総合評価:A
模範的なプライバシーポリシーです。
必要な項目について、抽象的な事項にとどまらず、パーソナルデータをどのように取得するのか、どのような場合にどの企業に提供するのかなど具体的に示されています。また、外部送信規律の記載は、サービスごとに細かく表示することが可能であり、ユーザに分かりやすいものになっています。
プライバシーセンターの記載も極めて充実しており、同センターで公開されているプライバシーガバナンスに対する取組も参考になります。
ただし、個人データの共同利用については、プライバシーポリシーからその取扱いの実態が明らかでないので、指摘させていただいています。
ポリシー最終改訂日:2023/06/16
ポリシー最終評価日:2023/08/31
プライバシーポリシー
https://cdn.p.recruit.co.jp/terms/cmn-t-1001/index.html?p=pp035
プライバシーセンター
https://www.recruit.co.jp/privacy/
法令等の表記は、以下の例によります。
法 個人情報保護法
令 個人情報保護法施行令
規則 個人情報保護法施行規則
ガイドライン通則編 個人情報の保護に関する法律についてのガイドライン(通則編)
Q&A 「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A
1. 前文等
【原文より抜粋】
株式会社リクルート(以下「当社」といいます)は、当社が運営するサービス(以下「当社サービス」といいます)をユーザーにご利用いただくにあたり、ユーザーの個人情報を、どのような目的でどのように取り扱うかを、本プライバシーポリシーで定めております。
ユーザーが本プライバシーポリシーにご同意いただいた場合には、当社が既に保有しているユーザーの個人情報についても本プライバシーポリシーに従って取り扱います。なお、個々のサービスの特性に応じて、そのサービス特有の個人情報の取り扱いについて定める場合には、11. サービス特約にその旨を記載しておりますのでご確認ください。
また、本プライバシーポリシーに定める個人情報に限らずユーザーに関する情報の取り扱いについて、ユーザーに対して具体的にわかりやすくお伝えするためにプライバシーセンターを作成し、公表しております。ウェブサイトにおける外部送信一覧とアプリにおける外部送信一覧もありますので、あわせてご参照ください。
*引用:前文
【解説】
・プライバシーポリシーの適用対象(名宛人)を「ユーザー」に限定しています。多くのユーザが利用するサービスを提供している企業であることに鑑みれば、ユーザが、自身に関係する記載を判別しやすくするために、本プライバシーポリシーのように適用対象者をユーザに限定したプライバシーポリシーを作成するのが適切でしょう。
・プライバシーセンター、外部送信規律の公表ページのリンクが前文に貼られており、これらのページへのアクセスが容易になっています。
2. 取得する個人情報(パーソナルデータ)の項目
【原文より抜粋】
当社は、以下の方法で個人情報を取得します。
ユーザーから直接、個人情報の提供を受ける方法
ユーザーが当社サービスを利用する際に、自動的に個人情報を記録する方法
第三者から間接的にユーザーの個人情報の提供を受ける方法
刊行物やインターネット等で公開された個人情報を取得する方法
なお、当社は、その情報単体では個人情報に該当しない属性情報(例:年齢・性別・職業・居住地域)、Cookie、IPアドレス、広告識別子(AAID・IDFA)、位置情報・行動履歴といったインターネットの利用にかかるログ情報および実店舗の購買履歴等の個人に関する情報(以下総称して「インフォマティブ情報」といいます)をユーザーまたは第三者から取得しています。ユーザーが当社サービスの利用にあたり当社に個人情報を提供した場合、当社は、当該情報と、当該ユーザーのインフォマティブ情報を紐付ける場合がありますが、この場合には当該インフォマティブ情報も個人情報として取り扱います。
*引用:1. 個人情報の取得
【解説】
取得する個人情報の項目は、個人情報保護法上、通知や公表が義務付けられているわけではありません(ただし、ガイドライン等で取得する個人情報の項目が求められる場合もあります。)。しかし、利用目的を通知・公表する前提として、取得する個人情報(パーソナルデータ)の項目を記載することが望ましいといえるでしょう。
