個人情報漏洩&セキュリティートラブル, 西山

リクナビ問題とは。利用規約を読まない、個人属性以外は個人情報ではないなど穴だらけ?


西山です。
今年もすでに9月になってしまったわけですが、令和になって初、というより実は一発目の記事更新なんです。

仕事柄、何かと個人情報マニアなワケですが、令話元年の最も大きな個人情報漏洩問題といえば、リクルートキャリア社が、就職活動を行う学生が集まる同社のサイト『リクナビ』において、内定の辞退率を統計し、企業にデータとして販売していたという事実が明るみになった、通称「リクナビ問題」が挙げられますね。

巷ではライバル会社であるマイナビからのリーク説などもちらほら聞こえてきます。
もちろん新卒採用市場で人材難と飽和状態による仁義なき戦いが行われているのは周知の事実。

しかし、正直マイナビほどの会社がこのような逆に致命的なリスクとなるような行動を冒すかといえば、無いともいえませんがなかなか考えにくいともいえます。
0とは言えませんが、断定まではできないのが今回です。

では、このリクナビ問題とはいったい何で、何が原因として起こり、そしてどのような影響をもたらしたのか。さらには何をして対策を取るか、この問題から得られる教訓は何か、確認していきましょう。
都市伝説説からは学べませんので(笑。

改めて個人情報の取り扱いルールをきちんと運用していれば、、、と悔やまれます。

今回のようなトラブルは、一言でいえば経営側の誤った認識によるヒューマンエラーです。
しかし知らなかったじゃ済まされません。
同様のケースが起きない為にも、もしわからないのなら『行っている業務フローが制定した個人情報保護規定上正しいかどうか』、『法律違反をしていないかどうか』を、Pマークの審査時に審査員に確認しておくべきです。

しっかりと正しい運用をしておけば絶対におきないトラブルだからです。
※当社では、Pマークの取得をフルバックアップするだけでなく、業務フローに問題がないかどうか専門家によるアドバイスも行っておりますので、気になる方は是非一度お問い合わせください。

|「リクナビ問題」とは?

「リクナビ問題」とは、リクルートの系列会社が、個人情報を勝手に取引先企業に販売していたということが明るみになったことに端を発します。
リクナビは新卒一括採用が固定化されている日本において、学生がその後の人生を決定づけるファーストキャリアの決定に大きな影響力を持っています。

大学を出て大手企業に就職し、一生を終えるというモデルが形骸化しつつある時代の中でも、まだまだリクナビの影響力は大きいのです。
そんな社会的責任の重大な企業でありながら、同社は学生の内定辞退率というデータを計測して、リクナビに求人情報を出す会社に販売していました。

内定辞退率は、1社400-500万円程度で販売されており、取得されたデータからAIを使ってその顧客企業の内定辞退率を算出し、ひとりひとりの学生の未来の内定辞退率を予測するというものでした。

「リクナビDMPフォロー」という名称で販売されていた同サービスは、個人情報保護委員会から指摘され、2019年8月上旬にサービスを停止しています。

購入していた企業も次々と名乗りを挙げ、日本経済新聞によりますと、

りそなホールディングス
アフラック生命保険
レオパレス21
東京エレクトロン
トヨタ
大和総研
ホンダ
三菱電機
NTTグループ
京セラ

など、38社が購入企業と報道されています。

出典:リクナビ問題、データ購入38社も責任問われる可能性

 

内定辞退率は、企業側から見たら内定を辞退する可能性が高い学生を選考から外し、“効率の良い“スクリーニングを行えることを意味しています。

しかしこれは明確な個人情報であり、勝手に販売してはいけないものあることは、明らかです。

 

|リクナビ個人情報漏洩は何が問題?

では、このリクナビ個人情報漏洩問題は、一体何が問題となったのでしょうか。

産業技術総合研究所情報セキュリティ研究センター主任研究員である高木浩光氏は、Twitterでこう書いています。

 

リクナビ問題は7つある。

①個人情報保護法違反(利用目的公表不十分で同意無効)
②責任主体が曖昧(誰がcontrollerか)
③職業安定法に違反かも
④信義誠実の原則に反する(利用目的が十分示されたら誰も同意しない契約)
⑤優越的地位の濫用
⑥辞退率推定の不正確さ
⑦機械的判断による多様性の欠如

つまり個人情報保護法を違反したという法令の問題だけでなく、職業安定法にも違反する可能性があり、さらには仮にこれが利用目的として同意を得たデータであったとしても、誰も同意しないぐらい勝手に裏側のデータを取得していること、地位の濫用、そもそもデータが不完全であるなど、さまざまな問題点が露呈することとなりました。

そもそも、この内定辞退率を取るという行為は、学生に「内定辞退率を取って企業に販売してもいいですか?」と聞いたら誰もYESとは答えないでしょう。
だから勝手に集計して渡していたのではないでしょうか。つまり、誰にとっても幸せにならないデータの取得だったのです。

法律違反ももちろんコンプライアンス上の問題がありますが、こうしたある種の裏データを取得して引き渡すということは、社会通念上も大いに問題があると考えられます。

|内定辞退率は個人属性ではないが個人情報だった

しかし、こう思われるかもしれません。

内定辞退率って個人情報なの?

