SNSなどネットで個人情報を収集する”AIスカウト”人材紹介会社について考える | なか2656の法務ブログ

なか2656の法務ブログ

保険会社の社員が、法律などをできるだけわかりやすく書いたブログです


テーマ:
1.SNSなどネットで個人情報を収集する人材紹介会社が現れる
本年1月7日に、NHKが「”AIスカウト”で変わる人事 ネットで人材発掘 企業に紹介」というニュース記事を配信しました。

『インターネット上の交流サイトなどに個人が公開しているプロフィールをAI=人工知能が分析し、人材を求めている企業への転職をすすめるサービスが登場(略)。東京・渋谷区のベンチャ-企業「スカウティ」(scouty)はツイッターやフェイスブックといった交流サイトやブログなどに個人が載せているプロフィールや書き込みをAIで分析し、人材を求めている企業に紹介するサービスを始めました。この会社のサービスは、ネット上のあらゆる場所を対象に書き込みの内容を分析し、書き込んだ個人が転職を希望しているかどうかにかかわらず、人材を求めている企業に紹介するのが大きな特徴です。(後略)』

・”AIスカウト”で変わる人事 ネットで人材発掘 企業に紹介|NHK

このニュースに対してツイッター上などは、「個人情報、大丈夫なの?」と、プチ炎上の状態となっています。

・AIによる人材紹介と個人情報|Togetter

果たしてこの「スカウティ」(scouty)という”AIスカウト”人材紹介会社は、法的に(とくに個人情報保護法的に)大丈夫なのでしょうか?

2.スカウティ(scouty)が本人の同意なくネット上から収集した個人情報を見込み客である採用予定企業に提供することは許されるのか?
冒頭のNHKのニュース記事によると、スカウティの「AIは、書き込みの内容からその人が持っている技術や資格のほか参加した勉強会などのイベント、それにどんな職種や業種の人との交流が多いかを判断し、これらを基に業務上の能力や社会的な影響力を類推して数値化」し、また、「例えばソフトウエアの技術者の場合は、どんなプログラミング言語を使えるかや過去に携わった仕事の開発案件などもリスト化して、人材を探している企業に示」す、とされています。

NHKニュースの動画では、見込み客採用企業等にみせていると思われるPCのモニター画面も放送されています。また、同様の画面はスカウティのウェブサイトでも公開されています。


(スカウティ社のサイトより)

しかし、本人の同意を得ない個人情報の第三者提供は原則として禁止されています(個人情報保護法23条1項)。

これに対して、スカウティ側は、「これは公開されている、さまざまなSNSや技術情報共有サービス、イベント情報サイト、個人ブログなどから情報を収集し、情報を紐付けし、数値化・リスト化したものだから個人情報(個人データ)ではない」と主張するかもしれません。

たしかにスカウティのサイトのプライバシーポリシーの利用目的の部分には、つぎのような記述があります。

『2. 個人情報の利用目的
(略)
2.2 当社は、2.1の規定にかかわらず、当社の提供する「scouty」サービスにおいて、採用候補として提示される候補者の個人情報は、当社が「scouty」サービスを提供する目的及び「scouty」サービスにおいて人材を採用する目的を持って利用するユーザーに当該個人情報を提供する目的にのみ使用します。なお、かかるユーザーへの個人情報の提供は候補者の同意を得た場合に限り行われるものとし、かかる同意なしに「soucty」サービス上で提供される候補者の情報は、特定の個人を識別することができないものに限られております。

スカウティ社サイトのプライバシーポリシーより

しかし、スカウティは仮にAという転職候補者の人物がいたとして、Aについて、ツイッターやFacebook、技術情報共有サービス、イベント情報サイト、個人ブログなどから情報を収集し、各種の情報を紐付けし集約したうえで、数値化・リスト化して提供しているのです。

個人情報保護法2条1項1号は、「個人情報」とは、生存する個人に関する情報であって、「当該情報に含まれる氏名、生年月日その他の記述等(略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と規定しています。

つまり、当該情報に含まれる記述等により、他の情報と容易に照合することができて(容易照合性)、それにより特定の個人を識別できる情報は個人情報なのです。

この点、第三者提供の場面において、「照合」する主体は個人情報の提供元なのか(提供元基準説)、あるいは提供先なのか(提供先基準説)については、わが国の政府は提供元基準説をとっており、それは平成27年の個人情報保護法の改正においても変わっていません(日置巴美・板倉陽一郎『個人情報保護法のしくみ』116頁、瓜生和久『一問一答平成27年改正個人情報保護法』13頁)。

見込み客の採用予定企業に転職候補者の情報を提供している提供元のスカウティは、社内のサーバー等の各種のDB類のさまざまな情報を照合することにより、本人を容易に特定できるのであり、したがって、スカウティが見込み客の採用予定企業に転職候補者の情報を提供している事業は、本人の同意のない違法な第三者提供であると考えざるをえません(法23条1項)。

3.匿名加工情報
あるいは、スカウティ側は、「見込み客の採用予定企業に提供しているのは匿名加工情報であるから本人の同意は不要で合法だ」と主張するかもしれません。

しかし、上であげたスカウティが見込み客の採用予定企業に提供していると思われるデータの画像には、“Pythonに関するレポジトリを持っています” “機械学習関係の勉強会に複数出席しています”などの記述や、その人物が保有しているスキル・プログラミング言語の名称、あるいは、さまざまなプログラミング言語のスキルのレベルを示す横棒グラフが生々しく表示されています。

2013年に大きな社会問題となったJR東日本のSuica事件を踏まえ、本人の同意なしに第三者提供できるものとして平成27年法改正で新設された匿名加工情報は、提供元の事業者に情報が「特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにする」ことを義務付けています(個人情報保護法36条)。

そして、同施行規則や、個人情報保護委員会のガイドラインは、特定の個人が識別できないように、データに対して、「特異な記述等の削除」や、「項目削除等」・「一般化」・「トップコーディング」等の加工を行い「個人情報データベース等の性質を踏まえた措置」を行うことを提供元の事業者に義務付けています(施行規則19条4号、5号、「個人情報保護法ガイドライン(匿名加工情報編)」12頁、13頁)。

この点、スカウティの上の画像をみると、それぞれの転職候補者の保有するスキルや、「〇〇の勉強会に複数参加しています」などの記述は非常に具体的・ユニークであり、容易に個人を特定できてしまうのではないかと思われます。

そもそも、人材紹介業とは、求職者のユニークな、あるいは尖った部分に注目し、その個性を採用企業に売り込む事業であると思われます。そのような業務の元となるデータが、求職者のユニークなあるいは尖った個性を潰して平らにならした匿名加工情報では、採用企業の担当者の心に響かないのではないでしょうか。個人的には、この”AIスカウト”のビジネスモデルには困難なものを感じます。

4.オプトアウト手続きが存在しない
加えて、「本人が転職を希望しているかどうかにかかわらず」、スカウティはその本人の個人情報を収集し、採用希望企業とマッチングをした上で人材紹介業を行い営利を得ています。このようにあまりにも本人の意向を無視して情報収集やマッチングを行っている以上、スカウティはオプトアウト制度を準備するべきではないでしょうか。(オプトアウトとは、個人情報の第三者提供に関し、個人データの第三者への提供を本人の求めに応じて停止することです(個人情報保護法23条2項)。)

同社サイトのFAQをみると、一見、本人からのオプトアウトに応じるように書かれていますが、同社のプライバシーポリシーにおいては、オプトアウト手続きの条文は存在せず、開示・訂正・削除等の制度の条文しか存在しません。

・FAQ|スカウティ

これでは、スカウティの社内のDB内の情報が「事実でないとき」や、個人情報の適正な取得がなされていないとき等しか、転職候補者たる一般人はスカウティに対して、自らの個人データの削除や利用停止を求めることができません(法28条以下)。これは問題ではないかと思われます。

■関連するブログ記事
・人事は就活生のSNSを見ているのか?-就活と個人情報

■参考文献
・日置巴美・板倉陽一郎『個人情報保護法のしくみ』116頁
・瓜生和久『一問一答平成27年改正個人情報保護法』13頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』64頁

個人情報保護法のしくみ



一問一答 平成27年改正個人情報保護法 (一問一答シリーズ)



ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ



なか2656さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス