事例から得られる知見(2) - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

前回は、「事例から知見を得ていきましょう」ということで、第2回のⅡで挙げた実際の事例のうち、二つを取り扱いました。今回も同様に、別の二つの事例を見ていきます。

事例から得られる知見

内定辞退率問題(2019年)

(1) 事例の概要

この事例は、就職活動支援サイト(以下「就活サイト」ともいいます)を運営する企業(とそのグループ企業)が、同サイトを活用して就職活動(以下「就活」ともいいます)を行う学生のウェブサイトの閲覧履歴やオンライン上の行動履歴をもとに、学生の選考離脱や内定辞退の可能性(率)を予測できる学習済みモデルを開発し、その内定辞退率を契約企業に提供していた事例です。
この事例は、特定の時期の前後でスキームが変更されており、一応は「プライバシーポリシーの掲示と同意の取得があった」といえる時期と、一部学生に対してプライバシーポリシーの不備があった時期があるなど、厳密にはその前後で分けて検討する必要があります注1。もっとも、既に法改正によって一定の対応がなされているような点もあるなど、本稿との関係ではあまり厳密に立ち入る必要性が低いことから、ここでは厳密に分けた形で下記(2)の議論を行うことはしないこととします。いずれにせよ、この事例は、各方面からの批判を招き、運営企業の社長の謝罪にまで至るなど、レピュテーションに大きく傷を受けたことからサービス自体も終了し、また個人情報保護委員会からの2度の指導、勧告もなされました注2

(2) 得られる知見

この事例も、前回取り上げた事例と同様、言ってしまえば「学生のプライバシーを侵害した」の一言で片付いてしまうのかもしれませんが、それでは今後に役立てることができませんので、もう少し深く考えてみましょう。

まず、ユーザー(データ主体)である学生にとっては、「自分たちの閲覧履歴等のデータが内定辞退率のようなスコアリングに利用されていることについての予測可能性がなかった」といえます。プライバシーポリシーには「どのような情報から内定辞退率を算出するか」ということが予測できるような具体性をもった記載がありませんでしたし、そもそも、ユーザー(データ主体)が就活サイトを利用する学生である以上、彼らは内定辞退率のようなスコアを算出するようなサービスに期待もしていないし、望んでもいなかった(=想定していなかった)と考えられます。
世の中の多くの事例では、プライバシーポリシーに予測可能な程度に具体的なデータの利活用に関する記載がなされることはほとんどないのが現状かもしれません。とはいえこの現状の実務は問題を孕んでいると考えられ、特に、①ユーザー(データ主体)がその受け取っているサービスから期待するようなデータ利活用、②あるいはユーザー(データ主体)が予期できる範疇のデータ利活用、の範疇から外れるようなことを行う場合、企業は、より具体的な情報提供を行い、かつその情報提供がユーザー(データ主体)側にどの程度きちんとリーチしうる環境となっているかといったことを検証することが必要になっていくでしょう。

