新卒採用に応募した学生1人ひとりの選考離脱率や内定辞退率の予測スコアなどを契約企業へ提供していたことが発覚した就職情報サイト「リクナビ」。この問題に関して、運営会社のリクルートキャリアは2019年8月22日、学生会員向けにおわびのメールを配信した。
リクナビは毎年会員を更新しており、2019年3月から運用しているのは「リクナビ2020」、前年は「リクナビ2019」だ。スコア算出の対象者である7万4878人の大部分はリクナビ2020の会員だが、リクナビ2019の会員が1万2330人いる。
ところがおわびメールを送った相手はリクナビ2020の会員のみで、リクナビ2019の会員には送っていないという。学生がスコア算出の対象者に自分が含まれるかどうかを調べる特設サイトも、リクナビ2019会員は対象外である。
同年8月26日にリクルートキャリアが開いた記者説明会で、同社の小林大三社長は「問題の根本は学生の皆様の心情に対する配慮不足、すなわち学生視点の欠如」と語った。リクナビ2019会員とリクナビ2020会員の被害はどちらも内定辞退率など選考を左右しかねない情報が契約企業に渡ったことで、本質的な違いはない。なぜ2019会員か2020会員かでリクルートキャリアの対応が異なるのか。
理由の1つとみられるのが、リクナビ2019とリクナビ2020とではスコアを受け渡すスキームが異なっていた点だ。個人情報保護委員会はリクナビ2020について法律違反を認定したが、リクナビ2019について態度を明確にしなかった。
同委員会は同年8月26日に公開したリクルートキャリアへの勧告や指導の中で、リクナビ2020向けの新スキームについてたびたび言及。プライバシーポリシー画面の不備などで「必要な同意を得ずに(個人データを)第三者に提供していた」などとして、個人情報保護法違反を認定した。
一方、リクナビ2019の旧スキームについては「リクルートキャリアから顧客企業への個人データの第三者提供が行われない形態」と記載しており、問題視する記述はなかった。仮に旧スキームのままリクルートキャリアが事業を展開していた場合、同社は今もスコアの提供を継続できていた可能性がある。
「個人の権利利益を保護する」という個人情報保護法の理念には反するが、形式的には違反を問いにくい――こうした「脱法」スキームがなぜ生まれたのか。リクルートキャリアは日経 xTECHの取材に対し、リクナビ2019の旧スキームの具体的な実現手法について「現在、関係各所からの調査が終了していない」ことを理由に明らかにしなかった。同社が同年8月26日の記者会見で配布した説明資料や幹部の発言などを基に、サービス提供スキームの実態を明らかにする。
リクルートコミュニケーションズがデータ提供を仲介
リクナビ2019の旧スキームの重要なポイントは、データ提供の仲介役としてグループ会社の「リクルートコミュニケーションズ(RCO)」を立てた点だ。
RCOはリクナビに会員登録された学生の氏名やメールアドレスなど、明らかに個人を特定できる情報は扱わない。代わりにリクナビのWebサイトにタグを設置し、閲覧者に割り当てたCookie IDにリクナビの閲覧履歴をひも付けて収集していた。
一方でRCOは契約企業から業務委託の範囲で、企業が独自に割り当てた応募者IDおよびCookie IDの提供を受けていた。
具体的には、新卒採用に応募した学生に対して契約企業がWebアンケートを実施。そのWebサイトにはRCOのタグが埋め込んであり、RCO側もCookieを通じてアクセス元のブラウザーを特定できるようにしていた。
契約企業から応募者IDとCookie IDを受け取ったRCOは、Webアンケートの履歴に基づき2種のCookie IDを突合し、リクナビの閲覧履歴と応募者IDをひも付けたとみられる。こうしてリクルートキャリアは「個人が特定できない状態で」(リクルートキャリアの説明資料より)応募者IDごとのスコアを算出し、企業に納品していた。
あとは契約企業が応募者IDと自社の採用応募者データベースを「企業側で突合する」(リクルートキャリアの小林社長)ことで応募者個人を特定し、スコアとひも付けていた。
旧スキームのこの仕組みにより、RCOはリクナビ2019会員の氏名などの個人データに一切触れることなく、特定の会員とひも付けたスコアを契約企業に提供した。
リクルートキャリアとRCOの2社はサービスを始めた当時、リクナビ2019の旧スキームについて「個人情報保護法における個人データの第三者提供に当たらない」と判断していたようだ。
リクルートキャリアは旧スキームについて「RCOはリクナビからCookie情報を個人を特定できない形で得ていた」「リクルートキャリアは学生の個人データを持っているが、RCOは持っていない」としている。提供元(RCO)が「氏名」など明らかに個人を特定するデータを持っていなければ、そこにひも付く属性データの提供は「個人データの第三者提供」に当たらないはず――。リクルートキャリアはこう判断したとみられる。