JILIS(情報法制研究所)主催のセミナーに出席した。台風の影響で開催が危ぶまれたが,結果的に1時間遅れでの開催となった。
就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題を考える
〜現行法の解釈における課題と個人情報保護法改正への提言〜
もちろん,このセミナーは,昨今話題になっているリクナビにおける内定辞退率の予測データを提供したという事件をきっかけに企画されたものである。企画後も,個人情報保護委員会,厚労省による勧告,指導があったりするなど,事実関係が目まぐるしく動いている中で開催された。
内容が濃くて正味4時間に及ぶが,開始が遅れた影響もあって,最後のほうは出られなかった。手元のメモも長大になってしまったのだが,詳細は,ツイッターのハッシュタグ #jilis または #jilis_pfc で追っていただくこともできるし,おそらくハッシーさんあたりがサリデザで記事にするのではないか。
なので,このエントリでは,網羅的にではなく,印象に残ったことを踏まえた感想を散発的にまとめることにとどめる。
このセミナーに臨むにあたって,次のようなことを考えていた。
今回のリクナビの件,仮にこのサービスを適法に実現するには,具体的にどういう手続・表示で同意を得ればよかったのか,あるいはおよそ許されないのか(そうだとすればそれは何故か)というところに疑問を持つ人は多いと思う。JILISセミナーではそのヒントが得られるのではないか。
— Masahiro Ito/伊藤雅浩🍀 (@redipsjp) September 9, 2019
この問いについては,最初のパネルディスカッション(プライバシーフリークカフェ4人衆。山本一郎氏が司会,板倉陽一郎,鈴木正朝,高木浩光(敬称略)の3名がパネリスト)の中の板倉先生の発言の中でバッサリ。
「ちゃんと説明して同意を取ろうとしたら,このサービスできないですよ。だって,誰も同意しないでしょう。」
個人情報保護法は,第4章第1節に個人情報取扱事業者の義務が羅列されていて,事業者に対するルールが並んでいるから,事業者としては,それさえ守っておけばよい,弁護士も,各条項違反がないかどうかをチェックすればよいと考えてしまいがちである。しかし,ここでもう一度,この法律で何を守らなければならないのか,何があってはいけないのかということをよく考えておかないと,やってもよいこと/いけないことの判断を見誤る。
今回のような「内定辞退率」もそうだし,少し前に話題になった「信用スコア」も同じであるが,ユーザが直接入力,提示した情報以外に,行動・閲覧履歴や,さらにそこから進んでAI等に自動的に計算されたデータによって個人が選別され,場合によっては差別的に取り扱われたりすることについて許容されるべきなのかをよく考えなければならない。
そういった観点から,高木先生から次期個人情報保護法改正に盛り込むべき事項の提案がなされていたのは興味深かった(残念ながら時間切れで最後まで聞けなかった)。
これからもパーソナルデータに関わる新しいサービス・仕組みが生み出されることは間違いないが,「同意を取ってればOK」「同意っていうのは規約を示してクリックさせればよい」「同意の対象はQAでは明らかにされてないから『第三者に提供する旨』があれば最低限クリア」などの安直な判断をしているだけではもうもたない。
今回のリクナビ事件では,個人情報保護委員会の動きが比較的早かった。初の勧告案件で注目されたし,踏み込んだ内容だったという評価もある一方で,次のような指摘もあった。全体的にまだ生ぬるい,という叱咤激励である。
- 個人データの正確性確保(19条)の観点から,機械学習の結果である内定辞退率の正確性についても検証,検査すべき
- 提供先には採否の判断に用いないという条件で提示したということだったが,本当に使っていないのかどうか検証,検査すべき
- 旧スキームに踏み込んで,委託の範囲の適否について検証すべき(厚労省は旧スキームにも言及している)
- クッキーの取扱いについても踏み込みが甘く,アドテク業界への影響を気にしたのではないか
こういう話になると,たちまち経済界あるいは経済紙からは,データを活用したニュービジネスの委縮につながる,との声が上がる。しかし,ここで議論されていることは規制強化論ではなく,法目的に照らした運用とその啓蒙なので,そのような委縮論は当たらないだろう。
ほかにこのセミナーでは倉重公太朗先生や,依田高典先生など,ふだんあまり話を聞く機会がない先生方から話を聴けて大変勉強になった。まあ,相変わらずの板倉先生のマニアックながら有益な情報提供についてもたくさんメモを残したのだけれど,今日はこのあたりで。
