『リクナビDMPフォロー』の法的な不備とその影響範囲
『リクナビDMPフォロー』は2018年3月からサービス提供を開始、2019年2月以前と3月以降とでサービス提供の仕組みを変更し、2019年8月4日の廃止に至るまで提供を行っていました。関係各所からの調査に基づき結論付けられた、サービス提供開始から廃止に至るまでの期間に発生していた法的な不備の全体像についてご説明させていただきます。
『リクナビDMPフォロー』のサービス提供の仕組みの詳細については、以下をご覧ください。
『リクナビDMPフォロー』の法的な不備
<図6>『リクナビDMPフォロー』における法的な不備の全体像
事象1 「アンケート」期における、取扱いデータの個人情報該当性についての不備
2019年2月以前の「アンケート」期においては、株式会社リクルートキャリアが契約企業から学生の姓名・メールアドレスなどの個人情報の提供を受けるのではなく、契約企業が学生向けに実施したウェブアンケートを通じて、株式会社リクルートキャリアの委託先である株式会社リクルートコミュニケーションズが契約企業固有の応募者管理IDとCookie情報を直接取得していました。株式会社リクルートコミュニケーションズでは、これらの情報だけで特定の個人を識別することはできないため、『リクナビDMPフォロー』は個人情報の取扱いが発生しないことを前提としたサービスでした。
しかしながら、株式会社リクルートコミュニケーションズ内の『リクナビDMPフォロー』のスコア算出などを行っていた部署では、広告配信などの『リクナビDMPフォロー』とは異なるサービスの運用も行っており、これらのサービスにおいて、一部の契約企業から応募者管理IDと共に個人情報を取得していた実態がありました。これらの個人情報を『リクナビDMPフォロー』において、実際に利用していた事実は把握されておりませんが、『リクナビDMPフォロー』において取得していた情報と、別サービスにおいて取得していた情報が同一部署内に存在していたことで、『リクナビDMPフォロー』において一部の契約企業に納品していた情報が、他の情報と照合することによって、特定の個人を識別することが可能な状態になっていました。
これにより、『リクナビ2019』会員のうち、『リクナビDMPフォロー』のスコア提供は、契約企業への個人情報の提供とみなすべきところ、「アンケート」期のプライバシーポリシーには契約企業への個人情報の提供に必要な同意を得るための文言が盛り込まれていなかったため、これらの情報提供は未同意の状態で行われていたものと認識しております。
事象2 ハッシュ化に関する誤認識に基づき、本人の同意なく個人情報を第三者に提供
2019年2月以前の「アンケート」期において、一部の契約企業との間で、対象学生のCookie情報を利用した特定(突合)率を向上させる目的で、「アンケート」期とは異なる形式でスコア算出を実施するケースがありました。このイレギュラーケースにおいては、当該一部の契約企業から氏名などの個人情報の提供を受けていました。
株式会社リクルートコミュニケーションズにおいて取扱うデータがハッシュ化されたものであれば、契約企業に提供する際も非個人情報として取扱えるという誤った認識のもと、契約企業からお預かりした学生の情報とリクナビ会員の情報がハッシュ化された状態で紐づけられており、これを通じて算出したスコアは、学生本人の同意なく当該契約企業に対して第三者提供されていました。
<図7> 誤認識に基づく個人情報の第三者提供の流れ
事象3 プライバシーポリシーの更新漏れによる同意取得の不備
『リクナビ2020』では、2019年3月に、プライバシーポリシーを『リクナビDMPフォロー』の提供にあたって必要な内容に変更いたしました。『リクナビ2020』は、学生の皆さまが使用する複数の画面においてプライバシーポリシーに同意いただくサイト構成になっていますが、一部の画面においてその反映ができておりませんでした。これにより、『リクナビ2020』に会員登録されている学生の皆さまのうち、2019年3月以降にプレエントリー・イベント予約・説明会予約・ウェブテスト受検などの機能を利用されていない方で、かつ、『リクナビDMPフォロー』を導入した企業への応募者の中で2019年3月以降に『リクナビDMPフォロー』のスコア提供対象となった方、計13,840名(※2)の情報が、適切な同意を得られていない状態で企業に提供されていました。(図8参照)
※2|2019年8月5日時点のプレスリリースでは7,983名とお伝えしておりましたが、継続調査の結果、事象2に該当するケースや、一部の契約企業と『リクナビDMPフォロー』とは異なる個別契約を締結し、『リクナビDMPフォロー』の名を冠さずに実質的に同一の形式でスコアを提供していたことが明らかとなったため、人数が変動しております。
<図8> プライバシーポリシー更新漏れによる同意取得不備の流れ
本件の影響範囲
関係各所からの調査および株式会社リクルートキャリア内での精査の結果、『リクナビDMPフォロー』においてスコア提供の対象となった『リクナビ2019』・『リクナビ2020』会員の総数は95,590人、うち、結果的に適切な同意を得られていない状態であった会員の総数は26,060人でした。なお、サービス契約企業38社のうちスコア提供を行っていた企業は35社でした。
※2019年8月26日時点の株式会社リクルートキャリアによる発表以降の継続調査を踏まえ、影響範囲について人数・企業数を更新しております。
<表1> 対象となった会員の皆さまの影響範囲と、継続調査による変更点
| 対象区分 | 対象人数 | 継続調査による変更点について | |||
|---|---|---|---|---|---|
| 8月プレス リリース時点 |
継続調査による 変動人数 |
||||
| リクナビ 2019 |
『リクナビDMPフォロー』における スコア算出の対象者 (A) |
14,525 | 12,330 | +2,195 | ・これまでスコア提供が確認できていなかった契約企業のうち、 1社について、提供していた事実が判明 |
| うち、同意未取得で個人情報の 提供を行った対象者 (C) |
12,220 | 0 | +12,220 | ・上記と、事象1、2により、「未同意での個人情報の第三者提供」 にあたる対象者について追加 |
|
| リクナビ 2020 |
『リクナビDMPフォロー』における スコア算出の対象 (B) |
81,065 | 62,548 | +18,517 | ・個別契約を締結し、『リクナビDMPフォロー』の名を冠さずに 実質的に同一の形式でスコアを提供していたケースについて追加 ・その他の各契約企業へのスコア提供数を精査した結果の反映 |
| うち、同意未取得で個人情報の 提供を行った対象者 (D) |
13,840 | 7,983 | +5,857 | ・上記と、事象2により、「未同意での個人情報の第三者提供」 にあたる対象者について追加 |
|
| 全体 | 『リクナビDMPフォロー』における スコア算出の全対象者(上記A+B) |
95,590 | 74,878 | +20,712 | |
| うち、同意未取得で個人情報の 提供を行った対象者 (上記C+D) |
26,060 | 7,983 | +18,077 | ||
<表2> 継続調査による契約・スコア提供企業数の変更点
| 対象区分 | 対象企業数 | 継続調査による変更点について | |||
|---|---|---|---|---|---|
| 8月プレス リリース時点 |
継続調査による 変動企業数 |
||||
| リクナビ2019 ・リクナビ2020 |
『リクナビDMPフォロー』 契約企業 |
38 | 38 | 0 | - |
| うち、スコア提供企業 | 35 | 34 | +1 | ・これまでスコア提供が確認できていなかった契約 企業のうち、1社について、提供していた事実が判明 |
|
なお、上記には、サービス開発段階における検証協力として契約していた場合や、『リクナビDMPフォロー』の名を冠さずに実質的に同一の形式でスコアを提供した場合を含みます。