パスワードを忘れた? アカウント作成
14063777 story
ビジネス

リクナビの「内定辞退率予測」を利用していた35社に行政指導 29

ストーリー by hylom
厳しい言葉 部門より

先日、リクナビの「内定辞退率予測」問題、利用していた企業側も厚労省の調査対象にという話があったが、個人情報保護委員会が12月4日、リクナビを提供するリクルートおよびリクルートキャリアと、内定辞退率予測サービスを利用していた35社に対し勧告・指導を行なったと発表した(個人情報保護委員会の発表ITmedia)。

発表ではリクルートおよびリクルートキャリアについて、「企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして個人データの第三者提供の同意取得を回避した」、「ハッシュ化すれば個人情報に該当しないとの誤った認識の下、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していた」などとし、「法の趣旨を潜脱した極めて不適切なサービスを行っていた」と指摘されている。

また、サービス利用企業に対しては、「利用目的の通知又は公表等が不適切であったことや個人データを外部に提供する際の法的検討ないし当該法的整理に従った対応等が不適切であった」と指摘されている。

  • by Anonymous Coward on 2019年12月06日 23時42分 (#3727723)

    (1)利用目的の通知、公表等を適切に行うこと
    (2)個人データを第三者に提供する場合、組織的な法的検討を行い、必要な対応を行うこと
    (3)個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行うこと
    の指導を受けた企業は以下。

    アイシン・エィ・ダブリュ株式会社
    株式会社アスパーク
    エヌ・ティ・ティ・コムウェア株式会社
    株式会社NTTファシリティーズ
    株式会社コロワイド
    株式会社三和
    JFEスチール株式会
    住友電装株式会社
    SOLIZE Engineering株式会社
    太陽生命保険株式会社
    大同特殊鋼株式会社
    株式会社テクノプロ(テクノプロ・エンジニアリング社)
    株式会社テクノプロ(テクノプロ・デザイン社)
    株式会社デンソー
    デンソーテクノ株式会社
    株式会社東海理化電機製作所
    東京エレクトロン株式会社
    株式会社ビッグモーター
    株式会社本田技術研
    株式会社メイテック
    株式会社遊楽
    株式会社リクルート
    株式会社レオパレス21
    株式会社ワールドインテック

    ここに返信
    • (1)利用目的の通知、公表等を適切に行うこと
      の指導を受けた企業は以下。

      アフラック生命保険株式会社
      イオンフィナンシャルサービス株式会社
      京セラ株式会社
      株式会社大和総研
      トヨタ自動車株式会社
      富士ソフト株式会社
      三菱商事株式会社
      三菱電機株式会社
      株式会社リクルートキャリア
      株式会社りそな銀行
      YKK株式会社

      • by Anonymous Coward

        分けられているのは正社員が取り扱った場合と、適切な契約なしに委託先に任せていたかの違いなのかな?

  • by Anonymous Coward on 2019年12月06日 17時42分 (#3727538)

    まあ、言わんとすることは分からなくもないが、匿名化してるからという言い訳でビッグデータ売ってるの全部アウトじゃん。

    ここに返信
    • by tamaco (19059) on 2019年12月06日 19時01分 (#3727584)

      >匿名化してるからという言い訳

      もっとずさんだった様子。公然の秘密であり単なるアリバイ作りのための匿名化ですね
      https://www3.nhk.or.jp/news/html/20191204/k10012202371000.html [nhk.or.jp]

      その後、委員会がさらに調査を進めた結果、リクルートキャリアは、個人を特定しない形で企業側にデータを販売していたものの、企業側が学生のIDなどを分析すれば、容易に個人の特定が可能だったことが分かりました。

      委員会は、リクルートキャリアが、この仕組みを知りながら販売を続けていたと指摘し、極めて不適切な情報の取り扱いだったとして4日付けで個人情報保護法に基づく2度目の勧告を行い、組織体制の見直しなどを求めました。

      また、データを販売されていた学生の数は、当初、今年度分のおよそ8000人とされていましたが、調査の結果、昨年度の分も含め、およそ2万6000人に上ることが分かったということです。

