リクナビの「内定辞退率予測」を利用していた35社に行政指導 29
ストーリー by hylom
厳しい言葉 部門より
厳しい言葉 部門より
先日、リクナビの「内定辞退率予測」問題、利用していた企業側も厚労省の調査対象にという話があったが、個人情報保護委員会が12月4日、リクナビを提供するリクルートおよびリクルートキャリアと、内定辞退率予測サービスを利用していた35社に対し勧告・指導を行なったと発表した(個人情報保護委員会の発表、ITmedia)。
発表ではリクルートおよびリクルートキャリアについて、「企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして個人データの第三者提供の同意取得を回避した」、「ハッシュ化すれば個人情報に該当しないとの誤った認識の下、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していた」などとし、「法の趣旨を潜脱した極めて不適切なサービスを行っていた」と指摘されている。
また、サービス利用企業に対しては、「利用目的の通知又は公表等が不適切であったことや個人データを外部に提供する際の法的検討ないし当該法的整理に従った対応等が不適切であった」と指摘されている。
35社の内訳 その1 (スコア:2, 興味深い)
(1)利用目的の通知、公表等を適切に行うこと
(2)個人データを第三者に提供する場合、組織的な法的検討を行い、必要な対応を行うこと
(3)個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行うこと
の指導を受けた企業は以下。
アイシン・エィ・ダブリュ株式会社
株式会社アスパーク
エヌ・ティ・ティ・コムウェア株式会社
株式会社NTTファシリティーズ
株式会社コロワイド
株式会社三和
JFEスチール株式会
住友電装株式会社
SOLIZE Engineering株式会社
太陽生命保険株式会社
大同特殊鋼株式会社
株式会社テクノプロ(テクノプロ・エンジニアリング社)
株式会社テクノプロ(テクノプロ・デザイン社)
株式会社デンソー
デンソーテクノ株式会社
株式会社東海理化電機製作所
東京エレクトロン株式会社
株式会社ビッグモーター
株式会社本田技術研
株式会社メイテック
株式会社遊楽
株式会社リクルート
株式会社レオパレス21
株式会社ワールドインテック
35社の内訳 その2 (スコア:0)
(1)利用目的の通知、公表等を適切に行うこと
の指導を受けた企業は以下。
アフラック生命保険株式会社
イオンフィナンシャルサービス株式会社
京セラ株式会社
株式会社大和総研
トヨタ自動車株式会社
富士ソフト株式会社
三菱商事株式会社
三菱電機株式会社
株式会社リクルートキャリア
株式会社りそな銀行
YKK株式会社
Re: (スコア:0)
分けられているのは正社員が取り扱った場合と、適切な契約なしに委託先に任せていたかの違いなのかな?
ハッシュを突合せたら行政指導 (スコア:0)
まあ、言わんとすることは分からなくもないが、匿名化してるからという言い訳でビッグデータ売ってるの全部アウトじゃん。
Re:ハッシュを突合せたら行政指導 (スコア:5, 興味深い)
>匿名化してるからという言い訳
もっとずさんだった様子。公然の秘密であり単なるアリバイ作りのための匿名化ですね
https://www3.nhk.or.jp/news/html/20191204/k10012202371000.html [nhk.or.jp]
Re: (スコア:0)
突合できないレベルに匿名化・希薄化したビッグデータなら問題ない。
今回のはハッシュと突合してたから駄目なだけ。
α)対象から同意を貰って収集した個人情報
β)同意なく集めた行動データ(単体では個人を特定できない)
α・βそれぞれ単体では問題なくとも、αとβを突合して運用したから問題になった。
世間一般で販売されてるビッグデータはβだけだから通常は問題ない。
Re: (スコア:0)
ふうん。β1,β2..を買ってきて個人を特定するのはいいんだ。
Re: (スコア:0)
β1,β2で個人を特定するのは不可能でしょ。
Re: (スコア:0)
β1,β2で個人を特定するのは不可能でしょ。
できるできないで言えば、可能なケースはある。
ただ理論上は可能でも、突合しないといけないデータが多すぎて、(複数のデータ購入+その突合処理のためのハードウェア的な)コストに見合った個人情報は得られない。
Re:ハッシュを突合せたら行政指導 (スコア:1)
逆に言えばデータ単価やハード性能・コストが下がれば、可能な時代が来る?
Re:ハッシュを突合せたら行政指導 (スコア:1)
逆に言えばデータ単価やハード性能・コストが下がれば、可能というか当たり前になる時代が来る?
