個人情報保護委員会は、2019年8月26日、株式会社リクルートキャリアに対し、個人情報保護法に基づく勧告・指導を行いました。このことが、大きなニュースになっています。

(1)　概要

報道によれば、リクルートキャリアは、2019年3月から、従前のスキームを変更し、①顧客企業から応募者の個人情報を提供してもらい、②リクナビが保有する情報と照合し、個人を特定する、③その行動データを過去のリクナビユーザのものと照合して、内定辞退率のスコアを算出し、顧客企業に納品する、というスキームによりビジネスを行っていたとのこと。

(2)　問題点

リクルートキャリア側からすると、③の段階で、会員登録した学生の個人データを本人の同意なく第三者（顧客企業）に提供していることになりますし、学生に説明していた目的以外に個人情報を利用したのではないかという点が問題になります。

個人情報保護委員会も、個人データの第三者提供について本人の同意を得ていなかった件数が7,983件あること、プライバシーポリシーをはじめとする安全管理体制に不備があったことを認定し、組織体制の見直し等を勧告するに至っています。

(3)　炎上するケース

個人情報の問題で大きな騒動になる典型的なケースとして、

①問題となっている個人情報がセンシティブな情報（本件だと、就活中の学生の予測内定辞退率という、学生の人生を左右しかねない情報）

②特定の個人が識別可能な「生データ」をそのまま目的外利用・第三者提供している

ケースが挙げられます。このようなビジネスを考えている企業は、特に要注意です。

(4)　個人情報の管理はガバナンスの一部

10年前より、企業の個人情報の管理に対する意識は向上したとはいえ、「ガバナンス」の一部として認識している企業・経営者は多くないのが、弁護士としての実感です。

リクルートキャリアのケースでも、2019年3月からビジネスのスキームを大幅に変更し、リスクが大きくなったのですから、「気づき」が得られる機会はあったはずです。具体的に言えば、①変更後のプライバシーポリシーの内容、②ホームページ上から会員登録する学生に対して表示する画面遷移について、リーガルチェックを入れる機会があったはずです。

さらに、①プライバシーポリシーの検討で見落とされがちなのが「利用目的」です。概括的に記載する企業が多く（これ自体やむを得ない面もあります）、利用者からすると自分の個人情報が「予想外」の使われ方をしていると感じる場面も珍しくありません。リクルートキャリアのケースでも、「利用目的」の記載が不十分でなかったか、問題視されているようです。法務チェックでこの点まで徹底して検討できていると、良かったと思います。

リクルートキャリアのケースは、多くの企業にとって、とても学びが多いケースといえます。