もっとも、この事例は、「具体的な情報提供がなされていれば問題がなかった」といえるのでしょうか。私は、この事例に関してはそうではなかった(=具体的な情報提供を行って(、同意取得をして)いたとしても、このようなデータ利活用は許されなかった)と考えています。
就活サイトは、多くの場合、就活に役立つ情報を一括して確認できたり、企業へのエントリーや説明会への参加、就活に関するセミナーなどの情報を一元的に管理できることから、学生にとっては就職活動の中心的機能を果たすものといえます。このように、就活サイトは「学生の就職活動を円滑化・効率化する」という表の目的のもとで作られているのに対し、内定辞退率のスコアリングは、就活サイトの本来の(表の)機能・目的とはまったく関係がないといっても過言ではありません(目的と評価事項との関連性)
それどころか、むしろデータ主体である学生の利用目的を阻害する情報の生成と流通にほかならないともいえます。すなわち、学生側は、内定をもらった会社に対して「本当は志望度が低いから別の会社から内定をもらった場合は辞退をしよう」とか「保険的にキープしておこう」といったことを“考える”ことは本来自由であり、それを他の者(特にその会社)に対しては開示しない、秘匿すると考えるのが通常です。しかし、この内定辞退率の企業への情報提供は、学生(データ主体)の意に反する開示そのものです。また、学生はその情報の真偽を是正する機会も事実上与えられていません。本当は、当該学生はA社が本命であったのに、「内定辞退率が高い」とスコアリングされ、A社の採用過程に影響が出たとした場合、当該学生の職業選択に対するマイナスの影響は計り知れないでしょう(秘匿への利益、是正機会の有無と影響の大きさ)
加えて、サイト運営側が利用しているデータは今の技術水準であれば極めて容易に入手・突合ができるユーザー(データ主体)の閲覧履歴等である一方で、当該データから予測される結果(情報)は就職活動の成否に大きな影響を与えかねない内定辞退率という、いささかデータ入手の手軽さに対して、推測結果が重大に過ぎるともいえます(データ取得の手軽さとデータ主体への影響度のバランス)
このような点を考慮していくと、就活サイトの運営から得られる利活用データから内定辞退率という評価事項を推測することの合理性が肯定できないように思われます。

上記の点を原理・原則である憲法の権利規定に則していうと、「内心の自由に対する侵害の程度と職業選択の自由に対する侵害の程度が、社会的許容範囲を超えて許されない程度に至っている」注3ということになるのではないでしょうか。実際、職業選択との関係でいうと、(1)で述べた個人情報保護委員会からの指導・勧告のほか、職業安定法および同法に基づく指針注4違反を理由として東京労働局から運営企業に対する指導注5もなされていますし、事件が明るみに出た頃に厚生労働省職業安定局長から全国求人情報協会理事長宛に要請文書注6も出されたようです。
このように、内心の自由や職業選択の自由という重要な権利に対する重大な侵害が生じていたといえる本件については、前述のような具体的な告知や同意取得があったとしても許容されないと考えるべきでしょう。

ポイントカードのプロファイリングデータ販売問題(2022年)

(1) 事例の概要

報道によると、この事例は、ポイントカード事業者が、「氏名・性別・生年月日・住所・電話番号・メールアドレス」といった会員基本情報と、「いつ・どこで・何を・いくらで購入等したか」という蓄積された購買等データから、数百項目にわたる顧客の志向性注7を予測することができる学習済みモデルを利用して、ポイントカードユーザーのデータベースを作成。そして、そのデータベースをデータ・マーケティング会社に提供し、当該マーケティング会社が有するデータベースとメールアドレスなどを介して突合し、突合したデータを企業等に販売するというものでした。なお、このサービスの利用規約には、「(会員の個人情報を)行動ターゲティング広告事業者に第三者提供することがある」との記載や、提供情報は「匿名のままに保たれ、個人を特定できる情報は一切取得できない」との記載があったとのことです。

この事例は、どちらかというと、ポイントカード事業者からデータマーケティング会社に対する第三者提供について、「“個人情報保護法上の同意を取得しているから問題はない”という形式論でよいのか」という形で問題提起がなされました。ところが、一部の界隈では大いに話題になったものの、上記の事例のような大きな社会問題としてまでは取り扱われなかったように、私は感じました。

(2) 得られる知見

この事例の問題点は、上記の事例とよく似ています。
まず、第三者提供に関する利用規約の記載からは、このサービスの具体的な内容はなかなか読み取れないと思われますし、また、「提供先でメールアドレスで突合する」という事実と、「匿名のままに保たれ、個人を特定できる情報は一切取得できない」との利用規約上の説明が整合しているのか、ということが問題となります。さらに、仮にそういった説明がすべて適切であったとしても、「志向性をプロファイリングして、データマーケティング会社や、さらにその先の顧客企業へ流通させることは許容されるのか」という問題が残ります。
報道からは、志向性の推測過程の詳細や、その情報の流通に関する詳細がはっきりしないため、きちんと考察することは難しいです。ただ、仮に⒈(2)と同様の分析を行うと、ポイントカードの目的と稿末注7のような志向性を推測することが関係しているのか、予測される志向性の内容や性質によっては、秘匿への利益と是正機会の有無が確保される必要があるのではないか、あるいは現在の日本におけるポイントカードに付随してデータを取得することの容易さと稿末注7の志向性の推測とその利活用の結果のバランスが取れているのかといった点に疑義が生じる可能性はあるでしょう。

