日本における AI ソーシングのコンプライアンス — 個人情報保護法、職業安定法、そして調達チームが確認すべきこと。

これがなぜ「法務の問題」ではなく「調達の問題」なのか

2018年からおよそ2023年までの大部分の期間において、エンタープライズ調達チーム内での AI ソーシングプラットフォームに関する議論は、概ね以下のような形でした — 採用担当者が新しいツールを試したいと申請する。調達チームが法務に「これは問題ないか」と確認する。法務は「GDPR 同等のデータ保護があることを確認するように」と回答する。調達は何らかの書面に署名する。会話はそこで止まりました — 法律そのものが定まっていなかったためです。2022年10月の職安法改正は新しく、第4号 区分の届出はほとんどなく、個情委も外国処理者の論点について Q&A を発出していませんでした。

この会話は、変わりました。改正法は施行から3年半が経過し、第4号 レジストリの数字は安定し、個情委は「サーバは日本にある」という抗弁を閉じる Q&A を発出し、リクナビ判例は AI スコアリングプラットフォームに対する運営原則の体系として成熟し、2026年改正案も正式に提出されています。日本のエンタープライズ内のコンプライアンス担当弁護士は、立場を取るために必要なすべての一次資料を、いま手にしています。調達部門内における意味は明快です — 「GDPR 同等のデータ保護を確認するように」では、もはや問いに答えていません。なぜなら、日本居住の候補者については、GDPR 同等性は日本法上の正しい判定基準ではないからです。

いま、実際の調達テストは2箇所に存在します。1つは個人情報保護法第30条 — 第三者提供事業者から個人データを受領した側に確認義務を課す規定で、つまり不適合な上流プラットフォームから候補者データを購入する企業は、本件が候補者から個情委への苦情、競合による開示、または規制当局による照会等を通じて表面化した場合に、上流のコンプライアンス問題の一部を継承することになります。もう1つは運営実態です — コンプライアンスを重視する日本のエンタープライズ、特に上場企業は、調達段階でこの問いを明示的に投げ始めており、その回答として文書を期待しています。届出受理通知書番号、データソースの文書化された記述、法第23条・第28条・第27条への対応状況の確認 — これらを数営業日以内に提出できないベンダーは、パイロット実施に至る前の調達段階で、ますますふるい落とされています。

法律の条文は、公開されています。そこから派生する調達メモが、新しい戦場です。本稿の以降は、その調達メモです。

2つの法律を、それぞれ1段落で

個人情報保護法（APPI — Act on the Protection of Personal Information）。個人データを規律する法律です — 日本居住の特定可能な個人に関する記録すべてを対象とし、運営事業者の所在地やサーバの所在地は問いません。所管：個人情報保護委員会（PPC）。登録は不要ですが、6つのカテゴリーの実体的義務が付加されます — 適正な取得（法第20条）、利用目的の特定および開示（法第17・18・21条）、安全管理と外的環境の把握（法第23条）、第三者提供の規律（法第27条）、越境移転の規律（法第28条）、データ主体権利（法第32〜35条）。法第171条（旧法第75条）は、日本に向けたサービス提供等に関連して日本居住の個人情報を取り扱うあらゆる事業者に対して、域外適用を及ぼします。現行制度における法人最高刑：1億円。

職業安定法（Employment Security Act）。候補者情報を求人企業に提供する行為を規律する法律です — AI ソーシングプラットフォームが有料クライアントにランキングされた候補者リストを返した瞬間、まさにこの行為が発生しています。所管：厚生労働省（MHLW）。法第43条の2に基づき、事業開始前の届出（通知）が必要で、事業者は4つの 号 区分に分類されます。無届けでの事業運営は、法第65条第7号上の刑事犯罪です — 6か月以下の拘禁刑または30万円以下の罰金 — 法第67条（両罰規定）により法人にも並行して責任が及びます。届出済みの事業者は継続的な義務を負います — 法第43条の5に基づく年次概況報告書の提出、厚労省ガイダンスに従った的確な表示、法第43条の7に基づく苦情処理、法第43条の6に基づくランキング主要因の開示、法第5条の4と法第43条の3を併読した データ精度確保措置。