    • by Anonymous Coward

      突合できないレベルに匿名化・希薄化したビッグデータなら問題ない。

      今回のはハッシュと突合してたから駄目なだけ。
      α)対象から同意を貰って収集した個人情報
      β)同意なく集めた行動データ(単体では個人を特定できない)

      α・βそれぞれ単体では問題なくとも、αとβを突合して運用したから問題になった。
      世間一般で販売されてるビッグデータはβだけだから通常は問題ない。

      • by Anonymous Coward

        ふうん。β1,β2..を買ってきて個人を特定するのはいいんだ。

        • by Anonymous Coward

          β1,β2で個人を特定するのは不可能でしょ。

          • by Anonymous Coward

            β1,β2で個人を特定するのは不可能でしょ。

            できるできないで言えば、可能なケースはある。
            ただ理論上は可能でも、突合しないといけないデータが多すぎて、(複数のデータ購入+その突合処理のためのハードウェア的な)コストに見合った個人情報は得られない。

            • 逆に言えばデータ単価やハード性能・コストが下がれば、可能な時代が来る?

            • 逆に言えばデータ単価やハード性能・コストが下がれば、可能というか当たり前になる時代が来る?

            • by Anonymous Coward
              できたとしてもβ1-001番さんとβ2-002番さんが同一かどうかだけで
              β1にもβ2にも個人情報が含まれていなければ個人を特定するのは不可能でしょ。
              というか突き合わせで特定の個人へたどり着くことができる情報は条文上は個人情報だから、トートロジーではあるけど、もしできたらもともとβ1もβ2も匿名化情報ではなかったってだけ。
              • by Anonymous Coward on 2019年12月06日 20時33分 (#3727652)

                できたとしてもβ1-001番さんとβ2-002番さんが同一かどうかだけで

                β1にもβ2にも個人情報が含まれていなければ個人を特定するのは不可能でしょ。

                理論上は「β1-001番とβ2-002番とβ3-003番と……と、数多のデータを突合して紐付けすれば、個人情報になりうる、って話でしょ。
                単体では個人を特定できないから個人情報ではないことと、それを複数結合すれば個人を特定できる個人情報になることは矛盾しないよ。

              • by Anonymous Coward
                複数結合すれば個人を特定できる個人情報になるならそれは個人情報というのが法の立て付けなので
              • by Anonymous Coward

                > γ)同意なく集めた個人情報
                βがいつγになるか誰も分らんってことか

            • by Anonymous Coward

              Aコンビニを20時に利用した人: 1名
              Bコンビニを21時に利用した人: 1名

              という情報から、たまたま両者が同じ人で個人の行動が追跡できてしまった、はあり得るが一般論としてはセーフな気がする。
              (極端に利用者が少ない地域で容易に特定できるとかだとあれだが。)

              が、その1名にハッシュIDが付いてたらまあダメだよな。追跡できちゃうし、追跡できたら他の情報と容易に結合できちゃうもの。

              • by Anonymous Coward
                国勢調査なんかは、この地域は人口少なすぎてプライバシー保てないから家族構成とかの詳細な数字は公表しません隣の地域と合算します、みたいな運用してるでしょ
                匿名化の処理のどこかでそんな感じで粒度を落とすのをやる必要があるんじゃないの。
            • by Anonymous Coward
            • by Anonymous Coward

              特定できるなら匿名化が不十分というだけの話では。

      • by Anonymous Coward

        いや、皆暗黙の合意でαとβを突き合わせるのは問題ないと思ってたでしょ。
        Googleなんて広告をクリックした人がどこの店で買い物をしたかまでわかると言ってるくらいだから。

        • by Anonymous Coward

          君が思っていただけのことを皆が思っていたと言いだすのは見苦しい
          典型的な「主語の大きい人」ですねぇ

    • by Anonymous Coward

      政治家に上がるのが確定している未公開株を渡して、口封じしておけばよかったんじゃないですかね(ハナホジ

      • by Anonymous Coward

        この場合リクルート株が下落するのはわかりきっていたんだから、「リクルートを売っとけ」って教えればよかったんでは?
        なお政治家がもみ消しに成功した場合、株価は下落しない模様

