクルートキャリアが内定辞退率を予測・提供していたことを報じた。この問題は瞬く間に広がり、多くの就活生が困惑する事態に陥った。これを受け、リクルートキャリアは8月4日付けで内定辞退予測サービスを廃止した。ちなみに朝日新聞の報道によると、7月31日時点で、リクルートキャリアは個人情報保護委員会から「学生への説明が不明瞭」と注意を受けていて、サービスの販売を一時停止していたようだ。

そして2019年8月26日、個人情報保護委員会がリクルートキャリアに対し、勧告・指導を行った。DMPフォローに対する調査の結果、第20条で求められる安全管理措置が適切に行われておらず、第23条第1項の規定に基づいて必要とされる「個人データを第三者に提供する際に必要な同意」を得ずに第三者に提供していたことが判明した。これにより、個人情報保護委員会は、第41条及び第42条第1項に基づき、勧告・指導を行った。

また、2019年9月6日、厚生労働省の東京労働局は、職業安定法に違反していたとしてリクルートキャリアに行政指導を行った。職業安定法は、勤労権の保障、職業選択の自由の尊重などを定めた法律だ。リクルートキャリアはDMPフォローについて、予測対象の就活生74,878人のうち7,983人については「同意を得ていなかった」としていた一方で、残りの約66,895人については「データの利用に同意を得ていた」と主張していた。しかし厚生労働省は、多くの就活生が利用している現状を考慮し「同意を余儀なくさせられた状態」と判断。このことから、同意があっても職業安定法に抵触する可能性があることを指摘した。

そして2019年12月4日、個人情報保護委員会はリクルートキャリアに対して改めて、勧告・指導を行った。新たに明らかになった事実として、「内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避していたこと」「本サービスにおける突合率を向上させるために、ハッシュ化した氏名を用いて内定辞退率を算出していたこと」などが挙げられる。また、個人情報保護委員会は、DMPフォローを利用していた企業に対して、「DMPフォローの利用目的の通知・公表を適切に行う」などの指導を行った。対象となった企業には、京セラ、トヨタ自動車、本田技術研究所などがあった。

リクナビ事件の経緯については、リクルートがこちらのページにまとめているので、ぜひ参照してみてほしい。

リクナビ事件は、何が問題だったのか

では一体、リクナビ事件は何が問題だったのだろうか。産業技術総合研究所サイバーフィジカルセキュリティ研究センター主任研究員である高木浩光氏は以下のようにツイートしている。

リクナビ問題は7つある。 ①個人情報保護法違反（利用目的公表不十分で同意無効） ②責任主体が曖昧 ③職業安定法に違反かも ④信義誠実の原則に反する（利用目的が十分示されたら誰も同意しない契約） ⑤優越的地位の濫用 ⑥辞退率推定の不正確さ ⑦機械的判断による多様性の欠如

リクナビ問題は7つある。
①個人情報保護法違反（利用目的公表不十分で同意無効）
②責任主体が曖昧（誰がcontrollerか）
③職業安定法に違反かも
④信義誠実の原則に反する（利用目的が十分示されたら誰も同意しない契約）
⑤優越的地位の濫用
⑥辞退率推定の不正確さ
⑦機械的判断による多様性の欠如

— Hiromitsu Takagi (@HiromitsuTakagi) August 8, 2019

またリクルートは、DMPフォローの法的不備について以下の3つの事象を取り上げた。

①アンケートスキームにおける、取扱いデータの個人情報該当性判断についての不備 ②ハッシュ化に関する誤認識に基づき、本人の同意なく個人情報を第三者に提供 ③プライバシーポリシーの更新漏れによる同意取得の不備

そして本記事では、「内定辞退率」「利用規約・プライバシーポリシー」「倫理性」の切り口から、問題点を取り上げていく。

1 内定辞退率は、人生を左右する重大な情報だった

リクナビ事件のキーワードとなる内定辞退率。そもそも内定辞退率は個人情報に該当するのだろうか。結論から言えば、内定辞退率は個人情報に該当しないと考えるのが妥当だ。2019年8月の個人情報保護委員会の勧告を振り返ってみても、内定辞退率そのものが個人情報であることは示されていなかった。確かに、内定辞退率の数字を示されるだけでは、個人を特定することはできないだろう。

しかし、内定辞退率は非常に大きな意味を持つ数字だ。リクルートキャリア代表取締役社長の小林大三氏は会見時に、「モラル面で問題を見積もれなかった」としていた。だがやはり、内定辞退率は採用において大きな影響力を持つ。採用予定者数が人事部のノルマに設定されている場合も多いため、企業としては内定辞退率が小さい学生を確保しておきたいからだ。これは当然、学生にとって人生を左右する重大なことだ。

