2019.08.13更新

 株式会社リクルートキャリアが提供する「リクナビDMPフォロー」というサービスに関し、同社が学生の「内定辞退率」を、学生の同意を得ずに38社の企業に販売していたことが問題となっています。


 この件に関し、リクルートキャリアは、「リクナビでは、2019年3月に『リクナビDMPフォロー』について言及したプライバシーポリシーへ変更いたしました。学生の皆さまが使用する複数の画面においてプライバシーポリシーに同意いただくサイト構成になっていますが、一部の画面においてその反映ができていませんでした。また、プライバシーポリシー変更の際には、『リクナビDMPフォロー』で分析スコアの対象となるすべての学生から適切な同意が取得できるよう設計すべきところ、考慮が漏れてしまっておりました。」(https://www.recruitcareer.co.jp/news/pressrelease/2019/190805-01/)と説明した上、「リクナビDMPフォロー」を廃止することを決定しています。


 周知のとおり、個人情報保護法23条1項は、同項各号に定める事由以外では、本人の同意を得ない限り、個人データを第三者に提供することを禁止しています。また、個人情報保護法16条1項は、本人の同意を得ない限り、個人情報取得当時に特定された目的以外の利用を禁止しており、同項の違反も疑われるところです。


 では、本件では、どのような「同意」を得ればよかったのでしょうか。上記のリクルートキャリアの説明から推察される問題点としては、①「複数の画面」の一部においてプライバシーポリシーへの同意取得画面が落ちていたこと、②「リクナビDMPフォロー」のサービスの対象となる「全ての学生」から同意を得ていなかったことと考えられます。したがって、プライバシーポリシーにどのような記載がされているべきであったか、という内容の問題ではなく、プライバシーポリシー変更に際し、学生の同意を得るプロセスに問題があったものと考えられます。


 このようなプロセスの問題については、ウェブサイトの適切な設計を求める他ないですが、サービスを複数展開する会社においては、個人情報を取得するにあたって。サービスごとにプライバシーポリシーの同意を得るという運用を心掛けるべきです。なぜなら、サービスごとに取得する個人情報が異なり、それぞれについて本人の同意を得るプロセスが必須であるにもかかわらず、本件のようにあるサービスにおいて同意を得ていたことから、他のサービスでも当然同意を得ていたという「誤解」を生む可能性があるからです。また、サービス間において、勝手に個人情報を連携させることは個人情報保護法16条1項の目的外利用にも該当しうる行為ともいえますので、注意が必要です。


 本件は、適切なプライバシーポリシーの作成のみならず、その運用にも十分注意を払うべきことを想起させる事案といえます。

(神田)

投稿者: 小林・弓削田法律事務所

ページトップへ
PageTop