子供のプライバシーと同意管理

はじめに

世界の多くの国や地域において、子供のオンラインでのプライバシーを保護するための法律や規制があります。

例えば、EU GDPRやアメリカの児童オンラインプライバシー保護法(COPPA)では、企業や組織に対し、子供から個人情報を収集するウェブサイトやオンラインサービスについて親の同意を得ることが求められています。

今回のブログでは、EU やアメリカをはじめとした国や地域における子供の個人データを収集する際の同意に関するルールを紹介するとともに、それらを適切に取得したことを証明してくれるOneTrustの機能(親の同意を要するケースでの同意管理)について紹介します。

EU GDPR

8条1項では、年齢が16歳未満の場合の同意に関して、保護責任者の同意を要する規定がなされており、加盟国は、国内法で13歳未満まで年齢を引き下げることが可能です。

また、8条2項では、管理者側の義務として、保護責任者の同意または承認を確認するために、利用可能な技術(テクノロジー)を考慮に入れたうえで、「合理的」な努力をするよう求めています。

「合理的」の意味について、EDPBのガイドライン(7.1.4 Children’s consent and parental responsibility No.137)に説明と例が挙げられています。何が合理的であるかは、その処理に内在する固有のリスクと利用可能なテクノロジーによって決まるとされ、リスクが低い場合は、電子メールによる親の責任の確認で十分ですが、リスクが高い場合、管理者がGDPR第7条1項に従ってさらに証明のための情報について検証および保持のために要求するのが適切な場合があるとしています。

1. 子どもに対する直接的な情報社会サービスの提供との関係において第6条第1項(a)が適用される場合、その子どもが16歳以上であるときは、その子どもの個人データの取扱いは適法である。その子どもが16歳未満の場合、そのような取扱いは、その子どもの親権上の責任のある者によって同意が与えられた場合又は、その者によってそれが承認された場合に限り、かつ、その範囲内に限り、適法である。 加盟国は、その年齢が13歳を下回らない限り、法律によって、それらの目的のためのより低い年齢を定めることができる

2. 管理者は、利用可能な技術を考慮に入れた上で、その子どもについて親権上の責任のある者によって同意が与えられたこと、又は、その者によってそれが承認されたことを確認するための合理的な努力をするものとする

出典一般データ保護規則(GDPR)の条文 8条1項

アメリカ

アメリカにおける子供のプライバシー保護に関する法律は、FTC(連邦取引委員会)の要請により制定されたCOPPA(児童オンラインプライバシー保護法、1998年成立)があります。この法律は、13歳未満の子供のオンラインでの個人情報が保護者の管理のもと、安全に保たれることを目的とした法律です。

2013 年の法改正により、「子供の個人情報」の定義として、Cookie、地理的位置情報、画像、動画、子供の映像や音声を含むオーディオファイルが含まれるようになったものの、13歳以上の未成年もオンラインサービスを利用しており、危険にさらされていること、急速に変化するオンライン環境に法律が適応できていないこと、FTCの管轄外である海外の事業者や小規模運営者への法執行が困難であることなどにより依然として不十分であると考えられています。

州レベルの法規制

こうした問題に対処すべく、一部の州では、州レベルの法律で措置を講じています。例えば、カリフォルニア州のプライバシー法(CCPAやCPRA)では、子供のプライバシーに関連する規定を含めることで子供のプライバシー保護を強化しています。13歳未満については親の同意が必要なほか、13歳以上16歳未満については、自身で同意はできるものの、オプトイン形式での明確な同意を必要としています。

また、2024 年7月1日に施行予定のカリフォルニア州年齢適正デザイン法 (CAADCA : California Age-Appropriate Design Code Act) では、対象が18 歳未満に拡大される予定です。この法律では、プライバシー設定を初期設定で高レベルに設定しなければならない他、企業がデータ保護影響評価(DPIA) を実施することを要求しています。

また、この法律は、子供向けのサービスを提供している企業だけでなく、子供たちがアクセスする「可能性がある」サービスを開発している企業にも適用されます。

国レベルで現在議論されている法案

現在、国レベルとしては、上院議会で議論されている法案として、児童・青少年オンラインプライバシー保護法(CTOPPA)と子どもオンライン安全法(KOSA)があります。

CTOPPA(Children and Teens’ Online Privacy Protection Act)は、COPPAの修正、強化を目的としていることから、COPPA 2.0とも呼ばれています。Children and Teens’ Online Privacy Protection Actの「Teen」は、13歳~ 16 歳の個人(over the age of 12 and under the age of 17)を意味しています。子供の個人情報のオンラインでの収集、利用、開示に関する規制を強化する法案です。この法案には、COPPAでカバーされていない13歳から16歳までの未成年からのデータを収集する際に明示的な同意を取得すること、16歳以下の個人へのマーケティングの禁止などが含まれています。

