大手就活情報サイト「リクナビ」を運営するリクルートキャリアが就活生の「内定辞退率」を予測したデータを企業に販売していた問題。同社は8月5日、このサービスに関して約8000人の学生から「適切な同意が得られていない状態であった」として謝罪した上、サービスの廃止を発表した。しかし、個人情報保護委員会は8月26日、初となる是正勧告を出し、厚労省も9月6日、職業安定法に違反していたとして指導するなど、強い批判を受けた。

問題となったサービスは「リクナビDMPフォロー」。登録した学生の「リクナビ」上で行動履歴などをAIで分析、5段階にスコア化した「内定辞退予測」を38社に販売していたという。当初、同社は学生がサービス登録時に同意したプライバシーポリシーに基づいた適法な提供だとしていた。

しかし、8月5日に約8000人の学生から、適切な同意を得ることなしにリクナビDMPフォローの分析対象としていたことを認めた。サービス廃止について「学生の皆さまの心情に対する配慮不足こそが、根本的な課題であると強く認識」したことを理由として挙げたものの、提供先の38社との契約はどうなっていたのか、学生の行動履歴をどのように取得していたのかなど、十分な説明はなされていない。

リクナビ事件の構造

報道やネットでは、学生からの同意の有無が論点となっているが、これに疑問を投げかけるのは、一般財団法人情報法制研究所理事長で、理化学研究所でAIと法についても研究している新潟大学の鈴木正朝教授（ https://twitter.com/suzukimasatomo ）だ。「同意が形骸化している中で、同意の形式さえあればいいという認識を、そろそろ改める必要があります」と指摘する。3年ごとに見直される個人情報保護法の次の改正は2020年の見通し。今、どのような議論が求められるのか。鈴木教授に聞いた。

●形骸化している「同意」の取得

——リクナビ問題をどうみていらっしゃいますか？

「これまでの報道などでは、第三者提供における本人同意の有無が注目されていますよね。しかし、問題の本質はそこなのでしょうか。リクナビの問題は、同意の有無にかかわらず、やってはならないことに踏み込んでいるのではないでしょうか。

確かに、現行個人情報保護法では、同意によって適法となり得るところがあります。しかし、個人情報保護法の本来の法目的を考え、（人の性向を推定する）プロファイリング等自動処理によってデータによる人間の選別だけではなく、差別的取扱いや人権侵害的結果を招いているのであれば、同意があっても禁止されるべきです。

利用目的によって内容が適切に明示され、それを認識した上での真の同意の下に許容されるものと同意の有無に関わらず禁止されるものと区別した法制度に向かうべきです。

また、そうした仕組みが裏で働いている場合に、一般人にそれを理解しろというのは難しい。そうした技術によって自分にどのような不利益が起こり得るか、自分の意思決定に直接間接にどのような影響を与えているのか。それを理解した上で合理的に行動できるだけの情報が与えられている必要があります。

そういった前提を欠いているところで、単に同意を得たといっても、形骸化したものにならざるを得ません。つまり、リクナビに限らず、私たちは今、同意の限界に直面しているというべきかもしれません。同意だけでは本人の権利利益を保護することができなくなっていることにももっと目を向けて考えていくべき時期に来ています」

●個人情報保護法上は、「利用目的」に問題

——すでに、個人情報保護委員会は勧告を出していますが、どのような法的問題がありますか？

「個人情報保護委員会は、第三者提供の同意がなかった点を一番の問題にしていますが、その前提として、個人情報保護法上は、まず第15条1項（利用目的の特定）について問うべきです。『個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない』という条文ですね。

ここに第三者に提供する旨が記述されていなければなりません。さきほど、同意する前提として、その判断の材料となる情報が不十分ではないかと指摘しましたが、個人情報保護法では、それを利用目的の特定として規律しているのです。

しかし、個人情報保護法ガイドライン（通則編）の利用目的の特定のところをみると、結構、緩く規律されているわけです。いや、利用目的とは何か、どのような機能を担うものかについて十分にそのコンセプトを明らかにできていないということかもしれません。経済産業省ガイドライン等の時代から『できる限り特定』と書きながら、行政庁は、文言の許す範囲で緩い運用を許してきたように思います。

