あるスカウトサイトのAI機能規約を読んだ。仕事柄、採用業界に投入されるAI機能の特約には一通り目を通している。
驚いた。あまりに、書いてあることが「丸い」のだ。
要するに、規約の核心はこの3行に集約される。
- 生成AIの利用にあたり、入力データは第三者のAI事業者に共有されます
- 本機能の利用にあたって生じた損害について、当社は一切の責任を負いません
- 入力された内容が第三者の権利を侵害しないことは、ユーザーの責任で保証してください
どのAIエンジンを使っているのか(OpenAI APIなのか、Anthropic Claudeなのか、Azure OpenAIなのか、Google Geminiなのか)は書かれていない。データの保持は「不正利用の監視等の目的で一定期間」とだけ。期間は明記されない。越境移転に該当する場合の本人通知は誰がやるのか、書かれていない。
気にしだしたらキリがない内容で、こんな規約をしっかり読んでいる採用担当は、現場感覚で言えばほぼゼロに近い。
それでいい、とも思う。規約を熟読してから「AIカスタマイズ」ボタンを押す担当者なんて、いない。逮捕されるわけでも、明日漏洩事故が起きるわけでもない。AI機能は便利で、現場の手応えもある。
ただ、ボタン1つで外に流れているデータの中身だけは、知っておく価値がある。
「採用担当としてAIに何を流しているか分かっていますか?」と聞かれた時に、3秒で「これとこれです」と答えられるかどうか── そこに、これからの採用の専門性の一端がある。
本記事では、主要なスカウトサイトのAI機能規約を読み解いた立場から、「AIカスタマイズ」ボタンを押した瞬間に外部に流れている4つのことを、採用コンサル視点で整理する。「気をつけよう」というより、「実は、こうなっています」という実態の地図だ。
前記事「採用業務でAIに応募者情報を入れている人事の3割が知らない、5つの落とし穴」が、採用企業が自社AI(ChatGPT・Claude等)に応募者情報を直接渡す側のリスクを扱ったのに対し、本記事はスカウトサイト側のプラットフォーム内AI機能を「ボタン1つで使うだけ」で、すでに起きていることに焦点を当てる。同じ採用AIの話に見えて、レイヤーが完全に違う。
ボタン1つで、こんなに外に流れている ── 4つの実態
① 候補者の経歴情報の「大部分」が、第三者AIに渡っている
「AIカスタマイズ」ボタンを押すと、AIは候補者プロフィールを「分析」してスカウト文面を生成する。
ここで「分析」しているのは、プラットフォーム自身ではなく、第三者のAI事業者だ。規約に書いてある通り、ユーザーが触ったデータは第三者AIサービス提供事業者に共有される構造になっている。
ここで、多くの採用担当が誤解している。
「スカウト段階だから個人情報はマスクされている。だからAIに渡っても大した話ではない」── これは半分しか正しくない。
主要なスカウトサイトでマスクされているのは、概ね 氏名・顔写真・連絡先(住所詳細・電話番号・メールアドレス) だけだ。それ以外の経歴情報は 基本的に素のまま、採用企業側に表示される。具体的には:
- 年齢・性別・都道府県
- 現職企業名・役職・在籍期間
- 過去企業名・職務要約・プロジェクト概要
- 学歴(学校名・学科・卒業年月)
- 年収帯・希望年収
- 経験職種・経験業種・マネジメント経験
- スキル・語学・資格
- 希望条件・興味関心
「AIカスタマイズ」ボタンを押すと、これらが そのまま第三者AI事業者に渡っている。
氏名がマスクされているとはいえ、「年齢 + 都道府県 + 現職企業名 + 学歴 + 年収」の組み合わせで、個人を特定するには十分な情報量がある。個人情報保護法でいう「容易照合性」が成立し得るラインだ。
候補者本人の同意は、各プラットフォームの会員規約で包括取得済みである。「あなたの登録情報はサービス提供のためにAIに利用されることがあります」という条項に同意して登録している以上、規約上は 違法ではない。
ただ、候補者が「自分の現職社名・学歴・年収帯がOpenAI APIのサーバーに渡っている」と認識して同意したかというと、現実的には怪しい。
採用担当者として聞かれた時に、「渡っています。これとこれです」と答えられるかどうか。それだけだ。
② 採用担当が入力したデータは、第三者AIに「加えて」プラットフォーム事業者にも渡っている(二重)
