総合評価:B
完成度が比較的高いプライバシーポリシーですが、改善の余地を一部含んでいると評価させていただきます。
基本的には明確で理解しやすい文言で書かれており、容易にアクセスできる場所に掲載されています。ビズリーチ社を含む「Visionalグループ」での取組については、プライバシーについてで確認でき、とても参考になります。
ただし、個人データの共同利用については、プライバシーポリシーからその取扱いの実態が明らかでないため、指摘させていただいています。
また、プライバシーポリシーに最終改定年月日を記載することを推奨いたします。
ポリシー最終改訂日:記載なし
ポリシー最終評価日:2023/09/25
プライバシーポリシー
https://www.bizreach.jp/pages/service/privacypolicy/
(ビジョナル株式会社・グループ個人情報保護方針)
https://www.visional.inc/ja/privacypolicy.html
(ビジョナル株式会社・Privacy)
https://www.visional.inc/ja/privacy/privacy-top.html
法令等の表記は、以下の例によります。
法 個人情報保護法
令 個人情報保護法施行令
規則 個人情報保護法施行規則
ガイドライン通則編 個人情報の保護に関する法律についてのガイドライン(通則編)
Q&A 「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A
1. 前文等
【原文より抜粋】
当社はビズリーチサービス(以下「本サービス」といいます)の利用者の個人情報を管理するにあたっては細心の注意を払い、以下に掲げたとおりに取り扱います。
*引用:前文
ビジョナル株式会社およびその連結子会社から成る企業集団(「Visionalグループ」、以下「当グループ」といいます)は、個人情報のみならず、それらに関連する情報を含めたパーソナルデータについて、これらを大切に保護することを当グループの重要な社会的責務と認識しております。
パーソナルデータとは
当グループでは、提供いただいた「個人に関する情報」について、「個人情報」と「個人関連情報」「仮名加工情報」「匿名加工情報」に分類し、総称して「パーソナルデータ」と呼んでいます。個人情報とは、氏名、住所、電話番号、メールアドレス、所属企業名その他の記述等により特定の個人を識別できる情報をいいます。
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないものをいいます。具体的には、クッキー(Cookie)、IPアドレス、端末情報、広告識別子、閲覧履歴等をいいます。
パーソナルデータを利活用する上での指針を「グループ個人情報保護方針」に、個人情報の取り扱いに関するお約束を「個人情報の取り扱いについて」に定めています。
当グループは、役員をはじめとする当グループの全従業者(以下「従業者等」といいます)が、すべての事業で取り扱うパーソナルデータおよび従業者等のパーソナルデータに関して、個人情報保護に関する関係法令を遵守し、個人情報保護マネジメントシステムを構築して適切に運用し、常に社会的要請の変化に着目しつつ個人情報保護マネジメントシステムの継続的改善に全グループを挙げて取り組むことを宣言いたします。
【解説】
・企業におけるデータの取扱いの透明性を確保するなどの目的で、取扱いの対象となる情報を「パーソナルデータ」や「ユーザデータ」とする例がありますが、ビズリーチ社のプライバシーポリシーでは、取扱いの対象となる情報につき、「個人情報」や「仮名加工情報」という法令上の用語が用いられています。この点、ビジョナル株式会社(以下「ビジョナル社」といいます。)のグループ個人情報保護方針では、「個人情報」、「個人関連情報」、「仮名加工情報」及び「匿名加工情報」を総称して「パーソナルデータ」と定義しています。しかし、同方針からは、「パーソナルデータ」の用語が法令上の上記各情報を総称する意味で用いていること以上の意義が見い出せず、また、同方針の各条項においても「個人情報」と「パーソナルデータ」の用語が混在しています。さらに、ビズリーチ社のプライバシーポリシーには「パーソナルデータ」の用語は使用されていないため、グループ間で平仄を合わせることが望ましいと考えられます。
・ビズリーチ社のプライバシーポリシーは、適用対象(名宛人)を「利用者」としています。企業が扱う個人情報には、サービス利用者のほか、取引先や従業員等も含まれますが、ビズリーチ社のプライバシーポリシーには取引先や従業員に関する記載が含まれていません。全ての適用対象者をまとめてプライバシーポリシーを作成するとプライバシーポリシーが長くなり、自身に関わる記載部分を判別しにくくなるので、ビズリーチ社のように多くの個人のサービス利用者を抱えるような企業は、このように適用対象者を限定することが適切といえます。
