見出し画像

『HRテクノロジーで人事が変わる』解説note ~共著者の一人として、難しい問題をかみ砕いてみた~ ④第2章 採用における個人情報保護の問題

まえがき

 「HRテクノロジーで人事が変わる」(2018年、労務行政)の「第3章 テーマⅠ 採用 個人情報保護の視点から」(担当:板倉陽一郎 弁護士)の執筆内容について「解説」します。

 あくまでもこれは「解説note」であり、元の内容を正確に、かつ、詳細に理解するためには上記の書籍を必ず購入頂くことを強くお勧めします。

1.はじめに

 個人情報保護・プライバシー保護の問題は、
① 消費者と企業の関係における問題
② 従業員と雇用主(企業)の関係における問題
に分けられる。
 HRテクノロジーに関しては②が重要であるが、①に比べると事例や議論の蓄積がまだまだ乏しい。そのため、HRテクノロジーの開発・利用においてこれらの点の無理解が懸念される。
 設計自体が違法なテクノロジーの利用は認められないことはもちろん、違法な利用が容易なテクノロジーも、サービスの提供・利用の前に慎重な問題点の洗い出しと改善努力が求められる。
 
★特に、グローバル規模での開発・利用が想定されている場合
・一般的に我が国よりも厳しい規制を採用している欧州
・連邦取引委員会による執行やクラス・アクションによって極めて大きな対応コストが発生しかねない米国
 →それぞれのデータ保護・プライバシー法制について、開発段階から配慮しておく必要がある。

 まずは、日本の法制に対応するところから始める。

【解説】
クラス・アクション
 ある行為や事件から多数の者が同じような被害を受けたとき、一部の被害者が全体を代表して訴訟を起こすことを認める制度。(p.115の板倉氏による説明)

2.採用段階における個人情報保護の問題

 企業における個人情報の取り扱いに関しては、「個人情報の保護に関する法律」(以降、個人情報保護法)が重要である。
第2条で定義される「個人情報」には、顧客情報従業員情報の両者が含まれる。

【解説】
個人情報とは
「この法律において『個人情報』とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう」(個人情報保護法2条1項柱書き、各号省略
とされており、従業員の個人情報も除外されていない

 「個人情報の保護に関する法律についてのガイドライン(通則編)」は、「役員、従業員等に関する情報は個人情報に該当する」としている。
(以上、p.116の板倉氏による説明)

 採用段階で生じる個人情報の取り扱いについて、求職者と企業のみを問題とするのであれば、従来は、
① 求職者からの個人情報の取得
(例:履歴書、採用試験の結果および採用面接によって得られる情報)
② 上記に対する評価
③ 採用可否の決定
というシンプルなものであった。
 これらを厳重に扱うというセキュリティ上の問題はあってもそれ以外の問題は想定されなかった。

 しかしながら、HRテクノロジーによって新たに2つの点の問題が生じた。

(1) 求職者以外からの個人情報の取得

【要点】
・求職者のSNS上の活動状況を継続的にトラッキングして、求職者情報のひとつとして自動的に情報を取り込むようなテクノロジーが出現
・本人以外からの大規模かつシステム的な個人情報保護の取得に問題は生じないか?

 これまでも、
・インターネット上の求職者の活動の情報
・求職者本人のSNSアカウントからの情報
を取得して採用面接の参考として活用することはあった。
 ただ、やはり中心となる情報は履歴書の内容や採用試験、採用面接を通じて得られた情報であった。

 ところが最近は、求職者のSNS上の活動状況を継続的にトラッキングして、求職者情報のひとつとして自動的に情報を取り込むようなテクノロジーも活用され始めている。

【解説】
 たとえば、LAPRAS SCOUT(旧名SCOUTY)というサービスがある。

 謳い文句は下記のとおり。
SNSで見つけた気になる逸材を直接タレントプールに追加!

