ITシステム

個人情報保護委員会のリクナビ運営会社に対する2度目の勧告に思うリテラシーの欠如


世の中には様々な方法で収集したデータを分析・利活用して報酬を得るビジネスが存在します。それらデータには個人情報のほかグレーゾーンのデータ(それ単体では個人が特定できないが、他の情報と照合すれば個人が特定できてしまうかもしれないデータ)が多数存在します。
個人情報であれば個人情報保護法に従って扱えばよいのですが、グレーゾーンのデータは一見個人情報ではないため、ビジネススキームとして本人の承諾を得ずに第三者へ提供してしまうケースがあります。

この度(2019年12月4日)、就職情報サイト「リクナビ」の運営会社が、学生の内定辞退率を予測し、企業に販売していた問題で、政府の個人情報保護委員会が、新たに不適切な情報の取り扱いが明らかになったとして運営会社に2度目の勧告を行うとともに、データを購入していた37の企業にも指導を行う、という事件が公表されました。8月26日にも同様の勧告を行っていましたが、「(1度目の勧告の)原因となった事項以外にも個人情報保護法に抵触する事実が確認されたため、あらためて勧告した」とのことです。
→ https://www.ppc.go.jp/news/press/2019/20191204/
「リクナビ」運営会社は、個人を特定しない形で企業側にデータを販売していたものの、データ購入企業側が学生のIDなどを分析すれば、容易に個人の特定が可能だったことが分かったとのことです。

上記のように、他の情報と照合することにより個人が特定できるデータは個人情報そのものです。そして、このような個人情報を本人の同意なく第三者に提供することは個人情報保護法違反と言わざるを得ません。
このようなプライバシー性の高いデータを第三者に転売する際には、プライバシー侵害リスクを回避するためにデータの販売側および購入側の両当事者ともにプライバシー・バイ・デザインのコンセプトに沿ってデータを取り扱うことが求められます。

数年前に話題になったICカード乗降履歴データ転売事件のように、第三者に指摘されるまで侵害行為が認識されないことが多いため、企業はビジネスとしてこれらデータを取り扱う際には注意を要します。
いつも思うのですが、世間でこのような問題がたびたび炎上すること自体、データ利活用に係るリテラシーがまだまだ世の中に浸透していない証だといえます。

データビジネスを企画・運営する企業は、リスクマネジメントの一環としてプライバシー・バイ・デザインのコンセプトをよく理解する必要があります。プライバシー・バイ・デザインの理解ためには、以下が簡潔にまとまっていますのでご参考にしていただけたら幸いです。

●「ビッグデータビジネスにおけるセキュリティ強化とプライバシー保護の必要性」,2019年10月17日,パーソルキャリア株式会社i-commonサイトのビジネスコラム,
https://i-common.jp/column/corporation/cyber-security/
●「プライバシー・バイ・デザインに基づく適正なパーソナルデータの取り扱い」,2015年3月,日本ユニシス技報123号,https://www.unisys.co.jp/tec_info/tr123/12305.pdf


ご挨拶

事務所代表 八津川直伸

ご挨拶

昨今のデジタル人材不足は深刻なものとなって参りました。当事務所ではITシステム導入に係る、プロジェクトマネジメント(情報システムの調達・構築・運用・保守)支援や、リスク対策(サイバーセキュリティ、プライバシー保護対策)等に関するご相談もお受けしておりますので、お問合せフォームからお気軽にご連絡ください。

業務のご案内
カテゴリー
お問い合わせ
事務所のご案内

中央法務事務所行政書士
〒104-0042
東京都中央区入船3-1-6