森大樹 Oki Mori
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
NO&T U.S. Law Update 米国最新法律情報
NO&T Europe Legal Update 欧州最新法律情報
子どもの権利に関する国際的な規範としては、1989年11月20日に国際連合で採択され1990年9月2日に発効した児童の権利に関する条約(日本は1994年4月22日に批准、1994年5月22日に発効)がありますが、近年、子どものデータ保護が国際的に注目されています※1。
まず、英国・欧州では、欧州で2018年5月に適用が開始された一般データ保護規則(GDPR)において、子どものデータ保護に関する特別な規定を設けていますが、英国ではGDPRを踏まえて2021年9月2日より子どもの最善の利益を考慮すべきこと等を定める年齢適正デザインコード(Children’s Code)の適用が開始されました。また、フランスのデータ保護機関も2021年8月に子どもの保護のために8つの勧告を公表しており、さらに、アイルランドのデータ保護機関も2021年12月にGDPRに基づく子どもについてのデータ保護の義務を明確化する14の基本事項を公表しています。これらに加えて、子どものデータ保護に関する違反に高額な制裁金を課しているデータ保護機関による執行事例も見られます。
また、米国では、子どもの保護のための連邦法として、1998年に児童オンラインプライバシー保護法(Children’s Online Privacy Protection Act of 1998。通称COPPA)が成立していますが、最近でも同法に関して高額な罰金の支払いを命じた事案があります。また、州レベルでも立法の動きがあり、例えば、カリフォルニア州では、2022年9月15日に英国のChildren’s Codeと同様の規律を定めたカリフォルニア州年齢適正デザインコード法(California Age-Appropriate Design Code Act)が成立しています(同法の主要な規定は2024 年7月1日に発効予定)。
以下、それぞれの概要についてご紹介します。
欧州で2018年5月に適用が開始されたGDPRは、前文38項において、子どもは個人データに関して特別の保護を享受する旨を規定し※2、透明性の原則を定める中で、「特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる」ものとしています(GDPR 12条1項)。また、個人データの処理の法的根拠が本人の同意に基づく場合、本人が16歳※3未満であれば、親権者の同意による必要があります(GDPR 8条1項)。この場合、個人データの管理者は、親権者の同意があったことを確認するための合理的な努力をしなければならないとされています(GDPR 8条2項)。
さらに、欧州各国のデータ保護機関の職務として、処理と関連するリスク、ルール、保護措置および権利について公衆の注意喚起をすることが挙げられ、そこでは、特に、子ども向けの活動に特別の注意を払うものとされています(GDPR 57条1項(b))。
その他にも、プロファイリングを含む個人に対する自動化された意思決定(GDPR 22条)につき、条文上は子どもかどうかを区別していないものの、前文71項では法的効果または類似の重大な効果をもたらすプロファイリングを含むもっぱら自動化された意思決定は子どもには適用されるべきでないとの説明がされており※4、また、個人の権利および自由に対する高いリスクを発生させるおそれがある場合についてデータ保護影響評価(Data Protection Impact Assessment)を行わなければならないとされているところ(GDPR 35条1項)、監督機関によっては子どものプロファイリング等の個人データの処理についてデータ保護影響評価を行うべきこととしている場合もあります(GDPR 35条5項)※5。
英国では、2020年9月2日に年齢適正デザインコード(Age Appropriate Design Code: Children’s Code)が発効し、その12カ月後の2021年9月2日より、GDPRの義務の遵守に関してChildren’s Codeが考慮されることとなりました。なお、GDPRは英国のEU離脱後はUK GDPRとして英国の国内法として維持されており、UK GDPRの内容は現状ではGDPRの規律とほぼ同様です。
