海外で厳格化する「子どもの個人データ保護」。求められる対応とは?

「17歳未満へのターゲティング広告禁止」も。各国で進む子どもの個人データ保護

今や小学生からスマートフォンを持つのが当たり前の時代。デジタルネイティブとして生まれた子どもたちは、物心ついたころからオンライン検索やショッピングに慣れ親しみ、YouTubeやTikTokで動画を見たり、ときには自らが動画を配信したりと、一昔前では考えられないほど自由にオンラインサービスを使いこなして生活しています。

そんな中、海外では子どもたちの個人データ保護に関する規制強化が加速しています。子どもの個人データ保護に関する各国の主な動きをピックアップしてみていきましょう。

アメリカ

  • 2000年に「児童オンラインプライバシー保護法(COPPA)」が施行。13歳未満の個人情報については、本人確認を伴う「検証可能な保護者の同意」の取得を義務付け。
  • カリフォルニア州では、18歳未満のユーザーがアクセスする可能性のあるオンラインサービスや製品を提供する事業者に、子どものデータ保護を義務付ける新法が成立、24年7月に施行予定
  • 2022年10月現在議論が進んでいる連邦レベルの個人情報保護法案では、17歳未満へのターゲティング広告を禁止することや、米連邦取引委員会内に子ども専門部署を設置することが盛り込まれている。
  • 2019年にはFTCが、保護者の同意なしに子どもの個人データを集めたとして、FTCがYouTubeをCOOPA違反で摘発した。

アイルランド

  • EUの加盟国であるアイルランド当局は2022年9月、EU独自の個人情報保護ルール「一般データ保護規則=GDPR」に違反したとして、Instagramで18歳未満のユーザーのビジネス用アカウントで携帯電話番号やメールアドレスなどの個人情報を公開していたメタ社に約580億円の制裁金を命じた。

イギリス

  • 2021年9月にチルドレンコードを導入。同コードでは、18歳未満のユーザーがアクセスする営利目的のオンラインサービスに、「プロファイリングの禁止」や「影響評価の禁止」など15の基準を満たすことを課している。同コードの影響で多くの企業がターゲティング広告を制限するなどサービスを見直した。
  • 日本のゲーム大手・任天堂はEUの個人データ保護規制強化を受け、2016年からイギリスを始めとした欧州でユーザー登録を16歳以上に限定している。

中国

  • 2021年11月施行の個人情報保護法は、14歳以下の個人情報を「センシティブ情報」として手厚く保護することを求めている。

韓国

  • 2022年7月「子ども・青少年の個人情報の保護に関するガイドライン」を公表

諸外国のルールでは、企業が一定の年齢未満の子どもの個人データを集めて利用するにあたって、保護者の同意取得を求める内容が多くみられ、今後は子どもがアクセスする可能性が高いオンラインサービスに対して、様々な義務を課す動きが活発になってくるものと考えられています。こういった動きを受けて、現状では、サービス利用可能制限を設けて、幼い子どもの利用を制限する企業が増えています。この場合、従来は子どもが年齢を偽って利用した際の企業側の責任は問われにくいとされてきましたが、海外の例では、子どもが年齢を詐称する前提での対策も企業側に求められる傾向が見られるようになっています。

立ち遅れる日本。海外でのリスク増

このように、海外で子どもの個人データ保護の厳格化が進む中、日本ではまだ基本的な議論すら本格化しておらず、子どもの個人情報保護に関する法整備も企業側の対応も立ち遅れています。2022年10月現在、日本では子どもの個人情報に特化した保護規制やルールはほとんど存在しません。そのため、企業が国内で子どもの個人データを大人のデータと同様に取り扱ったとしても、特に制裁金などを課されるケースは報告されていません。

しかし、グローバルにビジネスを展開している企業の場合、海外で日本と同じ感覚で現地の子どもの個人情報を取り扱ってしまうと、現地の法律や規制に則った制裁を受けるリスクがあります。各企業には、諸外国のルールを十分に理解した上で、グローバルレベルと同様の自己規制を整備して、子どもの個人データ保護に自主的に取り組んでいく姿勢が求められるでしょう。