« 個人データ保護とは何? ② | トップページ | 個人データ保護とは何? ④ »

2020年1月31日 (金)

個人データ保護とは何? ③

続き:

 

個人情報保護委員会による勧告・指導の不備

 個人情報保護委員会(個情委)が2019/08/26、「株式会社リクルートキャリアに対し、本日、以下の通り、個人情報保護法第42条第1項に基づき勧告及び法第41条に基づき指導を行いました」と発表したが、個情委が問題としたのは、リクナビが本件で行なった処理の一部の形態に限られている。同日リクナビが発表した資料によれば、2019年2月以前と3月以降では、閲覧履歴を就活生本人に突合する手段が異なっている。前記した、アンケートの罠を用いて氏名を用いず突合する方法は2月以前の旧スキームであり、3月以降の新スキームでは、氏名を用いて直接突合していたという。個情委が勧告・指導したのは新スキームに対してだけで、旧スキームについては不問となっている。

 リクナビは、新スキームでは求人企業が「氏名などの個人が特定できる情報を当社に開示」し「個人情報の紐付け」を自社が行なったとする一方、旧スキームでは「個人が特定できない状態で企業IDごとのスコアを算出」したとしており、旧スキームでは求人企業とやりとりした情報が個人データに該当しないと個情委に説明したようである。個情委はその説明を真に受けてしまったようである。

 さらに、新スキームについても、リクナビは当初は個人データに該当しないと考えていたようである。このことは会見での回答の中で明らかにされたが、氏名はそのまま用いるのではなく、ハッシュ化(暗号演算の一種で、同じ文字列をハッシュ化すると、同じ結果になるが、結果から元の文字列に変換することはできないという演算)して用いていたという。リクナビは「その時点で我々は個人情報ではないという認識の下にやっていた」と会見で答えている。個情委の指摘を受けて、ハッシュ化した氏名についても個人データであると認識をあらためたということのようである。

 個情委の勧告の内容は、リクナビが旧スキームから新スキームに変更する際に、変更に伴って個人データの取り扱いとなるにもかかわらず、「顧客企業との個人データのやり取りにおいて、法における適用関係等について適切な検討を行っておらず、現DMPフォローに係る個人データの安全管理のために必要かつ適切な措置を講じていなかった」として、個人情報保護法20条の安全管理措置義務違反を指摘したもの(加えて、本人同意のない個人データの第三者提供があったとして23条違反も指摘したもの)となっている。つまり、新スキームにおいてリクナビが個人データとしての適切な管理を一切行なっていなかったという指摘である。

 個情委が氏名をハッシュ化しても個人データであると判断したのは、個人データは暗号化しても個人データであるとする従前の法解釈(個情委の告示であるガイドラインにその旨の記載がある)に基づいたものであろう。しかし、鍵を用いた復号が予定されている暗号化とは異なり、ハッシュ化したら元に戻すことはできない。それでもこれが個人データだというのは、会見での回答で「ハッシュ化してそれを付き合わせるということをやっておりました」と説明されたとおり、氏名で突合するのも氏名のハッシュ値で突合するのも結果は同じことをだからに他ならない。

 そうすると疑問ととなるのは、旧スキームにおいても「企業特有のID」(記した「uid」と「Cokie情報」を用いて同じ結果を実現しているわけで、なぜそちらは個人データに該当しないことになるのかという点である。新スキームが違法ならば、同様に旧スキームも違法な個人データの第三者提供が行なわれたと指摘すべきであり、個情委がそこを不問にした対応は不十分である。

 その点、続いて9月6日に東京労働局がリクナビに指導した際には、厚労省は旧スキームについても職業安定法違反に当たるとして指導の対象としたと日経新聞が報じている。記事によると、個情委の幹部が「個人情報保護法の対象外の可能性がある」とコメントしたのに対し、厚労省は「匿名のデータでも、販売先の企業が自ら持つ就活生の情報と照らし合わせれば個人名を特定できたと判断した」のだ。

 個人データの概念は、職業安定法でも個人情報保護法でも同一のものであるべきところ、このように対応が政府内で食い違うのは、個情委の対応能力に問題があるのではないか。設置されて3年の新しい組織であるだけに、所管する法律の解釈もままならないようで、心配である。

« 個人データ保護とは何? ② | トップページ | 個人データ保護とは何? ④ »

日記・コラム・つぶやき」カテゴリの記事