ここがいちばん見落とされる。
AI機能を使うと、採用担当者自身が入力した情報も外部に渡る。
- 求人情報:人材イメージ・事業内容・企業情報・採用ターゲットの記述
- 既存のスカウト文面テンプレート:訴求軸・口説きの言い回し・候補者像
- AIカスタマイズの指示(あれば):トーン・重視ポイント
そして渡り先は、第三者AI事業者 + プラットフォーム事業者の二方向だ。
特約条文1で 「第三者の生成AIサービス事業者に共有される」 とあり、これは OpenAI 等のAI事業者の話。さらに条文3で 「当社が生成データ等を本サービスの開発・改善のために利用する」 とある。これは、プラットフォーム事業者自身が、入力データと生成データを 自社サービスの改善に使う という宣言だ。
つまり採用担当者が「AIカスタマイズ」を押した瞬間、自社の入力データは:
- 第三者AI事業者:OpenAI(?)が分析処理・不正利用監視のために一定期間保持
- プラットフォーム事業者:自社サービスの改善(レコメンド・検索精度・独自AIモデルの学習)に利用可能
の 両方 に流れている。
これも違法ではない。だがこの「二重に流れている」構造を、ボタンを押す前に把握している採用担当者は少ない。
③ 自社の渾身スカウトテンプレが、サービス改善経由で他社のスカウト改善に流れている構造
②をもう一歩踏み込むとこうなる。
プラットフォーム事業者が「サービスの開発・改善」に入力データを使うということは、自社が入力したデータが、同じプラットフォームを使う他社のレコメンド・スカウト機能改善に間接的に反映される という構造になる。
採用担当者から見るとこういうことだ。
自分が考え抜いて書いたスカウト訴求軸が、AIに分析されて生成データになる。その生成データが、同じプラットフォームを使う他の採用企業のAIカスタマイズ機能の改善に使われる。間接的に、自社のノウハウが他社の採用力を底上げしている。
「自社の採用ノウハウを、競合の改善に流していいですか」 と直接的に聞かれたら、ほとんどの採用責任者は「No」と答えるはずだ。
でも、「AIカスタマイズ」ボタンを押した時点で、その「No」は通らなくなっている。
著作者人格権の不行使条項(次項)と組み合わさることで、この構造はさらに動かしにくくなる。
④ 著作者人格権の不行使 ──「これは私が書きました」と言える権利を、すでに渡している
ここが規約の中で、もっとも見落とされる条項だ。
特約には 「自己が著作者人格権を有する場合であっても、当社に対してこれを行使せず、又は第三者に行使させないこと」 と書かれている。
著作者人格権というのは、「これは自分が書いた」と主張する権利・改変されない権利・無断利用を止める権利のセットだ。これを 「行使しない」と約束させられている。
つまり、
- AI生成のスカウト文面が、別の用途で勝手に使われても、文句を言えない
- 自社の入力データが組み込まれた生成物が、別のサービスに転用されても、止められない
- 採用担当者が「これは私が書いた文面です」と主張する筋合いがなくなる
実害が出るケースは稀だが、自社の知的財産権の一部を、ボタン1つで譲り渡している構造そのものは、知っておいて損はない。
「実害が出ないなら、気にしなくていい」のか
ここまで読むと、「で、結局何が問題なの?」という反応が自然だ。
実際、これらの構造によって明日漏洩事故が起きるわけではない。
- 候補者の経歴情報が第三者AIに渡っても、AI事業者はビジネス用途のデータをデフォルトで学習に使わない方針を取っているケースが多い
- 自社ノウハウがプラットフォーム事業者のサービス改善に使われても、それで採用が止まるわけではない
- 著作者人格権の不行使条項があっても、実害が出るシーンは稀
- 採用AI機能特約のユーザー保証条項違反による日本国内訴訟事例は、公開情報では確認できない(採用AI機能関連の判例蓄積は限定的)
その意味で、「気にしなくても採用業務は回る」というのは正解だ。
ただ、ここまでの構造を知らずに使うのと、知った上で使うのは、まったく違う。
候補者から「私の情報はAIに使われていますか」と問われた時の答え、経営層に「うちの採用AI、どこまで安全?」と問われた時の説明、AI機能特約の改定通知が届いた時の解像度── すべて変わる。
