リクルートと個人情報保護:多層防御、リクナビ事件、法的責任(?)リクルートの個人情報保護対策、リクナビ事件と法的課題
リクルートの個人情報保護対策と情報漏洩事件に関する包括的な解説。多層防御、法的責任、対策の重要性を事例を通して提示。リクナビ事件と北海道じゃらんの不正アクセス事件から、企業と利用者に求められるセキュリティ対策を考察。
💡 リクルートは、多層防御によってサイバー攻撃や内部不正から個人情報を保護しています。
💡 リクナビ事件では、個人情報保護法の遵守が問われ、法改正の契機となりました。
💡 個人情報漏洩は、法的責任と損害賠償リスクを伴い、包括的な対策が不可欠です。
それでは、リクルートが取り組む個人情報保護対策から、リクナビ事件、法的責任について、詳しく見ていきましょう。
多層防御と個人情報保護の取り組み
リクルートの個人情報保護、何がすごい?
多層防御でサイバー攻撃から守っています。
リクルートの強固な個人情報保護体制について解説していきます。
✅ 多層防御は、ランサムウェアによる情報搾取や事業妨害などのサイバー攻撃に対抗するための有効な手段であり、内部統制やIT全般統制と合わせて、情報改ざんによる被害を防ぐことが重要である。
✅ 多層防御の考え方は、COSO (Committee of Sponsoring Organizations of the Treadway Commission) が提唱した内部統制フレームワークに基づいている。COSOは、不正な財務報告に対処するために設立され、内部統制の重要性を指摘し、フレームワークを提示した。
✅ 米国版SOX法と日本版SOX法は、財務報告の信頼性を確保するために内部統制の整備を求めており、COSOのフレームワークが基盤となっている。日本版SOX法では特に「財務報告に関する内部統制」が重視されている。
さらに読む ⇒株式会社インテリジェントウェイブ出典/画像元: https://www.iwi.co.jp/blog/security/cybersecurity_measures/20221025/SOCの設置やアクセス制限、外部監視など、多岐にわたる対策が講じられていることが分かります。
研修も徹底されているようですね。
リクルートは、サイバー攻撃や内部不正から個人情報を保護するため、技術的、人的、組織的な多層防御策を講じています。
SOC(Security Operation Center)の設置による早期検知、脆弱性対策、CSIRTとの連携による被害局所化を図るとともに、個人情報へのアクセス制限、情報持ち出しプロセスの厳格化、外部通信監視、操作ログの定期点検を実施しています。
セキュリティに関する方針やルールを明確化し、研修も実施しています。
組織体制としては、事業部門にセキュリティ責任者を配置し、リスクマネジメント統括組織の専門組織と連携することで、多角的な保護体制を構築しています。
国際規格であるISO/IEC27001(ISMS認証)を取得し、セキュリティガバナンスを強化しています。
さらに、フィッシング詐欺への注意喚起やOS・アプリのアップデートなど、ユーザーへの注意喚起も行っています。
なるほど。多層防御って、まるでミステリー小説に出てくる秘密基地みたいですね! 企業のセキュリティ対策も、ここまで進化しているとは。
リクナビ事件と個人情報保護法の問題
リクナビ問題、何が問題だった?個人情報は?
同意なく2.6万人分の個人情報が企業に提供。
リクナビ事件の詳細について解説していきます。
✅ リクナビ事件では、リクルートキャリアが、個人を識別できない方法で内定辞退率を算出し、第三者提供の同意を得ずに企業に提供していたことが個人情報保護委員会から勧告された。
✅ 具体的には、Cookieやハッシュ化された氏名を用いて内定辞退率を算出し、企業側が個人を識別できることを知りながら、個人データ提供の同意取得を回避していた。
✅ 本人の同意なく第三者提供が行われた人数は26,060人に上り、アンケートスキームでは、企業固有の応募者IDとCookie情報を紐づけてスコアを算出し、企業が個人を識別して利用できる状態だった。
さらに読む ⇒企業法務の実務ポータル出典/画像元: https://www.businesslawyers.jp/practices/1403個人を特定できないはずの情報が、企業側では識別可能だったというのは大きな問題ですね。
法令遵守の重要性が改めて問われます。
2018年度卒業生向けサービス「リクナビ2019」において、リクルートキャリア社は内定辞退率を算出する際に、個人を特定できないとして企業に提供していました。
しかし実際には、企業側で個人を識別できる状態であり、本人の同意を得ずに個人データが第三者に提供されていたことが発覚しました。
具体的には、企業が学生の姓名と紐づく応募者管理IDとCookie情報などを利用し、リクルートコミュニケーションズ社がスコアを算出。
ハッシュ化された氏名で突合し、結果的に26060人分の個人情報が本人の同意なく第三者提供されたと認定されました。
個人情報保護委員会は、リクルートキャリア社が個人情報保護法の趣旨を潜脱する不適切なサービスを提供していたと勧告しました。
この問題を受けて、個人情報保護法は改正され、事業者の法的責任が厳格化されました。
安全管理措置の公表義務の新設、漏えい時の個人情報保護委員会への報告と被害者への通知義務が課せられることによって、企業は漏えいリスクへの対策を迫られています。
これは由々しき事態ですね。個人情報保護法の改正によって、企業の責任が明確化されたのは、当然の帰結でしょう。
次のページを読む ⇒
個人情報漏洩は法的責任重大!北海道じゃらん不正アクセス事件を例に、企業の対策と利用者の注意点を解説。徹底した情報管理が不可欠。