シンガポール

PDPAでは、未成年者(つまり21歳未満の個人)が目的に対して同意を与えることができる状況を明記していません。しかしながら、PDPCのガイドライン「Advisory Guidelines on Selected Topics」では、13歳以上の未成年者であれば、通常、本人が同意することができる十分な理解力があるという実務上の経験則を採用するとしています。

8.6  The Commission is of the view that organisations should generally consider whether a minor has sufficient understanding of the nature and consequences of giving consent, in determining if he can effectively provide consent on his own behalf for purposes of the PDPA. It is also noted that, as a practical matter, some organisations may already have policies or practices providing for an age threshold of 13 years in relation to consent. Bearing this in mind, the Commission will adopt the practical rule of thumb that a minor who is at least 13 years of age would typically have sufficient understanding to be able to consent on his own behalf. However, where, for example, an organisation has reason to believe or it can be shown that a minor does not have sufficient understanding of the nature and consequences of giving consent, the organisation should obtain consent from an individual, such as the minor’s parent or guardian, who is legally able to provide consent on the minor’s behalf.

出典:「ADVISORY GUIDELINES ON THE PERSONAL DATA PROTECTION ACT FOR SELECTED TOPICS」 8.6 , Personal Data Protection Commission(Singepore)

また、このガイドラインでは、一般的な指針として、未成年者が13歳未満の場合、組織は未成年者の個人データの収集、利用、開示について、未成年者の親または後見人など、未成年者に代わって法的に同意を与えることができる個人から同意を得るのが望ましいとしています。

8.9 Where an organisation requires the consent of a minor for the collection, use or disclosure of his personal data, the organisation should consider whether it would be appropriate for the organisation to obtain consent given on behalf of the minor from an individual who can legally give consent on behalf of the minor. As a general guide, where the minor is under the age of 13 years, organisations may wish to obtain consent for the collection, use and disclosure of the minor’s personal data from an individual that can legally give consent on behalf of the minor, such as the minor’s parent or guardian.

出典:「ADVISORY GUIDELINES ON THE PERSONAL DATA PROTECTION ACT FOR SELECTED TOPICS」 8.9 , Personal Data Protection Commission(Singepore)

PDPA自体には、未成年者の個人データの収集、使用、開示に特に言及した規定はありませんが、シンガポールの個人情報保護委員会にあたるPDPCが、未成年者の扱いに一般的に敏感であることを考慮すると、未成年者の個人情報の収集・利用・開示は、個人情報保護法(PDPA)違反となる可能性もあることに留意する必要があります。

日本

GDPRが、子どもの個人情報を保護するために個人情報の処理について具体的な規定を定めているのとは対照的に、個人情報保護法には子どもの個人情報の処理に関する具体的な規定はありません。しかしながら、個人情報保護委員会のサイトによると、子供の同意に関して以下のような回答を掲載しています。

法規制では規定されていませんが、15歳以下の子供について、親権を有する父母など法定代理人から同意を得る必要があります。

Q1-62

何歳以下の子どもについて、同意をしたことによって生ずる結果を判断できる能力を有していないものとして、法定代理人等から同意を得る必要がありますか。

A1-62

法定代理人等から同意を得る必要がある子どもの具体的な年齢は、対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には 12 歳から 15 歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられます。

出典個人情報保護委員会 お問い合わせ > FAQ索引 > Q1-62 

ちなみに、GDPRでは、子供のスクールカウンセリングなどに関して同意は不要としていますが、日本においても、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき」に当てはまる場合(児童虐待,不登校,不良行為など児童生徒の問題行動)について児童相談所,学校,警察,医療機関等の関係機関が連携して対応する際に、個人情報取扱事業者は、あらかじめ本人の同意を得ずに第三者に個人データを提供することができます。

OneTrustの同意管理

こうした法規制を遵守するために、OneTrustのConsent & Preferenceモジュールには、正しく同意を取得されたことを証明するための仕組みが備わっています。

既存のウェブフォームやAPIを活用することで、柔軟な同意管理の仕組みを構築することが可能です。

さいごに

子供のプライバシーを保護するための法律は、国や地域によって様々です。今回のブログで紹介したように、未成年として保護すべき対象の年齢も各国の法律ごとに異なります。日本やEUのように、子供といっても16歳未満の子供を対象とする国もあれば、アメリカなどのように国レベルでは13歳未満を対象とする国もあります。世界各地でビジネスを展開する企業にとっては、悩ましい問題ですが、OneTrustの同意管理ツールを使用することで、各国の法規制に対応した同意管理の仕組みを実現することが可能です。

同意は単純に取得するだけでなく、同意を取得した際の目的や通知内容、さらにその後のデータ主体による同意ステータスの更新を適切に管理し、それに基づいて個人情報を適切に取り扱う必要があります。また、問題が発生した場合、同意が正当な手続きを経て取得されたことをDPAや個人などに証明する必要があります。こうした要件を満たして法令を遵守するためには、テクノロジーの力が不可欠です。これこそが、OneTrustのようなソリューションを必要とする理由です。

もし、OneTrustの同意管理ソリューションに興味のある方は、弊社までご相談ください。

この記事をシェアする