・本プライバシーポリシーには、「個人情報」と「インフォマティブ情報」という定義が登場します。プライバシーセンター「パーソナルデータとは?」の記載から、リクルート社は、顧客から提供を受けるデータを「個人情報」と「インフォマティブ情報」に分類し、これらを総称して「パーソナルデータ」と定義していることが分かります。個人情報とインフォマティブ情報のそれぞれの意義や具体例がプライバシーセンターのパーソナルデータの詳細に分かりやすく示されています。
・取得する情報の項目は仔細に記載されていませんが(多様な情報を取得していると思われるため、やむを得ないといえるでしょう。)、本項で、どのようなパーソナルデータを取得するのかが記載されています。
・パーソナルデータの取得方法については、プライバシーセンター「パーソナルデータはどのように取得するのか?」での説明がとても分かりやすく、プライバシーセンターを設けている他社と比較してもユーザビリティに優れていると感じました。
3. 個人情報(パーソナルデータ)の利用目的
【原文より抜粋】
当社は、以下の目的で個人情報を利用します。
なお、「当社グループ会社」は、こちらをご確認ください。
(1) ユーザーが利用する当社サービス(利用登録手続中の当社サービスを含みます)の運営およびそれに伴うユーザーとのやりとり・情報提供
例として以下の利用が含まれます。
ユーザーの個人認証・本人確認・審査
ポイントの発行・計算・利用等ポイントプログラムの運営
ご意見・お問い合わせ・口コミ投稿・その他のやりとりの内容確認や回答
ユーザーが参加したキャンペーンにかかる当選者の抽選や景品・謝礼の発送
他のユーザーとメッセージ・画像・動画その他コンテンツのやりとりができる機能の提供
(以下省略)
*引用:2. 個人情報の利用目的
【解説】
個人情報保護法上、個人情報を取得した場合、利用目的を本人に通知し、又は公表しなければならず(法21条1項)、通知又は公表を行う前提として、できる限り利用目的を特定する必要があります(法17条1項。本人との間で契約を締結することに伴って書面(電磁的記録を含む。)に記載された本人の個人情報を取得する場合には、利用目的の「明示」が必要です。21条2項)。また、利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲(予測可能性のある範囲)を超えて行うことはできません(法17条2項)。
利用目的は、単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています(ガイドライン通則編3-1-1)。
また、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないものとされています(法18条1項)。
・【利用目的の概要】→【具体例】という形で、取得した個人情報の利用目的が示されています。法21条1項・2項との関係では、利用目的の概要のみの記載で足りると思われますが、具体例を記載することで、ユーザに分かりやすいものになっていると評価できます。
・プライバシーセンター「パーソナルデータは何のために活用するのか?」のページでは、イラスト付きで分かりやすく解説されています。同ページのように、「利用目的」という法令の用語ではなく、「何のために活用するのか?」と記載する方が法律知識のない方にとって分かりやすいと思われ、参考になります。
4. 個人データ(パーソナルデータ)の第三者提供
【原文より抜粋】
当社は、以下の提供先に対して各項に従い、書面または電磁的な方法により個人情報を提供します。なお、提供する個人情報の項目には、インフォマティブ情報を含む場合があります。
(1) 当社サービスに参加している企業・学校・団体等への提供(当社の顧客に限らず、当社がサービスを提供する上で必要な提携・契約関係にある企業・学校・団体等を含みます。以下同じ。)
[当社の提供目的]
ユーザーが申込・承諾等を行った企業によるユーザーに対するサービス提供、ユーザーとの契約の履行およびそれらに伴うやりとり・情報提供(サービス提供・契約締結をするか否かの検討、サービスの提案を含みます)
ユーザーが求職活動・応募等を行った企業によるユーザーに対する採用・選考活動およびそれに伴うやりとり・情報提供(採否・合否の検討を含みます)
当社サービスに関して法人契約・団体申込を行った企業・学校・団体等に対する当該企業・学校・団体等に所属するユーザーの当該サービスの利用状況・利用結果の共有
ユーザーが利用した当社サービスに参加している企業・学校・団体等が運営・管理する結婚式場・マンションモデルルームその他の施設に関するアンケート調査を当社が実施した場合の調査結果の報告
口コミ投稿の内容確認・回答・削除のための投稿者情報の提供
当社サービスに参加している企業・学校・団体等に対するサービス提供、契約の履行および課金対象の確認ならびにそれらに伴うやりとり・情報提供
以下の提供目的の場合は、氏名や住所の情報を除外し性別や年代の属性情報にする等、当該情報のみでは提供先が特定の個人を識別することができない情報に加工した上で提供します。
当社サービスに参加している企業・学校・団体等および当社サービス利用検討中の企業・学校・団体等に対する当社サービスの営業提案・効果改善提案
当社がアンケート調査を実施した場合の調査結果の報告
当社が当社サービスに参加している企業・学校・団体等から当社サービス利用希望の企業・学校・団体等を紹介していただいた場合に、当該既参加企業・学校・団体等への当該利用希望の企業・学校・団体等のサービス利用状況の報告
地域活性化促進のため地方自治体・観光協会への当社サービスの口コミ・ユーザーの属性情報の分析結果の提供
ユーザーが求職活動においてスカウトサービスを利用した場合の当該スカウトサービスに参画した企業によるユーザーに対する選考活動およびそれに伴うやりとり・情報提供
[提供する個人情報の項目]
ユーザーの氏名その他ユーザーから取得した情報のうち、上記の提供目的の達成に必要な情報項目
(以下省略)
*引用:3. 個人情報の第三者への提供
当社は、以下の場合において外国(本邦の域外にある国または地域をいいます)にある第三者に個人情報を提供することがあります。
[個人情報を第三者に提供する場合]
個人情報の提供先が外国にある第三者の場合、3. 個人情報の第三者への提供に定められた範囲で個人情報を利用します。
提供先の国名および提供先の外国の個人情報保護制度についてはこちらをご確認ください。
提供先の第三者は、当該国の個人情報保護に関する法規制を遵守しています。
[個人情報取扱業務を外部委託する場合]
当社が個人情報取扱業務の全部または一部を外部委託する委託先は、外国にある場合があります。この場合、当該委託先が個人情報保護法に定められている基準に適合する体制を整備していることを確認しております。
[合併その他の事由による事業の承継に伴い個人情報を提供する場合]
合併その他の事由による事業の承継先が外国にある事業者であることがあります。この場合、当該事業承継の承継前の利用目的の範囲内で個人情報を取り扱います。
*引用:6. 外国にある第三者への個人情報の提供
【解説】
1 総論
法令に基づく場合、人の生命、身体又は財産の保護のために必要のある場合などを除き、個人データを第三者に提供する場合には、原則として本人の同意を取得しなければならないとされています(法27条1項)。また、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨が明確に分かるよう特定しなければならないとされています(ガイドライン通則編3-1-1)。
・提供先の企業、リクルート社の提供目的、提供する個人情報の項目を丁寧に記載し、提供先が特定の個人を識別することができない形態で提供を行う場合についても説明がなされています。また、第三者提供を行うこと自体の利用目的は、「2.」「⑺」に記載されています。
・引用を省略していますが、第三者提供を行うパターンを⑴から⒃まで類型化し、それぞれについて仔細に記載されている点が参考になります。
・上記引用部分のうち特定の個人を識別することができない情報に加工した上で提供する場合も個人情報保護法上は第三者提供に当たるため、法律上必要な対応は異なりませんが、同社パーソナルデータ指針「パーソナルデータの外部提供・外部連携にあたっては、その必要性を十分に考慮し最小限の情報のみを提供・連携することはもちろん、情報が広まることによる影響やリスク、提供先や連携先での管理体制も踏まえ、必要項目や手法を適切に設計します」(2条)の考え方が反映されたものといえます。
・「2.個人情報の利用目的」に、「※Google・Facebook・LINEその他の広告関連事業者が保有するユーザーリストと当社が保有するメールアドレス・電話番号・cookieその他ユーザーの特定に必要な情報を紐付けて、一定の条件を満たすユーザー(当社サービスまたは広告関連事業者が提供するサービスのユーザーを含みます)に各種サービスの提案・情報提供・広告配信を行う場合があります」との記載があります。この記載からは、カスタマーマッチやカスタムオーディエンスといわれる手法を用いてターゲッティングを行っていることが窺えます(Googleのカスタマーマッチの詳細はこちら)。これらを行う場合、Q&A7-41によれば、①外部事業者に対する個人データの第三者提供と整理した上で本人の同意を得るか、②委託と整理し、委託先において本人同意を取得するかのいずれかの対応をとる必要があると考えられます。リクルート社が①、②いずれの整理を行っているかは定かでありませんが、広告関連事業者が本人から同意を得るのが困難であることに鑑みれば、①の整理を行わざるを得ないとも考えられるところです。この点、「2.個人情報の利用目的」の上記部分の記載からは、広告関連事業者に個人データを提供していることが読み取りにくいので、「3. 個人情報の第三者への提供」の項目にて、第三者提供がなされていることが分かるように記載することが望ましいと考えています。
2 外国にある第三者への提供について
外国にある第三者に個人データを提供する場合(委託や共同利用を含みます。)、法28条の定めに従う必要があります。
まず、提供先の第三者が我が国と同等の水準にあると認められる個人情報保護制度を有している国(現時点では、EEA加盟国及び英国)にある場合、当該第三者は「外国」に当たらないものとされています。
次に、基準適合体制の整備によって外国への第三者提供を整理する場合、「相当措置の継続的な実施を確保するために必要な措置を講じる」とともに、本人の求めに応じて「当該必要な措置に関する情報」を本人に提供しなければならないものとされています(法28条3項)。
上記の2つに該当しない場合は、「本人に参考となるべき情報」をあらかじめ提供した上で本人の同意を得なければならないとされています(法28条2項、規則17条2項)。
・外国にある第三者への提供について、第三者提供、委託、事業承継と分類して説明されています。
・リンクが貼られている外国の第三者提供先および外国の個人情報の保護に関する制度では、サービスごとに、提供先の外国等の情報が分けて示されており、記載がとても充実しています。個人情報保護委員会の「諸外国・地域の法制度」に記載がない国(ナイジェリア)についても独自に法制度の調査を行っており、コンプライアンス意識の高さが窺えます。
5. 個人データ(パーソナルデータ)の共同利用
リクルート社には多数のグループ企業が存在しますが、ホームページによれば、現在、個人情報を共同利用する企業及びサービスは存在しないようです。
ただし、グループ企業であるリクルートホールディングスのプライバシーポリシーには、「当社では以下に準拠して当社グループ会社(「当社グループ会社」とは、グループ企業一覧に記載された当社のグループ会社をいいます。)と個人情報の共同利用を行うことがあります。」との記載がなされており、ここにいう「グループ企業」には、リクルート社が含まれています。ホームページはリクルート社のプライバシーポリシーから遷移することで到達できるページではないため、削除されず残存してしまっている可能性もありますが、いずれにせよ、共同利用がなされているのであれば、共同利用に関する記載がなされる必要があります。
6.安全管理措置
【原文より抜粋】
パーソナルデータの漏えいが起きる原因は、主にサイバー攻撃(外的要因)と不正持ち出し(内的要因)に分類できます。
ユーザーの個人情報に加えて、リクルートのクライアントの個人情報や機密情報、リクルート従業員の個人情報なども保護対象とし、技術的・人的および組織的な対策講じることで、これらの問題の発生を未然に防ぎます。
(以下省略)
*引用:プライバシーセンター「データのセキュリティ」
【解説】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(法23条)。