 また、求職者個人に向けてはLAPRASというサービスを展開し、

あなたの能力を、あなた以上に分析します。
技術情報共有サービスやSNS等のアウトプットから情報を収集し、機械学習・自然言語処理技術を用いてスキルや志向性を客観的に分析します。※アウトプットに積極的な方ほど深い分析が可能です。
と謳っている。

 このようなシステムが開発される中で、「本人以外からの大規模かつシステム的な個人情報保護の取得に問題は生じないか」ということが新たな論点となっている。

(2) 求職者の評価 

【要点】
・AI による活躍予測
・AI による履歴書、職務経歴書の読み取り
 → その後の、スキルのスコアリング
・AIによる評価によって生じた情報の付加が個人情報の「取得」として規律されるのか。
・そもそもAIによる自動的な評価はどこまで許されるのか。

 従来は、
・履歴書、職務経歴書の内容
・ペーパーテストやアセスメントの結果
という客観的指標に加え、
・採用面接による、さまざまな点数化しにくい評価(「社風」に合うか、等)
を総合的に評価して採用可否を決定してきた。

 ところが、AIを活用したHRテクノロジーによれば、既存従業員の実際の活躍度を指標として(モデル人材)、あらかじめ入社後の貢献度が高いと推測される者を選抜しようという動きが加速される。

 また、これまでは膨大な時間をかけて処理していた履歴書・職務経歴書については、HRテクノロジーによる「下読み」によって効率化されるケースも出てきている。

 ここで行われているのはAIによる評価であり、
AIによる評価によって生じた情報の付加が個人情報の「取得」として規律されるのか
そもそもAIによる自動的な評価はどこまで許されるのか。
という論点が新たに生じている。

3.HRテクノロジーによる本人以外からの個人情報の取得

【要点】
・利用目的の通知は必要だが、本人の同意は不要(個人情報保護法18条
 →欧州では、個人データの「取り扱い」すべてに原則として本人の同意が必要

・「偽りその他不正の手段」(同法17条1項)にあたるものでなければ問題ない

・「要配慮個人情報」については原則として取得に同意が必要(同法17条2項
・しかし、「本人により公開されている場合」は同意が不要(同条2項5号

→求職者が自身のSNSアカウントで自ら公開した情報の取得は例外事由に該当し、問題ない。

 個人情報保護法は、個人情報の取得に際して、利用目的の通知義務を課している一方で本人の同意は要求していない同法18条)。

 個人データの「取り扱い」すべてに原則として本人の同意が必要とされている欧州とは対照的である。
 したがって、HRテクノロジーによって、求職者に関する情報を本人以外から取得したとしても、「偽りその他不正の手段」(同法17条1項)にあたるものでなければ問題ない。

 他方、個人情報保護法は平成27年の改正によって「要配慮個人情報」という概念を導入している。

要配慮個人情報とは:
人種
 人種、世系又は民族的若しくは種族的出身を広く意味する。国籍、外国人であること、肌の色は該当しない。
信条
 個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含む。
社会的身分
 ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから簡単に脱し得ないような地位。単なる職業的地位や学歴は含まない。典型的には被差別部落出身であること、非嫡出子であることが挙げられる。
病歴
 病気に罹患した経歴を意味するもので、特定の病歴を示した部分。例としてガンに罹患していること、統合失調症を患っていること等が該当する。風邪等の一般的かつ軽微な疾患についても病歴に含まれる。
犯罪の経歴
 前科、すなわち有罪の判決を受けこれが確定した事実。有罪判決確定に至るまでの情報は「犯罪の経歴」には該当しないものの、政令で定める「刑事事件手続」に該当する。
犯罪によって害を被った事実
 身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実。有罪判決等の限定はないものの、それが単なる不法行為等ではなく「犯罪」であることが相当程度以上明らかである必要がある。

その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの。

 通常の個人情報と異なり、原則として取得に同意が必要である(同法17条2項)。

 そうすると、HRテクノロジーによって情報を取得した際に要配慮個人情報が含まれていた場合には、本人の同意を得ておらず、違法になるのではないかという問題が生じる。
 しかしながら同条2項5号では同意が不要な場合を定めており、「本人により公開されている場合」も含まれている。これを踏まえると、求職者が自身のSNSアカウントで自ら公開した情報の取得は例外事由に該当し、問題ないことになる。

4.HRテクノロジーによる評価によって生じた情報の付加が個人情報の「取得」といえるか

【要点】
・要配慮個人情報に該当する情報を評価によって付加した場合、本人の同意がないから違法か?
・評価による付加は「取得」とは別の行為であるため、原則として問題にならない。

