トピックス

2019.12.10
NEWS

個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正

はじめに
 
平素より大変お世話になっております。
さて、今回は個人情報保護法ニュース「リクナビ事件と個人情報保護法の改正」をご案
内させていただきます。

〇ニュースレターは下記のリンク先をご覧ください。また、下記にも同様の内容の記載がございます。
リクナビ事件と個人情報保護法の改正

下記もご参照ください。
(全体取りまとめ版)
Q&A個人情報保護法改正の方向性(制度改正大綱を読み解く)
(ニュースレター形式)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第1回「端末識別子等の取扱い」~
 個人情報保護法改正の方向性(第2回:仮名化情報)
個人情報保護法改正の方向性(第3回:開示請求・利用停止請求等)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)
個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)
個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)
個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)
(その他)
個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正
個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)
(関連ニュースレター)
Q&A『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』
 
執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp

リクナビ事件と個人情報保護法の改正
 
令和元年(2019年)12月14日に、個人情報保護委員会は、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(以下「リクルートキャリア社」という。)及びその親会社である株式会社リクルート(以下「リクルート社」という。)に対して、いわゆる内定辞退率を提供するサービスに関して、個人情報の保護に関する法律(以下「個人情報保護法」という。)に基づく勧告を行った。また、同サービスの利用企業に対し、同法に基づく指導を行った。(以下「12月14日勧告等」という。)[1][2]
なお、リクルートキャリア社に対しては、8 月26 日付で勧告等を行っていた[3]が、 当該勧告等の原因となった事項以外にも個人情報保護法に抵触する事実が確認されたため、改めて勧告を行ったものである。
本ニュースレターでは、リクナビ事件について個人情報保護委員会の勧告を分析するとともに、これに伴う個人情報保護法の改正の方向性について解説する。
 
第1.リクナビ事件における個人情報保護法上の論点
1.12月14日勧告等において認定された「勧告の原因となる事実」
 12月14日勧告等において個人情報保護委員会が認定した「勧告の原因となる事実」は以下のとおりである。
 
➀ 2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。 リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。
➁ 本サービスにおける突合率を向上させるため、ハッシュ化すれば個人情報に該当しないとの誤った認識の下、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していた。ハッシュ化されていても、リクルートキャリア社において特定の個人を識別することができ、本人の同意を得ずに内定辞退率を利用企業に提供していた。
 ➂ 「リクナビ2020」プレサイト開設時(2018年6月)に、本サービスの利用目的が同サイト内に記載されたことをもって、サービス利用企業から提供を受けた氏名で突合し内定辞退率を、算出していた。 しかしながら、プレサイト開設時のプライバシーポリシーには第三者提供の同意を求める記載はなく、2019年3月のプライバシーポリシー改定までの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していた。
➃ 本人の同意なく第三者提供が行われた本人の数は、上記➁、➂及び前回の勧告の対象となった事実によるもの等を合わせ、26,060人となった。
 
 上記の①から③までの各勧告に該当する事実につき、リクルートキャリアが公表している『『リクナビDMP フォロー』に関するお詫びとご説明』[4]を基に検討する。

2.勧告①(アンケートスキーム(2019年2月以前の仕組み))
 
【勧告➀】
2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。 リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。
 
(1)アンケートスキーム[5]
2019年2月以前に実施していたアンケートスキームにおいては、リクルートキャリアが契約企業から学生の姓名・メールアドレス等の個人情報の提供を受けるのではなく、契約企業が学生向けに実施したウェブアンケートを通じて、リクルートキャリアの委託先である株式会社リクルートコミュニケーションズ(以下「リクルートコミュニケーションズ」という。)が①契約企業固有の応募者管理ID(契約企業が付与していた応募者の管理ID)、②Cookie 情報、③選考プロセスにおける辞退・承諾情報を直接取得していた。
また、リクルートコミュニケーションズは、『リクナビ』のウェブサイトを通じて「Cookie情報」およびリクナビサイト上での「業界ごとの閲覧履歴」を直接取得していた。
そして、リクルートコミュニケーションズは「契約企業固有の応募者管理ID」とリクナビサイト上での「業界ごとの閲覧履歴」をウェブアンケートとリクナビサイトの「Cookie情報」によって紐づけ、スコアを算出[6]していた。
リクルートコミュニケーションズでは、これらの情報だけでは特定の個人を識別することはできなかった。
契約企業においては、「応募者管理ID」は特定の個人の姓名と紐づけられているので、個人を特定してスコアを活用してフォローに利用することが可能であった。
 
(提供データの例)
管理ID スコア 内定辞退
可能性
C333 0.40 ★★
C444 0.53 ★★★
C555 0.61 ★★★
 
(2)評価
 『「契約企業固有の応募者管理ID」に紐づけられたスコア』は、その提供元であるリクルートキャリアにとっては特定の個人が識別できないので、「個人情報」[7](個人情報保護法2条1項1号)に該当しないということは可能かもしれない。
 この点、契約企業は、ウェブアンケートを通じて、リクルートキャリア(実際には委託先であるリクルートコミュニケーションズ)に①契約企業固有の応募者管理ID(契約企業が付与していた応募者の管理ID)、②Cookie 情報、③選考プロセスにおける辞退・承諾情報を提供している。
 下記第2の2のとおり、個人情報保護法は、特定の情報が提供先で特定の個人が識別することができず個人情報として認識できないとしても、提供元において、特定の個人であることを識別できる情報については個人情報として扱うことを求めている(いわゆる提供元基準)。
この考え方に基づけば、①契約企業固有の応募者管理ID(契約企業が付与していた応募者の管理ID)、②Cookie 情報、③選考プロセスにおける辞退・承諾情報という情報は、提供先であるリクルートキャリアにとっては特定の個人の識別はできなくても、提供元の契約企業にとっては特定の個人の識別は可能であるから、「個人情報」に該当していた可能性がある。そうであるとすれば、契約企業においては、本人の事前の同意を得ない個人データの第三者提供として、個人情報保護法23条1項違反であった可能性もある。
契約企業から提供を受けた情報がリクルートキャリアにとっても「個人情報」に該当するとすれば(提供元基準を採り、かつ、「個人情報」該当性について相対性を認めない場合)、『「契約企業固有の応募者管理ID」に紐づけられたスコア』は「個人情報」に該当し、リクルートキャリアによる契約企業への提供は、応募者本人の事前の同意のない個人データの第三者提供として個人情報保護法23条1項違反となる。
これに対して、契約企業から受けた情報がリクルートキャリアにとっては、特定の個人が識別できないのであるから「個人情報」ではないと評価する場合には(提供元判断基準を採り、「個人情報」の判断の相対性を認める場合)、『「契約企業固有の応募者管理ID」に紐づけられたスコア』についてもリクルートキャリアにとっては特定の個人が識別できないので、「個人情報」に該当せず、リクルートキャリアによる契約企業への提供は、応募者本人の事前の同意のない個人データの第三者提供ではなく個人情報保護法23条1項違反とならないことになる。もっとも、契約企業は、「契約企業固有の応募者管理ID」と特定の応募者個人を識別可能であるから、『「契約企業固有の応募者管理ID」に紐づけられたスコア』は、個人情報(個人データ)に該当することになる。
勧告①は、後者の立場に立ち、「リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。」としている可能性が高い。
 
3.勧告②(アンケートスキーム化におけるイレギュラーケース)
【勧告➁】
本サービスにおける突合率を向上させるため、ハッシュ化すれば個人情報に該当しないとの誤った認識の下、サービス利用企業から提供を受けた氏名で突合し内定辞退率を算出していた。ハッシュ化されていても、リクルートキャリア社において特定の個人を識別することができ、本人の同意を得ずに内定辞退率を利用企業に提供していた。
 
(1)アンケートスキーム化におけるイレギュラーケース
2019年2月以前に実施していたアンケートスキームにおいて、一部の契約企業との間で、対象学生のCookie情報を利用した特定(突合)率を向上させる目的で、アンケートスキームとは異なるスキームでスコア算出を実施するケースがあった。このイレギュラーケースにおいては、当該一部の契約企業から氏名等の個人情報の提供を受けていた。
リクルートコミュニケーションズにおいて取扱うデータがハッシュ化されたものであれば、契約企業に提供する際も非個人情報として取扱えるという誤った認識のもと、契約企業から預かった学生の情報とリクナビ会員の情報がハッシュ化された状態で紐づけられており、これを通じて算出したスコアは、学生本人の同意なく当該契約企業に対して第三者提供されていた。
 