また、保有個人データに関して講じた安全管理措置は、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置かなければならないとされています(法32条1項4号、個人情報保護法施行令10条1号)。
講ずべき安全管理措置の例は、ガイドライン通則編10に記載があります。
・プライバシーポリシー自体に安全管理措置に関する記載はありませんが、プライバシーセンターにおいて詳細な説明がなされています。「データのセキュリティ」には「対策とリスク」、「セキュリティマネジメント体制」、「ユーザーによるパーソナルデータ漏えい対策」に分類して説明が行われています。
7. 開示等の請求の対応
【原文より抜粋】
当社は、法令遵守または利用目的の達成に必要な範囲・期間において、個人情報を保管・利用しますが、ユーザー本人または代理人は、当社所定の手続きに従い、ユーザー本人が識別される個人情報の開示・内容の訂正、追加または削除・利用の停止または消去および利用目的の通知を求めることができます。具体的な請求方法については10. 個人情報に関する問合せ先 にご連絡ください。ただし、法令で認められる範囲で請求に応じない場合があります。
なお、なりすまし等による不正な請求を防止するため、当社では、請求時に本人確認書類の提出を求める等、合理的な方法で本人確認を行います。当社は、当社が定める本人確認に必要な項目が全て満たされる場合、当該請求をユーザー本人からの請求であるとみなし請求に対応しますが、万一ユーザーの個人情報や本人確認書類を入手した当該ユーザー以外の第三者からの請求であった場合でも、当該請求への対応によりユーザーに生じた損害について当社は当社の故意重過失または消費者契約法違反がない限り責任を負いません。ご自身の個人情報の管理には十分留意いただきますよう、よろしくお願い申し上げます。
*引用:7. 個人情報の開示等の請求
【解説】
個人情報取扱事業者は、保有個人データに関し、開示等の請求に応じる手続及び開示の請求に係る手数料の額について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません(法32条1項)。
・個人情報の開示・内容の訂正、追加または削除・利用の停止または消去及び利用目的の通知について、「10. 個人情報に関する問合せ先」にリンクが添付された問合せフォームから手続ができるようになされています。手続の方法がユーザにとって分かりにくい企業も多い中、本プライバシーポリシーでは、分かりやすく記載されています。
8. 苦情・問合せ
【原文より抜粋】
こちらよりお問い合わせください。
*引用:10. 個人情報に関する問合せ先
【解説】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず、必要な体制の整備に努めなければならないとされており(法40条)、保有個人データの取扱いに関する苦情の申出先について本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条1項4号、令10条2号)。
・リンクをクリックすることで問合せフォームに遷移します。問合せフォームの上部には「FAQ」が掲載されており、問合せの数を抑制する効果が期待できます。
9. Cookie等の取扱い
【原文より抜粋】
※インフォマティブ情報が、連続的な蓄積や他の情報との組み合わせによって特定の個人を識別できる場合には、「個人情報」として取り扱います。
なお、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない場合は、改正個人情報保護法において定義される「個人関連情報」として取り扱います。
*引用:プライバシーセンター「パーソナルデータとは?」「インフォマティブ情報」
ユーザーからパーソナルデータを取得するケース
(省略)
ユーザーのサービス利用に伴い、インフォマティブ情報を自動的に取得
ユーザーがリクルートのサービスを利用・閲覧した際、サイトやアプリに埋め込まれたプログラムを通じて、インフォマティブ情報を取得させていただきます。
第三者からパーソナルデータを取得するケース
(省略)
第三者からインフォマティブ情報を間接的に取得
