『札幌都心部地下空間におけるICT活用実証実験専門家検討会議』_質疑・意見に対する札幌市の回答・対応
2017.10.16■札幌市まちづくり政策局_都心まちづくり推進室
3 会議における質疑・意見の概要と市の回答・対応結果については、下表のとおり。
区分 委員 質疑・意見 検討会議時回答 検討会議後対応結果
質問 安藤
質問 村上 ○データの保存先は、市内・国内・海外のいずれになるか。
意見 村上 寺田 安藤
意見 寺田
意見 安藤 ●検討していく。
意見 寺田 ●表現を「初回起動時」に修正する。
質問 安藤
1 会議開催日時:平成29年8月4日(木)13:30-15:00
2 会議開催場所:第1常任委員会会議室(札幌市役所本庁舎18階)
【札幌市】最終ログインから2年以上経過した方々のデータをいつ まで保存すべきか、御助言いただきたい。
⇒個人情報保護法により、第三者提供に係る情報の保存期間は最 低3年間保存となっている。3年間経過後は、速やかに削除が求め られる。1年に1回など計画的に削除することが望ましい。 属性(市民か観光客か)により、保有期間を変えるという考えも ありうると思うが、いずれにしても、長く持ちすぎるのは良くな い。※市の原案(2年+3年)は、長すぎるという印象。
【札幌市】アプリの退会時は、データのやり取りは無くなるもの の、アプリの機能自体は残るので、『アプリを削除するまで一部 継続利用できる部分はございます』というような文言を規定に入 れたほうがよいか。
⇒入れたほうが良い。「個人情報のやりとりはしていません。」 という文言も追記する形で。
○さっぽろアプリのユーザーから退会請求があった場合には、過 去のユーザーの個人情報の連携先にコンソーシアムから連絡し、 削除要請をするということを分かりやすく規約等に明記したほう が良いので、検討いただきたい。
○ガイドラインの文言について、アプリの利用規約に承諾を求め るのは、「初回ログイン時」ではなく、「初回起動時」とするべ き。ダウンロードしただけでデータを取られると、ユーザーが誤 解されるかもしれない。
◎利用規約修正案の第三者提供に関する条項に、第三者とは外国 にある企業も含まれることを明記する。
−
(左記のとおり意見を求めた)
◎ガイドライン資料P3にて、「初回起動時」に文言修正。 ◎利用規約案に、利用端末等内にサービス提供のためのアプリケ ーションがまだインストールされている場合は、当該アプリケ ーションを完全に削除するまで、一部の機能については引き続 き利用でき、その場合でも特定の個人を識別できる情報は取り 扱われない旨の規定を追加。
◎利用規約案に、お客様からコンソーシアムに退会請求があった 場合、コンソーシアムは関連サービス提供者にも当該請求事実 があったことを通知し、個人情報を全て削除することを要請す ると規定。
○データプラットフォームについて、セキュリティ対策は検討し ているのか。
●ファイヤーウォール、アクセス制限、アクセス記録、定期点 検、ウィルス対策ソフト、外部記録機器接続制限、並びに情報の クラウドへのアップ禁止などを予定。
◎理事会決定事項
①経済産業省ガイドライン(「個人情報の保護に関する法律に ついて」の経済産業分野を対象とするガイドライン)に沿っ て適切な管理措置を行うよう指導。
(具体)
・データベースへのアクセス制限(アクセス権限保有者を限 定し、理事会で指名)
・アクセス記録の確認と保管(毎週記録を出力し、個人情報 保護管理者が確認し、保管)
・ファイヤーウォール等のサイバー攻撃対策(セキュリティ 面で信頼あるデータベース業者を理事会が決定) ・記録機能を有する機器の接続制限(接続を禁止するととも に、個人情報保護管理者により監督)
●データの海外移転について、本人の同意を得るようコンソーシ アムを指導していく。
−
(左記のとおり意見を求めた)
◎理事会決定事項
②最終ログイン時から3年経過した方のデータを1年に1回定期 的に削除することとする。
●自分の連携中アプリは、コンソーシアム側(さっぽろアプリ 側)の画面で確認できるように進めている。よって、開示請求を しなくとも、さっぽろアプリがどのアプリを連携しているか、一 目で分かるのがスタート地点と考えている。
◎自分の連携中アプリを、さっぽろアプリ側の画面で確認できる仕 様とした。
○個人情報の開示請求があった場合、プラットフォームをハブに して、ユーザーが過去にどのサービスを利用したことがあって、 どこに個人情報が提供されているのかという情報まで開示される という理解でよいか。
区分 委員 質疑・意見 検討会議時回答 検討会議後対応結果
質問 寺田
意見 寺田
意見 安藤 ●左記意見の内容を反映させる。
林
○利用規約について、ユーザーとコンソーシアム、コンソーシア ムとサービス事業者の関係には対応しているが、事業者とユー ザーの関係について整理されていない。この部分についても市と して指導願いたい。
●コンソーシアムと各社が締結する契約書のガイドラインの中 に、各社がお客様の登録・履歴情報をコンソーシアムに提供する ことについて、お客様から承諾を得る必要があるということを明 記し、ガイドラインP2の関係図にも明示。
○外国人観光客が海外から持ち込んだスマートフォンを使って、 日本にデータを送ることは国外移転にあたる。特にEUの場合は、 海外移転に関して同意を取得しなければならないという法律に なっている。違反すると莫大な課徴金が発生するということがあ り得ることから、そのような海外の方への配慮を検討されている か確認したい。
座長 総括
①各委員からの意見を踏まえ、規約・契約案の修正点に対応し、 これに従って実施するよう札幌市がコンソーシアムを指導する。 なお、市より提出のあった規約・契約ガイドライン(案)は、非 常に概略的な記載であるため、これを実際の規約・契約にする際 は、専門家によるチェックを受けて、より精緻な見直しをする。 ②市の修正・対応結果は、再度各委員へ送付するとともに、市民 意見の内容と対応状況についても、併せて送付する。
③市は、コンソーシアムが以上の事柄・検討点を反映したことを 確認した上で、本実証実験を開始していただきたい。
(正当な要求に基づく廃棄・消去の規定について)
○お客様からコンソーシアムに削除要求があった際に、サービス 各社に対して当該要求の事実を通知し、削除を求める義務がコン ソーシアムに発生するということまでが規定されているわけでは ないので、市にその意図があるのであれば、規定の補充が必要。 ⇒
(林座長)コンソーシアムと事業者との関係においても、監督関 係がしっかり確保されている必要があり、それをお客様から同意 を得る条件に書き込んでいただくことが求められている。
− −
◎利用規約の第三者提供の条項に、国外端末からコンソーシアム へ提供する場合は、(外国人観光客の立場からは)海外移転に 当たることを踏まえ、同意を求める。
◎契約書案に、各サービス提供会社がコンソーシアムにお客様の 登録情報を提供することについて、サービス提供会社がお客様 から承諾を得る必要があることを規定する(P2関係図にも同様 の趣旨を記載追加)
◎各契約書案に、お客様から自身の登録データを削除するよう、 コンソーシアムが求められた場合、直ちに各サービス提供会社 に当該要求の事実を通知し、廃棄を求める必要があることを盛 り込む。
◎利用規約案に、上記のコンソーシアムの義務について、同意要 件の一つとして盛り込む。
●海外移転の同意について、規約に標準的に盛り込む方向で検討 したい。