個人情報保護法は、事業者の規模や業種に関係なく包括的に規律する民間部門の一般法です。個人情報の利活用に配慮せよという財界の圧力がある中で、利用目的の特定の規律について、具体性を強く求めることを躊躇してきたのではないでしょうか。

そう考えると、リクナビに対して、事後的に利用目的の特定に具体性がなかったと指導することに若干の躊躇を覚えなくもない。委員会にも、利用目的の特定のあり方についての考え方をより明確に示すとともに、具体的な基準を示しておくべきではないかと注文をつけたいところもあります。

2003年成立以来個人情報保護法は、取得に同意を求めてこなかったように、この法律は同意原則ではなく同意はむしろ例外的ですらありました。本法を貫いているのは利用目的による規律です。利用目的の範囲内で個人情報を個人情報のまま使うことを許している法律です。個人情報の定義や義務規定全般にこの利用目的がどう機能しているか、3年ごと見直しの時期にある今、もう一度確認してみるべきだと思います」

●サービス単位で利用目的を設置する必要性

——では、具体的な基準が示されない中、プライバシーポリシーはどうあるべきなのでしょうか。

「プライバシーポリシーに示された内容を利用目的と認めていいかについても議論が必要です。一般的にプライバシーポリシーは全社的に一つ公表していますよね。要するに『1社につき1利用目的』ですませている現状をそのままにしていていいのかどうかという問題です。

各社とも個人情報を取得して多様な商品やサービスを提供していますが、どのような個人情報をどう使っていくかは本来、サービス単位で異なるはずです。ということは、利用目的を『できる限り特定』するために、ある程度具体的に記述しようとすれば、サービス単位で異なる利用目的になるはずなのです。ですが、『1社につき1利用目的』で済ませている事業者が見られます。それだけ抽象的な利用目的でよしとしてきた運用にあるということを示しています。

個人情報保護法ガイドライン（通則編）で示されている「具体的に」特定せよという指針に合致しないケースも多々あるのだろうと思います。

また、別の論点になりますが、個人情報の直接（契約）書面取得においては、約款上にも利用目的条項を設けるものが数多く見受けられます。この約款上の利用目的条項と個人情報保護法上の表示義務（明示）である特定された利用目的とが一致しない場合があり、後々データ管理上の問題を引き起こします。契約（法）上の義務と、行政の取締規定（個人情報保護法）上の義務とのコンフリクト問題です。

一般的には、個人情報保護法上の抽象的な利用目的に、契約上の個別具体的な利用目的条項が包摂されるところで、契約どおり履行することで適法性が担保されるところがありますが、両者がズレている場合には取扱いに苦慮することになるでしょう。現状であまり問題になっていないのは、たぶん現場ではあまり利用目的も契約も見ていないからでしょうね。

データベースに利用目的管理機能がないということも背景にあります。コンプライアンスを支える情報システムになっていないということです。プライバシーバイデザインの重要性はこういうところにも見てとれるわけです。

いずれにせよ、リクナビが内定辞退予測を行うことを誰もが理解しようのない記述の内容で済ませていたことに対して、利用目的の特定を問題視しないのであれば、15条1項の空文化につながります。先程も述べた通り、個人情報保護法の根幹は利用目的による規律にありますので、これは連鎖的に他の条項の解釈に影響を与えます。従来はここの規律を単純に緩くすることで、個人データの利活用に配慮してきていたのかもしれませんが、これからは利用目的の規律の本来の意義を確認して見直していくべき時期に入ったということなのだと思います」

●利用規約は「利用目的の明示」になりうる？

——リクナビは、利用規約（約款）で第三者提供する旨の利用目的を示していたようです。

「そうですね。第18条2項（利用目的の明示）の問題もあります。『個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない』という条文です。