ユーザーがリクルートのサービスを利用した場合、企業・学校・団体等を含む提携先から間接的にインフォマティブ情報を取得させていただく場合があります。
また、第三者から委託を受けて受領したユーザーのインフォマティブ情報に、リクルートが保有しているユーザーのインフォマティブ情報をひも付けて利用する場合があります。
第三者から間接的に取得する例
個人情報ならびにインフォマティブ情報を第三者から取得する具体例を記載します。
(以下省略)
*引用:プライバシーセンター「パーソナルデータはどのように取得するのか?」「パーソナルデータの取得方法」
【解説】
Cookieはそれ単体では個人情報に該当しない(法2条1項)ものの、保有する個人情報と紐付け個人を識別することができるようにしている場合は、Cookieにより取得した情報も含む全体が個人情報に該当し、個人情報の規制が及びます。外部送信規律により公表等の措置を講じる必要がある場合を別として、Cookieの取扱いについて個人情報保護法上、プライバシーポリシーで定めることは必須ではないものの利用する具体的なCookieの種類や内容、管理・選択方法等を一律にしてあらかじめ公表しておくことが望ましいといえます。
Cookieは個人関連情報に該当しますが、個人関連情報を第三者に提供する場合、提供先の第三者が個人データとして取得することが想定される場合、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければならないとされています(法31条1項)。
・上記のとおり、リクルート社は、パーソナルデータを個人情報とインフォマティブ情報に分類し、インフォマティブ情報を「特定の個人を識別できない、インターネットの利用にかかるログ情報などの個人に関する情報」と定義しています。インフォマティブ情報の具体例として、属性情報や端末情報、Cookie、ログ情報等が挙げられています。
・インフォマティブ情報が他の情報との組み合わせによって特定の個人を識別できる場合は個人情報として扱うこと、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない場合には個人関連情報として扱うことが明確にされており、個人情報保護法に従った取扱いがなされていることが窺えます。
・インフォマティブ情報をユーザから直接取得する場合と第三者から間接的に取得する場合のそれぞれの具体例が示されており、ユーザからみて非常に分かりやすい内容になっています。
10. 外部送信規律
【原文より抜粋】
リクルートの各サービスでは、以下の事業者が提供する広告配信や行動ログ分析ツール等を利用しています。
各事業者におけるCookie等を通じて取得した情報の取り扱い方針(プライバシーに関する記載)や、Cookie等の利用を無効化(オプトアウト)する方法は、以下のリンク先をご参照ください。
※ リクルートが提供するサービスを選択することで、対象サービスに絞ったデータ送信先を確認できます。リクルートのサービスを選択したうえで、利用を無効化(オプトアウト)した場合でも、リクルートが提供する全てのサービスに適用されます
※ アプリにおける外部送信一覧はこちらをご確認ください
引用:「ウェブサイトにおける外部送信一覧」(なお、アプリについては、「アプリにおける外部送信一覧」ご参照)
【解説】
令和4年に電気通信事業法が改正され、いわゆる「外部送信規律」が設けられたことで、電気通信事業者又は同法上の第三号事業を営む者は、情報送信指令通信(外部送信)を行う際に、次の事項につき、通知又は容易に知り得る状態に置く(以下「公表」といいます。)など一定の措置を講じるものとされました(電気通信事業法27条の12)。
⑴ 送信されることとなる利用者に関する情報の内容
⑵ 送信先となる第三者の名称
⑶ 利用者に関する情報の利用目的(利用目的については、送信元の利用目的と送信先の利用目的のいずれも記載する必要があります。電気通信事業における個人情報等の保護に関するガイドラインの解説258頁)。
外部送信規律への対応が求められる企業の多くは、公表によって対応しているように見受けられます。公表によって対応する場合には、外部送信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、法定の事項を表示すべきとされています(電気通信事業における個人情報等の保護に関するガイドラインの解説254頁)。
