ユーザーが個人情報の提供を望まないのに、他のサービスに乗り換えられないために個人情報を提供せざるを得ないケースが問題視されています。現在、GAFAをはじめとした大手IT企業による個人情報の収集方法について、公正取引委員会が、独占禁止法違反である「優越的地位の乱用」にあたるケースを示す運営指針(ガイドライン)案を策定中であると報道されています*2。ユーザーに利用目的を知らせなかったり、サービス提供に必要な範囲を超えて個人情報を取得したりするようなケースについて、今後規制が進むことが予想されます。

 またEUの「一般データ保護規則(GDPR)」では個人データの利用停止はいつでも行える(EU 一般データ保護規則 第7条)のに対し、日本の個人情報保護法では、個人データの利用停止は個人情報保護法違反があった場合にのみ可能とされている(個人情報保護法30条)点は問題ではないかとの声があり、2019年4月に個人情報保護委員会が公表した「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(個人情報保護委員会、平成31年4月25日)」では、個人データの利用停止制度の導入について検討がされています。

*2 日本経済新聞「個人データ乱用、独禁法で改善命令 公取委が指針案」(2019年7月16日、2019年8月9日最終閲覧)

3.「リクナビDMPフォロー」を利用したクライアント企業が問われ得る法的責任

――「リクナビDMPフォロー」は38社で「試験的な運用」がなされていたと公表されています。今回の件について、利用していたクライアント企業に責任等は生じますか。

 報道によれば各企業は、「リクナビDMPフォロー」の利用にあたって、選考結果や学歴などの応募学生の個人データをリクルートキャリアに提供していたとのことでした*3。個人データを第三者に提供する場合、原則として本人の同意が必要となることは先に述べた通りですが(個人情報保護法23条1項)、各企業が、個人データの取扱いを利用目的の達成に必要な範囲でリクルートキャリアに委託していたといえる場合、個人情報保護法上は本人の同意を得る必要はないとされています(個人情報保護法23条5項1号)。

 本件では、各企業がリクルートキャリアに提供した応募学生の個人データについて、たとえばリクルートキャリアが委託に基づかず自ら取得した行動履歴等の個人データを突合して内定辞退率を算出し、各企業に提供する内容の業務委託契約であったような場合は、各企業による応募学生の個人データの提供は個人情報保護法23条5項1号が定める委託の範囲を超えるものとして、各企業は個人情報保護法違反の責任を問われる可能性が生じます。この場合、個人情報保護委員会は各企業に対して、必要に応じて報告を求めたり立入検査を行うことができるほか、実態に応じて指導・助言、勧告・命令を行うことができ(個人情報保護法40条、41条、42条)、命令に違反した者は6ヵ月以下の懲役又は30万円以下の罰金に処する旨も定められています(個人情報保護法84条)。

――本件では、職業安定法への抵触の可能性もあるとされていますが、この点についてはいかがでしょうか。

 本サービスのような、人事労務分野においてAIやデータを活用する手法はHRテックと呼ばれ、近年注目が集まっています。ただしHRテックの分野では、職業安定法に抵触しないかどうかの検討が不可欠となります。職業安定法では、採用活動を行う企業には求職者の個人情報の取扱いについての義務が課せられる旨が定められているところ(職業安定法5条の4)、厚生労働省の指針*4によれば「職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならない」とされています。

*3 日本経済新聞「17年から一部企業で利用」リクナビ、なお説明不足」(2019年8月5日、2019年8月14日最終閲覧)
*4 「職業紹介事業者、求人者、労働者の募集を行う者、募集受託者、募集情報等提供事業を行う者、労働者供給事業者、労働者供給を受けようとする者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示、労働者の募集を行う者等の責務、労働者供給事業者の責務等に関して適切に対処するための指針」第四の一(二)(平成11年労働省告示第141号、最終改正平成31年厚生労働省告示第122号)