リクナビは、利用規約（約款）で第三者提供する旨の利用目的を示していたようですが、こうした約款で定めた利用目的条項をもって、18条2項にいう利用目的の明示にとしていいのかどうかも検討が必要です。個人情報保護法は、あくまでも明確に表示しているかという『事実』を問題にする規律です。契約法とは別の規律なのです。

約款の個人情報の利用目的条項に第三者提供を定め、適法に契約が成立されていたからと言って、それが直ちに個人情報保護法上の利用目的の明示の義務を遵守したことになるかというと、私は遵守したことにならないという意見です。

リクナビは利用目的を約款に記載するとともに、それとは別にしっかりと本人に対して明示していたと評価できるのかどうかを確認してみるべきだと思います。ここが崩れるならば、連鎖的に第三者提供の同意も全部崩れることになります」

●8000人以外の第三者提供の同意に問題はなかったか？

――リクナビは、個々の就活生の内定辞退予測を販売していました。これは個人情報の第三者提供の制限違反にならないのでしょうか。

これは、23条1項の問題になります。『個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない』という条文です。

一部の就活生の気づかぬうちに、志望企業に自分の辞退予測スコアを販売していた。要するに、本人同意の手続きをとらずに第三者提供したことが同法同項に違反しているということです。

リクルートキャリアがまず認めたのはこの部分でしたが、この場合は本人同意をとれていなかった約8000人に対する問題でしかないということになります。残りの就活生の第三者提供には問題がなかったのかというとそうではない。ですので、先ほど指摘した利用目的の特定と明示とセットで問うていくべきところでしょう」

――リクルートホールディングスやトヨタ自動車、レオパレスなど38社がこの予測スコアを買っていたと報じられています。これらの買い手企業に問題はないのでしょうか。

「予測スコア購入の前提として、応募してきた就活生のデータをリクナビ側に委託していたようですが、これもまた従来、個人データの委託とは何かを十分に議論してこなかった。ここも委員会が今後見直していくべき重要な課題の一つということでしょう。

ただ、委託された個人データは、他社とは区別して管理するべきで、混在させる運用は禁止されています。受託企業側（この場合はリクルートキャリア）は複数の事業者（委託元）の委託先としての立場がありますが、そこで事業者ごとに立てるべき障壁を崩していたのでは、相互に他社に漏洩していることに等しい運用になるわけです。これは過去にも、コールセンター業務の受託でも問題にされたことがありますが、各社ともデータベースのあり方、運用のあり方を改善してきたところです。

ともあれ、他社データとの混在を前提とする処理は、少なくとも安全管理上の問題を委託先であるリクルートキャリアだけでなく、委託元の各社も指摘されるのは当然のところでしょう」

●「手続きさえすれば適法」でいいのか？

——リクルートキャリアは会見で、内定辞退率の算出対象は7万4878人だったことを明かしています。かなり大きな影響があったとみられますが、個人情報保護委員会の勧告等に従って改善すれば、この事業は継続できますか？

「独禁法、労働法、消費者保護法など他の法令上の問題に対応することも必要ですが、現行個人情報保護法上は、適法なサービスにもっていける余地があります。というのも、現行個人情報保護法は、利用目的を決め、表示し、セキュリティ対策を講じ、提供時には同意を原則とし、開示等と苦情処理の対応をし…というように手続的な規律で出来ているので、委員会のガイドラインに沿って、手続きを確認し、遵守していけば、実は適法化できてしまうところがあります。

極端なことを言えば、個人情報保護法上は物事の善悪に関係なく白は無論のこと黒も通過させられます。『要配慮個人情報』等を除けば、物事の善悪など価値的なところを示す実体的規律を欠いているからです。そもそも法目的自体が『個人の権利利益の保護』とふわっと書かれており、何を守る法律なのかがよくわからないですし、全般に規律の焦点がぼやけ理論的基礎が明確にされないままにあります。

『勧告に従い、法令の定める手続きを遵守すれば、今後も内定辞退予測事業を継続していい』という結論を受け容れられるのか。そんな法律でいいのか、と今回の事件は極めて具体的な形で問いかけています。これはリクナビ事件に限らず、信用スコア問題全般、今後のAIを含め、データベース処理を介したビジネス全般に影響する問題でもあります。