Children’s Codeは、英国における「18 歳未満の子どもがアクセスする可能性が高いオンラインサービス(情報社会サービス)」※6に適用されます。なお、Children’s CodeはUK GDPRの域外適用を前提としているため、同様に域外適用があり得ます。
具体的には、UK Children’s Codeは以下のような15の基準から構成されています。
表1 UK Children’s Codeの15の基準
1. 子どもがアクセスする可能性の高いオンラインサービスの設計および開発時には子どもの最善の利益を第一に考慮すること | 9. 子どもの個人データを共有しない |
10. 位置情報のオプションはデフォルトでオフ | |
11. 親が管理できる場合には子どもにそれを伝える | |
2. データ保護影響評価の実施 | 12. プロファイリングのオプションはデフォルトでオフ |
3. 年齢に応じた適用 | |
4. 子どもにも分かるようにする透明性 | 13. 不必要なデータを提供させるナッジ技術は使用しない |
5. データの有害な使用の禁止 | |
6. 自ら定めたポリシー等の遵守 | 14. コネクテッド・トイまたはデバイスについて本コードを遵守するための効果的なツールを含める |
7. プライバシーに配慮したデフォルト設定 | |
8. データの最小化 | 15. 子どもがデータ保護の権利を行使しまたは懸念を報告するツールを提供する |
各基準の具体的内容についてはChildren’s Codeにおいて詳細な説明がされています。このうち、例えば、1つ目の基準として「子どもの最善の利益を第一に考慮」すべきことが挙げられていますが、これは子どもの権利条約における概念を採り入れたものです。ここでは、子どもがアクセスする可能性が高いオンラインサービスの設計および開発をする際には子どもの最善の利益を考慮することとされており、他の基準への対応を考える上でも重要な要素であると考えられます※7。また、データ保護影響評価についてもどのように実施すべきかが実務的には課題となりうるところですが、ICOはそのウェブサイトにおいてデータ保護影響評価のテンプレートやリスクアセスメントのツールなどを提供しています。
フランスのデータ保護機関(Commission Nationale de l’Informatique et des Libertés: CNIL)は、2021年8月、子どもの保護のために、以下のような8つの勧告を公表しています。これらは子ども、親・教育者、オンラインサービスプロバイダーの3つの視点を主軸に構成されていますが、内容は以下のとおりです。
表2 フランスのデータ保護機関による8つの勧告
アイルランドのデータ保護機関(Data Protection Commission: DPC)は、2021年12月に策定した2022年から2027年の規制戦略(Regulatory Strategy)において、子どもおよびその他の脆弱性のある集団の保護を目標の1つに掲げています。
また、DPCは、GDPRに基づく子どもについてのデータ保護の義務を明確化する14の基本事項(14 Fundamentals)を2021年12月に公表しました。当該基本事項は、18歳未満の子ども向けのサービスまたは子どもがアクセスする可能性の高いサービスを提供し、子どものデータを処理する全ての組織に適用され、オンラインとオフラインの両方においてこれらの基本事項を遵守する必要があるとされています。その具体的な内容は以下のとおりです。
表3 アイルランドのデータ保護機関による14の基本事項(Fundamentals)
英国・欧州の子どものデータ保護に関連する当局による最近の主な執行事例としては以下の二つが挙げられます。
【事案①】
アイルランドのデータ保護機関であるDPCが、2022年9月に、インスタグラムのGDPR違反について4億500万ユーロの制裁金を課すことを公表
(違反の概要)
【事案②】
英国のデータ保護機関であるICOが、2023年4月に、TikTokのUK GDPR違反について1,270万ポンドの制裁金を課すことを公表(2018年5月から2020年7月の違反)
(違反の概要)
米国では、子どもの保護のための連邦法として、Children’s Online Privacy Protection Act of 1998(児童オンラインプライバシー保護法)があります。
