個人情報保護委員会は12月4日、内定辞退率を提供するサービスを行っていた株式会社リクルート及び株式会社リクルートキャリアに対し個人情報保護法に基づく勧告を、また同サービスの利用企業に対し同法に基づく指導を行ったと発表した。
同会では、リクルートキャリア社に対して8月26日付で勧告等を行っているが、当該勧告等の原因となった事項以外にも個人情報保護法に抵触する事実が確認されたため、12月4日付で改めて勧告を行った。
リクルート社及びリクルートキャリア社に対する勧告は、(1)2018年度卒業生向けの「リクナビ2019」にて、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずに利用企業に提供していたが、リクルートキャリア社は内定辞退率の提供を受けた企業で特定の個人を識別できると知りながら、特定の個人を識別できないとして個人データの第三者提供の同意取得を回避し、法の趣旨を潜脱した極めて不適切なサービスを行っていたこと、(2)同サービスでの突合率の向上のためにハッシュ化すれば個人情報に該当しないという誤った認識の下、サービス利用企業から提供された氏名で突合し内定辞退率を算出していたが、ハッシュ化されていてもリクルートキャリア社にて特定の個人を識別化が可能で、本人の同意を得ずに内定辞退率を利用企業に提供していたこと、(3)2018年6月の「リクナビ2020」プレサイト開設時に同サービスの利用目的が同サイト内に記載されたことをもって、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していたが、同サイト開設時のプライバシーポリシーには第三者提供の同意を求める記載はなく、2019年3月に改定されるまでの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していたこと、の3点が本勧告の原因となる事実で、リクルートキャリア社によって本人の同意なく第三者提供が行われた人数は26,060人となった。
同委員会ではリクルートキャリア社に対し、新しい商品を検討する際は法に則り適正に個人情報を取り扱うよう検討、設計する体制の整備、個人情報取得の際は商品等の内容を可能な限り特定し、当該利用目的の通知、公表を適切に行うことを、リクルート社に対し、業務を委託する場合は委託先に必要かつ適切な監督を行うことを勧告した。
また同委員会では同サービスを利用していた企業に対し、(1)利用目的の通知と公表等が不適切であったこと、(2)個人データを第三者に提供する場合は組織的な法的検討を行い、必要な対応を行うこと、(3)個人データの取り扱いを委託する場合、委託先に必要かつ適切な監督を行うことを指導した。
指導を受けた企業によって公表された本件への今後の対応は下記の通り。
○上記指導内容(1)が該当するサービス利用企業
・アフラック生命保険株式会社:特に無し
・イオンフィナンシャルサービス株式会社:個人情報の取り扱いや応募学生の対応に不備なきよう関連法令を考慮し対応に努めていたが、指導を踏まえわかりやすい説明を徹底する。「リクナビDMPフォロー」サービスにて提供を受けた情報は採用選考の合否判定には使用しておらず、データは全件削除済み。
・京セラ株式会社:特に無し
・株式会社大和総研:指導を厳粛に受け止め再発することのないよう業務に取り組む。「リクナビDMPフォロー」サービスを選考の合否判定や学生へのフォロー活動には利用しておらず、データは全件削除済み。
・トヨタ自動車株式会社:特に無し
・富士ソフト株式会社:個人情報の保護を企業としての社会的責任と考え適正な取得と取り扱いの徹底に努めていたが、本指導を受け改めて個人情報の利用目的の明示化を行い改善する。
・三菱商事株式会社:学生が同社に応募した際に提供された個人情報について採用活動に利用する旨を案内し、その同意を取得していたが、個人情報の利用目的の通知と公表に関し、分かりやすい説明を欠いたとの指導を受け、厳粛に受けとめ学生、応募者、関係者に対し深くお詫びする。2018年1月にリクルートキャリア社から依頼を受け、2017年度及び2018年度の同社の採用選考応募者に関するデータを提供し、その後、内定辞退予測に関するデータを受領したが、本データは当社の採用活動に活用できないとの判断から採用選考では一切使用せず、2019年度はリクルートキャリア社とデータの授受を行っていない。
・三菱電機株式会社:採用活動における個人情報の利用目的の通知、公表等を適切に行うべきという指導を真摯に受け止め、順守する。
・株式会社リクルートキャリア:本来持つチェックフローや決裁プロセスを踏むことなく、サービスが検討・提供されていた。学生視点が欠如していた。
・株式会社りそな銀行:特に無し
・YKK株式会社:「リクナビDMPフォロー」データの提供を受けた目的は、同社グループの就職説明会への参加を促進することで採用選考の合否判定には、一切、使用していない。
○上記指導内容(1)、(2)、(3)が該当するサービス利用企業
・アイシン・エィ・ダブリュ株式会社:「リクナビDMPフォロー」サービスを利用していたが採用選考の合否判定には一切使用していない。
・株式会社アスパーク:特に無し
・エヌ・ティ・ティ・コムウェア株式会社:リクルートキャリアから受領したデータを選考採用には使用していない。
・株式会社NTTファシリティーズ:今回の指導を厳粛に受け止め、採用活動において応募者から提供された個人情報を含む情報の取り扱いについて、より一層、厳重な管理に努める。
・株式会社コロワイド:リクルートキャリア社から受領したデータは採用活動にて一切使用しておらず、完全に削除している。
・株式会社三和:特に無し
・JFEスチール株式会社:「リクナビDMPフォロー」のスコアを合否判定に一切使用していない。2019年8月にデータを全件削除済み。
・住友電装株式会社:特に無し
・SOLIZE Engineering株式会社:選考の合否判定には一切使用していない。データは2019年8月に削除済み。
・太陽生命保険株式会社:特に無し
・大同特殊鋼株式会社:提供されたデータは採用選考の合否判定には一切使用しておらず、データも全件削除済み。
・株式会社テクノプロ(テクノプロ・エンジニアリング社):特に無し
・株式会社テクノプロ(テクノプロ・デザイン社):特に無し
・株式会社デンソー:「リクナビDMPフォロー」サービスを利用していたが採用選考の合否判定には一切使用していない。
・デンソーテクノ株式会社:採用選考の合否判定には一切使用していない。
・株式会社東海理化電機製作所:「リクナビDMPフォロー」サービスを採用選考の合否判定には一切使用していない。
・東京エレクトロン株式会社:特に無し
・株式会社ビッグモーター:特に無し
・株式会社本田技術研究所:特に無し
・株式会社メイテック:「リクナビDMPフォロー」スコアから窺われるとされた応募者の同社への興味・関心度合いを、応募者への適切なフォローの際の参考要素の一つにすることが目的で合否判断には一切利用していない。
・株式会社遊楽:特に無し
・株式会社リクルート:本来持つチェックフローや決裁プロセスを踏むことなく、サービスが検討・提供されていた。学生視点が欠如していた。
・株式会社レオパレス21:個人情報の取得に際して、その活用方法や範囲に関して説明の丁寧さを欠くという指導内容を真摯に受け止める。
・株式会社ワールドインテック:採用における個人情報の取り扱いには従来より十分配慮していたが、今回の指導を受け止め、より一層、個人情報の適正な取り扱いに努める。
同会では、リクルートキャリア社に対して8月26日付で勧告等を行っているが、当該勧告等の原因となった事項以外にも個人情報保護法に抵触する事実が確認されたため、12月4日付で改めて勧告を行った。
リクルート社及びリクルートキャリア社に対する勧告は、(1)2018年度卒業生向けの「リクナビ2019」にて、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずに利用企業に提供していたが、リクルートキャリア社は内定辞退率の提供を受けた企業で特定の個人を識別できると知りながら、特定の個人を識別できないとして個人データの第三者提供の同意取得を回避し、法の趣旨を潜脱した極めて不適切なサービスを行っていたこと、(2)同サービスでの突合率の向上のためにハッシュ化すれば個人情報に該当しないという誤った認識の下、サービス利用企業から提供された氏名で突合し内定辞退率を算出していたが、ハッシュ化されていてもリクルートキャリア社にて特定の個人を識別化が可能で、本人の同意を得ずに内定辞退率を利用企業に提供していたこと、(3)2018年6月の「リクナビ2020」プレサイト開設時に同サービスの利用目的が同サイト内に記載されたことをもって、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していたが、同サイト開設時のプライバシーポリシーには第三者提供の同意を求める記載はなく、2019年3月に改定されるまでの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していたこと、の3点が本勧告の原因となる事実で、リクルートキャリア社によって本人の同意なく第三者提供が行われた人数は26,060人となった。
同委員会ではリクルートキャリア社に対し、新しい商品を検討する際は法に則り適正に個人情報を取り扱うよう検討、設計する体制の整備、個人情報取得の際は商品等の内容を可能な限り特定し、当該利用目的の通知、公表を適切に行うことを、リクルート社に対し、業務を委託する場合は委託先に必要かつ適切な監督を行うことを勧告した。
また同委員会では同サービスを利用していた企業に対し、(1)利用目的の通知と公表等が不適切であったこと、(2)個人データを第三者に提供する場合は組織的な法的検討を行い、必要な対応を行うこと、(3)個人データの取り扱いを委託する場合、委託先に必要かつ適切な監督を行うことを指導した。
指導を受けた企業によって公表された本件への今後の対応は下記の通り。
○上記指導内容(1)が該当するサービス利用企業
・アフラック生命保険株式会社:特に無し
・イオンフィナンシャルサービス株式会社:個人情報の取り扱いや応募学生の対応に不備なきよう関連法令を考慮し対応に努めていたが、指導を踏まえわかりやすい説明を徹底する。「リクナビDMPフォロー」サービスにて提供を受けた情報は採用選考の合否判定には使用しておらず、データは全件削除済み。
・京セラ株式会社:特に無し
・株式会社大和総研:指導を厳粛に受け止め再発することのないよう業務に取り組む。「リクナビDMPフォロー」サービスを選考の合否判定や学生へのフォロー活動には利用しておらず、データは全件削除済み。
・トヨタ自動車株式会社:特に無し
・富士ソフト株式会社:個人情報の保護を企業としての社会的責任と考え適正な取得と取り扱いの徹底に努めていたが、本指導を受け改めて個人情報の利用目的の明示化を行い改善する。
・三菱商事株式会社:学生が同社に応募した際に提供された個人情報について採用活動に利用する旨を案内し、その同意を取得していたが、個人情報の利用目的の通知と公表に関し、分かりやすい説明を欠いたとの指導を受け、厳粛に受けとめ学生、応募者、関係者に対し深くお詫びする。2018年1月にリクルートキャリア社から依頼を受け、2017年度及び2018年度の同社の採用選考応募者に関するデータを提供し、その後、内定辞退予測に関するデータを受領したが、本データは当社の採用活動に活用できないとの判断から採用選考では一切使用せず、2019年度はリクルートキャリア社とデータの授受を行っていない。
・三菱電機株式会社:採用活動における個人情報の利用目的の通知、公表等を適切に行うべきという指導を真摯に受け止め、順守する。
・株式会社リクルートキャリア:本来持つチェックフローや決裁プロセスを踏むことなく、サービスが検討・提供されていた。学生視点が欠如していた。
・株式会社りそな銀行:特に無し
・YKK株式会社:「リクナビDMPフォロー」データの提供を受けた目的は、同社グループの就職説明会への参加を促進することで採用選考の合否判定には、一切、使用していない。
○上記指導内容(1)、(2)、(3)が該当するサービス利用企業
・アイシン・エィ・ダブリュ株式会社:「リクナビDMPフォロー」サービスを利用していたが採用選考の合否判定には一切使用していない。
・株式会社アスパーク:特に無し
・エヌ・ティ・ティ・コムウェア株式会社:リクルートキャリアから受領したデータを選考採用には使用していない。
・株式会社NTTファシリティーズ:今回の指導を厳粛に受け止め、採用活動において応募者から提供された個人情報を含む情報の取り扱いについて、より一層、厳重な管理に努める。
・株式会社コロワイド:リクルートキャリア社から受領したデータは採用活動にて一切使用しておらず、完全に削除している。
・株式会社三和:特に無し
・JFEスチール株式会社:「リクナビDMPフォロー」のスコアを合否判定に一切使用していない。2019年8月にデータを全件削除済み。
・住友電装株式会社:特に無し
・SOLIZE Engineering株式会社:選考の合否判定には一切使用していない。データは2019年8月に削除済み。
・太陽生命保険株式会社:特に無し
・大同特殊鋼株式会社:提供されたデータは採用選考の合否判定には一切使用しておらず、データも全件削除済み。
・株式会社テクノプロ(テクノプロ・エンジニアリング社):特に無し
・株式会社テクノプロ(テクノプロ・デザイン社):特に無し
・株式会社デンソー:「リクナビDMPフォロー」サービスを利用していたが採用選考の合否判定には一切使用していない。
・デンソーテクノ株式会社:採用選考の合否判定には一切使用していない。
・株式会社東海理化電機製作所:「リクナビDMPフォロー」サービスを採用選考の合否判定には一切使用していない。
・東京エレクトロン株式会社:特に無し
・株式会社ビッグモーター:特に無し
・株式会社本田技術研究所:特に無し
・株式会社メイテック:「リクナビDMPフォロー」スコアから窺われるとされた応募者の同社への興味・関心度合いを、応募者への適切なフォローの際の参考要素の一つにすることが目的で合否判断には一切利用していない。
・株式会社遊楽:特に無し
・株式会社リクルート:本来持つチェックフローや決裁プロセスを踏むことなく、サービスが検討・提供されていた。学生視点が欠如していた。
・株式会社レオパレス21:個人情報の取得に際して、その活用方法や範囲に関して説明の丁寧さを欠くという指導内容を真摯に受け止める。
・株式会社ワールドインテック:採用における個人情報の取り扱いには従来より十分配慮していたが、今回の指導を受け止め、より一層、個人情報の適正な取り扱いに努める。
