【日本】個人情報保護委、リクルートキャリアの内定辞退率サービスで勧告。利用34社にも行政指導 2019/12/08 最新ニュース

【日本】個人情報保護委、リクルートキャリアの内定辞退率サービスで勧告。利用34社にも行政指導 1

 日本政府の個人情報保護委員会は12月4日、リクルートキャリアが提供した内定辞退率提供サービス「リクナビDMPフォロー」について、リクルートキャリアと親会社のリクルートに対し、個人情報保護法に基づく勧告を行った。リクルートの親会社のリクルートホールディングスには勧告の対象にはならなかった。また、同サービスを利用した34社にも同法に基づく指導を行った。

【参考】【日本】リクルートキャリア、新卒選考・内定辞退可能性提供サービス廃止。個人情報取扱いへの示唆(2019年8月8日)

 今回のサービス提供者であるリクルートキャリアは、8月26日に一度勧告が出ているが、当該勧告等の原因となった事項以外にも個人情報保護法に抵触する事実が確認されたため、改めて勧告が出た。

【参考】【日本】東京労働局、リクルートキャリアの内定辞退率算出サービスを職安法違反と認定(2019年9月8日)

 勧告の対象となった内容は、4項目。

  1. リクルートキャリア社、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、個人の氏名ではなくCookieで突合するため、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避していた。
  2. 本サービスにおける突合率を向上させるため、ハッシュ化すれば個人情報に該当しないとの誤った認識の下、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していた。ハッシュ化されていても、リクルートキャリア社において特定の個人を識別することができ、本人の同意を得ずに内定辞退率を利用企業に提供していた。
  3. 「リクナビ2020」プレサイト開設時(2018年6月)に、本サービスの利用目的が同サイト内に記載されたことをもって、サービス利用企業から提供を受けた氏名で突合し内定辞退率を、算出していた。しかしながら、プレサイト開設時のプライバシーポリシーには第三者提供の同意を求める記載はなく、2019年3月のプライバシーポリシー改定までの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していた。
  4. 本人の同意なく第三者提供が行われた本人の数は、上記2、3及び前回の勧告の対象となった事実によるもの等を合わせ、26,060人となった。これにより、違反被害者は当初発表の約8,000人から約26,000人へと膨らんだ

 勧告内容は、「新しい商品等を検討する際に、法に則り適正に個人情報を取り扱うよう検討、設計する体制を整備すること」「個人情報を取得する際は、商品等の内容をできる限り特定し、当該利用目的の通知又は公表を適切に行うこと」「リクルート社においては、業務を委託する場合は、委託先に対し、必要かつ適切な監督を行うこと」の3つ。

 今回の勧告を受け、親会社のリクルートは、新サービスの企画からリリース・運用に至るまでのステップをグループ横断で統一化、標準化するとともに、リクルートキャリアの法務機能を親会社に統合、グループ会社における個人情報を取扱う従業員を対象とした社内啓発施策を検討・実施すると発表した。またリクルートキャリアにおいても、分かれていた商品開発部門と商品企画部門を統合し管理体制を一本化するとともに、全従業員を対象に本件全容の振り返りを含めた独自の研修を検討・実施するとした。

 また、同サービスを活用した34社に出された指導は、「利用目的の通知、公表等を適切に行うこと」「個人データを第三者に提供する場合、組織的な法的検討を行い、必要な対応を行うこと」「個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行うこと」の3つ。組織的な検討をも行っていなかったと判断された企業は、アイシン・エィ・ダブリュ、アスパーク、NTTコムウェア、NTTファシリティーズ、コロワイド、三和、JFEスチール、住友電装、SOLIZE Engineering、太陽生命保険、大同特殊鋼、テクノプロ(テクノプロ・エンジニアリング)、テクノプロ(テクノプロ・デザイン)、デンソー、デンソーテクノ、東海理化電機製作所、東京エレクトロン、ビッグモーター、本田技術研究所、メイテック、遊楽、リクルート、レオパレス21、ワールドインテックの24社。

 また、組織的な検討を行っていたものの、利用目的の通知・公表を怠ったと判断された企業は、アフラック生命保険、イオンフィナンシャルサービス、京セラ、大和総研、トヨタ自動車、富士ソフト、三菱商事、三菱電機、りそな銀行、YKK。また、リクルートキャリアは別途、利用企業としても指導された。

 その他3社が調査対象となっていたが、同サービスによるデータを受領してなかったため、指導から免れた。

【参照ページ】個人情報の保護に関する法律に基づく行政上の対応について
【参照ページ】『リクナビDMPフォロー』に関する課題認識および再発防止策についてのご報告

株式会社ニューラル サステナビリティ研究所

Facebookコメント (0)

ページ上部へ戻る