なお、外部送信規律の詳細については、解説記事をご参照ください。
・外部送信規律によって公表等を行うことが求められている事項の記載方法は企業によって区々ですが、複数のサービスを提供する企業でも、公表事項をまとめて表示している例が目立ちます。まとめて表示すると、ユーザがどのサービスを利用すれば(どのサイトに訪問すれば)表示されている通信のうちどの通信が発生するのかが明らかでありません。この点リクルート社は、公表事項をウェブサイトとアプリに分けて表示しており、ユーザが通信を正確に把握することができるという観点で優れています(ウェブサイトとアプリを分けて表示するのは珍しい例といえますが、このように可能な限り分けて表示すべきであるといえるでしょう。)。また、ウェブサイト、アプリのそれぞれにつき、サービスごとに細かく表示の切り替えを行うことが可能になっており、一部のサービスしか利用しないユーザにとって分かりやすい記載になっています。
・利用目的については、送信元と送信先の利用目的を明確に分けて記載することが望ましいといえます。
11. プライバシーポリシーの変更
【原文より抜粋】
改定概要はこちら
旧プライバシーポリシーはこちら
*引用:プライバシーポリシーの冒頭
【解説】
法律上、プライバシーポリシーの変更に関する定めを公表する義務はありませんが、プライバシーポリシーの変更に備え、変更に関する定めを置く企業もあります。
個人情報保護法上、例えば、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない(法17条2項)などの定めが置かれています。
・プライバシーポリシーの冒頭に記載されている「改定概要はこちら」をクリックすると、プライバシーポリシー及びプライバシーセンターの改定箇所を確認することができます。改定された箇所が分かりやすく記載されています。改定概要は、プライバシーセンター「お知らせ・更新履歴」から一覧で確認できます。
・また、プライバシーポリシーの冒頭に記載されている「旧プライバシーポリシーはこちら」をクリックすると、改定前のプライバシーポリシーの内容を遡って確認することができます。
1. プライバシーセンターについて
プライバシー保護に取り組む企業を中心に、自社のプライバシー保護に関する取組やプライバシーポリシーに関する補足説明を行う「プライバシーセンター」をウェブサイトに掲載する動きが加速しています。
リクルート社も、ホームページにプライバシーセンターを開設し、自社の取組やプライバシーポリシーの字面だけでは分かりにくい事項を、イラストや具体例を用いて補足説明しています。プライバシーセンターを設けている他の企業よりも記載が充実しており、ユーザはパーソナルデータの取扱いを具体的に知ることができます。
プライバシーセンターを設けている他企業と比べても、記載が特に充実しています。
2. 第三者視点の取り入れについて
2019年、就活サイト「リクナビ」を運営する株式会社リクルートキャリア(当時)及びリクルート社が、就活性の内定辞退率を予測するサービスにつき、個人情報保護委員会から個情法に基づき勧告等を受けたことが社会問題となりました(参考:『リクナビDMPフォロー』に関するお詫びとご説明)。
これを受けてか、リクルート社は、同年12月に、プライバシーガバナンス強化の一環として外部有識者と経営陣から成る諮問委員会を設置し、2019年12月から2020年3月までの間、データ活用の方向性について議論を行ったようです。
また、2020年12月から2021年3月までの間、大阪大学社会技術共創研究センターが中心となって運営する研究会において、プライバシーセンターのレビューを受けたり、一般消費者に対する聞き取り調査を6回実施したりしたことなどがプライバシーセンター「プライバシーを守る体制」で公開されています。
3. その他
そのほかにも、プライバシーセンター「プライバシーを守る体制」において、パーソナルデータ指針の制定、サービスの各段階でプライバシー観点での検討が抜け漏れなく実施される仕組みを構築していること、プライバシーポリシーの同意管理を強化していることなどが説明されています。
ユーザの信頼を取り戻すべくプライバシーガバナンスの強化に取り組んでいることが窺えます。