2019年 リクナビ「内定辞退率」販売事件

何が起きたのか

2019年8月1日、就職情報サイト「リクナビ」を運営するリクルートキャリア（現・株式会社リクルート）が、就活生のサイト閲覧履歴をAIで分析して「内定辞退じたい率」を予測し、トヨタ自動車・ホンダ・三菱商事など38社に有償で販売していたことが日本経済新聞のスクープで発覚した。

サービス名は「リクナビDMPフォロー」。算出対象となった就活生は約9万5,590人、そのうち約2万6,060人については、本人の同意すら適切に取れていなかった。「自分のリクナビでの行動が、企業に『この学生は辞退しそうだ』と数値化されて売られていた」──就活生にとって、これ以上ない裏切りだった。

政府の個人情報保護委員会から2度にわたる是正勧告、プライバシーマークの取消し、社長の謝罪会見と、一連の処分が下されサービスは廃止。この事件をきっかけに、翌2020年に個人情報保護法が改正され、Cookieなどの「個人関連情報」を企業間でやり取りするときには本人同意の確認が義務化された。日本のWebサイトに「Cookie使用に同意」のバナーが目立つようになった背景には、EUのGDPR（一般データ保護規則）や広告業界の変化など複数の要因があるが、リクナビ事件を契機とした国内の法改正もその大きな一つだった。

経緯・タイムライン

2018年（サービス開始）

• リクルートキャリアが「リクナビDMPフォロー」を企業向けに提供開始
• 前年度の就活生の行動履歴データをAIで分析し、内定辞退率を予測するアルゴリズムを開発
• 顧客企業から提供された応募者情報と、リクナビ内の閲覧履歴を突合（とつごう）して個人を特定し、辞退率を算出
• 当初は採用企業側のCookieを使って個人を特定する仕組みだった（学生本人は気づきにくい）

2019年7月

• 個人情報保護委員会がリクルートキャリアに聞き取り調査を開始
• 「同意の取り方が不十分ではないか」との指摘

2019年8月1日

• 日本経済新聞が「リクナビが内定辞退予測を企業に販売」と報道
• SNSで就活生・大学関係者から激しい批判が噴出
• 同日深夜、リクルートキャリアがサービス停止を発表

2019年8月5日

• リクルートキャリアが「リクナビDMPフォロー」の廃止を正式発表
• 「7,983名の学生からプライバシーポリシーへの同意取得ができていなかった」と公表（後に2万6,060人に拡大）

2019年8月26日

• 個人情報保護委員会がリクルートキャリアに対し、1度目の是正勧告
• 小林大三社長が記者会見で謝罪
• 原因として「ガバナンス不全」「学生視点の欠如けつじょ」を挙げる

2019年9月

• 厚生労働省（東京労働局）が職業安定法に基づきリクルートキャリアに行政指導

2019年11月14日

• 日本情報経済社会推進協会（JIPDEC）が、リクルートキャリアのプライバシーマーク付与を取消し
• 同社にとって3例目のPマーク取消し処分という重大な事態

2019年12月4日

• 個人情報保護委員会が2度目の是正勧告
• 同時に、データを購入したトヨタ自動車・ホンダ・三菱商事・京セラ・YKKなど35社の実名を公表し行政指導
• 個人情報の購入側にも責任を問う異例の対応

2020年6月

• 改正個人情報保護法が公布
• 新たに「個人関連情報」という概念を新設
• 提供先で個人情報になることが想定されるデータ（Cookie等）の第三者提供には、本人同意の確認が必要に

2022年4月

• 改正個人情報保護法が施行
• 「Cookieの使用に同意」バナーが日本のWebサイトに広がり始める

何が問題だったのか

1. 同意のあいまいさ

リクナビのプライバシーポリシーには「行動履歴等を分析・集計」「採用活動補助のための利用企業等への情報提供」と書かれていた。リクルートキャリア側は「この記述で同意を得ている」と主張した。

しかし──「採用活動補助のための情報提供」という言葉から、「自分の内定辞退率がAIで予測されて38社に売られる」と読み取れる就活生がいるだろうか。専門家は「具体的な利用法が示されておらず、有効な同意とは言えない」と指摘した。

2. Cookieという「抜け道」

当初の仕組みでは、リクルートキャリアは「氏名ではなくCookieで個人を識別している」「だから個人情報ではない」と整理していた。だが、データを受け取った企業側は、自社が持つ応募者情報と突合することで、特定の学生を識別できた。

「うちは匿名で渡している」「うちは個人情報として受け取っただけ」──両社それぞれの理屈では合法でも、組み合わせれば実質的に個人をプロファイリングしている。このグレーゾーンこそ、後の法改正で塞がれた最大のポイントだった。

3. AIで人間を予測することの倫理

リクルートキャリアは「内定辞退率は合否判定に使われない」と企業から確約を取っていたと説明した。実際に合否へ直接利用されたかは明確になっていない。しかし、実際の採用現場で「辞退しそうな学生にどう向き合うか」という判断材料として使われた可能性は否定できない。

就活生が知らないところで「あなたは辞退率70%」と数値化され、それが内定の出し方に影響していたとしたら──。確証がないからこそ怖い。AI予測が人生の重要局面に介入することの倫理が、社会に大きく突きつけられた事件だった。

現代との接続

「Cookieバナー」が日本中に広がった理由

近年、どのWebサイトを訪れても「Cookieの使用に同意しますか？」というバナーが表示されるようになった。背景にはEUのGDPR（一般データ保護規則）や広告業界の変化など複数の要因があるが、日本国内ではリクナビ事件をきっかけに改正された個人情報保護法（2022年4月施行）の影響が大きい。

「Cookieは個人情報じゃないから自由にやり取りできる」という時代は終わり、「組み合わせれば個人が特定できる情報」も規制対象になった。同意バナーは、その規制に対応するための仕組みである。

生成AIによる人物評価への警戒

2020年代に入り、生成AIによる採用支援・人事評価が広がっている。応募書類の自動審査、面接動画のAI分析、SNS投稿からの性格予測など、リクナビ事件で問題視された「AIによる人物スコアリング」の発想は、より高度な形で現実化している。

EUのAI規制法（AI Act）が「雇用におけるAI利用」を高リスク分野に分類しているのも、こうした流れの中で生まれた規制だ。リクナビ事件は、日本社会においてAI時代の人権問題を広く意識させた代表的事件のひとつでもあった。

教訓

1. 「同意した覚えがない」では済まない時代

SNS、アプリ、Webサービス──私たちは毎日のように「利用規約に同意」のボタンを押している。中身を全部読む人はほとんどいない。しかし、その一行に「行動履歴を分析して第三者に提供することがあります」と書かれていたら、法的には同意したことになる可能性がある。

少なくとも、就活サイト・SNS・銀行アプリなど重要なサービスのプライバシーポリシーは、最初の登録時に一度は目を通そう。「何のために、どこに、何を渡すのか」だけでも確認する習慣をつけたい。

2. 自分のデータは資源として売買されている

無料のサービスには理由がある。多くの場合、サービス提供者は利用者の行動履歴・閲覧履歴・購買履歴を集め、それを広告のターゲティングに使ったり、データとして企業に提供したり、AIの学習に活用したりして収益を得ている。私たちが「無料で使えてラッキー」と思っているサービスの多くは、利用者データを資源として循環させることで成り立っている。

自分が情報を入力するとき、そのデータが「どこに行き、何に使われるか」を意識する。それだけで、不用意な情報提供は減らせる。

3. Cookie・閲覧履歴も「自分の情報」

「氏名や住所を入力していないから大丈夫」は通用しない。Webサイトの閲覧履歴、検索キーワード、滞在時間、クリック傾向──これらを組み合わせれば、個人の興味・性格・経済状況まで推測できる。

ブラウザのプライバシー設定を見直す、Cookieバナーで「必要なものだけ許可」を選ぶ、シークレットモードを使い分ける。こうした小さな自衛が、自分のデータを守る。

4. 怖いのは「入力した情報」より「推測された情報」

現代のデータ社会で本当に怖いのは、自分が入力した情報そのものではない。入力していないのに推測されてしまう情報のほうだ。

リクナビ事件の本質も、就活生本人が「私は辞退する予定です」と入力したわけではないのに、行動履歴から「辞退率70%」と推測されてしまったことにある。同じ仕組みは、いまも様々な場面で動いている。AIは行動履歴のパターンから、本人が明示していない傾向まで推測しようとする。SNSの「いいね」傾向から政治的志向を、深夜の検索履歴からメンタルの状態を、購買履歴から経済状況を、位置情報の動きから人間関係を──こうした推測が、ビジネスや行政の現場で実際に使われ始めている。

「入力していないから安心」ではなく、「入力していないことまで読まれている」という前提で、自分のデジタルな足跡を考えるくせをつけたい。

5. AIによる評価には反論の権利がある

採用、融資、保険など重要な場面でAIに評価される機会は今後増える。だが、AIの予測は完璧ではないし、過去のデータが持つ偏かたよりをそのまま引き継ぐこともある。

個人情報保護法では、自分に関する個人データの利用目的の開示請求や、不当な利用の停止請求ができる権利が定められている。「AIに判断されて終わり」ではなく、「なぜそう判断されたのか」を問う権利があることを覚えておきたい。

