MeeeetUp. 法律・システム設計

① 顔登録フロー(Enrollment)
ユーザーエンドユーザー
提供事業者店舗・施設・イベント運営
MeeeetUpプラットフォーム
顔特徴量処理基盤(外部)
1顔画像を送信 MeeeetUp提供アプリ/端末から直接送信
2画像を受領 画像は④で削除し、MeeeetUp側で保持しない
📄 同意 ①
3MeeeetUp UUID発行 内部識別子を生成(外部に出さない真のID)
4顔登録API 呼出 & 画像即削除 画像 + 外部連携キー(= MeeeetUp UUID)を送信/送信後、受領した画像はMeeeetUp側で即削除
5特徴量処理 & 保管
① 抽出 ② 変換 ③ 画像削除 ④ 特徴量とMeeeetUp UUIDを関連付け
特徴量コンテナ内は顔特徴量処理基盤の閉域コンテナ/特徴量ベクトルのみ保管し画像は保存されない/中身を取り出すAPIが存在しない
6MeeeetUp UUID を受領・保存 顔特徴量処理基盤側では内部顔IDを内部UUIDに紐付け保存/MeeeetUp側にアウトプットされるのはMeeeetUp UUIDのみ
7事業者向け Pairwise ID を作成 & MeeeetUp UUID と紐付け 事業者ごとに別IDを発行(OpenID Connect PPID準拠)/その後 Pairwise ID を送信
📄 同意 ②
8Pairwise ID を受領 事業者専用の連携ID(内部UUIDは渡らない)
9登録完了通知を受領 事業者UI経由
顔登録フローの要点:
・画像は MeeeetUp 側で受領後、顔特徴量処理基盤への送信と同時に削除する。
・顔特徴量処理基盤も特徴量への変換後、閉域コンテナ内で画像を削除する。画像自体はどこにも保管されない。
・MeeeetUp UUID を発行し、顔特徴量処理基盤の閉域コンテナ内で特徴量と関連付ける。
・MeeeetUp UUID は生体情報を含まない。
・顔の特徴量は 顔特徴量処理基盤の閉域コンテナ内に完結し、MeeeetUp 自身も取り出す手段を持たない。
・提供事業者へは MeeeetUp UUID を直接渡さず、事業者専用の Pairwise ID に変換して提供する。
② 顔認証フロー(Authentication)
ユーザーエンドユーザー
提供事業者店舗・施設・イベント運営
MeeeetUpプラットフォーム
顔特徴量処理基盤(外部)
1顔画像を送信 事業者拠点の認証端末から MeeeetUp へ直接送信(事業者は画像を保持しない)
2画像を受領 画像は③で削除し、MeeeetUp側で保持しない
3顔照合API 呼出 & 画像即削除 画像を顔特徴量処理基盤へ送信/送信後、受領した画像はMeeeetUp側で即削除
4特徴量処理 & 照合
① 抽出 ② 変換 ③ 画像削除 ④ 特徴量コンテナ内で照合
特徴量コンテナ内は顔特徴量処理基盤の閉域コンテナ/特徴量ベクトルのみ保管し画像は保存されない/中身を取り出すAPIが存在しない
5マッチ結果を受領 MeeeetUp UUID + 類似度スコア
6Pairwise ID 変換 MeeeetUp UUID → 該当事業者専用 Pairwise ID に変換
7本人識別結果を受領 Pairwise ID + 類似度スコア(生体データは一切含まない)
8本人識別結果を受領 事業者UI経由(例: 受付完了表示・パーソナライズ表示)
認証フローの要点:
・画像は提供事業者を経由せず、ユーザー端末から MeeeetUp へ直接送信される。事業者は画像を保持しない。
・顔特徴量処理基盤も特徴量への変換後、閉域コンテナ内で画像を削除する。画像自体はどこにも保管されない。
・MeeeetUp が顔特徴量処理基盤から受け取るのは「誰か(MeeeetUp UUID)」と類似度スコアのみ。生体データは外部閉域から一切出ない。
・顔の特徴量は 顔特徴量処理基盤の閉域コンテナ内に完結し、MeeeetUp 自身も取り出す手段を持たない。
ユーザー 提供事業者 MeeeetUp 顔特徴量処理基盤
③ データ種類の定義
データ名 内容 保管場所
A. 生体データ層
A 顔画像 ユーザー端末で撮影された生の顔写真データ どこにも保管されない(MeeeetUp・顔特徴量処理基盤共に処理後即削除)
A 顔特徴量ベクトル 顔画像から抽出された数学的特徴量(float配列) 顔特徴量処理基盤の特徴量コンテナ(閉域コンテナ・取得API無し)
B. ID層
B MeeeetUp UUID MeeeetUpが発行する内部の真のユーザーID(外部非公開) MeeeetUp内部DB
B Pairwise ID 提供事業者ごとに発行する連携用の派生ID(OpenID Connect PPID準拠) MeeeetUp内部DB / 連携事業者DB
C. 行動データ層
C 時間データ 来訪時刻・滞在時間など、顔認証に伴い自動的に付与されるデータ MeeeetUp内部DB / 二段階同意で共有時は連携事業者DBにも存在
C 空間データ 認証場所・エリア滞留・動線など、顔認証に伴い自動的に付与されるデータ MeeeetUp内部DB / 二段階同意で共有時は連携事業者DBにも存在
D. 普遍情報層
D 普遍情報 氏名・会社名・メールアドレス・電話番号など、基本的に変わらない静的なプロフィール MeeeetUp内部DB / 連携同意時は連携事業者DBにも存在
E. 嗜好データ層
E 嗜好データ 購買履歴・好み・関心など 取得元の提供事業者DB / 共有同意時は MeeeetUp および他事業者DBにも存在
データ種類定義の要点:
A層 生体データ:MeeeetUp・連携事業者ともに一切取り扱わず、触れることができない。
C層 行動データの定義:顔認証に伴って自動的に付与・付属してくるデータのみを含む。購買データなど、提供事業者ごとに発生するデータは E層 嗜好データに分類する。
④ MeeeetUp のデータ取扱マトリクス
設計原則: MeeeetUp ID は顔だけで成立する
フォーム入力ゼロ・顔1枚で本人識別が成立する。

