OneTrust 同意管理 : 未成年のプライバシーを保護するための仕組み

はじめに

米国カリフォルニア州では、未成年(子ども)のプライバシーを保護するための法律として、2024 年7月1日にカリフォルニア州年齢適正デザイン法 (CAADCA : California Age-Appropriate Design Code Act) が施行予定です。

この法律では、プライバシーの設定について初期設定で高レベルに設定しなければならない他、企業がデータ保護影響評価(DPIA) を実施することを要求しています。

GDPRでは、年齢が16歳未満の場合の同意に関して、保護責任者の同意を要する規定(GDPR8条(1))されており、各EU加盟国は、国内法で13歳未満まで年齢を引き下げることが可能です。

子供のプライバシーと同意管理

EU やアメリカをはじめとした国や地域における子供の個人データを収集する際の同意に関するルールを紹介するとともに、それらを適切に取得したことを証明してくれるOneTru…

こうした法規制で定められた未成年のプライバシー保護のための規定を遵守するため、保護責任者の同意を取得し、未成年の個人情報を管理するために、OneTrustの「同意管理」モジュールには「データ主体グループ」というデータ主体間の親子関係を管理する仕組みがあります。

今回のブログでは、「データ主体グループ」機能について紹介します。

OneTrust データ主体グループ(保護責任者の同意を取得し、未成年の個人情報を管理するための仕組み)

データ主体グループとは?

データ主体グループは、別々のデータ主体をリンクすることで、親子関係を表現するために使用します。データ主体グループを使用すると、複数のデータ主体を 1 つのグループと見なすことできます。この機能を使用することで、親のデータ主体が、同グループの子データ主体に代わって同意を与える権限を持たせることが可能です。

データ主体グループの同意レコードは、通常の同意と変わらず、WebフォームやAPIなどのOneTrustの収集ポイントを通じて生成されます。収集ポイントから入力される情報は、データ主体グループのレコードとして親IDのレコードに子IDが結び付けられた形で保存されます。

実装方法

収集ポイントで「OneTrust がホスティングするウェブフォーム」を選択した場合、「保護者の同意を有効にする」オプションを有効にすることで、ダブルオプトインと組み合わせて比較的容易に実装することが出来ます。

しかし、「OneTrust がホスティングするウェブフォーム」では、見た目やデザインの自由度が制限されるため、顧客向けのサイトで使用するのに抵抗がある場合、「ウェブサイトのウェブフォーム」を収集ポイントとし、実装することになりそうです。

また、法規制で求められる要求事項によっては、OneTrustの標準機能でそれを満たせるかどうかについても確認する必要があります。

例えば、GDPR 8条2項では、管理者側の義務として、保護責任者の同意または承認を確認するために、利用可能な技術(テクノロジー)を考慮に入れたうえで、「合理的」な努力をするよう求めていますが、リスクが高い場合は、保護責任者の同意が適正であることを証明するために追加の検証のための情報を要求し、保持することが求められます。(詳細はこちらのブログをご参考ください。)

この場合、単純に電子メールで保護責任者から同意を得るだけではなく、保護責任者に対して追加の情報を要求し、検証するプロセスが必要となりますが、それを一連の同意管理プロセスにどう組み込むかは、システム外で対応することもできますし、OneTrustの提供する統合機能や別のシステムを活用し、実装するという選択肢も考えられます。

最後に

今回のブログでは、子供のプライバシーを保護するための仕組みとして同意管理機能のデータ主体グループについて紹介しました。

OneTrustの同意管理モジュールには、各法管轄区域に対応した同意管理の仕組みを構築するための必要な機能が網羅的に用意されています。

もし、OneTrustの同意管理ソリューションに興味のある方は、ぜひ弊社までご相談ください。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください