コラム

2020.06.05

【データプライバシーコラム】
#2.【図解】なぜ今データ保護なのか 内定辞退率予測事件の問題点を紐解く

「データ保護」と「プライバシー」について、広告会社の運用担当者だった私が、出向先のDataCurrent社の法務担当になってイチから学んだことをまとめる本連載(第一回記事はこちら)。今回は、日本で起きた内定辞退率予測の事件を図解し、問題点について考えていきます。

<プロフィール>
大驛 貴士(おおえき たかし)
2012年、株式会社サイバー・コミュニケーションズに入社。Facebook、Twitterをはじめとしたソーシャルメディアの広告運用、APIを活用したツール設計、開発ディレクション、データ収集から分析までを得意とする。2019年6月よりデータの利活用を推進するコンサルティング会社「株式会社DataCurrent」に出向し、データ保護とプライバシー領域を担当。

●なんで今、データ保護なの?

データ保護!プライバシー大事!と言われるようになったのは数年前からだと感じています。なんで急にデータ保護と言われるようになったのか、日本で起こった就職情報会社の問題点を例にしてご説明します。

●【図解】就職情報会社の内定辞退率予測における問題点

就職情報会社が情報サイトを通じて取得した個人データ(名前)、Cookie ID、閲覧情報、就職活動状況等をもとに内定辞退率を予測したことが問題となりました。改めて問題点を自分なりに整理したいと思います。

まず、この問題には2種類の仕組み(スキーム)があることが分かりました。「アンケートフォームスキーム(2019年2月以前)」と「プライバシーポリシースキーム(2019年3月以降)」です。それぞれで仕組みが異なっており、分けて考える必要がありました。まずはアンケートスキームからご説明します。

利用者は就職情報会社のサービスの登録・利用を通じて、就職情報会社からCookie IDを付与され閲覧情報を就職情報会社に把握されています。採用企業からはWebアンケートのURLが送付され、アンケートに回答することでCookie IDと採用企業固有の管理IDが付与されています。

就職情報会社と採用企業が利用者に付与したCookie IDと閲覧履歴、管理IDをもとに、委託会社は「内定辞退率」を予測します。

業務委託会社は「管理ID」と「内定辞退率」を採用企業に納品します。採用企業は「管理ID」から名前と内定辞退率を知ることができました。

●【図解】プライバシーポリシースキーム

次は「プライバシーポリシースキーム」についてご説明します。

利用者は就職情報会社のプライバシーポリシーに同意しサービスを利用します。就職会社と採用企業は、利用者の属性情報、管理IDや名前などの個人データを暗号化・ハッシュ化し、業務委託会社に提供します。業務委託会社は就職情報会社から暗号化された会員ID、ハッシュ化された名前を取得し、採用企業からは管理IDとハッシュ化された名前を取得します。利用者からは暗号化された会員IDと閲覧履歴を取得します。

業務委託会社は取得したデータから内定辞退率を予測します。予測した内定辞退率は「管理ID」と紐づけます。

業務委託会社は管理IDと内定辞退率を採用企業に納品します。採用企業は管理IDから名前と内定辞退率を知ることができました。

これらを照らし合わせると、下記のような問題点が浮き彫りになりました。

・「暗号化」「ハッシュ化」すれば個人データに該当しないというのは間違い。

・提供元(就職情報会社)では個人データに該当しないデータでも、提供元(採用企業)で特定の個人と識別することができると、国から非常に厳しい忠告を受ける。

・利用者の立場からすると、就職情報サイトの利用態様などから内定辞退率を予想され、採用企業に伝えられるとは思いもよらず、企業側の説明責任と透明性への配慮が足りなかった。

● 日本・欧州・米国におけるデータ保護を取り巻く現状

<法律が整備されました>
欧州は、宗教、信条、民族、出身に基づく差別や迫害の歴史があり、それらの反省から、個人情報にかかわる特に人権保護へ の意識が高いとされているそうです。そんな欧州が完成させた個人情報に関する法律がGDPR(一般データ保護規則)です。「人権」と「人間としての尊厳」を重視した法律と言われています。

また、自由を尊重しデータ活用の制限には消極的だったアメリカでも、ケンブリッジ・アナリティカ社の事件やGDPRに影響され、CCPA(カリフォルニア州消費者プライバシー法)を施行しています。こういった時代の流れを受けて、日本でも個人情報保護法の改正案が2020年3月10日に閣議決定されました。

各国・州の法律について比較)

※GDPRやCCPAはCookieやIPアドレスなどの識別子を個人に関する情報(personal data, personal information)としているのに対して、日本では単体では特定の個人を識別し得る情報とはせず、容易に照合できる場合のみ個人データ扱いとしています。
※日本でもメールアドレスから個人が特定できる場合は個人情報(データ)に該当します。

これまでの道のり)

データ保護に関するツイート量の推移)

対象範囲:全世界
抽出期間:2016年4月~2020年3月
対象KW:データ保護, プライバシー, 個人情報, 個人データ, GDPR, CCPA, Data Protection, Privacy, Personal Data

データ保護に関する動きは昨日今日から始まったわけではなく、これまでの失敗や経験、技術の進歩をふまえ、世界的に進めるべき取り組みと言えそうです。次回は「プライバシー」についてまとめていきたいと思います。

【参考資料】
データ戦略と法律 攻めのビジネス』中崎隆 安藤広人 板倉陽一郎 永井徳人 吉峯耕平 著、日経BP、2018年10月
データの法律と契約』福岡真之介 松村英寿 著、商事法務、2019年1月
概説GDPR』小向太郎 石井夏生利 著、NTT出版、2019年9月

データプライバシーに関する資料は、下記ダウンロードフォームより、ご確認ください。

本コラムに関するお問い合わせやデータプライバシーに関するご相談は下記にて承ります。お気軽にお問合せください。
株式会社DataCurrent
info@datacurrent.co.jp