と。

確かに内定辞退率は、住所や生年月日といった個人属性ではありません。よって、リクナビ側も「これは個人情報ではない」という認識であったという可能性も十分考えられ、またそのような一部報道もあります。

しかし、個人情報とは何も個人属性だけを指すのではないのです。個人を参照して特定できる情報ですから、リクナビサイト上の内定辞退率も、個人情報として扱うべきだったのです。本来は、慎重な取り扱いが求められるデータであることは事実です。

リクナビ問題は、ただ個人情報が漏洩したわけではありません。学生の将来を左右する、適切な取り扱いが求められる情報を販売し、個人の人生に大きな影響を与えたこととなります。

個人データを経営に使うに当たって、まだまだ理解が進んでいないことも一部要因として考えられるのではないでしょうか。

 

 

|cookieも取得し閲覧履歴も取っていたことが明るみに

さらに、サイトの閲覧データもcookieから取得し、利用者の学生のリクナビIDと照合して個人情報にした上で、第三者に引き渡していたことも明るみになっています。cookieはサイト閲覧履歴であり、どこの企業を見ているか、何のページをどのぐらいの時間見ているかなどがわかってしまいます。

それがリクナビIDと紐付けられてしまっては、プライバシーが一切なくなり、個人の自由を脅かす事態に発展してしまいます。業界ごとにどこの企業をみていたか、理系・文系の区分、学部などをアルゴリズムのタネとしながら、データ分析に使用していたと思われます。

出典:[独自記事]リクナビが提携サイトの閲覧履歴も取得していた事実が判明

 

 

|影響大きく…大学生はリクナビ離れが加速

2019年8月上旬に発覚したこの問題は、実はとても大きく広がっています。大学生のリクナビ離れが加速し、大学側も就職の説明時にリクナビを推奨しないなど、さまざまな影響をもたらしています。リクナビ側のレピュテーション(評判)も著しく低下しています。

出典:大学のリクナビ離れ 「信頼崩れた」就職説明会呼ばず

9月には、厚労省がリクルートキャリアへの行政指導を行うことが明らかとなりました。さらには、2020年以降の就活でリクナビを使っていたら不利になる可能性もないとはいいきれません。

なぜなら、かなり大きな社会問題でありながらも、それを気に留めずリクナビを使い続けているということは、社会に関心を持っていないとみなされてもしょうがないのです。

システムやコンプライアンスの問題と同時に、自分自身のレピュテーションリスクもコントロールしなければなりません。今回の個人情報漏洩の被害者は学生でしたが、リテラシーの高い社会人であるならば、より注意深く、この問題に注視しなければならないのです。

 

|リクナビ問題からの学びと教訓。取れる対策

この事件からの学びは非常に大きいと考えられます。

企業の経営側、利用者側、そしてシステムを開発したり運用したりする社員の側。三者ともにやるべきことがあります。

○経営側は個人情報データの範囲を正しく知ること
○利用者側は規約をきちんと読むこと
○システム開発側は「おかしい」という常識力が働くよう社内の風通しを良くすること
などの対策が考えられるでしょう。

リクナビ問題は、単に個人情報が持ち去られたなどということではなく、ビジネスとして販売していたのですから、リクルートキャリア社の経営体質の甘さが否めません。
リクルートキャリアという大企業、リクナビという社会的責任を多く背負ったサイト、そして新卒一括採用という仕組みを辞めないながらも自社に都合のいい人材を取りたがる顧客企業と、さまざまな問題が浮き彫りになりました。

また、学生側も自衛が求められるでしょう。利用規約をしっかり読まずに同意ボタンを押していると、このような事態に巻き込まれるリスクがあります。

奇しくも、英国企業が、無料Wi-fiを提供する代わりに無償のボランティアを義務付ける利用規約を発行したところ、22,000人ものユーザーが、何も読まずに「同意」を押したというレポートがあります。

出典:22,000 people willingly agree to community service in return for free WiFi

 

このように、利用規約を読まないということもまた、問題を悪化させるのです。

リクナビ問題は、ひとつの個人情報漏洩事件として、大きな教訓をもたらしました。
システムのバグではなく、経営サイドの問題であったこと。
裏で企業がやり取りしているデータには大きな闇が隠れていたこと。
何も知らない学生の人生が大きく左右されかねないこと。

個人情報漏洩を起こさないためにも、さまざまな事例から学んでいくことはとても重要です。二度目に同じパターンの漏洩を起こしたら、社会から何も学んでいないとして、再起不能になるまでダメージを受けてしまいます。経営のリスクヘッジとして、個人情報保護をしっかりと学ぶべきなのです。

|個人情報を重んじるなら第三者による承認を

個人情報保護を重視している企業であること。その意識の高さは「プライバシーマーク(Pマーク)」「ISMS(ISO27001)」などの第三者認証の取得によって表現できます。

特にPマークは、今や信用と同程度の価値を持つ個人情報を取り扱うに当たって、欠かせない認証です。

当社UPFでは、そのPマーク取得を企業の負担なくフルサポートにてコンサルティングを行っています。

危機意識を感じたら、ぜひお問い合わせくださいませ。

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 個人情報漏洩&セキュリティートラブル, 西山