両法は同時に適用されます。カリフォルニア州に登記し、LinkedIn の公開データから取得し、米国所在の AI インフラで処理を行い、東京のリクルーターに契約を売るプラットフォームは、両方の規律を満たさなければなりません。一方の法律だけで済む近道はありません。プラットフォームのコンプライアンス説明が、二法のうち一方にしか触れていないなら、それはコンプライアンス対応をしたとは言えません。

2022年10月の改正で何が変わったか — そして既存の米国製ツールが、いまや違法かもしれない理由

2022年10月1日改正前の職業安定法は、求職者または求人企業から直接の依頼を受けて動くサービスを対象としていました。公開ウェブをクローリングして候補者データベースを構築するタイプ — 個別の本人請求を伴わない事業形態 — は、規制のグレーゾーンで動いていました。2022年改正は、このグレーゾーンを閉じました。AI ソーシングにとって重要な変更は3つです。

第一に、定義が拡大しました。募集情報等提供の定義が再構成され、本人請求を伴わずに候補者情報を集約するクローラー型プラットフォームを取り込む 第4号 区分が新設されました — 設計された場所がどこであれ、多くの AI ソーシングツールが、いまこの区分に収まっています。「公開ウェブをスケールでスクレイピングし、データベースを構築し、求人企業のクエリに対して候補者をスコアリングし、ランキングされたリストを返す」というアーキテクチャパターンは、第4号 の定義に綺麗に重なります。プラットフォームの設立地は、この分析を変えません。

第二に、登録制度が創設されました。候補者情報を求人企業に提供する目的で収集を行うすべての事業者は、職安法第43条の2に基づき、事業開始前に厚労省への届出を行う義務を負います。無届けでの事業運営は刑事犯罪です — 法第65条第7号により6か月以下の拘禁刑または30万円以下の罰金、法第67条（両罰規定）により法人にも並行して刑罰が適用されます。「事業開始前に」という条文上の文言は、実質的な意味を担っています — 遡及的な治癒は存在しません。2020年から日本で届出なしに運営してきたプラットフォームは、昨日も違反しており、本日も違反しています。

第三に、新しい継続的義務が付加されました。届出済み事業者は、法第43条の5に基づき年次概況報告書を提出すること、的確な表示を維持すること、文書化された手順の下で候補者からの苦情に応答すること（法第43条の7）、個人情報保護法上の義務とは別に個人情報を保護すること、検索結果のランキングに用いる主要因を開示すること（法第43条の6）を義務付けられます。ランキング開示規則は、AI スコアリングプラットフォームを真正面から想定したものです — 厚労省の改正法 Q&A は明示的に、ランキングに用いられる主要因は公開対象であり、その主要因を計算するアルゴリズムのコードおよび計算手順そのものは開示対象外であると述べています。AI は例外扱いされていません。AI スコアリングプラットフォームは、モデル自体は営業秘密として保持できるとしても、スコアが何から構成されているかは開示しなければなりません。

海外発 AI ソーシングプラットフォームに共通する4つの構造的ギャップ

いま日本市場に積極的に販売されている AI ソーシングプラットフォームの多く — その多くは米国で開発され、英語で販売され、上記2法のいずれを前提としても設計されていません — には、認識可能なコンプライアンス・ギャップのパターンがあります。このパターンは偶然ではなく、これらのプラットフォームの設計思想に由来する構造的な欠陥です。共通して現れるギャップは4つです。

ギャップ1 — データサプライチェーンがスクレイピングから始まっている。海外発 AI ソーシングプラットフォームが訴求する「数千万プロファイル」のデータベースの大半は、直接的または間接的に LinkedIn に由来します。LinkedIn の利用規約（Section 8.2）は、ソフトウェア・スクリプト・ロボット・クローラー・ブラウザプラグインを用いてプロファイルデータをスクレイピング・複製することを禁じています。情報源の規約に違反して取得されたデータは、個人情報保護法第20条が想定する「適正な取得」に該当する蓋然性は低いです。米国の裁判所は、公開データのスクレイピングが Computer Fraud and Abuse Act に違反するかについて、異なる立場を取るかもしれません — それは米国法上の論点です。日本法は別個の判断基準を適用し、日本居住のデータ主体については日本法が支配します。

ギャップ2 — 特定募集情報等提供事業の届出未了。厚労省への届出は、事業開始前に行う必要があります。海外法人化された AI ソーシングプラットフォームのうち、届出済みの事業者はほとんど存在しません。無届けでの事業運営は、職業安定法第65条第7号上の刑事犯罪です。法第67条の両罰規定により、法人は責任ある個人と並んで処罰されます — このため、日本市場での販売継続を意図するプラットフォームにとって、これは「後で対応する」項目にはなり得ません。

ギャップ3 — 法第23条／第28条非対応の越境 AI 処理。「当社は米国法人であり、個人情報保護法は適用されない」との抗弁は、法第171条（域外適用規定）により失敗します。「データは日本に保管されている」との抗弁は、個情委 Q10-25（外国処理者規則。後述）により失敗します。残された実体的義務は、外的環境の把握、文書化された安全管理措置、そして真の第三者移転に該当する場合は、法第28条に基づく同意取得または十分性認定相当の枠組み構築です。日本の十分性認定の枠組みで、日本の個人情報保護制度と同等の水準にあると認められているのは、EU と英国のみ。米国は含まれていません。

ギャップ4 — コールドメール送信モデルが特定電子メール法に違反している。日本の特定電子メール法は、商業メール送信前の事前オプトイン（事前同意）を要求します — 米国の CAN-SPAM 体制（オプトアウト経路を備えた未承諾メールを許容）の真逆です。日本居住の候補者へのコールドアウトリーチ用にメールアドレスを供給するプラットフォームは、送信のたびに直接的なコンプライアンス露出を作り出します。本法の適用判定基準は、送信者の所在地ではなく、受信者の所在地です。東京のリクルーターに対して日本居住の5,000件のメールアドレスと「送信」ボタンを提供する米国プラットフォームは、5,000件分の違反パイプラインを供給したことになります。

「サーバは日本にある」という抗弁 — 個情委 Q10-25 により閉じられた

海外 AI プラットフォームの典型的な抗弁は、こうです — 「データは AWS 東京リージョンにある。日本国内のサーバ上にある。だから個人情報保護法の越境移転規律は適用されない」。個情委はこの抗弁に、個情委ガイドライン Q&A Q10-25 で正面から答えています — 国内事業者が外国の第三者に個人情報の取扱いを委託する場合、当該事業者は、当該外国における個人情報保護制度を踏まえた安全管理措置を講じなければならない。この義務は、当該個人情報自体が日本国内のサーバ上に保管されている場合にも適用される。判定基準は、処理がどこで行われるかであり、保管場所ではありません。

AI 採用プラットフォームに対する含意は、直接的です。モデルの推論が米国所在の OpenAI、Anthropic、Google のインフラ上で動いているなら、たとえストレージ層が AWS 東京にあっても、運営事業者は外国の主体を介して個人データを処理していることになります。法第23条上の外的環境の把握義務が、適用されます。委託・第三者提供のどちらの法的構成を取るかによって、法第28条（越境移転規律）も検討対象に入ります。「サーバは日本にある」では、答えになりません — 推論がバージニア州で動いているなら、なおさらです。

リクナビ判例 — AI スコアリングに対して何を確立したか

リクナビ DMP フォロー事案は、日本の採用データ領域で最も影響力のあるエンフォースメント事案であり続けています。個情委は2019年8月、続いて12月に、株式会社リクルートキャリアおよび親会社の株式会社リクルートに対して勧告を発出しました。厚労省は職業安定法に基づく行政指導を併せて発出。本件は、2020年の個人情報保護法改正を直接的に加速させました。

同プラットフォームは、内定辞退率（学生候補者が内定を辞退する確率）を予測するモデルを構築していました。予測値は、フォローアップ優先順位付けの目的で、35社のエンタープライズクライアント（トヨタ自動車、三菱商事、デンソー、本田技研工業の研究部門など）に販売されました。当初7,983名、後の調査で26,060名にまで拡大したこれらの学生は、第三者提供に対する有効な同意を得ていませんでした。リクルート側は Cookie ベースの識別子とハッシュ化を使った回避策を試みていましたが、個情委はこれを退けました — リクルート側で再識別可能であり、受領側でも再識別可能であると認定したためです。個情委は本件の構成を、極めて不適切と評価しました。

