Menu

個人情報保護委員会による継続調査の結果を受けたリクルートおよびリクルートキャリアに対する勧告・指導について

2019年12月04日
株式会社リクルート
株式会社リクルートキャリア
お知らせ

株式会社リクルート(本社:東京都千代田区、代表取締役社長:北村 吉弘、以下リクルート)とその子会社である株式会社リクルートキャリア(本社:東京都千代田区、代表取締役社長:小林 大三、以下リクルートキャリア)は、本日、個人情報保護委員会より以下の勧告・指導を受けましたのでご報告させていただきます。

本件は、リクルートによる事業運営委託のもとリクルートキャリアが運営していた『リクナビDMPフォロー』サービスに係る個人情報保護委員会による調査において、2019年8月26日付の同委員会の勧告・指導対象となった部分以外についての事実認定が終了したことにより、本日受領したものです。

本リリースにおいては、今回受けた勧告・指導の概要についてご説明させていただきます。なお、本件に関する全容および再発防止策等の取組みについては、別途プレスリリース「『リクナビDMPフォロー』に関する課題認識および再発防止策についてのご報告」およびリクルートキャリアのコーポレートサイト上(https://www.recruitcareer.co.jp/r-dmpf/)にてご報告させていただいております。

■ 今回の「勧告・指導」について

リクルートおよびリクルートキャリアは、リクルートキャリアが運営していたサービス『リクナビDMPフォロー』に関して、2019年8月26日以降の継続調査の中で報告した事実に対し、個人情報保護法第42条第1項の規定に基づき勧告及び第41条の規定に基づき指導を受けました。内容は、以下の通りです。

1.リクルートおよびリクルートキャリアに対する「勧告」について

リクルートおよびリクルートキャリアに対する「勧告」について

2.個人情報保護委員会による継続調査におけるリクルートキャリアからの追加報告事実について

2019年8月26日以降の個人情報保護委員会によるリクルートキャリアへの継続調査において報告した事実で、今回の「勧告」の背景事実にあたるものは以下の通りです。

なお、リクルートキャリアの「『リクナビDMPフォロー』に関するお詫びとご説明」ページにて、以下事実についてより詳細な情報を掲載しております。あわせてご確認ください。

▶『リクナビDMPフォロー』に関するお詫びとご説明:https://www.recruitcareer.co.jp/r-dmpf/

(1) 2019年2月以前のサービススキームについて

2019年2月以前の『リクナビDMPフォロー』では、以下の仕組みでスコアの算出を行っていました。

① webアンケートを通じて「Cookie情報」と「契約企業固有の応募者管理ID」を取得
② 『リクナビ』等のwebサイトを通じて「Cookie情報」と「リクナビサイトの閲覧履歴」を取得
③ 「契約企業固有の応募者管理ID」と「リクナビサイト上での業界ごとの閲覧履歴」を当該webアンケート等と『リクナビ』webサイトのCookie情報によって紐づけ、スコアを算出

当時の検討においては、上記の情報だけではリクルートキャリアにおいて特定の個人を識別することはできず、スコアを提供した企業においてのみ特定の個人を識別できるものと判断し、本スキームは個人データの第三者提供には該当しないと整理していました。しかしながら、今回の勧告では、提供先において特定の個人を識別できることを知りながら、本人の同意を得ることなくスコアを提供したことが、法の趣旨に沿わず不適切であると指摘されています。

本件のように「データの利活用」という慎重なリスク分析を必要とするテーマを取扱う際には、『リクナビDMPフォロー』という研究開発的な商品の開発プロセスであっても、その時点における法規制の内容だけではなく、広く社会の動向や時流を踏まえた検討がなされる体制を構築すべきであったと重く受け止めています。

(2) 2019年2月以前のサービススキームにおける取扱い情報の個人情報該当性

2019年2月以前の『リクナビDMPフォロー』では、前述の通りCookie情報の紐づけによってスコアを算出する、という仕組みでした。しかしながら、当時『リクナビDMPフォロー』のスコア算出を行っていた部署において、広告配信等の『リクナビDMPフォロー』とは異なるサービスの運用も行っており、これらのサービスにおいて、一部の契約企業から個人情報を取得していた実態が判明しました。

これらの個人情報が『リクナビDMPフォロー』において利用された事実は把握しておりませんが、『リクナビDMPフォロー』において取得していた情報と、別サービスにおいて取得していた情報が同一部署内に存在していたことで、『リクナビDMPフォロー』において一部の契約企業に納品していた情報が、他の情報と照合することによって、特定の個人を識別することが可能な状態になってしまっていたことが判明いたしました。

これにより、『リクナビ2019』会員のうち、『リクナビDMPフォロー』のスコア提供対象となっていた方のスコア提供は、契約企業への個人情報の提供とみなすべきところ、当時のプライバシーポリシーには契約企業への個人情報の提供に必要な同意を得るための文言が盛り込まれていなかったため、これらの情報提供は未同意の状態で行われていたものと認識しております。