・採用段階の評価により、センシティブな情報の推知が行われている「可能性」はある。
 →付加した評価が要配慮個人情報に該当する情報であるとしても違法とはいえない。

・具体的な利用実態によっては、厳格に規律されることも十分に考えられる。

 HRテクノロジーは、求職者から得た情報を評価し、その評価そのもの、あるいは、評価から得られたさらなる情報を当該求職者の情報として付加している。
 ここで、これが個人情報の「取得」といえるかという問題が生じる。すなわち、要配慮個人情報に該当する情報を評価によって付加した場合、本人の同意がないから違法となるのではないかという論点である。
 この点、評価による付加は「取得」とは別の行為であるため、原則として問題にならない、というのが通説である。
 他方で、「放送受信者等の個人情報保護に関するガイドライン」では「受信者情報取扱事業者は、視聴履歴を取り扱うに当たっては、要配慮個人情報を推知し、又は第三者に推知させることのないように注意しなければならない」(同ガイドライン34条)と定めており、要配慮個人情報の「推知」自体を規律しようという動きもみられる。
 しかしあくまでもこれはガイドラインに過ぎず、「注意しなければならない」という書きぶりであるため直接的に個人情報保護法違反とされるものではない。本人の思想等センシティブな情報の推知を未然に防止しようというものである。
 同様に、採用段階の評価によっても、センシティブな情報の推知が行われている「可能性」がある。(判断プロセスのロジックがブラックボックスのテクノロジーを使用している場合、「可能性」としかいえない。)

 このように、HRテクノロジーによる評価を求職者の情報に付加することは、個人情報の「推知」に関する問題を生じさせる。が、付加した評価が要配慮個人情報に該当する情報であるとしても違法とはいえない。
 とはいえ、視聴履歴の議論に鑑みれば、具体的な利用実態によっては同様の規律がなされることも十分に考えられる。

★むしろ、この領域におけるテクノロジーの利活用を安全に促進させるためには、あらかじめガイドラインを策定することが望ましい。(末尾の「論点1」を参照)

5.職安法からみた問題点

 個人情報保護法による個人情報の取り扱いの規律に加えて、労働関係法の世界でも特別な規定が設けられている。
 特に職業安定法(職安法)では、「個人情報」の定義を
「個人に関する情報であって、特定の個人を識別することができるもの(他の情報と照合することにより特定の個人を識別することができることとなるものを含む。)をいう」(4条11項
としたうえで、同法5条の4は、「求職者等の個人情報」について個人情報保護法に上乗せした規律を定めている。

【解説】
 直接的に個人が特定できないように、「氏名」「社員番号」等の部分にマスキングを施したとしても、他の様々な情報と照合することによって特定の人物の情報であることが分かってしまうような場合には、つまるところそれは「個人情報」と認定される。

 この5条の4に違反した場合の罰則はないが、厚生労働大臣(厚生労働省)による指導および助言(同法48条の2)、改善命令(同法48条の3)がなされる可能性がある。

 ところで、職安法は「公共職業安定所等」に課される規律であるため一般企業は無関係だと思われがちだが、この「等」には募集を行う一般の企業が含まれるため、結局、採用段階ではすべての企業が遵守しなければならない。
 しかしながら、職安法5条の4第1項には「その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し」とあるだけでどのように遵守すればよいのか不明である。
 そこで、具体的には厚生労働省の「指針」に委ねられている。ここでは個人情報の収集、保管および使用について定められている。採用段階のHRテクノロジーの利用に直接的に関係するのは下記の部分である。

「指針」の第4 法第5条の4に関する事項(求職者等の個人情報の取扱い):
1 個人情報の収集、保管及び使用
(1)職業紹介事業者等は、その業務の目的の範囲内で求職者等の個人情報(以下単に「個人情報」という。)を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。
イ 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
ロ 思想及び信条
ハ 労働組合への加入状況
(2)職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと。

 これらをまとめると次のようになる。

要配慮個人情報よりも広い範囲の個人情報について、「特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合」でない限り、収集自体を禁止
② 個人情報の取得について、本人から直接収集または本人の同意の下で本人以外の者から収集することを例示して、「適法かつ公正な手段」を義務付け

★「適法かつ公正な手段」といえるためにはどのような条件を満たせばよいのか、ベンダーが安心して製品を開発してユーザに提供できるようにするため、あらかじめガイドラインを策定することが望ましい。(末尾の「論点2」を参照)

6.(再)HRテクノロジーによる本人以外からの個人情報の取得


 前述の「指針」からすると、求職者がSNS上に公開している情報を継続的にトラッキングする試みは、正面から職安法違反とされる可能性がある。
 本人の同意なしに、本人がインターネット上に公開している情報を求職者の情報として収集することを、職安法上適法と評価することは困難である。
 求職者から適切な同意を取得するか、「適法かつ公正な」の部分についての基準が示されることが必要である。

