【図解】プライバシーポリシースキーム
次は「プライバシーポリシースキーム」をみていきましょう。
利用者は就職情報会社のプライバシーポリシーに同意しサービスを利用します。就職会社と採用企業は、利用者の「属性情報」、「管理ID」や「名前」などの個人データを暗号化・ハッシュ化し、業務委託会社に提供します。業務委託会社は就職情報会社から暗号化された「会員ID」、「ハッシュ化された名前」を取得し、採用企業からは「管理ID」と「ハッシュ化された名前」を取得します。利用者からは「暗号化された会員ID」と「閲覧履歴」を取得します。
業務委託会社は取得したデータから内定辞退率を予測します。予測した内定辞退率は「管理ID」と紐づけます。
業務委託会社は「管理ID」と「内定辞退率」を採用企業に納品します。採用企業は「管理ID」から名前と内定辞退率を知ることができました。
これらを照らし合わせると、下記のような問題点が浮き彫りになりました。
・「暗号化」「ハッシュ化」すれば個人データに該当しないというのは間違い。
・提供元(就職情報会社)では個人データに該当しないデータでも提供先(採用企業)で特定の個人と識別することができると、国から非常に厳しい忠告を受ける。
・利用者の立場からすると、就職情報サイトの利用態様などから内定辞退率を予想され、採用企業に伝えられるとは思いもよらず、企業側の説明責任と透明性への配慮が足りなかった。
データ活用でできることの幅は急速に広がっていますが、それを使う側のインテリジェンスが、今求められています。そして現状に、法律の整備は追いつくのでしょうか。次回は「データプライバシー」について、まとめていきます。
【参考資料】
『データ戦略と法律 攻めのビジネス』中崎隆 安藤広人 板倉陽一郎 永井徳人 吉峯耕平 著、日経BP、2018年10月
『データの法律と契約』福岡真之介 松村英寿 著、商事法務、2019年1月
『概説GDPR』小向太郎 石井夏生利 著、NTT出版、2019年9月
DataCurrent主催のオンラインセミナー「データプライバシーセミナー~DX推進に必要な基礎知識~」を6月9日(火)に開催します。本連載の内容をより深く知ることができるセミナーとなっておりますので、同テーマにご興味のある方はぜひご参加ください。