6. 企業の「ガバナンス不全」は社会に被害をもたらす

リクルートキャリアの社長は会見で「経営トップにIT・データの専門知識が不足していた」「研究開発の段階というつもりだった」と述べた。組織内でリスクを指摘する仕組みがなく、「これは社会的に問題になる」と立ち止まる人がいなかった。

これは大企業に限った話ではない。SNS上の小さな企画でも、学校行事でも、「これ大丈夫かな？」と立ち止まる役割の人がいなければ、同じ過ちが繰り返される。多様な視点でチェックすることの大切さを、この事件は教えている。

考えてみよう

1. もしあなたが2019年に就活生で、自分の「内定辞退率」が企業38社に売られていたと知ったら、リクルートキャリアにどんな対応を求めますか？単にサービス停止で十分でしょうか？
2. 「Cookieは匿名だから個人情報じゃない」という主張と、「組み合わせれば個人が特定できるから規制すべき」という主張、どちらに説得力があると思いますか？
3. 採用や入試でAIに評価されることに、あなたは賛成ですか反対ですか？どんな条件なら受け入れられるでしょうか？

私たちができること

自分のデータを守るために

• 主要サービスのプライバシーポリシーを一度は読む：就活サイト、SNS、銀行アプリ、健康管理アプリなど、重要なものから。全部読まなくても「第三者提供」「行動履歴」「Cookie」の項目だけでも目を通す。
• Cookieバナーをぼーっと「同意」しない：「必須のみ許可」「カスタマイズ」を選ぶ習慣をつける。広告用Cookieは断っても、サイトはほとんど普通に使える。
• ブラウザのプライバシー設定を見直す：トラッキング防止機能をオンに、サードパーティCookieはブロックに。Chrome・Safari・Firefoxどれにも設定がある。
• 「無料」の裏側を考える：そのサービスは何で収益を得ているのか？ 自分のデータは、どんな形で収益化されているのか？

もし自分の情報が不当に扱われたと感じたら

• 個人情報保護委員会に相談・通報できる（電話：03-6457-9849）
• サービス提供企業に対し、保有個人データの開示請求・利用停止請求が法律で認められている
• 消費者ホットライン「188（いやや！）」でも相談を受け付けている

対象年齢

この事件は高校生に特に知ってほしい。理由は3つある。

第一に、数年後に自分が当事者になる可能性が高いから。大学進学後の就職活動、あるいは高卒就職でも、自分のWeb上の行動が企業に評価される時代になっている。

第二に、Cookie・個人関連情報・プロファイリングといった概念は、現代のあらゆるWebサービスを理解するうえで欠かせないから。「なぜCookieバナーが出るのか」を知ることは、デジタル社会を生きる基礎教養だ。

第三に、生成AI時代の人権問題を考える出発点になるから。AIに評価されること、AIに人生を左右されることへの感覚は、いま育てるしかない。

用語メモ

リクナビDMPフォロー

リクルートキャリアが2018年から提供していた、就活生の内定辞退率を予測して企業に提供するサービス。DMPは「Data Management Platform」の略。2019年8月の発覚を受け、即日停止・5日後に廃止。

個人関連情報

2020年改正個人情報保護法で新設された概念。「生存する個人に関する情報で、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの」。Cookie、IPアドレス、閲覧履歴などが典型例。提供先で個人情報になることが想定される場合、本人同意の確認が必要。

Cookie（クッキー）

Webサイトがブラウザに保存する小さなデータファイル。ログイン状態の維持、ショッピングカートの記憶、行動履歴の追跡などに使われる。単体では個人を特定できないが、他の情報と組み合わせれば個人を特定できることが多い。

プロファイリング

大量のデータを分析して、個人の趣味嗜好・行動傾向・信頼度などを予測すること。広告ターゲティング、信用スコア、採用支援などで使われる。本人が知らないうちに評価される点が問題視される。

是正勧告（ぜせいかんこく）

個人情報保護委員会が、個人情報保護法に違反していると判断した事業者に対し、改善を求める行政処分。従わない場合は命令、命令違反は刑事罰の対象となる。リクルートキャリアは2度の勧告を受けた。

プライバシーマーク（Pマーク）

個人情報を適切に取り扱う事業者であることを示す認証制度。日本情報経済社会推進協会（JIPDEC）が運営。取得には厳しい審査があり、取消し処分は事業者にとって大きな打撃となる。

個人情報保護委員会

2016年に設置された政府の独立機関。個人情報の取り扱いを監視・監督し、是正勧告や命令を行う権限を持つ。事業者だけでなく行政機関も監督対象。

📚 参考資料・関連記事