*なお、本レビューにおいては、ビズリーチを利用するユーザを想定し、ビズリーチ社プライバシーポリシー「個人情報の取扱いについて」(以下「プライバシーポリシー」といいます。)を基本的には評価対象とし、必要に応じてビジョナル社「個人情報保護方針」を参照します。
2. 取得する個人情報(パーソナルデータ)の項目
【原文より抜粋】
(1)当社の提供する各種サービス・システムの利用者から直接取得する情報
(抜粋省略)
(2)利用に伴って取得する情報
1 当社が本サービスを紹介事業者又は採用企業(以下あわせて「採用企業等」といいます)に提供するにあたり、当社と採用企業等との間の契約の履行状況の確認、採用企業等への提供、システムの構築、改良、メンテナンス、当社サービスの維持向上、当社の新規サービス開発等に必要な範囲内で、利用者の個人情報(性別、年齢、居住地、職務経歴、学歴等、当社に提供いただいた個人情報をいいます)およびシステム上における求人情報の閲覧履歴・応募情報データ等並びに採用企業等と利用者間のメールの開封状況・送受信履歴・内容について、閲覧・利用および採用企業等への開示をすることがあります。
(抜粋省略)
(3)第三者から取得する情報
本サービスの円滑な運営・利用を達成する目的で、当社が利用者の個人情報を提供した事業者から、当該利用者の選考の進捗状況、内定の事実、入社予定会社、入社予定日、予定年収その他本サービスの利用に関する利用者の追加情報を取得することがあります。
*引用:2. 個人情報の利用目的について
住所・氏名等の情報
当グループでは、お客様に関する以下のような情報を取得します。
サービス利用およびアカウント作成時の情報
お客様が当グループの各サービスを利用する際に、アカウント作成に関連して、氏名、生年月日、住所、職業、電話番号、ニックネーム、メールアドレス、パスワードなどの情報を取得します。
イベント参加時の情報
当グループ主催のイベントにご参加いただく際に、氏名、電話番号などの情報を取得します。
品質向上のためのアンケート情報
サービスの品質向上を目的としたアンケートなどを実施する際に、氏名、メールアドレス、サービスに関するご意見などの情報を取得します。
企業の担当者の情報
当グループが提供する各種サービスやシステムを利用する企業または利用している企業の担当者の、氏名、メールアドレス、会社名、役職名などの情報を取得します。
これらの情報は、それぞれのサービスやイベントの提供に必要な範囲に限定して取得します。
情報の取得方法
当グループでは、以下の方法で情報を取得します。
当グループのシステムのフォーム
当グループのシステムのフォームを通じて情報を入力していただきます。
Google フォーム
Google フォームを利用して情報を取得します。
その他のクラウドサービス
当グループ内で利用許可されたクラウドサービスを介して情報を取得します。
当グループは、取得した情報を適切に管理し、お客様のプライバシーとパーソナルデータの保護に努めます。
*引用:Privacy「取得する情報の種類と方法」
【解説】
取得する個人情報(パーソナルデータ)の項目は、個人情報保護法上、通知や公表が義務付けられているわけではありません(ただし、ガイドライン等で取得する個人情報の項目が求められる場合もあります。)。しかし、利用目的を通知・公表する前提として、取得する個人情報(パーソナルデータ)の項目を記載することが望ましいといえるでしょう。
・ビズリーチ社がどのような場合に個人情報を取得するのかにつき、⑴「……利用者から直接取得する情報」、⑵「利用に伴って取得する情報」、⑶「第三者から取得する情報」に分類し、⑴については、具体的な取得経緯が説明されており、それらに含まれる形式で取得する個人情報の項目(の一例)についても記載があります。・また、ビジョナル社Privacyの「取得する情報の種類と方法」というページには、取得方法別に分類し、取得する個人情報の項目について具体的な記載があります。
3. 個人情報(パーソナルデータ)の利用目的
【原文より抜粋】
当社は、以下に掲げる利用目的のために個人情報を収集します。
(1)当社の提供する各種サービス・システムの利用者から直接取得する情報
1 会員登録フォームに入力いただいた情報を、当社サービスの会員登録、管理、事務連絡および各種システム機能のご提供に使用するため
2 会員登録時に入力いただいた情報を、当社と提携した国内および国外の事業者または企業に情報を提供するため
3 当社の実施する職業紹介事業における求人企業・職業紹介事業者への紹介のため
4 当社サービスの改善および新サービスの開発のため
5 マーケティングの改善および対象の拡大のため
6 当社およびVisionalグループ各社のイベント・セミナー等のご案内、運営管理、広報活動のため
7 Visionalグループ各社および第三者の商品等の広告・宣伝、販売の勧誘・広報活動のため
8 アンケート、キャンペーン等の依頼、連絡、プレゼント発送等を行うため