そしてDMPフォローを利用していた企業は、ハッシュ化された個人情報を紐づけることが可能だったため、個人の内定辞退率を特定することが可能だった。場合によっては、内定辞退率の影響で内定を取れなかった学生もいたかもしれない。これは十分、毀損に該当すると考えられる。

これによりリクルートキャリアは、個人情報保護法第20条で求められる安全管理措置を適切に行うことができなかったと判断され、個人情報保護委員会から措置・指導を受けることになった。

2 利用規約をしっかり読む人が少なかった

リクナビ事件において、非があるのはリクルートキャリアなのは明白だ。だが、先ほど紹介した通り、DMPフォローの対象者となった74,878人のうち、66,895人については、データの利用に同意していたとのことだ。

これについては様々な考え方ができるが、やはり最も考えられるケースは、利用規約をほとんど読まずに同意したことだろう。これがもし「内定辞退率が企業に渡る」と知っていれば、ほぼ間違いなく同意しなかったはずだ。

ちなみに、利用規約については面白い実験がある。世界中のゲストWi-fi事業を手がける英国企業のpurpleが、無料Wi-fiを提供する代わりに1,000時間の無償ボランティアを義務付けることを利用規約に記載したところ、約22,000人のユーザーが同意したという。もちろん、これらのボランティアが実施されることはなかったし、purpleの目的は「消費者の意識欠如の強調」にあった。とはいえ、かなり興味深い実験であることは間違いない。

また、公正取引委員会は2020年に、利用規約がどれだけ読まれているかの調査を実施した。まず、「SNS等を利用する際、当該サービスの利用規約があることを知っていますか」という問いに対し、54.9%が「知っている」と回答したが、33.3%が「存在は知っているが、どこにあるのかは知らない」、11.8%が「知らない」と回答した。約40%の人が利用規約をそこまで気にしていないことが分かる。さらに、先ほどの質問で「知っている」と回答した人を対象に、「SNS等の利用に際し、利用規約を読みますか」と質問。これに対し、12.4%が「必ず読んでいる」と回答。一方で、50.3%が「サービスによって読むときもあれば、読まないときもある」、21.9%が「不明な点や心配な点が生じた場合のみ、該当箇所を読んでいる」、15.4%が「読んでいない」と回答した。つまり利用規約は、全体の6.2%にしか、しっかりと読まれていないのだ。

これらのことを考慮すると、利用規約をしっかり読む人はごく一部であり、利用規約を読まずに同意してしまう人がほとんどであることが分かる。リクナビ事件のようなリスクを避けるために、個人としてはまず「利用規約をしっかり読むこと」を徹底するべきだろう。逆にいうと事業者は、ユーザーが利用規約を読まない問題を、意識する必要があるだろう。

3 根本として倫理的に問題のあるビジネス

DMPフォローは法的に問題のあるビジネスでもあったが、それ以上に、倫理的に問題のあるビジネスだったともいえる。そもそも個人情報は本来、ユーザー本人のために使われるものだ。しかし、DMPフォローに関しては、事業のために個人情報が使われていた。

しかもリクナビは、就活生にとっては必要不可欠なサービスとも言える。就活生としては登録せざるをえないサービスだ。大学の就職説明会でも、その場でリクナビの登録を勧められることも多い。もし仮に「内定辞退率を公開することに同意しなければ、リクナビを利用できない」と提示されたとしても、やはり多くの学生は、就活を成功させたいためにリクナビを利用するだろう。

見方によっては、優越的地位の濫用だともいえる。これは独占禁止法の観点から、大きな問題点だといえるだろう。

リクナビ事件から何を学ぶ？

メディアを大きく騒がせたリクナビ事件だったが、ここから何を学ぶべきなのだろうか。まず考慮しなければいけないのは、リクナビ事件後のリクルートキャリアの業績だ。

リクナビ事件後のリクルートキャリアの業績

リクルートホールディングスは、リクナビ事件後による業績への影響について、「本件による当社グループの2020年3月期の連結業績に与える影響は軽微です」と示した。

実際に、リクルートキャリアの第42期決算公告（2018年4月から2019年3月）と第43期決算公告（2019年4月から2020年3月）を比較すると以下のようになる。

売上高や利益を見ると、悪化どころか良好の結果であることが分かる。

そもそも、リクナビ事件によってリクルートキャリアは、財務的に大きなダメージを受けていない。当時の個人情報保護法で定められていた法定刑は、罰金刑で50万円以下、懲役刑でも1年以下となっている。さらに法定刑は、個人情報保護法からの命令に違反した場合に執行される。リクルートキャリアは個人情報保護法の指導に従っているため、法定刑は課されていないはずだ。