本件から、いま日本で運営されているあらゆる AI 採用プラットフォームに直接適用される3つの原則が確立されました。

第一に。候補者データに対する AI による予測またはスコアリングは、本人に対して具体的に開示すべき利用目的に該当します。「サービス向上のため」のような一般的な文言では、足りません。プライバシーポリシーは、AI スコアリング、候補者マッチング、クライアントへの提示、スカウトメール生成を、それぞれ独立した利用目的として列挙する必要があります。

第二に。AI が生成した候補者に関する予測値を求人企業クライアントに提供する行為は、当該予測値が複製ではなく派生情報であっても、個人データの第三者提供に該当します。法第27条が適用されます。提供事業者は、明確な法第27条上の経路（同意、オプトアウト届出、委託のいずれか）を持つ必要があり、選択された経路は実際に機能していなければなりません — オプトアウトについては、次節で具体的に解説します。

第三に。ハッシュ化または仮名化は、受領側が再識別可能である場合には機能しません。個情委は、リクルートの Cookie ハッシュ構成を「極めて不適切」として明確に退けました。「当社側では個人データを直接保持しておらず、ハッシュ化された識別子のみを保持している」というアーキテクチャに依拠する AI ソーシングプラットフォームは、本原則を構造的な前提として扱うべきです — 判定基準は、受領側が当該ハッシュ識別子を自社システム内で何ができるかであり、提供側が自社インフラ上で何を証明できるかではありません。

機能しないオプトアウト経路

一部のプラットフォームは、クライアントへの候補者データ提供を、個人情報保護法第27条第2項のオプトアウト制度に基づく構成として整理しようとします — 個情委への届出、公的開示、アクセス可能なオプトアウトの維持、本人ごとの同意なしの提供。2022年改正は、オプトアウト経由で取得されたデータ、または不正取得されたデータについては、この経路を閉じました。鎖は2番目のリンクで切れます。法第20条の「適正な取得」要件と併せて読むと、実務上の帰結は鋭い — 上流のデータが、規約上スクレイピングを禁じるサイトから取得されていれば、それは「不正な手段による取得」に当たる蓋然性が高い。この判断が論点に挙がった瞬間、オプトアウト提供の経路は下流側で使えなくなります — 最初のスクレイパーも、再販事業者も、再販データの上に構築された AI プラットフォームも、すべてです。位置付けられる経路が、存在しません。

2026年改正 — 課徴金が導入される

2026年4月7日、日本政府は個人情報保護法改正案を閣議決定し、国会に提出しました。本法律案は、実質的には再調整です — 一定の統計処理および AI 学習用途については同意要件を緩和する一方で、重大な違反に対する取り締まりは大幅に強化されます。施行日は、公布後2年以内の見込みです。AI ソーシングにとって重要な変更は3つです。

第一に、課徴金制度の創設。違法な取扱いから事業者が経済的便益を得た重大事案に対する課徴金制度が新設されます。課徴金額は、売上高ではなく得られた財産上の利益の相当額に基づいて算定されます — GDPR の売上比率モデルではなく、不当利得没収（disgorgement）に近い設計です。適用要件は3つあり、すべて満たす必要があります — 違反が1,000人を超える本人に影響を与えていること、事業者が相当の注意を怠っていたこと、具体的な権利利益侵害があること。課徴金対象となる5つの違反類型は列挙的かつ限定的です（不正利用、不正取得後の利用、無同意第三者提供、不正利用が予期される第三者への提供、新設の統計作成特則条件違反）。通常の安全管理措置の失敗や偶発的な漏えいには適用されません。

第二に、不正提供罪の重罰化と適用範囲拡大。個人情報データベース等の不正提供罪（現行法では法第179条上、1年以下の拘禁刑または50万円以下の罰金）について、法定刑が引き上げられます。同時に、現行の「不正な利益を図る目的」に加え、「加害目的」で行われた提供行為も処罰対象に追加されます。さらに、欺罔または不正アクセスを手段とする不正取得行為について、新たな罰則が創設されます。

第三に、処理者（処理者）概念の法定化。データ処理委託関係について、より明確な法的扱いが導入されます — これは現在、OpenAI・Google・AWS 等の海外インフラに対する委託構成として扱われている、法的レイヤです。コンプライアンスを重視する AI 事業者には概ね有利な変更ですが、同時に、非適合事業者が越境処理の論点を回避することも難しくなります。