        • by Anonymous Coward

          つまりリクルートは忖度し忘れたって話か

          • by Anonymous Coward

            マスコミも合わせて忖度しないとリクルート事件の二の舞ですよ。
            #江副さんも大手新聞社の幹部にも未公開株を配っていたらそこまで大事件にはならなかったんじゃないかな。

  • by Anonymous Coward on 2019年12月07日 8時19分 (#3727818)

    (ちょいとオフトピですが)
    結局この話って、何がダメだったのか未だによくわからない。
    利用目的を通しなかったから?(逆に言えば、通知してればOKだったのか?)
    例え利用目的を通知してても、内定辞退予測をする行為自体がプライバシー侵害?
    それとも、就職活動だから?対象が学生だから?

    ここに返信
    • Re:で、この話って (スコア:4, すばらしい洞察)

      by tamaco (19059) on 2019年12月07日 10時27分 (#3727866)

      >結局この話って、何がダメだったのか未だによくわからない。

      https://storialaw.jp/blog/6285 [storialaw.jp]
      学生にとってこの事件の気持ち悪さは下記につきると思います。

      プロファイリングの問題点とは(内定辞退率の場合)
      たとえば内定辞退率の場合、AIが、当該学生のいかなるデータ(例えばどのサイトをどの程度閲覧していたかなど)を重視した結果、内定辞退率の高低を算出するに至ったのか、人間には分からない場合も考えられます。学生からすれば、根拠も不明確なまま「あなたの内定辞退率は〇%」とラベルを貼られれば、不安や不満を感じるのは当然ではないでしょうか(さらに本件では、内定辞退率とのラベルが貼られて採用企業に提供されていた事実すら伝えられていなかった)。

      「内定辞退率データは採用活動には用いられていない」とのことですが、学生がその企業に入社した後も、勤務先企業が自分の内定辞退率データを保持し続けているとすれば、どのように感じるでしょうか。企業が内定辞退率データをどのように利用するか(採用時のみならず、入社後の退職可能性の推認や昇給昇格の判断の参考にされる可能性を物理的に否定することは難しい)を学生側はコントロールできない以上、やはり本件は個人データ取得時に先だって、事前に学生に対して十分な説明がされたうえで、適切な同意を得て行われるべきビジネスモデルであったと感じます。

      そしてこのような事件を防止するのに法律があります。「法の趣旨を潜脱した極めて不適切なサービスを行っていた」と指摘したのもうなずけます。

      採用企業側
      ▼個人情報保護法関連
      【1 応募学生の個人データをR社に提供した行為について】
      ・利用目的の特定はされていたか(個情法15条1項)
      ・利用目的は本人に通知又は公表されていたか(個情法18条1項)
      ・不正な手段による取得にあたらないか(個情法17条1項)
      ・目的外利用にあたらないか(個情法16条1項)
      →採用企業は応募学生に対して、各学生の個人データが第三者(本件ではR社)に提供されることを、利用目的において特定していたか。(「個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない」(GL通則編P26))

      ・適法な委託に基づく第三者提供といえるか(個情法23条5項1号)
      →「利用目的の達成に必要な範囲内」の委託といえるか。

      ・委託先であるR社に対する監督義務(個情法22条)
      【2 事件報道後、R社から提供を受けた内定辞退率データを削除した行為について】
      →第三者提供を受ける場合の記録保存義務に違反していないか(個情法26条4項)

      ▼職業安定法関連
      【3 R社から内定辞退率データの提供を受けた行為について】
      ・本人の同意の下で本人以外の者から収集する等適法かつ公正な手段により個人情報を収集したといえるか(職安法5条の4、厚労省指針第四の一(二))
      →学生から、R社から当該学生の個人データ(内定辞退率)の提供を受けることについて同意を取得していたといえるか?

    • by Anonymous Coward

      規約の隅に書いてオプトアウトぐらいにしとけば燃えるぐらいで済んでたのかも。
      ふと思ったが、予測値って本人が開示請求すれば教えてもらえるのかな?

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...