COPPAは、①13歳未満の子ども向けのウェブサイト・オンラインサービス運営者、および②13歳未満の子どもから個人情報を収集・保持していることについて「現実の認識」を有しているウェブサイト・オンラインサービス運営者を適用対象としており、COPPAにおいては、これらのウェブサイト・オンラインサービス運営者が何の情報を子どもから収集するか、どのように利用するか、および当該情報の開示の実務についてウェブサイト等で通知すること、および子どもからの個人情報の収集、利用または開示について検証可能な親の同意を得ることが求められます。
子どもデータ保護に関して最近社会の耳目を集めた執行事例としては、以下の事案が挙げられます。
【事案】
米国の連邦取引委員会(Federal Trade Commission: FTC)が、2022年12月に、ゲーム「Fortnite」の運営会社について、COPPA違反等のプライバシーの侵害により2億7,500万米ドルの罰金を支払うべきこと、違法なダークパターン等による課金について2億4,500万米ドルの返金(リファンド)をすべきことを公表。
(違反の概要)
カリフォルニア州では、2022年9月15日に州知事が年齢適正デザインコード法(California Age-Appropriate Design Code Act)に署名しました。その内容としては、18歳未満の子どもがアクセスする可能性の高いオンラインサービス、製品または機能を提供する事業者に対して、英国のChildren’s Codeと同様に以下のような事項が義務付けられ、または禁止されますが、これらの義務または禁止事項については2024年7月1日に発効することとなっています※8。
(ア) 主な義務
(イ) 主な禁止事項
なお、同法の規定への違反については、差し止めや、過失による違反についての影響を受けた子ども1人当たり2,500米ドル以下の民事罰、または故意による違反について影響を受けた子ども1人当たり7,500米ドル以下の民事罰が課されるとされています。ただし、事業者が同法で求めるデータ保護影響評価についての規定を実質的に遵守している場合、カリフォルニア州司法長官が当該事業者に執行する前に違反について書面で通知し、事業者が90日以内に違反を治癒し将来の違反を防止する十分な措置をとった旨を州司法長官に対して書面で通知すれば民事罰を課されないとの規定も設けられています。
カリフォルニア州以外にも、子どものデータ保護に関連する立法の動きが見られます。例えば、ユタ州では、18歳未満の子どもがソーシャルメディアのアカウントを維持または作成するために親の同意が必要になる旨の法律、およびソーシャルメディア企業がプラットフォームを利用するにあたって子どもに害が生じた際には責任を負う旨の法律がそれぞれ2023年3月23日に成立し、いずれも2024年3月に発効することとなっています※9。
上記の欧米の動向を踏まえると、子どものデータ保護についての事業者の対応の必要性は、今後ますます高まってくることが予想されます※10。もっとも、子どものデータ保護の重要性自体については疑義がないとしても、どの程度事業者が対応することが実務上可能かといった点については留意が必要であると思われます※11。
そして、実務的な対応については、例えば英国のICOは上記のとおりそのウェブサイトにおいてデータ保護影響評価のテンプレートやリスクアセスメントのツールなどを提供しており、これらの当局が公表する資料が参考になると考えられます。
また、個別の業界に着目すると、例えばゲーム産業における子どものデータ保護は上記の米国FTCによる執行事例もあるとおり重要であるといえるところ、ICOはゲームデザイナー向けにChildren’s Codeを適用する際に以下のような内容のtipsを公表しており、このようなtipsを参照することは、ゲームについての設計やこれに関する個人データの処理にあたって重要であると思われます。当該tipsにおいては、ゲーム設計者が「すべきこと」(should)と「できること」(could)についてそれぞれ具体例を掲げています。
表4 英国のICOによるゲームデザイナー向けのtipsにおける主な事項
(1) リスクアセスメントの実施 | |
---|---|
すべきこと |
|
(2) プレイヤーの年齢を知る | |
すべきこと |
|
(3) 透明性をもつ | |
できること |
|
(4) 子どものデータの有害な使用を防止する | |
すべきこと |
|
(5) 高いレベルのプライバシー設定を行い、親がコントロールできるようにする | |
できること |
|
(6) 責任あるプロファイリング | |
すべきこと |
|
(7) ポジティブなナッジ技術を実装する | |
すべきこと |
|
