改正個人情報保護法案の説明（リクナビ事件と重要な改正点の対照）

閣議決定後しばらく動きがなかった改正個人情報保護法案がこの5月19日に衆議院に付託されました。そこで、今回は、2019年のホットイシューとなったリクナビ事件の問題を見ながら、関連する改正個人情報保護法案の内容を説明します。

閣法 第201回国会 48 個人情報の保護に関する法律等の一部を改正する法律案

１　リクナビ事件とは

就職情報サイト「リクナビ」を運営するリクルートキャリアが、学生の了解をとらずに、いわゆる「内定辞退率」を算出し、企業に販売していた問題。12月４日、政府の個人情報保護委員会は、リクルート側に２度目の勧告を行うとともに、データを購入する契約をしていた37の企業にも指導を行いました。

NHKニュース「検証！「リクナビ」問題」」より引用

検証！「リクナビ」問題 | NHKニュース

リクナビ事件の法的問題として、上記の内定辞退率を算出し顧客企業に提供するに当たり、その旨の記載を加えた改定後のプライバシーポリシーの同意に取得漏れがあったことが目的外利用として勧告の対象となりました。
加えて、違法かという点を明確にはしていないものの下記の点も個人情報保護委員会は問題として指摘をしています。

①「プライバシーポリシーの記載内容は、現DMPフォローにおける個人デ
ータの第三者提供に係る説明が明確であるとは認め難い。」
https://www.ppc.go.jp/files/pdf/190826_houdou.pdf
②「内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。」
https://www.ppc.go.jp/files/pdf/191204_houdou.pdf

２　公表事項の充実

(1)　リクナビ事件の指摘

上記①で記載しましたように、内定辞退率を行動履歴からプロファイリングしてスコア化して、求人企業に提供することについて下記のプライバシーポリシーの記載で十分であったのかという点が「明確であるとは認め難い」として問題視されました。

※リクナビ2020 プライバシーポリシー（株式会社リクルートキャリア、2019年8月14日取得、傍線加工 BUSINESS LAWYERS編集部）

この文言からしますと行動分析をして第三者に提供することは読み取れますが、そこに行動履歴等を分析・集計してプロファイリングをし個人データに「内定辞退率」とのラベルが貼られて利用企業等に提供されることまで想起できるのかという点が問題になります。
日本の個人情報保護法では、プロファイリング含め、個人情報の利用目的は公表しなければならないのですが、利用目的の達成にどのような手段を用いるかといった点はフォローされていないという問題点が浮き彫りとなったのです。

（２）　改正大綱の内容

　施行令に関する定めのため、改正法案には記載がないものの、改正大綱で「保有個人データに関する公表事項の充実」に関する事項について記載がされました。その中で新たに公表事項として以下の２つが記載されてました。そのため、施行令で以下の2項目も公表の対象とされることが予想されます。
・個人情報の取扱体制や講じている措置の内容
・保有個人データの処理の方法

これまでのプライバシーポリシーは、個人情報をこのために使うというだけで足りましたが、今後は、この個人情報をこのように処理した上でこのように使う、まで書かなければならなくなることになる可能性が高く、この場合多くの企業でプライバシーポリシーの大幅改定を求められることになるでしょう。特に経緯からしますと、AI分析・プロファイリング・スコアリングといった処理をする場合には丁寧な記載を心掛けなければならなくなると思われます。

２　個人関連情報の新設

（1）リクナビ事件の指摘

リクナビ事件で、個人情報保護委員会は、上記のとおり「内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。」と指摘しています。
この問題点の背景は、あるデータを第三者に提供する際に提供先において個人データにあたらないとしても、提供元において容易照合性により個人情報（個人データ）に該当するのであれば、それは個人データの提供に該当する（「提供元基準」）と解されていることにあります。
これを逆手にとって、提供元基準が採用されたことから、逆に提供元において容易照合性がなく個人データに該当しなければ個人データの第三者提供ではないという解釈が実務上とられるようになりました。結果、提供元においては個人情報でないものにしておき、Cookie等の端末識別子で提供先で個人を特定できるようにすることで保護法の規制を免れる事態が散見されるようになっていたというものです。

個人情報保護委員会「個人情報保護をめぐる国内外の動向」（2019年11 月25 日）　https://www.ppc.go.jp/files/pdf/191125_shiryou1.pdf より引用

（２）　改正法案の内容

上記の状況を看過できないとして、改正法案では、「個人関連情報」という概念が新設され第三者提供の際の規制が導入されました。
個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいい、具体例としてはCookie等の端末識別子といったものが挙げられます。そして、これに関する規制として、提供先において「個人データとして取得することが想定されるとき」には、提供先において「個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める」旨の本人の同意が得られていることを確認しなければ、第三者提供してはならないこととされました。なお、改正大綱では端末識別子とCookie等をターゲットにする記載であったのが、個人関連情報という表現になったことから端末識別子以外に具体的にどのようなものがこの規制の対象となるのかについては、今後の動きを注視していく必要があります。

【追伸】
①下記の書籍らに寄稿しております。

組織内弁護士の実務と研究

問題社員をめぐるトラブル予防・対応アドバイス

問題社員をめぐるトラブル予防・対応文例集

②個人情報保護委員会の改正法案概要の項目ごとに説明をする電子書籍を出版しました。Kindle Unlimitedの会員は無料で読めますのでご興味のある方はぜひお試しください。

30分で分かる　法務部員のための改正個人情報保護法案（2020年）のポイント: 多忙な法務部員のビジネス法務駆け込み所