Re: (スコア:0)
β1にもβ2にも個人情報が含まれていなければ個人を特定するのは不可能でしょ。
というか突き合わせで特定の個人へたどり着くことができる情報は条文上は個人情報だから、トートロジーではあるけど、もしできたらもともとβ1もβ2も匿名化情報ではなかったってだけ。
Re:ハッシュを突合せたら行政指導 (スコア:1)
できたとしてもβ1-001番さんとβ2-002番さんが同一かどうかだけで
β1にもβ2にも個人情報が含まれていなければ個人を特定するのは不可能でしょ。
理論上は「β1-001番とβ2-002番とβ3-003番と……と、数多のデータを突合して紐付けすれば、個人情報になりうる、って話でしょ。
単体では個人を特定できないから個人情報ではないことと、それを複数結合すれば個人を特定できる個人情報になることは矛盾しないよ。
Re: (スコア:0)
Re: (スコア:0)
> γ)同意なく集めた個人情報
βがいつγになるか誰も分らんってことか
Re: (スコア:0)
Aコンビニを20時に利用した人: 1名
Bコンビニを21時に利用した人: 1名
という情報から、たまたま両者が同じ人で個人の行動が追跡できてしまった、はあり得るが一般論としてはセーフな気がする。
(極端に利用者が少ない地域で容易に特定できるとかだとあれだが。)
が、その1名にハッシュIDが付いてたらまあダメだよな。追跡できちゃうし、追跡できたら他の情報と容易に結合できちゃうもの。
Re: (スコア:0)
匿名化の処理のどこかでそんな感じで粒度を落とすのをやる必要があるんじゃないの。
Re: (スコア:0)
本当にそうかな?
https://bits.blogs.nytimes.com/2015/01/29/with-a-few-bits-of-data-rese... [nytimes.com]
Re: (スコア:0)
特定できるなら匿名化が不十分というだけの話では。
Re: (スコア:0)
いや、皆暗黙の合意でαとβを突き合わせるのは問題ないと思ってたでしょ。
Googleなんて広告をクリックした人がどこの店で買い物をしたかまでわかると言ってるくらいだから。
Re: (スコア:0)
君が思っていただけのことを皆が思っていたと言いだすのは見苦しい
典型的な「主語の大きい人」ですねぇ
Re: (スコア:0)
政治家に上がるのが確定している未公開株を渡して、口封じしておけばよかったんじゃないですかね(ハナホジ
Re: (スコア:0)
この場合リクルート株が下落するのはわかりきっていたんだから、「リクルートを売っとけ」って教えればよかったんでは?
なお政治家がもみ消しに成功した場合、株価は下落しない模様
Re: (スコア:0)
つまりリクルートは忖度し忘れたって話か
Re: (スコア:0)
マスコミも合わせて忖度しないとリクルート事件の二の舞ですよ。
#江副さんも大手新聞社の幹部にも未公開株を配っていたらそこまで大事件にはならなかったんじゃないかな。
Re:ハッシュを突合せたら行政指導 (スコア:1)
ですよね、報道各社と仲良くしないと。
現にスキャンダルも下火に出来ましたし。
https://www.jiji.com/jc/articl... [jiji.com]
首相動静(11月20日)
午後6時34分、官邸発。同39分、東京・平河町の都道府県会館着。同所内の中国料理店「上海大飯店」で内閣記者会加盟報道各社のキャップと懇談。
で、この話って (スコア:0)
(ちょいとオフトピですが)
結局この話って、何がダメだったのか未だによくわからない。
利用目的を通しなかったから?(逆に言えば、通知してればOKだったのか?)
例え利用目的を通知してても、内定辞退予測をする行為自体がプライバシー侵害?
それとも、就職活動だから?対象が学生だから?
Re:で、この話って (スコア:4, すばらしい洞察)
>結局この話って、何がダメだったのか未だによくわからない。
https://storialaw.jp/blog/6285 [storialaw.jp]
学生にとってこの事件の気持ち悪さは下記につきると思います。
そしてこのような事件を防止するのに法律があります。「法の趣旨を潜脱した極めて不適切なサービスを行っていた」と指摘したのもうなずけます。
Re: (スコア:0)
規約の隅に書いてオプトアウトぐらいにしとけば燃えるぐらいで済んでたのかも。
ふと思ったが、予測値って本人が開示請求すれば教えてもらえるのかな?