これらを併せて見ることが重要です。2022年職業安定法改正は、無届けクローラー型プラットフォームに対する刑事責任を作り出しました。2026年個人情報保護法改正案は、不当利得没収型の課徴金をその上に追加します。EU の枠組みより静かではありますが、実質的な規制であり、財産上の利益に基づく算定方式は、違法なデータ取扱いをスケールで前提とする事業モデルのプラットフォームにとって、計算をより深刻なものにします。

法第30条に基づく受領者側の責任

個人情報保護法は、プラットフォーム側で完結しません。日本の雇用主または採用支援企業が第三者提供事業者から個人データを受領する場合、受領側自身が法第30条に基づく確認義務を負います。義務の内容は明快です — 提供元の身元の確認、取得の経緯の確認、当該提供に適法な根拠があるかの確認。義務は受領者にあり、提供者にはありません。

日本の事業者、特に上場企業が、不適合な海外プラットフォームから候補者データを購入する場合、当該事業者はコンプライアンス問題の一部分を継承することになります。上流プラットフォームが適法な取得を立証できない場合、受領者は法第30条を満たせません。データそのものが採用担当者にとって有用であっても、本件が表面化した場合（候補者から個情委への苦情、競合による開示、規制当局による照会など）、自社が直接、個人情報保護法上のリスクを背負っていることになります。

これは理論上の話ではありません。コンプライアンスを重視する日本企業は、調達段階でこの問いを明示的に投げ始めています。期待される回答は、文書です — 上流プラットフォームの届出受理通知書のコピー、データソースの文書化された記述、法第23条・第28条・第27条への対応状況の確認。これらの文書を提出できないベンダーは、パイロット実施に至る前の調達段階で、ますますふるい落とされています。

今日から実施できる7問のセルフ監査

下記の監査は、当社が他の採用ツールを評価する際に自社で用いているものであり、また、クライアントが当社を評価する際に投げかけられるものとして想定しているものです。各「はい」につき1点を加えますが、48時間以内にベンダーがメール添付で送付できる文書で裏付けられた場合に限ります。それ以外は「いいえ」です。

Headhunt.AI はこのフレームワークにどう適合しているか

本稿のここまでは、一般論です。本節は、そうではありません。Headhunt.AI の運営事業者である株式会社ExecutiveSearch.AI が、7問監査の各項目および基盤となる10項目のコンプライアンスフレームワークについて、他のどのプラットフォームでも辿るべき同じ順序で、どう対応しているかを記述します。確認済みの項目もあれば、前向き表明として位置づけ、その旨を明示している項目もあります。本記述は、コンプライアンス認定書の代わりとしてではなく、透明性のために掲載しています。

各項目のより深い長文形式の解説 — 個情委 Q&A の逐語抜粋、リクナビ判例のより詳細な議論、基盤となる個人情報保護法・職業安定法の各条文を含む — については、当社のコンプライアンス特集をご参照ください — 英語版・日本語版のダウンロード可能な A4 PDF として提供しています。

率直な限界の姿

本稿と本稿が記述するフレームワークが、十分には踏み込まない領域の、率直な読解。当プラットフォームを日々運用するデスクからの記述による2つの限界。

よくある質問

参照資料

本稿が参照する一次資料 — 個人情報保護法（e-Gov 法令検索）、職業安定法（e-Gov 法令検索）、個人情報保護委員会一般ガイドライン Q&A（特に外国処理者に関する Q10-25）、厚生労働省「特定募集情報等提供事業概況報告書」集計結果（令和7年6月1日時点・令和8年3月公表）、優良募集情報等提供事業者認定制度の公開認定リスト（yuryonintei.com、厚労省委託事業サイト、2026年4月時点アクセス）、2022年10月職業安定法改正に関する厚労省 改正法 Q&A、2026年4月7日閣議決定の個人情報保護法改正案、リクナビ DMP フォロー事案に対する個情委の公開勧告（2019年8月、2019年12月）。各項目のより深い長文形式の解説については、当社のコンプライアンス特集（Insights シリーズ Briefing 07）をご参照ください — 英語版・日本語版のダウンロード可能な A4 PDF として提供しています。方法論および編集ポリシー：メソドロジーページ ・ /about/editorial-standards.html。本稿は、編集ポリシーの更新頻度に従い、重要な法律・規制変更があった場合は14日以内にレビューおよび更新されます。