ただし、(1)で述べたように、この事例はそこまで大きな社会問題化はしなかったように感じています。日本社会の“忘れっぽさや高度な適応力注8”によるものなのか、過度な社会的信託の結果であるのか、「なぜ社会問題化しなかったのか」の分析がなされているわけではありませんが、仮にそういったことが理由であるとすると、本事例は、日本社会においてデータの適正利活用を検討する際に“社会的許容性”を強調しすぎることはあまりの望ましくないことを示すものである可能性があります。

社会の流れに影響されすぎないように、原理・原則に基づいた検証の継続がなければ、いつの間にか望まない社会を招来している可能性は否定できません。この辺りの温度感をどこに設定するかは、「企業理念としてどの温度感で事業展開を行うか」という企業の経営側の課題ですが、こういった課題意識を経営課題として持っている日本企業は少なそうです。

*    *

次回も、もう少し、事例から得られる知見を見ていきたいと思います。

→この連載を「まとめて読む」

[注]
  1. 事例の詳細は、たとえば、株式会社リクルートウェブサイト「『リクナビDMPフォロー』とは」同「『リクナビDMPフォロー』の法的な不備とその影響範囲」をご参照ください。[]
  2. なお、内定辞退率の提供を受けていた企業側も指導されています(参考:個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」(令和元年12月4日))。[]
  3. 最判昭和48年12月12日民集27巻11号1536頁参照。[]
  4. 「職業紹介業者、求人者、労働者の募集を行う者、募集受託者、募集情報等提供事業を行う者、労働者供給事業者、労働者供給を受けようとする者等がその責務等に関して適切に対処するための指針」(平成11年労働省告示第141号。最終改正:令和4年厚生労働省告示第198号)[]
  5. 株式会社リクルートキャリア「『リクナビDMPフォロー』に係る当社に対する東京労働局による指導について」(2019年9月6日)[]
  6. 厚生労働省職業安定局長「募集情報等提供事業等の適正な運営について」(令和元年9月6日職発0906第3号、公益社団法人全国求人情報協会理事長あて)[]
  7. 報道によると、衣・食・住・遊・働・共通・情報接触といったカテゴリーごとに、370個以上の個人の特性(たとえば、「浪費タイプ」「助言信用タイプ」「肩書気にするタイプ」「情報拡散タイプ」など)に分けて分析するものとされています。[]
  8. より突っ込むと、ポイントカードのようなものは、そのユーザー(データ主体)の購買傾向などを分析するために利用されているということが、ユーザー(データ主体)側に浸透、受け入れられ、ユーザー側もそのことについてはもう諦めているということかもしれません。[]

渡邊 満久

principledrive株式会社 代表取締役
principledrive法律事務所 弁護士

弁護士登録後、企業を当事者とする紛争・訴訟に強みを有する国内法律事務所にて5年強、M&A等の企業法務を主に取り扱う外資系法律事務所に1年半強勤務し、訴訟・仮差押え・仮処分等の裁判業務、税務紛争、M&A、債権法・会社法・労働法・消費者関連法等企業法務全般の経験を有する。近時は、個人データに限らずデータ全般を利用したビジネス・プロジェクトの立ち上げ支援、データプライバシー、データを含むさまざまな無形資産の権利化といった側面から、日本国内のみならず、東南アジア、インド、中東、ヨーロッパ、米国をまたぐ、企業のDXプロジェクトの促進に取り組む。