(3) ハッシュ化に関する誤認識に基づき、本人の同意なく個人情報を第三者に提供

2019年2月以前のサービススキームにおいて、一部の契約企業との間で、Cookie情報を利用した特定(突合)率を向上させる目的で、webアンケートとは異なるスキームでスコア算出を実施するケースがありました。このイレギュラーケースにおいては、当該一部の契約企業から氏名等の個人情報の提供を受けていました。

しかし、取扱うデータがハッシュ化されたものであれば、契約企業に提供する際に非個人情報として取扱えるという誤った認識のもと、契約企業からお預かりした学生の情報とリクナビ会員の情報をハッシュ化された状態で紐づけ、これを通じて算出したスコアが、学生本人の同意なく当該契約企業に対して第三者提供されていました。

(4) 一部の契約企業に『リクナビDMPフォロー』の名を冠さずに実質的に同一のスキームでスコアを提供

2019年3月のプライバシーポリシー変更後のスキームにおいて、一部の契約企業と『リクナビDMPフォロー』とは異なる個別契約を締結し、『リクナビDMPフォロー』の名を冠さずに実質的に同一のスキームでスコアを提供していました。

本ケースにおいては、2019年8月5日のリクルートキャリアのプレスリリースにてお伝えさせていただいているものと同様に、2019年3月の『リクナビ2020』プライバシーポリシーの更新漏れによる影響から、本ケースの対象となる会員から適切な同意を得られていない状態で企業に対して個人情報の第三者提供が行われていました。

3.対象学生人数等の修正

継続調査での報告事実(2)(3)(4)およびこの間の情報の再精査を受け、『リクナビDMPフォロー』においてスコアが提供された対象となった学生の皆さまの総数は95,590人、その内、結果的に適切な同意を得られていない状態であった学生の皆さまの総数は26,060人となりました。また、サービス利用の申し込みがあった企業は38社、その内、スコアを実際に提供していた企業は35社となりました。

対象となった学生の皆さま、大学関係者の皆さま、ならびに『リクナビDMPフォロー』をご利用いただいていた企業の皆さまに、改めて心よりお詫びを申し上げます。

なお、今回の修正を受けて、新たにスコア提供の対象であることが判明した方、および、適切な同意が取得できていなかったことが判明した方のうち、『リクナビ2020』をご利用の学生の方には、個別にお詫びとご報告のご連絡をお送りさせていただいております。『リクナビ2019』をご利用いただいていた方に対しては、同サービスが2019年3月をもって、終了しておりますため、リクルートキャリアが保有していた会員個人情報を既に削除しており、本件に関するご連絡を直接差し上げられず、大変申し訳ございません。

『リクナビ2019』利用者専用のお問い合わせフォームを開設しておりますので、ご不明点等あればこちらよりご連絡くださいますようお願いいたします。

▶ 『リクナビ2019』ご利用者専用問い合わせフォーム:https://rikunabi.custhelp.com/app/ask/p/1024/rnv_id/2019

(参考) 継続調査での再精査結果をうけた対象学生人数等 内訳

<表1> 対象となった会員の皆さまの影響範囲と、継続調査による変更点

継続調査での再精査結果をうけた対象学生人数等 内訳

<表2> 継続調査による契約・スコア提供企業数の変更点
※ サービス開発段階における検証協力として契約していた場合や『リクナビDMPフォロー』の名を冠さずに実質的に同一のスキームでスコアを提供した場合を含む

継続調査による契約・スコア提供企業数の変更点

4.「『リクナビDMPフォロー』契約企業」としてのリクルートに対する指導について

リクルートは、『リクナビDMPフォロー』契約企業として、同サービスを利用するにあたって、応募学生に対する利用目的の通知又は公表等が不適切であったことや個人データを外部に提供する際の法的検討ないし当該法的整理に従った対応等が不適切であったことを受け、以下を内容とする指導を受けました。

(1) 利用目的の通知、公表等を適切に行うこと
(2) 個人データを第三者に提供する場合、組織的な法的検討を行い、必要な対応を行うこと
(3) 個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行うこと

リクルートでの採用活動業務における個人情報の取扱いについても、関連業務に従事する部署の社員教育・啓発を徹底し、再発防止に努めてまいります。

改めまして、本件により多大なるご迷惑、ご心配をおかけしたすべての皆さまに深くお詫び申し上げます。今回の一連の事実を重く受け止め、グループ一丸となって再発防止に取組んでいく所存です。

以上

【本件に関するお問い合わせ】

株式会社リクルートキャリア 広報部 社外広報グループ
kouho@waku-2.com 03-3211-7117
https://www.recruitcareer.co.jp/support/press_inquiry/

株式会社リクルート 社外広報部 社外広報グループ
press@r.recruit.co.jp 03-6835-9601
https://www.recruit.co.jp/support/form/