★「適法かつ公正な手段」といえるためにはどのような条件を満たせばよいのか、ベンダーが安心して製品を開発してユーザに提供できるようにするための具体的なガイドラインの策定が求められる。(末尾の「論点2」を参照)

7.(再)HRテクノロジーによる評価によって生じた情報の付加が個人情報の「取得」といえるか

 個人情報保護法との関係で、求職者の評価と要配慮個人情報の取得が問題になったように、前述の「指針」に列挙された情報を評価によって本人の情報に付加する場合、職安法上適切な取り扱いと言えるかが問題となる。
 この点、原則禁止されているのは「収集」であって「付加」ではないから問題とならないとも思える。
 しかし、「指針」は「特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合」という強い制約を課して収集を禁止しており、この点から違法とされる可能性はある。
 さらに、放送分野ガイドラインの視聴履歴の議論のように、具体的な利用実態によっては「付加」であっても「収集」と同様の規律がなされることも十分に考えられる。
 したがって、「付加」された情報を基に評価を行うことはリスクを伴うといえる。

8.いわゆる「リクナビ問題」

 就職情報サイト「リクナビ」を運営するリクルートキャリア社が「内定辞退率」の予測を顧客企業に販売していた問題においては、厚生労働省は同社に対し職業安定法に基づく行政指導を行った。就活生本人の同意の有無に関係なく、個人情報をもとに算出した内定辞退率を販売する事業自体が同法に違反すると判断した。

 具体的には、厚労省のガイドライン「民間企業が行うインターネットによる求人情報・求職者情報提供と職業紹介との区分に関する基準について」のうち、
提供される情報の内容又は提供相手について、あらかじめ明示的に設定された客観的な検索条件に基づくことなく情報提供事業者の判断により選別・加工を行うこと。
の「選別・加工」にあたるとされた。

 そして、「職業紹介」と認定された以上職安法の適用を受け、同法51条に規定される「(その選別・加工した情報を)みだりに他人に知らせてはならない」に違反するとされた。

★「データの選別・加工」の明確な定義がないため、ガイドラインが必要。
★「みだりに他人に知らせてはならない」をクリアするためのガイドラインも必要。
(末尾の「論点3」を参照)

 「表示順の変更」や「おすすめ」「レコメンド」「マッチ度」の表示が、データの選別・加工に当たらないのか、明確な規定はない。また、その選別・加工した情報を「みだりに他人に知らせてはならない」という文言のみでは、ベンダー側が提供するデータが「法的に問題ないのか」について、開発者本人にも判断がつかない状態である。

 厚労省は「主な就活サイトはリクナビなど2~3種類に限られ、辞退率の利用に同意しなければ就活が実質的にできなかった」と判断し、その上で、就活生から同意を得ていたかどうかに関係なく、職安法が禁じる「特別な理由のない個人情報の外部提供」に当たると認定した。
 厚労省が個人情報に関する行政指導に踏み切るのは異例とされる。リクナビは職安法が定める「募集情報等提供事業」だが、同省は事業形態から実質的な人材紹介事業と判断した。

 (参考までに、上記に先立って政府の個人情報保護委員会は、リクルートキャリアが約8000人分(その後、2万6060人から同意を得ていなかったと発表)の就活生の個人データを本人の同意を得ずに外部提供していたとして、是正勧告を出していた。)

 さらにこの問題では、予測データを購入していた37社(データ利用企業)に対しても個人情報保護委員会から行政指導が行われた。「リクナビだけでなく辞退率の算出を依頼した側も、就活生への説明不足などの問題があった」との判断である。

たとえ合否判断に影響しなくても内定辞退率を出すこと自体が、就活生に不利になりえると判断。辞退率を予測するとの目的を就活生に知らせずにリクナビ側と個人データをやり取りした行為が、個人情報保護法違反の疑いがあるとした。

