前日の「7pay」と並んで、こちらも法務的には格好のネタとなってしまった「リクナビ」問題。

8月～9月にかけての「第一弾」の御沙汰が出た時にも、どうにもすっきりしなかったのだが、この度、個人情報保護委員会と厚生労働省から、より範囲を広げての勧告・行政指導が出るに至り、ますますげんなり、という気分になっている。

「就職情報サイト「リクナビ」を運営するリクルートキャリア（東京・千代田）が就活生の「内定辞退率」を販売した問題で、政府の個人情報保護委員会は4日、トヨタ自動車など全37社の利用企業に行政指導したと発表した。リクナビだけでなく辞退率算出を依頼した側も、就活生への説明不足などの問題があったと判断した。」（日本経済新聞2019年12月5日付朝刊・第1面）(強調筆者、以下同じ）

「就職情報サイト「リクナビ」を運営するリクルートキャリア（東京・千代田）が「内定辞退率」予測を販売していた問題で、厚生労働省が11日、職業安定法に基づいてトヨタ自動車などデータの利用企業に行政指導した。各社が求職者に十分に説明せずに個人データを扱ったことが、採用活動を適切に進める上でも問題になったと判断した。行政指導を受けたのはほかに、三菱商事やJFEスチールなど。」（日本経済新聞2019年12月12日付朝刊・第1面）

前回同様、厚生労働省は通常の「行政指導」の扱いで、オフィシャルな形では内容を公表していない。

だが、既に報道されているとおり、個人情報保護委員会は、「個人情報の保護に関する法律に基づく行政上の対応について」という標題でリリースまで出してきた*1。。

しかも、勧告対象となった株式会社リクルート、株式会社リクルートキャリアだけでなく、情報を利用した、とされる企業の社名まで列挙した一覧表（別紙）付きで。

これだけ世の中を騒がせ、就職活動中の学生に不安を与えた以上、リクルートキャリアから予測データを受領した企業名が公表されるのは仕方ない、という考え方はあり得るだろうし、（自分も個人的に知りたかった、という思いがないわけではなかったので）それ自体はやむを得ないところだろうと思う。

ただ、問題なのは、前回の処分公表時と同様、個人情報保護委員会の公表資料だけでは、何がどう評価されて、こういう判断に至ったのか、ということがほとんど見えない、ということである。

リクルートキャリアの方はまだよくて、「勧告の原因となる事実」のところに書かれた以下の内容を、前回の処分公表時のプレスや、リクルートキャリア社の報道発表と合わせて読めば、「やったこと」は大体見えてくる*2。

①2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりに Cookie で突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。
リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。
➁ 本サービスにおける突合率を向上させるため、ハッシュ化すれば個人情報に該当しないとの誤った認識の下、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していた。ハッシュ化されていても、リクルートキャリア社において特定の個人を識別することができ、本人の同意を得ずに内定辞退率を利用企業に提供していた。
➂ 「リクナビ2020」プレサイト開設時（2018年６月）に、本サービスの利用目的が同サイト内に記載されたことをもって、サービス利用企業から提供を受けた氏名で突合し内定辞退率を、算出していた。しかしながら、プレサイト開設時のプライバシーポリシーには第三者提供の同意を求める記載はなく、2019年３月のプライバシーポリシー改定までの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していた。
➃ 本人の同意なく第三者提供が行われた本人の数は、上記➁、➂及び前回の勧告の対象となった事実によるもの等を合わせ、26,060人となった。

だが、行政指導の対象となった37社に関しては、以下のような「評価」と「指導内容」が出ているだけで、「企業名」が書かれているスペースの方がはるかに大きい。

「本サービス利用企業に対する調査の結果、本サービスに関する利用目的の通知又は公表等が不適切であったことや個人データを外部に提供する際の法的検討ないし当該法的整理に従った対応等が不適切であった。このため別紙に掲載する企業に対し、以下の事項について適切に対応するよう指導を行った。」
⑴ 利用目的の通知、公表等を適切に行うこと
⑵ 個人データを第三者に提供する場合、組織的な法的検討を行い、必要な対応を行うこと
⑶ 個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行うこと

どんな会社でも、採用活動時に応募者から取得する個人情報の取扱いに関しては、プライバシーポリシー上で利用目的を明記している場合がほとんどだろうし、きちんとした会社ならそれに加えて面接の前に取扱いに関する同意を一筆取るような運用も行っているはず。そして、そういった場面での利用目的は、他の個人情報と同様に、比較的広めに書かれているのが通常で、応募者の動向分析等であれば、本来の利用目的に含まれる、という考え方もあり得るはずだ。

それにもかかわらず、「利用目的の通知又は公表等が不適切」というのであれば、どういった点がそういう評価を受けたのか、また「法的検討ないし法的整理に従った対応等が不適切であった」というからには、そこでどういう対応がなされていたのか、ということについては、ここでは全く記されていない。

そもそも手続きの中で、裁判所で争われても耐えられるレベルの事実認定と、それに対する法解釈・あてはめが行われたのかどうか、ということすら、公表された資料からは全く読みとることができない。

そうなってくると、「触らぬ個人情報にたたりなし」、ということで、どの企業でも強まるのは「忌避感」だけである。

この件に対する自分の考えは、9月の御沙汰第一弾が出た時に書き残したエントリーのとおりで*3、それ以降も何ら変わるところはない。

今の技術の下ではじきだされた「辞退率予測」などというものに有意性があるとは到底思えないし、本気でそれを採否判断に使おうと考えて買った会社があったのだとしたら、そんな会社には落とされた方が応募者も幸せだろう、と思う。

ただ、今回の件はともかくとして、この、世論におもねった、あまりに広範であまりに抽象的な「処分」は、後々までよろしくない効果を生むのではないか、ということを自分は懸念している。

「同意があってもダメ」という見解が出たとも伝えられる厚労省が所管する分野である限り、HR周りで個人データを使った取り組みはもうやらない方がいい、と割り切るのは、一つの賢い選択ではあると思うのだけれど*4、「処分」の余波は、そんな狭い範囲にとどまるものでもないわけで・・・。

”鎮火”どころか、さらに火を燃え上がらせてしまった一連の処分がこの先何をもたらすのか。

こうなってしまった以上、今h、この先の5年、10年を、生暖かく見守ることに楽しみを見出すこととしたい。