これがもし、GDPRだったらどうだっただろうか。今回のリクナビ事件は、個人データを第三者に提供する際に必要な同意を得ずに第三者に提供していたため、ほぼ間違いなくGDPRが定める要件に触れる。そうなると、最大2,000万ユーロ（約27億円）または世界全体でのその企業の収益の4%のどちらか高い方で罰金となる。リクルートキャリアの場合、第42期の売上高の4%、つまり「964億6,300万円 × 4%」の約39億円の罰金となる。利益の大半を失う大ダメージだ。

GDPRほどの厳しい罰則を設けるかどうかは置いておいて、少なくとも、日本の個人情報保護法は相対的に甘いのは確かだ。プラットフォーマーに対する個人情報保護の規制については、今一度、考える必要がある。リクナビ事件のような問題を本気で阻止したいのであれば、個人情報保護委員会は厳罰化を進めるべきなのかもしれない。

利用規約が圧倒的に読みづらい

リクナビ事件の問題点は、同意を得ていないにもかかわらず、第三者に個人データを提供した点にある。これは明らかに個人情報保護法に抵触している。その一方で、DMPフォローの対象者のほとんどが、利用規約及びプライバシーポリシーに同意していた。先ほども調査を紹介した通り、この背景には、利用者のほとんどが利用規約及びプライバシーポリシーをまともに読んでいないことがある。では、そもそもなぜ利用規約が読まれないのか。その理由は明らかで、利用規約が圧倒的に読みづらいからだ。

実際に利用規約を読んだことがある人なら分かると思うが、利用規約やプライバシーポリシーの字面は、とにかくややこしい。わざわざ難しく説明しているようにも感じられる。もしユーザーを本当の意味で大切にするのであれば、分かりやすさを徹底するべきかもしれない。

プライバシーポリシーに関しては、米国のIT企業が、分かりやすさに注力している。TwitterやGoogleのプライバシーポリシーは特に分かりやすい。文体だけでなく、ビジュアルにも工夫をしているようだ。また、検索エンジンサービスを手がけるDuckDuckGoは、究極のプライバシーポリシーを提示している。

私たちはあなたの個人情報を保存しません。絶対に。 私たちのプライバシーポリシーはシンプルです。ユーザーの個人情報は一切収集しません。

元々、プライバシー保護と利用履歴を保存しないことに強みを持っているサービスということもある。だが、「プライバシーポリシーをここまで簡単に示すことができる一例」として参考にするべきだろう。

TwitterやDuckDuckGoが、プライバシーポリシーのシンプルさを追求する背景には、GDPR第12条「データ主体の権利行使のための透明性のある情報提供、連絡及び書式」の存在がある。条文は以下の通りだ。

管理者は、データ主体に対し、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて、取扱いに関する第13条及び第14条に定める情報並びに第15条から第22条及び第34条に定める連絡を提供するために、特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる。その情報は、書面により、又は適切であるときは電子的な手段を含めその他の方法により、提供される。データ主体から求められたときは、当該データ主体の身元が他の手段によって証明されることを条件として、その情報を口頭で提供できる。

つまり、事業者が個人に対してプライバシーポリシーを提示する場合、分かりやすい文章・形式で提示しなければならないことが、条文に記載されているのだ。サービス利用者を最大限優先したサービス設計をするのであれば、当然のことだろう。

もちろん、日本の個人情報保護法には、プライバシーポリシー等の記載については、明文化されていない。個人情報関連の被害者を少しでも減らすために、個人情報保護委員会はプライバシーポリシーの簡易化を普及させるべきだし、事業者も努力するべき事案だろう。

長過ぎるプライバシーポリシーに意味はあるのか？
自明でない利用のために個人のデータを提供するのは信者と同じではないか？

— Takeharu Kondo 🟥 Acompany CTO (@TakeItHaru) May 13, 2022

まとめ

• リクナビ事件は、就活生の内定辞退率を本人の同意なしに第三者に提供した問題
• 法律をすり抜けるような事件であったが、それ以前に倫理的に問題のあるビジネスだった
• リクナビ事件のような問題を本気で防ぐのであれば、個人情報保護法の厳罰化と、プライバシーポリシーの簡略化が必要

参考文献

日本経済新聞データエコノミー取材班『データの世紀』（日本経済新聞社）

リクルート、これまでの経緯およびプレスリリース

就活生の「辞退予測」情報、説明なく提供リクナビ（日本経済新聞）

リクナビ、内定辞退予測サービス廃止　情報保護法に違反（朝日新聞）

個人情報の保護に関する法律第 42 条第１項の規定に基づく勧告等について

リクナビに行政指導　厚労省、業界に辞退予測の自粛要請（朝日新聞）

リクルート『リクナビDMPフォロー』の法的な不備とその影響範囲

purple, 22,000 people willingly agree to community service in return for free WiFi

デジタル広告の取引実態に関する消費者向けアンケート調査結果

Twitter, Privacy Policy

Google、プライバシーポリシー

DuckDuckGo