 そして、これら利用企業に対しては厚労省からも行政指導が行われた。

本人に十分説明せずに個人データを利用したことが、個人情報の適正な管理を求める職業安定法の指針に抵触すると判断した。

厚労省は、利用企業が本人に十分説明せずにリクナビ側と個人データをやり取りした行為が保護法違反で、職業安定法の指針にも違反すると判断した。

  これらの問題を受けて、2020年3月10日に閣議決定された個人情報保護法改正案には「本人確認の規定」が追加で盛り込まれた

 改正案には、提供元と提供先がそれぞれ持つデータを突合すると、同法の対象となる個人データが生成できると想定される場合などに向けた規定を追加した。この場合、いずれか一方が提供するデータ単体では個人データに当たらないとしても、データの外部提供に際して本人の同意を義務付ける。

ガイドライン

 現在、HRテクノロジー・コンソーシアムが主導して「人事データ活用ガイドライン」を策定中であり、「採用」領域に関する「個別ガイドライン」についてはすでにリリースされている。

 ここでは3つの論点の提示を行う。

論点1

 HRテクノロジーによる評価を求職者の情報に付加することは、個人情報の「推知」に関する問題を生じさせる。が、付加した評価が要配慮個人情報に該当する情報であるとしても違法とはいえない。
 とはいえ、視聴履歴の議論に鑑みれば、具体的な利用実態によっては同様の規律がなされることも十分に考えられる。
 この領域におけるテクノロジーの利活用を安全に促進させるためには、あらかじめガイドラインを策定することが望ましい。

<ガイドラインのポイント>
 放送事業に向けたガイドライン「視聴履歴を取り扱うに当たっては、要配慮個人情報を推知し、又は第三者に推知させることのないように注意しなければならない」と同等のガイドラインを策定する。

論点2

厚労省の「指針」の第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)では、
① 要配慮個人情報よりも広い範囲の個人情報について、「特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合」でない限り、収集自体を禁止
② 個人情報の取得について、本人から直接収集または本人の同意の下で本人以外の者から収集することを例示して、「適法かつ公正な手段」を義務付け

となっている。
 この「指針」からすると、求職者がSNS上に公開している情報を継続的にトラッキングする試みは、正面から職安法違反とされる可能性がある。

<ガイドラインのポイント>
 「適法かつ公正な手段」といえるためにはどのような条件を満たせばよいのか、ベンダーが安心して製品を開発してユーザに提供できるようにするため、あらかじめガイドラインを策定することが望ましい。

論点3

 いわゆる「リクナビ問題」では、厚労省のガイドライン「民間企業が行うインターネットによる求人情報・求職者情報提供と職業紹介との区分に関する基準について」のうち、「提供される情報の内容又は提供相手について、あらかじめ明示的に設定された客観的な検索条件に基づくことなく情報提供事業者の判断により選別・加工を行うこと。」の「選別・加工」にあたるとされたが、「表示順の変更」や「おすすめ」「レコメンド」「マッチ度」の表示が、データの選別・加工に当たらないのか、明確な規定はない。

 そして、「職業紹介」と認定された以上職安法の適用を受け、同法51条に規定される「(その選別・加工した情報を)みだりに他人に知らせてはならない」に違反するとされたが、その選別・加工した情報を「みだりに他人に知らせてはならない」という文言のみでは、ベンダー側が提供するデータが「法的に問題ないのか」について、開発者本人にも判断がつかない状態である。

<ガイドラインのポイント>
 「データの選別・加工」の明確な定義がないため、ガイドラインが必要。
 「みだりに他人に知らせてはならない」をクリアするためのガイドラインも必要。

関連講座のご案内

【講座の目的】
 「データとテクノロジーを駆使した新たな人事」への進化が真に求められています。ただしその「進化」の過程では、留意すべき事項も多々あります。特に昨今注目され始めているのが、個人情報保護とプライバシー保護の問題です。さらに労働法に関連しても様々な論点があり、多くの日本企業はこれらに対して十分な対策を取れていないというのが現状です。

 人事に関わる者として最低限押さえるべき留意点とは何か?それらをクリアするための方法と実践的なステップは何か?
 本講座ではこれらに関する基本的な情報を講師から提供するとともに、各概念の説明や専門用語の解説のみならず、各テーマに即して参加者同士がディスカッションを行うことを想定しています。

【講座の特徴】
・HRテクノロジー領域のキャリア10年以上
・ロースクール修了
の講師が、テクノロジーの活用推進に主眼を置きながらも法的な問題点を「事業会社の人事担当者目線」で分かりやすく解説します。また、「人事データ活用ガイドライン」の策定にも関わることが出来ます。

この記事が気に入ったらサポートをしてみませんか?