グローバルで子どもに向けたサービスを提供している企業はもちろんのこと、国内の子ども向けのサービスを提供している企業においても、今後の国内外の規制動向については注視していくことが必要であり、当事務所としても、皆様にとって参考になる情報を引き続き発信していきたいと考えています。
※1
また、デジタル環境における子どものリスクについては経済協力開発機構(OECD)も2021年5月31日に「デジタル環境の子どもに関するOECD勧告」(2012年の勧告を改定したもの)を採択しています。データ保護に限らずデジタル環境における子どもをめぐるリスクについて整理する上で、当該勧告を参照することは有益であると思われます。
※2
特に、マーケティングの目的、その子どもに関するパーソナリティもしくは個人プロファイルの作成の目的において子どもに関する個人データの使用、および子どもに対して直接に提示されるサービスを利用する際の子どもの個人データの収集に対して、そのような特別の保護が適用されなければならないとされています(GDPR前文38項)。
※3
ただし、加盟国は13歳を下回らない限りより低い年齢を定めることができます(GDPR 8条1項)。
※4
欧州データ保護会議(European Data Protection Board: EDPB)の前身となる第29条作業部会(Article 29 Working Party)は、「自動化された個人に対する意思決定とプロファイリング に関するガイドライン」において、GDPR 22条が子どもに関わるその種の処理を絶対的に禁止しているわけではないものの、前文の観点から、一般的に、管理者が処理を正当化するためにGDPR 22 条2項の例外に依拠すべきではないとの考えを示しています(個人情報保護委員会による仮日本語訳はこちら)。
※5
例えばアイルランドでは、子どもを含む脆弱な人をマーケティングまたはオンラインサービスのターゲットにするためにはプロファイリングすることがデータ保護影響評価の実施が必須となるリストに掲げられています。
※6
Children’s Codeでは、多くのアプリ、プログラム、コネクテッド・トイおよびデバイス、検索エンジン、ソーシャルメディア・プラットフォーム、ストリーミングサービス、オンラインゲーム、ニュースまたは教育Web サイト、ならびにインターネットを介してユーザーにその他の商品またはサービスを提供するWeb サイトを含むとしています。
※7
この点につき、Children’s Codeでは、子どもの権利を考慮しサポートするためには専門的な第三者からのエビデンスおよびアドバイスを利用する必要がありうるとしています。
※8
もっとも、カリフォルニア州の年齢適正デザインコード法に対しては、アメリカ合衆国憲法修正第1条に抵触する旨の訴訟が提起されていると報じられています。
※9
もっとも、ユタ州のこれらの法令についてもアメリカ合衆国憲法修正第1条等に抵触するのではないかとの懸念が業界団体から示されていることが報じられています。
※10
本稿で紹介した以外にも、例えば2022年11月に発効し2024年に全体の適用が開始される予定の欧州のデジタルサービス法(Digital Services Act)においても、オンラインプラットフォーム提供者に対する未成年者のオンラインにおける保護についての規定が定められており(同法28条)、また英国でも2022年3月17日にオンラインでの子どもの保護を定めるオンライン安全法案(Online Safety Bill)が議会に提出されています。
※11
たとえば、年齢認証のために個人データの提供を求めることになる場合には、当該情報にオンライン上の行動が結びつくことによりセンシティブな情報になりうるため、これによるデータ保護・プライバシーのリスクと子どもの保護のバランスをどのようにとるかが問題となりえます(フランスのデータ保護機関であるCNILもウェブサイトにおいてこの点について言及しています。)。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和
若江悠
福原あゆみ
(2024年12月)
前川陽一
(2024年12月)
前川陽一
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
大久保涼、逵本麻佑子、小山田柚香(共著)
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
大久保涼、逵本麻佑子、小山田柚香(共著)
福原あゆみ
鈴木明美、松宮優貴(共著)
(2024年11月)
本田圭(コメント)
宰田高志