(2)評価
 「ハッシュ化」とは、元のデータから一定の計算手順に従ってハッシュ値と呼ばれる規則性のない固定長の値を求め、その値によって元のデータを置き換える方法であり、ハッシュ関数と呼ばれる特殊な計算手順により、任意長の長さのデータから固定長の一見ランダムに思えるハッシュ値を得ることができる。[8]
個人情報保護法は、特定の情報が提供先で特定の個人が識別することができず個人情報として認識できないとしても、提供元において、特定の個人であることを識別できる情報については個人情報として扱うことを求めているという「提供元基準」による場合、ハッシュ化をして、個人データの提供先にとっては特定の個人を識別できなくしても、提供元の個人情報取扱事業者にとっては、個人情報保護法上の「匿名加工情報」としての処理(加工方法等情報の漏洩防止措置等)をしない限りは、「個人情報」に該当することになる。
勧告②が「ハッシュ化すれば個人情報に該当しないとの誤った認識」としているのは、かかる考え方によるものである。
 
3.勧告③(プライバシーポリシースキーム(2019年3月以降))
【勧告➂】
「リクナビ2020」プレサイト開設時(2018年6月)に、本サービスの利用目的が同サイト内に記載されたことをもって、サービス利用企業から提供を受けた氏名で突合し内定辞退率を、算出していた。しかしながら、プレサイト開設時のプライバシーポリシーには第三者提供の同意を求める記載はなく、2019年3月のプライバシーポリシー改定までの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していた。
 
(1)プライバシーポリシースキーム(2019年3月以降)
 『リクナビ2020』では、2019年3月に、プライバシーポリシーを『リクナビDMPフォロー』の提供にあたって、学生が使用する複数の画面においてプライバシーポリシーに同意をしてもらうサイト構成に変更された。この中には、契約企業への第三者提供の同意も含まれていた。
リクルートキャリアは、契約企業の委託先企業として、契約企業より、委託業務に必要な限度で氏名などの個人情報の提供を受ける。その後、当社委託先であるリクルートコミュニケーションズにおいて、提供された個人情報とリクナビに登録された個人情報を紐づけた上で、当該学生のリクナビサイト上での「業界ごとの閲覧履歴」などからスコアを算出していた。
契約企業からは、学生に関する①応募者管理ID(契約企業が付与していた応募者の管理ID)、②姓名、メールアドレス、③大学、学部、学科、④選考プロセスにおける辞退・承諾情報の提供を受けていた。
また、契約企業によって異なる「企業独自管理情報」の提供を受けていた場合もある。一例としては、①契約企業の説明会予約有無、②エントリーシートの記述内容、③契約企業が利用していた適正検査の項目の値、④応募職種が挙げられる。
(2)プライバシーポリシー更新漏れによる同意取得の不備
 『リクナビ2020』は、学生が使用する複数の画面においてプライバシーポリシーに同意をしてもらうサイト構成になっているが、プレサイト開設時のプライバシーポリシーにおいては第三者提供の同意を求める記載がなく、2019年3月のプライバシーポリシー改定までの間、本人の同意を得ないまま内定辞退率をサービス利用企業に提供していた。
これにより、『リクナビ2020』に会員登録されている学生のうち、2019年3月以降にプレエントリー・イベント予約・説明会予約・ウェブテスト受検等の機能を利用していない者で、かつ、『リクナビDMPフォロー』を導入した企業への応募者の中で2019年3月以降に『リクナビDMPフォロー』のスコア提供対象となった者、計13,840名の情報が、適切な同意を得られていない状態で企業に提供されていた。
(3)評価
 個人データの第三者提供の同意を求めるプライバシーポリシーへの同意をしていない状態で学生(応募者)の個人データが「リクナビDMP」の対象となっていたという、個人情報保護法23条1項違反の事態である。
 
 
第2.個人情報保護法の改正の方向性
 個人情報保護委員会が、令和元年(2019年)11月29日に公表した「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」[9](以下「制度改正大綱(骨子)」という。)においては、リクナビ事件を受けて「提供先において個人データとなる場合の規律の明確化」がなされることになる。以下では、その改正の方向性の内容について解説する。
 
1.制度改正大綱(骨子)の記載
 制度改正大綱(骨子)においては、以下のとおり、提供元では個人データ(個人情報)に該当しないものの、提供先において個人データになることが明らかな情報については、個人データの第三者提供を制限する規律を設けるものとしている。これは、リクナビ事件のうち、上記第1の2(勧告①(アンケートスキーム(2019年2月以前の仕組み)))を念頭においた規制の方向性である。
 
Ⅳ.データ利活用に関する施策の在り方
2.提供先において個人データとなる場合の規律の明確化
個人に関する情報の活用手法が多様化する中にあって、個人情報の保護と適正かつ効果的な活用のバランスを維持する観点から、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
 
