経営とITの話題

(2019年8月の)複数のメディアによると、 就職情報サイト「リクナビ」を運営するリクルートキャリアが、就職活動中の学生の「内定辞退率」を 推定し、企業に提供していたことが判明。利用者をはじめ世間に波紋を呼んだ。
「内定辞退率」とは、 サイトに登録した就職活動中の学生の行動履歴データなどを基に、ある企業について、学生がその企業からの内定を辞退する確率(5段階評価)をAI(人工知能)で推論したもののようだ。
問題になったのは、リクルートキャリアが「内定辞退率」データを企業に提供する際、本人の同意確認が不十分だった点である。同社は、学生がサイト登録する際、同社のプライバシーポリシーおよび利用規約に同意したうえでサービスを提供していたと説明した。しかし、政府の個人情報保護委員会などから「利用規約が学生に伝わりにくい」などの指摘を受け、7月末でサービスを一時中止する事態になった。
なお、その後の報道では、リクルートキャリアは本人の同意を得ずに情報を提供していたことが判明し、このサービスを廃止するようだ。 

内定辞退率は、おそらく、機械学習(ディープラーニングなどを含む)で推論したものだと考えられるが詳細は明らかにされていない。リクナビが提供するサービス内容の説明では、
「当該採用企業における前年度の応募学生のリクナビ上での行動ログなどのデータを解析の対象に、その企業に対する応募行動についてのアルゴリズムを作成します。そこに、今年度に当該採用企業に応募する学生の行動ログを照合、その結果を『採用選考のプロセスが途絶えてしまう可能性』として企業に提示することで・・・・」
となっている。
上記説明にある(何らかの)アルゴリズムで推論した内定辞退率が、どの程度「確かなもの」なのか分からないが、ここまでの説明でいくつかの疑問が湧いてくる。大別すると法的な課題と、推論に関する技術的な疑問である。
①学生は自身のデータ、すなわち自分の内定辞退率を知ることができるのだろうか?(知る権利)
②自身のデータである内定辞退率に納得できない場合、このデータを削除するよう依頼できるのだろうか?
あるいは、利用規約に同意したことを撤回できるのだろうか。
③自身のデータである内定辞退率について「なぜそのような評価になったのか」、データ提供事業者に説明を求めることができるのだろうか?  (企業の説明責任。消費者の説明を求める権利。説明可能なAI。)
④(機械学習で推論したと思われる)内定辞退率について、そのアルゴリズムとデータ(教師データなど)に問題がないことを、提供事業者はどのようにして担保するのだろうか?

データを第三者提供する場合に「事前に利用者の同意を得ること」や「後から同意の撤回が可能なこと」などは、「同意管理」と呼ばれるものである。
③、④はXAI(Explainable Artificial Intelligence:説明可能なAI)に関する問題である。
現在のニューラルネットワークは、なぜそのような結果を推論したのか、説明することが困難だと言われている(AIのブラックボックス問題)。従って、ニューラルネットワークの技術を、個人の信用スコア算出や、自動運転、医療分野に応用する場合は、なぜそのような結論を導いたのか、根拠を利用者に説明できることが求められる。

リクナビのサービスは一種の「情報銀行」とみることができる。情報銀行とは、消費者が自身の行動履歴などのパーソナルデータを企業に提供する代わりに、何らかの対価を受け取る仕組みである。
また、企業が取得したパーソナルデータを第三者に提供する方法には大別して二つのやり方がある。ひとつは、個人を特定でないように加工する、すなわち「匿名加工情報」にして第三者に提供するやり方。いまひとつは、個人の同意を得たうえで第三者に提供するやり方である。どちらの方法も個人の了解・了承を得るのはなかなか難しい。また、匿名加工情報にしたとしても、無条件に第三者提供できるわけではない。

匿名加工情報については、2013年、JR東日本が交通系ICカード「Suica」の乗降履歴データを第三者(日立製作所)に販売したことで、利用者やマスコミから大きな反発を受けた事件が有名である。
一方、「個人の同意を得たうえで第三者に提供するやり方」というのも現実には難しい側面がある。なぜなら、多くの利用者はWeb上に表示される利用規約などをまともに読んでいない。まともに読まないで確認ボタン(同意ボタン)を押すことがあるから、オプトイン方式といえども現実には微妙な問題を含んでいる。

今回問題視されたリクナビのサービスは、「データとデジタル技術を活用して新しいサービスを提供している(競争優位を確立している)」という点で、昨今話題のDX(デジタルトランスフォーメーション)と見ることもできる。(リクナビは競合するマイナビと差別化し、競争優位を確保するためにこのサービスを開始したようだ)
情報銀行(これもDXといえる)は今後成長が見込まれる分野だと考えられるが、パーソナルデータの取り扱いを含むセキュリティ計画・セキュリティ設計が重要なポイントになるだろう。そして、このセキュリティ計画・セキュリティ設計は、ビジネスモデルを設計する上流工程から組み込んでいく必要がある。
上流工程からのセキュリティ計画、セキュリティ設計という観点では、先月(2019年7月)波紋を呼んだ「7pay」(セブン&アイ・ホールディングスがサービス提供を開始したQRコード決済サービス)で発生した事件を想起する。この事件は、悪意を持った攻撃者が、不正に入手したIDとパスワードを使用して、タバコなど換金しやすい商品を購入していたものである。7月2日に利用者から「身に覚えのない取引があったようだ」と問い合わせがあったことで発覚。セブン&アイ・ホールディングスが社内調査を行い、不正利用があったことを確認している。同社が被害を認定した利用者は約1600人、被害額は約3200万円に上るという(日経コンピュータ誌より)。
本件に関わる幾つかの報道を見ると、この事件は、QRコード決済サービスで後発のセブン&アイ・ホールディングスが、サービス開始を急いだためにセキュリティ計画とセキュリティ設計が不十分であったように読める。新しいデジタルサービスを提供する場合には、ビジネスプロセス設計の上流からセキュリティ・リスクを洗い出し、対応策を計画・設計に織り込んでいくことが重要だと言える。

 

Update

2019年8月
« 7月    
 1234
567891011
12131415161718
19202122232425
262728293031  

Navigation