各データ種類ごとに ① MeeeetUpの取得② MeeeetUpでの保存③ MeeeetUpによる活用④ 事業者への提供 の4軸で分解。各軸に「必須/任意/不可」のいずれかを明示する。

データ名 ① MeeeetUpの取得 ② MeeeetUpでの保存 ③ MeeeetUpによる活用 ④ 事業者への提供
A. 生体データ層
A 顔画像 必須(認証成立に不可欠/MeeeetUp経由送信) 不可(処理後即削除) 不可(即削除) 不可
A 顔特徴量ベクトル 顔特徴量処理基盤が保有(MeeeetUpは未保有) 特徴量コンテナ(MeeeetUpは削除権のみ) 認証処理に限定 不可/閉域完結
B. ID層
B MeeeetUp UUID 必須(MeeeetUp発行) 必須(MeeeetUp内部DB) 内部ID解決のみ 不可(必ずPairwise経由)
B Pairwise ID 必須(MeeeetUp発行) 必須(MeeeetUp+事業者) 任意(連携同意で解放/事業者連携時に使用) 任意(連携同意で解放)
C. 行動データ層
C 時間データ 必須(顔認証API発動と同時に技術的に発生) 必須最小限拡張任意(詳細: ④-1 参照) 任意(分析・プロファイリングは別同意) 二段階同意/事業者間契約+ユーザー個別許可(詳細: ④-2 参照)
C 空間データ 必須(顔認証API発動と同時に技術的に発生) 必須最小限拡張任意(詳細: ④-1 参照) 任意(分析・プロファイリングは別同意) 二段階同意/事業者間契約+ユーザー個別許可(詳細: ④-2 参照)
D. 普遍情報層
D 普遍情報 任意(IDの成立に不要/ユーザーが提供を選んだ場合のみ) 任意(提供された場合のみMeeeetUp+連携事業者) 基本サービス提供 任意(連携同意で解放)
E. 嗜好データ層
E 嗜好データ 任意(事業者からの共有は強制しない/ユーザー拒否で停止) 任意(取得した場合のみ) 任意(別同意必要) 二段階同意/事業者間契約+ユーザー個別許可(詳細: ④-2 参照)
青=必須/可橙=任意/条件付き赤=不可
① MeeeetUpの取得=データがMeeeetUpに流入するか/ ② MeeeetUpでの保存=MeeeetUpがDBに残す許可/ ③ MeeeetUpによる活用=分析等に使う許可/ ④ 事業者への提供=事業者に渡す許可
④-1 C層(行動データ)の保存期間 3層構造

C層の保存期間は「目的×期間」で3層に分かれる。MeeeetUp自身の最小限保存/拡張活用/事業者の法定要件への対応、それぞれ根拠と期間が異なる。

保存目的 期間 根拠 適用範囲
層1 MeeeetUp自身の
最小限保存		 3年(デフォルト)
最長5年		 セキュリティ監査・不正アクセス検知・APT対応・ISO 27001 監査サイクル・インシデント対応
※ 改正個情法22条「利用目的の達成に必要な範囲」/GDPR Art.5(1)(e)		 全ユーザー共通
(活用同意の有無に関わらず)
層2 MeeeetUpの
拡張活用		 同意期間中(撤回可) 分析・プロファイリング・サービス改善
※ ユーザーの明示的・別建て同意が必要		 活用同意したユーザーのみ
層3 事業者法定要件への
対応(業務委託)		 3〜5年
(業種により最大10年)		 労働安全衛生法・高圧ガス保安法・GMP・建設業法等の入退場記録保存義務
※ MeeeetUpは個人情報取扱受託者(個情法27条5項)		 該当事業者を利用するユーザー
(例: 工場入退場ログ)
業界事例(参考): 金融機関の取引ログ 7-10年(法定)/通信事業者 6ヶ月-1年(電気通信事業法)/クラウドSIEM 1-3年/PCI DSS 1年以上/APT対応・サイバー攻撃調査 3-5年/ISO 27001 監査 3年〜
MeeeetUpの設計判断: APT潜伏期間2-3年・ISO 27001 監査サイクル3年を考慮し、デフォルト「3年」を採用。最長5年まで延長可能(要追加目的明示)。
ユーザー権利: いつでも個情法上の利用停止請求権を行使可能(層1・層2いずれも対象)。層3は事業者の法定義務範囲のため事業者経由で対応。
④-2 データ共有の2つのモード

データ種類によって、事業者への共有条件が2つのモードに分かれる。

モード1: シームレス型

対象: B層 Pairwise ID / D層 普遍情報
  1. ユーザーが MeeeetUp と事業者の連携同意を一度行う
  2. MeeeetUp が Pairwise ID を発行し、普遍情報と共に事業者へ提供
  3. 以後、同事業者内ではシームレスに利用可能
本人確認プロフィールとしての役割。ユーザーは1回の同意で事業者をまたいで使える「持ち運び可能なID&プロフィール」を手に入れる。

モード2: 二段階同意型

対象: C層 行動データ / E層 嗜好データ
  1. 前提: A事業者とB事業者が直接契約でデータ共有の合意を締結
  2. MeeeetUp が事業者間契約の存在を認識し、共有可能と判定
  3. ユーザーに「A事業者での嗜好/行動データをB事業者と共有しますか」と個別同意を提示
  4. 同意された場合のみ MeeeetUp がデータ連携を実行
事業者間の契約 + ユーザーの意思、両方の合意が揃って初めてデータが動く。MeeeetUp は仲介者ではなく「ユーザー同意の執行者」として機能する。
設計思想: 「静的な本人情報(B・D)はシームレスに」「自動発生の行動データ(C)と任意の嗜好データ(E)は二段階で慎重に」という構造により、利便性とプライバシー保護を両立する。ユーザーは常に最終的な許可権を握る。

基本データ層(A層 生体データ・B層 ID(MeeeetUp UUID・Pairwise ID)・C層 行動データの取得と最小限保存)に関する必須同意を、ユーザーの登録状態で整理する。
※ これらの同意がなければ MeeeetUp ID が成立せず、サービスそのものを利用できない。

パターン 取得・保存 活用 連携事業者への提供
完全新規
MeeeetUp未登録/事業者未登録		 ◎ 必要 ◎ 必要
不可
Pairwise IDのみ任意提供
MeeeetUp既登録・事業者新規
MeeeetUp既登録/事業者未登録		 取得済 取得済
不可
Pairwise IDのみ任意提供
事業者既登録・MeeeetUp新規
MeeeetUp未登録/事業者既登録		 ◎ 必要 ◎ 必要
不可
Pairwise IDのみ任意提供
両方既登録・未連携
MeeeetUp既登録/事業者既登録/両者未連携		 取得済 取得済
不可
Pairwise IDのみ任意提供

拡張データ層(D層 普遍情報・E層 嗜好データ)に関する任意同意を、ユーザーの登録状態で整理する。
※ A層(生体データ)、B層(ID:MeeeetUp UUID・Pairwise ID)、C層(行動データの取得・最小限保存)は同意がなければサービスそのものが成立しないため、本表では扱わない。

パターン MeeeetUp 連携事業者
取得・保存 活用 連携事業者への提供 取得・保存 活用 MeeeetUpへの提供
完全新規
MeeeetUp未登録/事業者未登録		 △ 任意 △ 任意 △ 任意 △ 任意 △ 任意 △ 任意
MeeeetUp既登録・事業者新規
MeeeetUp既登録/事業者未登録		 取得済 取得済 △ 任意 △ 任意 △ 任意 △ 任意
事業者既登録・MeeeetUp新規
MeeeetUp未登録/事業者既登録		 △ 任意 △ 任意 △ 任意 取得済 取得済 △ 任意
両方既登録・未連携
MeeeetUp既登録/事業者既登録/両者未連携		 取得済 取得済 △ 任意 取得済 取得済 △ 任意