2.個人情報保護委員会資料における説明
 上記1の改正の方向性について、令和元年(2019年)11月25日に改正された個人情報保護委員会における配布資料「個人情報保護をめぐる国内外の動向」[10]においては以下のとおり解説されている。
 
(1)個人情報の該当性について
  • 個人情報保護法では、生存する個人に関する情報であって、特定の個人を識別できるものを個人情報として規律の対象としている。情報は、あくまでも集合として意味を成すものなので、単独で評価するのではなく、組み合わせでも評価する。そのため、それ自体で特定の個人を識別できる場合に加えて、当該情報を取り扱う事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる情報も、個人情報に該当することとし、様々なケースを漏らさずとらえることとしている。
  • この場合、民間事業者における適切な管理を促進し、一方で民間の営業の自由に配慮して過度に広範な規制を避ける観点から、照合できると判断する範囲は、実務に照らし違和感のない範囲にとどめ、容易に照合できる、としているが、近年の組織内外のIT化の進展により、通常の業務従事者の能力で照合できる範囲が格段に拡大している
  • 例えば、組織内に、照合可能なデータベースが存在していれば、普段、分離して使っていたとしても、意図をもって照合しようと思えばできることから、容易に照合できると評価し、全体として、個人情報としての管理を求めることになる。
  • 個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、外部に提供する際、出す部分単独では個人情報を成していなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、 個人情報としての管理の下で適切に提供することを法律は求めている。
  • これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めている(いわゆる提供元基準)
 
(2)本人の同意なきデータの第三者提供
提供元と提供先でデータ共有が行われる等の結果、提供先では、個人情報となることを知りながら、提供元では個人が特定できないとして、本人同意なくデータが第三者提供される事例が存在している。
  
出所:個人情報保護委員会「個人情報保護をめぐる国内外の動向」(令和元年11月25日)

(3)提供先において個人データとなる場合に係る意見について
中間整理の意見募集に寄せられた意見
・3の団体・事業者または個人から3件の意見があった。
(主な意見)
  • 提供元では非個人データであっても提供先で特定の個人が識別されることになる情報についても議論されるべきであると考える。(MyData Japan)
  • 「提供元では必ずしも個人情報でない場合であっても、提供先で照合可能な情報が保有さ れ、個人情報になる可能性」のようなケースを第三者提供にすることには反対。受領者である提供先が第三者提供に係る確認・記録義務をしようと思っても、提供元では、個人デー タではないので、本人の同意をとっていないので、本人同意の確認はできないし、トレーサビリティを確保できない。(個人)
(4)個人情報保護委員会の委員の意見
個人情報保護委員会の議事概要[11]によれば、上記の改正の方向について、小川克彦委員から「提供先において個人データとなる情報の取扱いについて 一言申し上げる。これまでターゲティング広告というのは基本的には個人情報を含まないユーザーデータを使用して、個人を特定しない形で広告を出していたということが業界で行われてきたと思う。ただ最近は、事務局 からの説明にもあり、また、先ほど藤原委員からビッグデータという話もあったが、ユーザーデータを大量に集めてマッチングを行うといったIT技術が進歩したこともあって、提供先において個人データとなるような、あらかじめそういうことを知りながら個人情報でないということで第三者に提供するという、法の趣旨を潜脱するような、資料53ページの図のようなスキームが横行しつつあると懸念される。本人が関与しないところで個人情報の収集や処理が広まることが懸念されるところであり、こうした場 合への対応を事業者側とユーザー側も含めて、様々な視点から整理する必要がある」旨の発言があった。
 
3.提供元判断基準について
(1)匿名化された情報に関する個人情報保護法の改正前の考え方
 A社が保有する個人データ(個人情報)から特定の個人を識別することができる氏名や住所等の情報を削除した上で、B社に提供した場合、当該匿名化された情報は個人情報に該当するか。
   もし、A社が個人情報を匿名化しても依然として個人情報に該当するのであれば、B社への提供は個人データの第三者提供に該当し、当該個人情報に係る本人の同意を得る(個人情報保護法23条1項)か、または、オプトアウト手続(同条2項)に基づき提供をする必要がある。
 「個人情報」とは、①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)及び②個人識別符号をいう(個人情報保護法2条1項)。
 個人情報の匿名化においては、このうち、上記①の「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」(いわゆる「容易照合性」)かどうかが問題となる。
 この容易照合性があるか否かについては、従前から、匿名化された個人情報の提供元において判断する「提供元判断基準」と提供先において「提供先判断基準」という2つの考え方があった。
 「提供元判断基準」においては、容易照合性があるか否かについて提供元で判断される。上記の具体例においては、A社(提供元)において容易に照合できる限りは、A社による匿名化された情報の提供は「個人データ(個人情報)」の提供に該当し、匿名化された情報に係る本人の同意を取得するか、または、オプトアウト手続により提供する必要がある。
 他方、「提供先判断基準」においては、容易照合性は提供先で判断される。B社(提供先)において容易に照合できない限りは、A社による情報提供は、「個人データ(個人情報)」の提供には該当せず、匿名化された情報に係る本人の同意の取得、または、オプトアウト手続による提供は不要になる。
 平成29年5月31日に施行された個人情報保護法の全面改正前までは、どちらかというと「提供先判断説」が有力な考え方であった。
 たとえば、岡村久道弁護士の「個人情報保護法(新訂版)」(商事法務・2009年)76頁においては、「Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限(法23条1項)違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが通常発生すると認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。」とされていた。
 