そして、業界として「同意取得+責任の転嫁」でAIガバナンスを回す設計が標準化しつつある以上、ユーザー(採用企業)の責任範囲は時間とともに広がる方向で改定されていく。今は実害が出ないから問題ない構造も、3年後にどうなっているかは分からない。
ここからが本当の話 ── このレイヤーはまだ「外部プラットフォームのAI機能」だけ
ここまで整理してきたのは、あくまで 「スカウトサイト等のプラットフォーム内AI機能」のレイヤー の話だ。「AIカスタマイズ」ボタンを押すと何が外に流れているか、という地図だ。
ところが、採用AIの本当のリスクは、もう1つ別のレイヤー にある。
それは、「スカウトサイトで見た候補者情報を、自社のATSにそのまま登録し、社内で使っている Claude や ChatGPT に貼り付けて要約・分析させる」レイヤーだ。
ATSへの登録は、HERPなら HERP へ、Greenhouse なら Greenhouse へという「SaaSへの提供」で、これはこれで別の論点がある。だが本当の山場は、その先── 自社の Claude や ChatGPT 等に、スカウトサイトで見たままの候補者情報(氏名は伏せられているが現職社名・学歴・年収・スキルは素)を貼り付ける瞬間 にある。
このレイヤーでは:
- 越境移転(個情法28条)の本人同意が成立しているか
- 容易照合性のある経歴情報を「個人情報」のまま投入していないか
- 仮名加工情報運用(法41条9項)に乗せて、漏洩時の報告義務を免除する整備があるか
- AI事業者ガイドラインに沿った社内規程・運用が回っているか
── 完全に 採用企業側の責任 で整備しなければならない論点が並ぶ。本記事は前者(外部プラットフォームAI機能)の地図、前記事02「採用業務でAIに応募者情報を入れている人事の3割が知らない、5つの落とし穴」が後者(自社AI利用)の地図だ。
採用AIガバナンスは、この2つのレイヤーを別物として整備しないと完成しない。 外部プラットフォーム側の理解だけでも、自社AI利用側の整備だけでも、片手落ちになる。
結語
採用AIは止めなくていい。生産性向上は明らかで、業界全体がそちらに動いている。
ただし、「使う」と「丸投げする」は別物だ。
スカウトサイトのAI機能規約を全部読み込むのは現実的ではない。けれども、ボタンを押した瞬間、外に何が流れているかは、3秒で答えられるレベルで把握しておく価値がある。
候補者の経歴情報の大部分、自社の採用ノウハウ、生成データの権利── これらが「ボタン1つで」動いている事実を、採用責任者の頭の中に地図として持っておくこと。
それが、これからの採用の専門性の一部になる。
「便利な機能が無料で増えた」ように見えるとき、実は情報の流れ方が、契約の裏側で書き換わっている。
その地図を持つだけで、判断の解像度はまったく変わる。
ご留意事項
本記事の法的整理は、当社の理解に基づく一般的な解説です。個別事案の法的判断、規程・契約条文の最終確定にあたっては、貴社顧問弁護士・行政書士等の専門家による確認を推奨します。
採用AI整備のご相談
セコネは、セキュリティ人材特化の採用コンサルティングを提供しています。採用業務のAIガイドライン整備を、外部プラットフォームAI機能のレイヤーと、自社AI利用のレイヤー(仮名加工情報運用・社内規程・応募者同意文面)の両方で、診断から実装まで一式で支援可能です。
「自社の採用AI、外部プラットフォーム側と自社AI側、両方のレイヤーで整備できているか」── まずはここを点検することから始められます。
著者:高田 祥
セキュリティ人材専門の採用コンサルタント。株式会社セコネ代表。
情報処理安全確保支援士(登録番号 第019946号)。上級個人情報保護士。個人情報保護監査人。CompTIA Security+。
セキュリティベンダー・事業会社のセキュリティ採用を、職種設計からスカウト・面接設計まで一貫して支援。採用業務でのAI活用に関する整備支援にも対応。
生成AI機能を提供する各HR・人材プラットフォームの利用規約・特約を参照(2026年4月時点で確認できた範囲)。本記事は特定の事業者を批判する意図はなく、業界横断的に観察される共通構造を整理したものである。法令の引用は、個人情報保護法(第28条)、経済産業省・総務省「AI事業者ガイドライン(第1.2版、2026年3月31日公表)」に基づく。