『リクナビDMPフォロー』に関するお詫びとご説明｜リクルートキャリア

2019年12月4日　本ページを新規追加いたしました

『リクナビDMPフォロー』は2018年3月からサービス提供を開始、2019年2月以前と3月以降とでサービス提供の仕組み（サービススキーム）を変更し、2019年8月4日の廃止に至るまで提供を行っていました。関係各所からの調査に基づき結論付けられた、サービス提供開始から廃止に至るまでの期間に発生していた法的な不備の全体像についてご説明させていただきます。

『リクナビDMPフォロー』のサービススキーム詳細については、こちらをご覧ください。
『リクナビDMPフォロー』とは

本件について、学生の皆さま、企業、大学の関係者の皆さまなど各所に多大なるご迷惑をおかけしましたこと、重ねてお詫び申し上げます。

『リクナビDMPフォロー』の法的な不備

＜図6＞『リクナビDMPフォロー』における法的な不備の全体像

事象1　アンケートスキームにおける、取扱いデータの個人情報該当性についての不備

2019年2月以前に実施していたアンケートスキームにおいては、当社が契約企業から学生の姓名・メールアドレス等の個人情報の提供を受けるのではなく、契約企業が学生向けに実施したウェブアンケートを通じて、当社委託先であるリクルートコミュニケーションズが契約企業固有の応募者管理IDとCookie情報を直接取得していました。

同社では、これらの情報だけで特定の個人を識別することはできないため、『リクナビDMPフォロー』は個人情報の取扱いが発生しないことを前提としたサービスでした。

しかしながら、リクルートコミュニケーションズ内の『リクナビDMPフォロー』のスコア算出等を行っていた部署では、広告配信等の『リクナビDMPフォロー』とは異なるサービスの運用も行っており、これらのサービスにおいて、一部の契約企業から応募者管理IDと共に個人情報を取得していた実態がありました。これらの個人情報を『リクナビDMPフォロー』において、実際に利用していた事実は把握されておりませんが、『リクナビDMPフォロー』において取得していた情報と、別サービスにおいて取得していた情報が同一部署内に存在していたことで、『リクナビDMPフォロー』において一部の契約企業に納品していた情報が、他の情報と照合することによって、特定の個人を識別することが可能な状態になっていました。

これにより、『リクナビ2019』会員のうち、『リクナビDMPフォロー』のスコア提供は、契約企業への個人情報の提供とみなすべきところ、アンケートスキーム期のプライバシーポリシーには契約企業への個人情報の提供に必要な同意を得るための文言が盛り込まれていなかったため、これらの情報提供は未同意の状態で行われていたものと認識しております。

事象2　ハッシュ化に関する誤認識に基づき、本人の同意なく個人情報を第三者に提供

2019年2月以前に実施していたアンケートスキームにおいて、一部の契約企業との間で、対象学生のCookie情報を利用した特定（突合）率を向上させる目的で、アンケートスキームとは異なるスキームでスコア算出を実施するケースがありました。このイレギュラーケースにおいては、当該一部の契約企業から氏名等の個人情報の提供を受けていました。

リクルートコミュニケーションズにおいて取扱うデータがハッシュ化されたものであれば、契約企業に提供する際も非個人情報として取扱えるという誤った認識のもと、契約企業からお預かりした学生の情報とリクナビ会員の情報がハッシュ化された状態で紐づけられており、これを通じて算出したスコアは、学生本人の同意なく当該契約企業に対して第三者提供されていました。

＜図7＞誤認識に基づく個人情報の第三者提供の流れ

事象3　プライバシーポリシーの更新漏れによる同意取得の不備

『リクナビ2020』では、2019年3月に、プライバシーポリシーを『リクナビDMPフォロー』の提供にあたって必要な内容に変更いたしました。『リクナビ2020』は、学生の皆さまが使用する複数の画面においてプライバシーポリシーに同意いただくサイト構成になっていますが、一部の画面においてその反映ができておりませんでした。これにより、『リクナビ2020』に会員登録されている学生の皆さまのうち、2019年3月以降にプレエントリー・イベント予約・説明会予約・ウェブテスト受検等の機能を利用されていない方で、かつ、『リクナビDMPフォロー』を導入した企業への応募者の中で2019年3月以降に『リクナビDMPフォロー』のスコア提供対象となった方、計13,840名（※２）の情報が、適切な同意を得られていない状態で企業に提供されていました。（図8参照）

※２｜2019年8月5日時点の当社発表では7,983名とお伝えしておりましたが、継続調査の結果、事象２に該当するケースや、一部の契約企業と『リクナビDMPフォロー』とは異なる個別契約を締結し、『リクナビDMPフォロー』の名を冠さずに実質的に同一のスキームでスコアを提供していたことが明らかとなったため、人数が変動しております。

＜図8＞プライバシーポリシー更新漏れによる同意取得不備の流れ

本件の影響範囲

関係各所からの調査および当社内での精査を受け、『リクナビDMPフォロー』においてスコア提供の対象となった『リクナビ2019』・『リクナビ2020』会員の総数は95,590人、うち、結果的に適切な同意を得られていない状態であった会員の総数は26,060人となりました。なお、サービス契約企業38社のうちスコア提供を行っていた企業は35社となりました。

対象となった学生の皆さま、大学関係者の皆さま、ならびに『リクナビDMPフォロー』をご利用いただいていた契約企業の皆さまに、あらためて心よりお詫びを申し上げます。また、8月26日以降の継続調査によって、8月26日時点の当社発表から人数に変動がありましたことについて重ねてお詫び申し上げます。

なお、今回の修正を受けて、新たにスコア提供の対象であることが判明した方、および、適切な同意が取得できていなかったことが判明した方のうち、『リクナビ2020』をご利用の学生の方には、個別にお詫びとご報告のご連絡をお送りさせていただいております。『リクナビ2019』をご利用いただいていた学生の方に対しては、同サービスが2019年3月をもって終了しておりますため、当社が保有していた会員個人情報を既に削除しており、本件に関するご連絡を直接差し上げられず、大変申し訳ございません。