なぜリクルートは組織再編日にプライバシーポリシーを改定するのか

リクルートが、2021年4月1日のグループ組織再編日に合わせてプライバシーポリシーを改定。個人情報保護法改正にも影響を与えた「リクナビDMPフォロー」問題の反省も踏まえて公表された、リクルートのプライバシーポリシー変更案の内容を分析します。

リクルートグループが、リクナビDMPフォロー問題を受けてプライバシーポリシーを変更

リクルートグループが、2021年4月1日付でプライバシーポリシーを変更することを公表 しました。加えて、プライバシー保護策の全体像をイラストを交えて示す「プライバシーセンター」も公開しています。

▼ プライバシーポリシー改定とプライバシーセンター公開のお知らせ

株式会社リクルート（以下、リクルート）およびその連結子会社8社*2は、2021年4月1日より、プライバシーポリシーを改定いたします。また当社グループにおけるデータ活用の考え方や管理方法、プライバシー保護体制強化の取り組みなどを具体的にかつ分かりやすく紹介するWEBページ「プライバシーセンター」を本日より新たに公開しました。

改定は、リクルートグループの90を超えるサービスが対象となっています。

こうした大規模な変更対応のきっかけとなったのは、2019年8月に発生したリクナビDMPフォロー問題が背景 となっているのは、間違いのないところです。公表文の末尾にも、このような経緯説明が添えられています。

2019年8月サービスを廃止した『リクナビDMPフォロー』をめぐる問題では、学生の皆さまをはじめとして関係各位に多大なご迷惑をおかけし、一連の勧告・指導を頂戴したことを重く受け止めております。そのため、社外から第三者を交えた検証や再発防止策の検討を踏まえ、2020年4月に当社グループのデータの取り扱いや活用に対するお約束としてパーソナルデータ指針を公開したことをはじめとして、さまざまなプライバシーに対する取り組みを強化してまいりました。

完成度の高いプライバシーセンター＆プライバシーポリシー

全体像をつかむため、2021年4月1日改定後の リクルートグループのプライバシー文書の構造と関係 を図にしてみましょう。

• 「プライバシーセンター」で、取り組みの全体像と各論を解説
• 「パーソナルデータ指針」で、リクナビDMPフォロー問題への反省とともに、今後の理念を文章化
• 「プライバシーポリシー」で、個人情報保護方針等（主にPマーク対応）と法律上定義されている個人情報の取得･取扱いに関する約束・同意文書を別途用意

する構成となっています。

随所に読みやすさ・分かりやすさを追求した改善が見られる改定となっていますが、本記事では、特に以下3点に注目してみたいと思います。

（1）イラストを多用したプライバシセンター

プライバシーセンターの特徴は、何と言っても パーソナルデータの取扱い方法の説明にイラストを多用 し、ユーザーが読みやすい文書となるよう意識されている点です。

GoogleやFacebookに代表されるようなグローバル企業では、法的に精緻なプライバシーポリシー文書本体とは別に、ユーザーにとっての分かりやすさを追求するための「プライバシーセンター」を設置する企業が増えてきました。日本企業では、ヤフー/LINE等が同様のプライバシーセンターを設置しはじめたところです。

現状ではまだ少数派ではあるものの、この傾向は加速していくでしょう。

（2）サービスをまたぐパーソナルデータの「クロスユース」を具体的に開示

「イラストを多用」「ユーザーが読みやすい」といっても、その内容が薄っぺらく抽象的であっては、おためごかしと批判される原因ともなりかねません。しかしリクルートのそれは、イラスト化で先行している他社よりも、より具体性を高めるためのものとなっているのが特徴です。

特に注目しておきたいのは、サービス間をまたいだパーソナルデータの利用を「クロスユース」と呼び、それがどのような場合に行われるかの具体例を示している 点です。

この図の例では、ホットペッパービューティのメルマガ開封率が低い顧客に対し、他のリクルートサービスのメルマガの送信も控える、といった活用方法を示しています。

リクルートグループは、就職 / 転職 / 結婚 / 引越 / 旅行など、さまざまなライフイベントに関わる多様な事業を手がけています。同じ法人の中で、一見すると同じような目的でパーソナルデータを利用するとしても、サービスをまたぐ活用については適法性を検討する仕組みを設けていることも図示されています。

（3）プライバシーポリシーの書式を共通化し更新ミスを防止

さて、これだけの多様なサービスを抱える大企業となると、プライバシーポリシー本体の文書の書き振りも、そのサービス特性ごとにバラバラになりがちです。

この点、今回の変更内容をみると、できる限り プラポリの文書フォーマット・構造をすべてのサービスで統一 しようという意図が伝わってきます。

「当社は、以下の方法で個人情報を取得します。」（→ 以下は箇条書き）
「当社は、以下の目的で個人情報を利用します。（略）例として以下の利用が含まれます。」（→ 以下は箇条書き）
「当社は、以下の場合において外国（略）にある第三者に個人情報を提供することがあります。」（→ 以下は箇条書き）

このように、すべての文章において 箇条書きを多用 し、こうした整理に馴染まないものは サービス特約として末尾に まとめて置かれています。

誰に・何を・どうやっての関係が分かりにくくなりがちな第三者提供の場合分け / 提供される情報項目 / 提供目的の書きぶりも以下のように統一しています。複雑な表組み化をするよりも、かえってこちらのほうが分かりやすいかもしれません。

整然としたプログラム言語を見ているかのような統一的構造になっていますが、改定お知らせ中段にある「プライバシーポリシー改定の主なポイント」の説明を読むと、

※プライバシーポリシーの更新漏れを防止するため、サービスのプライバシーポリシーの表示システムを一元化・自動化し、ユーザーに最新のプライバシーポリシーを閲覧いただける仕組みを導入しています。また、ユーザーが新規会員登録やログインを通して同意した履歴を管理する仕組みを導入し、ユーザーの同意したプライバシーポリシーに基づきデータを適切に取り扱う体制を強化しています。

とあり、内部的にも gitでプログラムのソースコードを扱うのに近いイメージで作成・管理することで、更新ミスを防止 しているようです。

リクルートグループが組織再編日にプライバシーポリシー改定を行うことの意味

このように見直されたリクルート社の新しいプライバシーポリシーは、個人情報保護法改正にも影響を与えた大きなインシデントへの反省を踏まえた模範的変更と言え、今後のウェブサービスのプラポリフォーマットのトレンドに大きな影響を与えることは、間違いないはずです。

ところで、このプライバシーポリシーの大改定は、2021年4月1日付で行われる予定となっています。実はこの改定日は、リクルートグループ組織再編（2020年1月6日に公表済み）の実施日と同日に設定されています。では なぜこうした大きな組織再編を行う日に、プライバシーポリシーを改定することにしたのでしょうか？

思うに、複数サービスを1つの「リクルートID」で束ねることによって顧客に利便性を提供する以上、サービスをまたがった情報の受け渡しや取り扱いで事故が起きれば、その責任はダイレクトに法人のトップが負うべきである。その責任の所在とを具体化するために、これまでサービスごとに分けていた法人を統合し、その組織再編日にプライバシーポリシー変更日をあわせたのではないか？

今回のリクルートグループのプラポリ改定には、大規模グループ組織の中でサービスをまたがる情報管理責任の所在を曖昧にしてしまった過去への反省と、その再発防止に向けた企業トップの覚悟 が強く込められているように感じられます。

（橋詰）