AI時代を前に、個人情報保護法を実体的規律へと改め、白と黒の違いを明らかにすることは、万事萎縮ばかりする日本企業のビジネスの法的基盤整備にとても重要ではないでしょうか。手続きさえ整っていれば適法とする現行法では、『適法だが不適切』の落とし穴に落ちるケースを排除できません。

拠って立つべき価値を法が明らかにし、黒の領域を確定させれば、それ以外は大手を振って自由にビジネスができるようになります。毎度規制緩和をもってよしとする思考停止の議論に押し流されていては、日本はデータエコノミー時代に確実に乗り遅れていきます。

まさに3年ごと見直し中のこのタイミングで事件が起きたことを奇貨として、「慎重な検討を要する」とか『難しい問題だ』と言った定型文言に逃げずに、面倒だからと先送りせずに、必要なルール形成に踏み込んでいくべき時期にあります。かつてSuica履歴データ提供問題が起きたことで、匿名と仮名の違いを学ぶことができました。それによって、『匿名加工情報』の新設につながりました。

今回もリクナビ事件が何を教えにやってきたのか、Suica事件の意味を未だわからず適法とか消費者の不安という認識しか持てずにいる論者や財界やメディアは、今回こそはもう少しまっとうな議論をしていけるようにならないと、本当に先がなくなります」

●わからなくなった時は、憲法の人権規定に照らし合わせる

——今後、AIを使った新規ビジネスに取り組む企業は、どういう点に気をつけるべきでしょうか。

「人間の出生（出産）、就学、就職、恋愛、結婚、離婚、死亡といった重大なライフイベントに際しての自己決定の問題に、AI等のコンピュータ処理がみだりに関与していいのか、人々のコンピュータやネットワークにおける自由な活動を萎縮させ、自由を阻害するような社会にしていっていいのか。技術者含む現場だけでなく管理職、経営者が自問自答する必要があります。

最終的には、民主的な決定に委ねられる問題です。日本社会を自由が制約された監視社会にしたいのか、北朝鮮的な社会文化に寄せていきたいのかと問いかけてみてはどうでしょうか。

ビジネスの問題に限定するなら、社員ひとりひとりが、自分の家族がそのサービスを喜んで受け入れるだろうかというテストもしてみるといいかもしれません。企業の管理部門目線では、研修にコンピュータ倫理（Computer Ethics）という視点を入れることを検討すべきです。せっかく世の中は『人間中心のAI社会原則』を謳っているわけですから、リクナビ事件等にあてはめて考えてみるべきです。あわせてプライバシーバイデザインについて考えてみたらどうでしょう。

何が良いか悪いかわからなくなった場合は、憲法の人権規定を再度勉強し直すことがいいかもしれません。社会に出るととんとご無沙汰の憲法ですが、歴史的に確認されてきた欧米普遍的な価値の体系が示されています。例えば、思想良心の自由を読みながら、人の内心を推知するプログラムになっていないかどうかを考えてみる。

それから、自国の憲法を通じて、歴史観をもって国際的動向をみていくことですね。そういう勉強の場に社員を積極的に出していく社風が重要です。あとは社内の制度としてマルチ・ステークホルダー的な意見聴取の場、アドバイザリーボードを作るという方法もあります。

個人情報保護法は3年ごと見直し条項をもっています。国際的な潮流の中で改正が繰り返されていく法律だろうと思います。現行法のガイドラインだけのチェックに止まらず、今後の動向を大局観もってみていかなくては、適法なビジネスモデルを構築することはできません。技術は無論のこと、そうした法的スキルの有無も競争力の一部であるということです。

プライバシー（Privacy）と自由（Freedom）という価値観を重視して、日本社会の文化（Culture）をどういう方向に持っていきたいかを考えること、企業も社会の一員ですから、AI等を活用したビジネスにおいてもこの点を忘れずに対応いただけるといいなと思います。PFCと覚えていただければいいのかなと思います」