9 メールマガジン等の情報を配信するため
10 利用者からのお問い合わせ、質問に対する回答を行うため
11 当社が提供するサービスの保守・メンテナンス業務を行うため
(2)利用に伴って取得する情報
1 当社が本サービスを紹介事業者又は採用企業(以下あわせて「採用企業等」といいます)に提供するにあたり、当社と採用企業等との間の契約の履行状況の確認、採用企業等への提供、システムの構築、改良、メンテナンス、当社サービスの維持向上、当社の新規サービス開発等に必要な範囲内で、利用者の個人情報(性別、年齢、居住地、職務経歴、学歴等、当社に提供いただいた個人情報をいいます)およびシステム上における求人情報の閲覧履歴・応募情報データ等並びに採用企業等と利用者間のメールの開封状況・送受信履歴・内容について、閲覧・利用および採用企業等への開示をすることがあります。
2 企業情報・ステータス管理その他の採用企業および利用者によるシステムの利用記録および個人情報を集計・分析し、利用者画面における関連性の高い求人者の求人情報・スカウト・求人企業の社名 (※) の提示、および企業管理画面における関連性の高い利用者の提示を行う場合があります。
※ヘッドハンター向けサービス(エグゼクティブ・サーチ・サポート)の場合は、ヘッドハンター名も含みます。
(3)第三者から取得する情報
本サービスの円滑な運営・利用を達成する目的で、当社が利用者の個人情報を提供した事業者から、当該利用者の選考の進捗状況、内定の事実、入社予定会社、入社予定日、予定年収その他本サービスの利用に関する利用者の追加情報を取得することがあります。
*引用:2. 個人情報の利用目的について
【解説】
まず、個人情報保護法上、個人情報を取得した場合、利用目的を本人に通知し、又は公表しなければならず(法21条1項)、通知又は公表を行う前提として、利用目的をできる限り特定する必要があります(法17条1項)。また、直接書面(電磁的記録を含む。)に記載された個人情報を取得する場合は、あらかじめ、本人に対し、利用目的を明示する必要があります(法21条2項)。利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲(予測可能性のある範囲)を超えて行うことはできません(法17条2項)。
利用目的は、単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています(ガイドライン通則編3-1-1)。
また、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないものとされています(法18条1項)。
・具体的な取得経緯に沿って⑴〜⑶に分類されており、合理的に想定できる程度に利用目的が特定されているといえます。
・ただし、「利用に伴って取得する情報」の1については、「当社が本サービスを紹介事業者又は採用企業……に提供するにあたり……閲覧・利用および採用企業等への開示をすることがあります」と記載されているとおり、ビズリーチ社が取得する個人情報の利用目的ではなく、ビズリーチ社から他企業への第三者提供に関する説明になっています。あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならないため(ガイドライン通則編3-1-1)、その目的で利用目的のパートに記載した可能性がありますが、そうであれば、どのような利用に伴って個人情報が取得され、どのような目的で提供を行うのかが分かるように記載することが望ましいといえます。
4. 個人データ(パーソナルデータ)の第三者提供
【原文より抜粋】
当社は下記の場合に個人情報を第三者に提供いたします。
なお、下記に記載がない場合もご本人の同意を得た上で個人情報を第三者に提供することがあります。
個人情報の提供は、特に記述のない限り、暗号化等を施したウェブシステム、電子メール、書面の手交のいずれかによるものとします。
(1)マーケティングの改善および対象の拡大のため、取得した個人情報を、提携した国内および国外の広告配信事業者に提供する場合があります。
(2)取得した個人情報を、当社と契約または提携した国内および国外の事業者または企業(ヘッドハンター、人事担当者を含む)に対して、スカウト、採用活動等を行うために開示・提供します。
但し、利用者の個人情報のうち、氏名および生年月日は利用者が採用企業等と個別にメッセージをやりとりする場合および求人に応募する場合に開示されるものとします。また電話番号・メールアドレスを採用企業等へ開示する場合は、利用者の個別の同意を得るものとします。
(3)当社は「2.個人情報の利用目的について」で述べた目的を達成するため、個人情報を外国の第三者に提供する可能性があります。
(4)当社は、原則として、利用者の同意のない限り、第三者に個人情報を提供することはありません。ただし、以下の場合には、利用者の同意なく個人情報を提供することがあります。
1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
*引用:4. 個人情報の提供について
パーソナルデータを当グループ以外の第三者へ提供するため
当グループでは、サービス等を提供するにあたってさまざまなパートナー企業のサービスを利用しています。その過程で、お客様に関する情報を提供し、日本国外に情報を保管する場合もあります。 なおその際には、必ず事前に目的を明示し、お客様の同意を得ることとしています。
パーソナルデータの提供イメージ
(抜粋省略)
*引用:Privacy「情報の提供」
当社は、取得したご本人の個人情報を、下記記載の範囲において、外国にある事業者(企業・ヘッドハンターの人事担当者等)が当社の運営するビズリーチサービス(以下、「ビズリーチ」といいます)を通じてスカウト・採用活動等を行うために、当該事業者に開示・提供することがあります。なお、ビズリーチへ登録いただいたご本人の個人情報のうち、電話番号・メールアドレスに関しては、ご本人が個別に同意する場合またはご本人自らが求人情報へ応募する場合を除いては、開示・提供することはありません。
【外国にある第三者への個人データの提供に関する情報提供】
提供先となる外国の名称 (省略)
提供先となる外国における個人情報保護制度 (省略)
外国事業者の講じている個人情報保護措置 (省略)
(抜粋省略)
*引用:7. 越境移転について
【解説】
1 総論
法令に基づく場合、人の生命、身体又は財産の保護のために必要のある場合などを除き、個人データを第三者に提供する場合には、原則として本人の同意を取得しなければならないとされています(法27条1項)。また、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨が明確に分かるよう特定しなければならないとされています(ガイドライン通則編3-1-1)。
・⑴から⑶の3つの場合に第三者提供がなされることに加え、提供先や提供する情報の種類等、具体的な記載があります。
・また、ビジョナル社Privacyの「情報の提供」では、第三者提供に関して、イラスト付きで理解しやすく説明されています。
2 外国にある第三者への提供について
外国にある第三者に個人データを提供する場合(委託や共同利用を含みます。)、法28条の定めに従う必要があります。
まず、提供先の第三者が我が国と同等の水準にあると認められる個人情報保護制度を有している国(現時点では、EEA加盟国及び英国)にある場合、当該第三者は「外国」に当たらないものとされています。
次に、基準適合体制の整備によって外国への第三者提供を整理する場合、「相当措置の継続的な実施を確保するために必要な措置を講じる」とともに、本人の求めに応じて「当該必要な措置に関する情報」を本人に提供しなければならないものとされています(法28条3項)。
上記の2つに該当しない場合は、「本人に参考となるべき情報」をあらかじめ提供した上で本人の同意を得なければならないとされています(法28条2項、規則17条2項)。
・「本人に参考となるべき情報」として、「提供先となる外国の名称」、「提供先となる外国における個人情報保護制度」、「外国事業者の講じている個人情報保護措置」が記載されています。「提供先となる外国における個人情報保護制度」については、個人情報保護委員会のホームページのリンクを設定することにより、「本人に参考となるべき情報」をあらかじめ提供していると思われ、この手法は参考になります。
5. 個人データ(パーソナルデータ)の共同利用
【原文より抜粋】
当社は、以下に掲げる利用目的のために個人情報を収集します。
(1)当社の提供する各種サービス・システムの利用者から直接取得する情報
(抜粋省略)
6 当社およびVisionalグループ各社のイベント・セミナー等のご案内、運営管理、広報活動のため
7 Visionalグループ各社および第三者の商品等の広告・宣伝、販売の勧誘・広報活動のため
(抜粋省略)
*引用:2. 個人情報の利用目的について
【解説】
個人情報保護法上、以下5項目について「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」く場合、第三者提供に該当しないものとされています(共同利用。法27条5項3号)。
⑴共同利用をする旨、⑵共同利用する個人情報の項目、⑶共同利用者の範囲、⑷共同利用する個人情報の利用目的、⑸共同利用の管理責任者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
・抜粋「2. 個人情報の利用目的について」において「Visionalグループ各社」での利用が想定される記載があることから、共同利用を前提とした記載のように思えます。仮に共同利用の実態があれば、上記⑴から⑸に対応した記載をあらかじめ提供しなければならないところ、本プライバシーポリシーでは該当する記載が見つからず、法令適合性に疑義があるといえます。
