個人情報保護委員会は、個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について発表しました。
個人情報保護委員会は、株式会社リクルートキャリア(以下「リクルートキャリア」 という。)に対し、本日、以下の通り、個人情報保護法第 42 条第1項に基づき勧告及 び法第 41 条に基づき指導を行った。 本件は、リクルートキャリアが提供するリクナビ DMP フォロー(以下、「DMP フォロ ー」という。)等に対する調査の結果、リクルートキャリアが個人情報の保護に関する 法律(平成 15 年法律第 57 号。以下「法」という。)第 20 条で求められる安全管理措 置を適切に講じず、法第 23 条第 1 項の規定に基づいて必要とされる個人データを第 三者に提供する際に必要な同意を得ずに第三者に提供していたものである。
1 調査に基づく事案の概要 ⑴ 平成30年6月、令和2年に卒業を予定する学生の就職活動を支援する「リクナ ビ2020」の会員登録を開始した。 ⑵ 平成31年3月、現 DMP フォローの提供開始とともにプライバシーポリシーを 改訂した。具体的には旧 DMP フォローの仕組み(リクルートキャリアから顧客 企業への個人データの第三者提供が行われない形態)を、リクルートキャリアか ら顧客企業への個人データの第三者提供が行われる仕組みに変更したことに伴 う、内容の改訂であった。 しかし、平成31年3月以前に「リクナビ2020」に会員登録をし、その後第三者 提供への同意を行う画面が表示される機会がなかった会員は、現 DMP フォローに 係る第三者提供の同意を行っていなかった。 ⑶ 令和元年7月、個人情報保護委員会からプライバシーポリシーの表現が学生に わかりにくいものになっているのではないかとの指摘を受け、表現や説明方法の 検討のため、DMP フォローのサービス提供を一時休止した。 ⑷ 令和元年8月、「リクナビ2020」会員登録時に表示するプライバシーポリシー は、平成31年3月の改訂以前のものが掲載されていたこと、及び、改定以前のプ ライバシーポリシーを表示した画面で第三者提供の同意を行った会員の個人デ ータも顧客企業へ提供していたことが判明した。具体的には、1(2)後段に掲げる 事項に加え、平成31年3月以降に「リクナビ2020」登録を行い、その後第三者提 供への同意を行う画面が表示される機会がなかった会員も、現 DMP フォローに係 る第三者提供の同意を行っていなかった。このため、一時休止していた DMP フォ ローのサービス提供を廃止した。
2 勧告の原因となる事実 ⑴ リクルートキャリアが大量に取り扱う個人情報は、求人企業の採用活動に関 わる情報であり、「リクナビ2020」の会員となった学生等の人生をも左右しうる ことから、その適正な取扱いについては重大な責務を負っていると認められる。 また、リクルートキャリアは、自らが個人情報を取得するだけでなく、多くの個 人情報取扱事業者からの委託を受け、個人情報を取り扱っており、これらの情報 を適切に区分し、安全に管理する必要がある。 しかしながら、現 DMP フォローの商品を検討する際に、旧 DMP フォローの仕 組みから個人データの取扱いに係る重大な変更があったにもかかわらず、法令 順守等に関して適切な判断を行っていなかった。また、顧客企業との個人データ のやり取りにおいて、法における適用関係等について適切な検討を行っておら ず、現 DMP フォローに係る個人データの安全管理のために必要かつ適切な措置 を講じていなかった。これは、法第20条の規定に違反するものである。
⑵ リクルートキャリアは、個人データの第三者提供の同意を得るため、プライバ シーポリシーをウェブサイト上で公表し必要な同意を得る仕組みとしていたが、 平成31年3月にプライバシーポリシーを改訂した際の事務手続き等の不備によ り、一部の会員から必要な同意を得ていない状態となった。リクルートキャリア において、この不備を予防、発見、修正する体制がなかったため、令和元年7月 に個人情報保護委員会からプライバシーポリシーに関する照会を受け、点検を 行うまでこの状態が放置されていたなど、不適切な管理体制であった。これは、 法第20条の規定に違反するものである。
⑶ 個人データを第三者提供する場合には、本人の同意を得る必要があるところ、 2⑴及び⑵の結果として、7,983人の個人データについて第三者提供の同意を得 ないまま、現 DMP フォローによりリクルートキャリアの顧客企業に提供された。 これは、法第23条第1項の規定に違反するものである。
3 勧告事項 ⑴ 個人データを取り扱う際に、適正に個人の権利利益を保護するよう、組織体制 を見直し、経営陣をはじめとして全社的に意識改革を行う等、必要な措置をとる こと ⑵ 今後検討する新サービスにおいても、法に則り適正に個人データを取り扱う よう検討、設計、運用を行うこと ⑶ 令和元年9月30日までに3⑴の措置を実施し、具体的な措置の内容を同日ま でに報告すること
4 その他改善すべき事項(指導) ⑴ 事実概要 リクルートキャリアは、プライバシーポリシー上で、現 DMP フォローにおける 個人データを第三者である顧客企業へ提供することについて本人の同意を取得す るための説明を行っていた。 個人情報の保護に関する法律についてのガイドライン(通則編)においては、 「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の 内容を明確に示さなければならない」とされている。しかしながら、リクルート キャリアのプライバシーポリシーの記載内容は、現 DMP フォローにおける個人デ ータの第三者提供に係る説明が明確であるとは認め難い。 ⑵ 指導事項 今後、個人データの第三者提供に当たっては、本人が同意に係る判断を行うた めに必要と考えられる合理的かつ適切な範囲の内容を明確に示すこと
5 その他 引き続き調査を実施しており、今後判明した事実に関して必要となる措置につい ては、適切に対応する。
★労使問題・社会保険・労働保険・給与計算のご相談は、どこよりも相談しやすい社会保険労務士事務所「KKパートナーズ」にご相談下さい。
★いまからでも間に合うマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。