最近、日本では相次いで「ユーザーの個人データをユーザーの合意無しで、企業が商用目的で使用していた」という例が続出しています。

代表例の一つは、リクナビが就活生のサイト閲覧歴等のデータを加工して、「内定辞退率」予測を作成し、「リクナビDMPフォロー」として大手企業に販売していたという事件です。現在は販売が休止されています。

個人情報保護委員会は、リクナビが行動履歴を第三者に提供する場合があるという合意をとっていると主張していても、どの様な形で使用されるのか不透明、説明も不十分であると指摘しています。

説明不足や個人データを加工していたことが個人情報保護法違反に当たる可能性がありますし、内定辞退情報の提供は職業安定法違反に該当する可能性もあり、問題は深刻です。

使用したデータがどの様に加工されたのか、何を以て内定辞退と定義されていたのかは詳細が不明ですし、データが応募者の合否を左右していた可能性があります。

データ購入企業が合否の判断に使用しないと合意していたにしても、何らかの形で影響があった可能性があるでしょう。さらに、データ購入企業側も前述の法令違反を犯していた可能性もあるでしょう。

また、今回の事件の報道で議論になっていませんが、リクナビのサービスはEUのGDPR違反に該当する可能性もあります。

GDPRでは、第3条の「地域範囲」（Territorial scope）で、国外の国外の企業に対してもGDPRが適用されると明記されています。

Article 3　EU GDPR　"Territorial scope"
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

http://www.privacy-regulation.eu/en/article-3-territorial-scope-GDPR.htm

さらに前文（Recital）14は、GDPRは国籍もしくは居住地に関わらず自然人（人間）に適用されると定義します。

(14) The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data.

http://www.privacy-regulation.eu/en/recital-14-GDPR.htm

GDPRは従業員が250名以上で「EUのユーザー」に対してサービスや商品を提供、もしくはEUのユーザーの行動をトラッキングしている企業に適用されます。

「EUのユーザー」とは、「EUの市民権保持者」と「EU在住者」になるわけですが、「EUからその企業のサービスを使用、もしくはサイトにアクセスし行動履歴をトラッキングされたEU国籍ではない外国人」にも適用されます。

リクナビを運営するリクルートキャリアは大手企業ですから、従業員250名以上に該当します。また欧州に留学、在住、滞在、もしくはEU国籍を保持した人が、リクナビを使用して日本企業に応募することもありますので、GDPRの「EU市民および在住者へのサービスを提供」という定義に該当します。

悪質な違反の場合は、グローバルな売上の4％もしくは2000万ユーロのどちらか多い方が罰金となりますのでかなり深刻な問題です。

GDPR施行当初は、実際に高額な罰金支払いが命令される例は多くはないのではないかと見られていましたが、BAの情報漏えい等今年に入って次々に実例が登場しています。

日本企業もグローバル化しており、海外から応募する人もいますので、就活サービスを運用する企業だけではなく自社で応募者の情報を取り扱う企業も注意が必要です。