(2) 提供元判断説に立つ重要なパブリックコメント回答
平成29年5月31日に施行された個人情報保護法の全面改正にかかる法令やガイドラインにおいては、容易照合性について「提供元判断説」、「提供先判断説」のいずれに立つのかは明らかにされていなかった。
しかしながら、ガイドラインのパブリックコメント回答において、『ある情報を第三者に提供する場合、当該情報が(個人情報の定義の一つである)「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。』(『「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果』[12]19番参照)とされ、「提供元判断説」によることが明らかにされた。
 
4.クッキー情報の利用者同意の義務付けに係る改正
(1)日本経済新聞の記事
 2019年11月27日の日本経済新聞電子版の記事(「クッキー情報での個人特定防止へ 利用者同意義務付け」)[13]においては、「政府の個人情報保護委員会は個人情報保護法を見直し、企業が個人データを分析する際の新ルールを整える。企業が「クッキー」と呼ばれるウェブ閲覧情報を、個人の分析に使う他の企業に提供する場合に、本人の同意を取ることを義務付ける。個人データがいつの間にか拡散し、本人が知らないうちに嗜好などが分析される事態を防ぐ。」との記載がなされている。
(2)クッキーとは
 Cookie(クッキー)は、ウェブサイトがブラウザにコンピュータまたはモバイルデバイスに保存するように要求する小さなデータである。Cookieを使用すると、ウェブサイトは個人の行動や嗜好を時間の経過とともに「記憶」することができる。
 ほとんどのブラウザはCookieをサポートしているが、ユーザーはブラウザにおいてCookieを使用しないように設定できる。
(3)ウェブサイトにおけるCookieの用途
 ウェブサイトは主にCookieを、①ユーザーの識別、②ユーザーのカスタム設定の記憶、③ユーザーのサイトを閲覧するときにサイトに入らずにタスクを完了できるようにすること、に使用できる。
Cookieは、オンラインの行動ターゲット広告に使用して、過去にユーザーが検索したものに関連する広告を表示することもできる。
 ウェブページを提供するウェブサーバは、ユーザーのコンピュータまたはモバイルデバイス上にクッキーを格納することができる。ファイルをホストする外部Webサーバは、Cookieを格納するためにも使用できる。 これらのCookieはすべて、http header Cookieと呼ばれる。Cookieを保存する別の方法は、そのページに含まれているJavaScriptコードを使用する方法である。
ユーザーが新しいページを要求するたびに、WebサーバはCookieのセットの値を受け取ることができる。 同様に、JavaScriptコードは、そのドメインに属するCookieを読み取り、それに応じてアクションを実行することができる。
(4)Cookieの種類
ア 存続期間による分類
セッションCookie:ユーザーがブラウザを閉じたときに消去されるCookie
永続Cookie:事前定義された期間、ユーザーのコンピュータ/デバイスに残るCookie
イ 帰属による分類
ファーストタイプCookie: Webサーバによって設定され、同じドメインを共有するCookie
サードパーティCookie:訪問したページのドメインとは別のドメインによって保存されたCookie。このCookieは、Webページがそのドメイン外にあるJavaScriptなどのファイルを参照しているときに発生する。
(5)クッキーの個人情報該当性
 クッキーは、現在の個人情報保護法においては、特定の個人を容易に識別できるものではなく、「個人情報」には該当しないと考えられている。
これに対して、2018年5月25日に施行されたEU一般データ保護規則(General Data Protection Regulations:GDPR)においては、「個人データ」に該当するものと考えられており、EU域内の事業者はウェブサイトにおいてクッキーの利用目的について同意を取得するのが一般化しているところである。
 制度改正大綱(骨子)には記載がないものの、リクナビ事件を受けて改正がなされるのかもしれない。