・なお、従業員や採用活動に関する個人情報に限って、ビジョナル社の個人情報の取り扱いについて「3. 従業員の個人情報の共同利用」や、採用活動における個人情報の取り扱いについて「3. 個人情報の共同利用」において、上記⑴から⑸に対応した記載があります(ただし、⑸については、管理責任者となるビジョナル社の代表者の氏名が確認できるよう、会社概要ページにアクセスできるリンクを設けるなどすることが適切でしょう。)。
6.安全管理措置
【原文より抜粋】
(1)組織的安全管理措置
・個人データの取り扱いに関する責任者を設置し、事故等の報告窓口を整備しています。
・個人データの棚卸しや個人データの取り扱いに関する内部監査を実施しています。(2)人的安全管理措置
・全従業員向けに個人データの取り扱いに関する研修を実施しています。
・全従業員と個人データの取り扱いに関する覚書を交わしています。(3)物理的安全管理措置
・個人データを扱う機器、電子媒体は盗難防止策および暗号化を実施しています。
・個人データを取り扱う執務室は入退出制限を実施しています。(4)技術的安全管理措置
・個人データのアクセス制御を実施し、必要最小限の担当者のみが個人データにアクセスする体制を整備しています。
・個人データを取り扱う情報システムを不正アクセスなどから保護する仕組みを導入しています。(5)外的環境の把握
クラウドサービス上で個人データを保管している以下の国における個人情報の保護に関する制度を把握した上で安全管理措置を実施いたします。クラウド業者所在国名
・アメリカ合衆国データ保管国
・日本、アメリカ合衆国※一部のクラウドサービスについてはデータの保管場所が公開されておらず、データ保管国が特定できない場合があります。
*引用:12. 安全管理について
【解説】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(法23条)。
また、保有個人データに関して講じた安全管理措置は、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置かなければならないとされています(法32条1項4号、個人情報保護法施行令10条1号)。
講ずべき安全管理措置の例は、ガイドライン通則編10に記載があります。
・ビズリーチ社が講じている安全管理措置の内容が記載されています。
・また、ビジョナル社のグループ情報セキュリティ基本方針や具体的なセキュリティ対策では、グループで取り組んでいる対策について、具体的に記載されています。「セキュリティ教育・啓発の実施」によると、全従業員に向けて研修が充実していると見受けられます。
7. 開示等の請求の対応
【原文より抜粋】
利用者からの個人情報の利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去および第三者への提供の停止(以下「開示等」といいます。)の求めにつき、当社は、当社の保有する個人情報については、利用者の本人確認をおこなった後、合理的な範囲で速やかに対応いたします。ただし、他の利用者その他第三者の生命・身体・財産その他の利益を害するおそれのある場合、当社の業務遂行に著しく支障をきたすと判断した場合、対応することが法令に違反する場合には、この限りではありません。開示等の請求を行う場合、詳細な手続きについては下記のお問い合わせ先までご連絡ください。
*引用:15. 開示、訂正、利用停止等の求めに応じる手続について
【解説】
個人情報取扱事業者は、保有個人データに関し、開示等の請求に応じる手続及び開示の請求に係る手数料の額について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません(法32条1項)。
・ビズリーチ社においては、「17. 個人情報保護管理者およびお問い合わせ先」から問い合わせることで、開示等の請求の手続について案内があるとの記載があります。法令上、問合せに遅滞なく回答すれば「本人の知り得る状態」にあるといえますが、可能であれば、手続の詳細な手順や手数料等についてあらかじめプライバシーポリシーに記載しておいた方がユーザの利便性が高いでしょう。
8. 苦情・問合せ
【原文より抜粋】
当社は、次の者を個人情報保護管理者に任命し、利用者の個人情報を適切かつ安全に管理し、外部からの不正アクセス、紛失、破壊、改ざん、漏えい等を予防および是正するための対策を講じています。
株式会社ビズリーチ 個人情報保護管理者:管理執行管掌 執行役員
個人情報に関する苦情および相談、開示等についての当社お問い合わせ先は、次のとおりです。
株式会社ビズリーチ
住所:〒150-0002 東京都渋谷区渋谷2-15-1
電話:0120-377-803
当社は、「個人情報の保護に関する法律(平成15年法律第57号)」第47条の規定に基づいて主務大臣から認定を受けた、次の認定個人情報保護団体の対象事業者です。
【認定個人情報保護団体の名称および苦情解決の申出先】
<認定個人情報保護団体の名称>
一般財団法人日本情報経済社会推進協会<苦情解決の申出先>
個人情報保護苦情相談室
住所:〒106-0032 東京都港区六本木1-9-9 六本木ファーストビル内
電話:0120-116-213 / 0120-700-779※当グループのサービスに関する問い合わせ先ではありません。
*引用:17. 個人情報保護管理者およびお問い合わせ先
【評価結果】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず、必要な体制の整備に努めなければならないとされており(法40条)、保有個人データの取扱いに関する苦情の申出先について本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条1項4号、令10条2号)。
また、認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先を本人の知り得る状態に置かなければならないとされています(法32条1項4号、令10条3号)。
・問合せ先として、ビズリーチ社個人情報保護管理者の住所及び電話番号、並びに認定個人情報保護団体の名称及び苦情解決の申出先について、適切な記載があります。
9. Cookie等の取扱い
【原文より抜粋】
当社は、利用者のプライバシーの保護、利便性の向上、広告の配信、および統計データの取得のため、Cookieを使用します。また、当社は、CookieやJavaScript等の技術を利用して、サイト内におけるユーザーの行動履歴(アクセスしたURL、コンテンツ、参照順等)を取得することがあります。ただし、行動履歴には個人情報は一切含まれません。
なお、Cookieの受け取りは、ブラウザの設定によって拒否することができます。拒否した場合、システムをご利用いただく上で一部機能に制約が生じることがあります。
取得した属性情報および行動履歴など個人を特定できない情報について、当社は何ら制限なく利用することができるものとします。
*引用:14. 個人関連情報の取得および利用について
行動ターゲティング広告について
当社は、お客様の興味・関心に沿った広告を配信するために、お客様の行動履歴情報(アクセスしたURL、コンテンツ、参照順等)及び属性情報(年齢、性別、職業、居住地域等であって個人が特定できない範囲の情報)を、広告配信サービスを提供する事業者(以下、「広告配信事業者」といいます)に提供したうえで、当該広告配信事業者が提供する行動ターゲティング広告サービスを利用しております。
この行動ターゲティング広告の配信停止及び行動履歴情報等の提供停止(オプトアウト)をしたい場合は、次に掲げる各広告配信事業者のオプトアウト設定にかかるページへアクセスし、所定の手順に従って設定をしてください。
なお、当該設定をされた後、実際に当該設定がシステム上反映されるまで、時間がかかる場合があります。当該設定がシステム上反映された後は、行動ターゲティングによらない広告が表示されます。
行動ターゲティング広告の配信停止及び行動履歴情報等の提供停止(オプトアウト)
以下の広告配信事業者のオプトアウト設定にかかるページで、行動ターゲティング広告の配信停止手続等を行ってください。
(抜粋省略)
*引用:Cookieを利用した行動ターゲティング広告について
【解説】
Cookieはそれ単体では個人情報に該当しない(法2条1項)ものの、保有する個人情報と紐付け個人を識別することができるようにしている場合は、Cookieにより取得した情報も含む全体が個人情報に該当し、個人情報の規制が及びます。外部送信規律により公表等の措置を講じる必要がある場合を別として、Cookieの取扱いについて個人情報保護法上、プライバシーポリシーで定めることは必須ではないものの利用する具体的なCookieの種類や内容、管理・選択方法等を一律にしてあらかじめ公表しておくことが望ましいといえます。
Cookieは個人関連情報に該当しますが、個人関連情報を第三者に提供する場合、提供先の第三者が個人データとして取得することが想定される場合、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければならないとされています(法31条1項)。
・「Cookieを利用した行動ターゲティング広告について」において、広告配信事業者のオプトアウト設定にかかるページへのリンクが列挙されており、Cookieを有効にするか拒否するかの設定を行うことができる仕様になっています。Cookieそれ自体を規制する外国法を遵守する必要がないのであれば、必ずしもCookieバナーを表示させる必要はないため、同社のようにプライバシーポリシーに広告ターゲティング広告のオプトアウトのリンクを記載する方法も有益です。
・また、ビジョナル社のPrivacyでは、「Cookie等により収集される情報」にて、イラスト付きで説明があり、Cookieについて馴染みのないユーザに配慮されているといえます。ビズリーチのみを利用するユーザにもわかりやすくするため、例えば「14. 個人関連情報の取得および利用について」や「Cookieを利用した行動ターゲティング広告について」から容易に到達できるよう、「Cookie等により収集される情報」に遷移できるリンクを挿入する方法も一考に値します。なお、Privacyの「クッキー規制について」には、「日本においては、クッキー等により個人情報を収集する事業者には、ユーザーにその意図を伝えて同意を得る必要があると義務づける法律が施行されました。」との記載がありますが、日本の個人情報保護法では、Cookieを取得するのみでは同意が不要であるため、閲覧者の誤解を招く可能性があります。
10. 仮名加工情報
【原文より抜粋】
当社は取得した情報をもとに仮名加工情報を作成し、以下の目的のため利用することがあります。
・当社サービスの改善および新サービスの開発のため
*引用:8. 仮名加工情報の作成について
仮名加工情報
個人情報や個人関連情報を匿名化して個人を特定できないようにした情報です。仮名加工情報は、統計データや分析目的で使用され、個人を特定することはありません。
*引用:取得する情報の種類と方法
【解説】
個人情報取扱事業者が仮名加工情報を作成したときは、作成の元となった個人情報に関して特定された利用目的が当該仮名加工情報の利用目的として引き継がれ、その利用目的の達成に必要な範囲を超えて、個人情報である仮名加工情報を取り扱ってはなりません(法第41条3項)。また、特定した利用目的は公表しなければなりません(法41条4項)。
仮名加工情報取扱事業者の義務について、詳しくは個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編))をご参照ください。
・「2. 個人情報の利用目的について」の(1)4に該当する利用目的が、仮名加工情報の利用目的として記載されています。
11. 外部送信規律
【原文より抜粋】
電気通信事業法第27条の12及び同施行規則第22条の2の29により、開示が求められる情報送信指令通信※1が起動させる情報送信機能※2により送信されることとなる利用者に関する情報の内容、情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称、及び情報の利用目的につきましては、以下に掲げるとおりです。
※1 利用者のパーソナルコンピューター、スマートフォン、タブレット等の情報端末が有する情報送信機能を起動する指令となるプログラム等の送信であり、具体的には、利用者に関する情報を利用者の情報端末から外部に送信させ収集するための仕組みを実現するコード等の情報の送信が含まれます。
なお、ウェブサイトの場合については、HTML、CSS、JavaScript等の言語で記述されたウェブサイトを構成するソースコードのうち上記仕組みを実現する部分、アプリケーションの場合については、アプリケーションに埋め込まれている情報収集モジュール等の情報送信機能の起動の契機となるプログラム等が含まれますが、これらに限られません。
※2 利用者のパーソナルコンピューター、スマートフォン、タブレット等の情報端末に記録された当該利用者に関する情報を当該利用者以外の者のパーソナルコンピューター、スマートフォン、タブレット等の情報端末に送信する機能をいいます。
(抜粋省略)
*引用:電気通信事業法による利用者情報の外部送信に関する開示
【解説】
令和4年に電気通信事業法が改正され、いわゆる「外部送信規律」が設けられたことで、電気通信事業者又は同法上の第三号事業を営む者は、情報送信指令通信(外部送信)を行う際に、次の事項につき、通知又は容易に知り得る状態に置く(以下「公表」といいます。)など一定の措置を講じるものとされました(電気通信事業法27条の12)。
⑴ 送信されることとなる利用者に関する情報の内容
⑵ 送信先となる第三者の名称
⑶ 利用者に関する情報の利用目的(利用目的については、送信元の利用目的と送信先の利用目的のいずれも記載する必要があります。電気通信事業における個人情報等の保護に関するガイドラインの解説258頁)。
外部送信規律への対応が求められる企業の多くは、公表によって対応しているように見受けられます。公表によって対応する場合には、外部送信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、法定の事項を表示すべきとされています(電気通信事業における個人情報等の保護に関するガイドラインの解説254頁)。
公表を行うことによって対応する場合、情報送信指令通信を行うウェブページから1回程度の操作で到達できる遷移先のウェブページに当該事項が表示されており、かつ、情報送信指令通信を行うウェブページにおいて、当該遷移先のウェブページに当該事項の表示があることが利用者にとって理解できる形でリンクが配置されていれば、当該遷移先のウェブページは、「容易に到達できるウェブページ」に該当するとされています(電気通信事業における個人情報等の保護に関するガイドラインの解説257頁)。
なお、外部送信規律の詳細については、解説記事をご参照ください。
・適用条文を示した上で、上記3項目として「送信先の名称」、「送信される情報」、「情報の利用目的」が適切に公表されています。ただし、上記⑶については、送信元の利用目的と送信先の利用目的を区別して記載する必要があるところ、区別されて記載されていません。
・⑴から⑻までの8つの通信が記載されていますが、サイトに埋め込まれているタグを確認すると、公表すべき通信が網羅的に記載されていないように思えます。
・ビジョナル社においては、外部送信規律について、例えば、「ビズリーチ利用企業様向け」やHRMOS等の各サービスごとに公表しています。同じ企業が複数のサービスを提供する場合でも特定のサービスに限って利用するユーザがいることなどに鑑みると、サービスごとに表示することが望ましいといえ、このような表示方法は参考になります。
12. プライバシーポリシーの変更
【原文より抜粋】
当社は、「個人情報情報の取り扱いについて」を法令に違反しない範囲で任意に変更することが出来るものとします。
*引用:16.「個人情報情報の取り扱いについて」の変更について
【解説】
法律上、プライバシーポリシーの変更に関する定めを公表する義務はありませんが、プライバシーポリシーの変更に備え、変更に関する定めを置く企業もあります。
個人情報保護法上、例えば、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない(法17条2項)などの定めが置かれています。
・変更されることがある旨が簡潔に記載されています。
・本プライバシーポリシーには、改定年月日の記載が見当たりませんでした。改正電気通信事業法の記載があるため、状況に応じて改定があるものだと推測できますが、最終変更年月日を記載することが望ましいといえます。また、過去のプライバシーポリシーや変更履歴を確認できるようにリンクを掲載しておくことも考えられるでしょう。
13. 免責事項
【原文より抜粋】
以下の場合は、第三者による個人情報の取得に関し、当社は何らの責任を負いません。
1 利用者自らが本サービスの機能または別の手段を用いて事業者、求人企業等の第三者に個人情報を明らかにする場合
2 利用者の活動情報または利用者が本サービスの利用に関して投稿等した情報により、第三者に利用者本人が特定されるにいたった場合
3 本サービスからリンクされる外部サイトにおいて、利用者より個人情報が提供され、またそれが利用された場合
4 利用者本人以外が利用者個人を識別できる情報(ID、パスワード等)を入手した場合
5 当社に責めに帰すべき事由がない場合
*引用:5. 第三者提供に関する免責事項について
【解説】
プライバシーポリシーは、本来的には、個人情報保護法等の法令の遵守や情報提供を目的とする性質の文書であるところ、プライバシーポリシーの作成・公表は直接義務付けられているものではありませんし、記載事項が法定されているものでもありません。そのため、一般的には利用規約や契約書に記載するような事項をプライバシーポリシーに記載することは事業者の自由であり、免責事項を定める例も少なからず見受けられます(ユーザがプライバシーポリシーに同意すれば、記載内容が事業者・ユーザ間の契約関係を規律すると見ることもできます。)。
・本プライバシーポリシーには、免責事項についての記載があります。第三者によるユーザの個人情報の取扱いによってプライバシー侵害等が発生した場合を想定した規定と思われます。
・なお、「5. 第三者提供に関する免責事項について」と題された見出しに、「第三者提供」という文言が含まれているものの、内容としては、ビズリーチ社から第三者に情報を提供する場面ではないことが記載されており、一見ユーザにミスリーディングな表題になっているともいえます。
1. 「プライバシーについて」について
プライバシー保護に取り組む企業を中心に、自社のプライバシー保護に関する取組やプライバシーポリシーに関する補足説明を行う、いわゆる「プライバシーセンター」等をウェブサイトに掲載する動きが加速しています。
ビジョナル社も、ホームページにプライバシーについてを開設し、同グループ企業でのプライバシー及びセキュリティに対する取組や字面だけでは分かりにくい事項をイラストや具体例を用いて補足説明しています。なお、同社(及びその各子会社)が提供する各サービスのユーザがアクセスしやすいよう、各プライバシーポリシーのわかりやすい位置にリンクを設置する方法も考えられるかと思います。