[1]「個人情報の保護に関する法律第42 条第1項の規定に基づく勧告等について」(個人情報保護委員会:令和元年12月4日)(https://www.ppc.go.jp/files/pdf/191204_houdou.pdf
[2]「①利用目的の通知、公表等を適切に行うこと」「②個人データを第三者に提供する場合、組織的な法的検討を行い、必要な対応を行うこと」「③個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行うこと」という個人情報保護法41条に基づく指導が全35社に対して行われた(うち、11社については①のみの指導)。
[3]「個人情報の保護に関する法律第42 条第1項の規定に基づく勧告等について」(個人情報保護委員会:令和元年8月26日)(https://www.ppc.go.jp/files/pdf/190826_houdou.pdf
[4]https://www.recruitcareer.co.jp/r-dmpf/pdf/r-dmpf_20191204.pdf
[5]リクルートコミュニケーションズ内の『リクナビDMPフォロー』のスコア算出等を行っていた部署では、広告配信等の『リクナビDMPフォロー』とは異なるサービスの運用も行っており、これらのサービスにおいて、一部の契約企業から応募者管理IDと共に個人情報を取得していた実態があった。これらの個人情報を『リクナビDMPフォロー』において、実際に利用していた事実は把握されていないが、『リクナビDMPフォロー』において取得していた情報と、別サービスにおいて取得していた情報が同一部署内に存在していたことで、『リクナビDMPフォロー』において一部の契約企業に納品していた情報が、他の情報と照合することによって、特定の個人を識別することが可能な状態になっていた。
 これにより、『リクナビ2019』会員のうち、『リクナビDMPフォロー』のスコア提供は、契約企業への個人情報の提供とみなすべきところ、アンケートスキーム期のプライバシーポリシーには契約企業への個人情報の提供に必要な同意を得るための文言が盛り込まれていなかったため、これらの情報提供は未同意の状態で行われていた。
[6]「スコアの算出」は、契約企業における前年度の「選考参加者/辞退者、または、内定承諾者/辞退者」の「業界ごとの閲覧履歴」や契約企業から預かった情報から、応募学生の当該契約企業に対する選考離脱や内定辞退の可能性を予測するためのアルゴリズムを作成する。そのアルゴリズムを用いて、当該契約企業から提供を受けた今年度の応募学生の「業界ごとの閲覧履歴」から、当該応募学生の当該契約企業に対する選考離脱や内定辞退の可能性をスコア化していた。スコア算出において参照していた閲覧履歴は、『リクナビ』とリクルートキャリアが提携する就職情報サイトにおける業界ごとの閲覧履歴(ページの閲覧数など)であり、それ以外のデータ(検索エンジンでの検索履歴やサイトの利用履歴など)は参照していない。また、学生がどの企業に応募しているかといったエントリー情報や、志望業種など学生が自らリクナビ内に登録した情報も、スコア算出に一切利用していない。
 「リクナビDMPフォロー」は、契約企業の前年度における「選考参加または内定承諾者」および「選考辞退または内定辞退者」の群のデータ(企業管理応募者ID、大学、学部、学科、企業独自管理情報、閲覧行動など)の違いを分析し、アルゴリズムを作成する。作成されるアルゴリズムは、各企業ごとに異なるため、スコアに影響を与えるデータは、企業ごとに異なる。
[7]個人情報取扱事業者の「個人情報データベース等」(個人情報保護法2条4項)を構成する「個人情報」(同条1項各号)が「個人データ」である(同条6項)。厳密には第三者提供の制限(同法23条)は、「個人データ」について適用され、「個人情報」には適用されないが、リクナビサービスにおける「個人情報」は事業者(リクルートキャリアやリクルートコミュニケーションズおよび契約企業)の個人情報データベース等を構成し、「個人データ」に該当すると考えられるので、本ニュースレターにおいては「個人情報」と「個人データ」を特に区別しない。
[8]個人情報保護委員会事務局レポート:「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(2017年2月)21頁(https://www.ppc.go.jp/files/pdf/report_office.pdf
[9]https://www.ppc.go.jp/files/pdf/191129_houdou_koshi.pdf
[10]https://www.ppc.go.jp/files/pdf/191125_shiryou1.pdf
[11]https://www.ppc.go.jp/files/pdf/1125_gaiyou.pdf
[12]https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000151056