児童のオンライン・プライバシー保護法(COPPA)の規則案は、ターゲット広告のデフォルトオフ、プッシュ通知の制限、学校での監視の制限、データセキュリティの強化を義務付ける

2023年12月20日、連邦取引委員会(FTC)は、児童の個人情報の使用と開示に新たな制限を設け、事業者が児童のデータを収益化することをサービス利用の条件とすることを制限する「児童のオンライン・プライバシー保護法(Children’s Online Privacy Protection Rule、COPPA規則)」の変更を提案しました。FTCは、この規則案に関する意見を連邦官報に掲載後60日間の間、受け付けています。

背景

2000年に初めて施行された「児童のオンライン・プライバシー保護法(Children’s Online Privacy Protection Rule、COPPA規則)」は、13歳未満の児童から個人情報を収集する特定のウェブサイトやその他のオンラインサービスに対し、児童から個人情報を収集、使用、開示する前に、保護者に通知して同意を得ることを義務付けています。また、この規則は、児童のデータを保護するため、ウェブサイトやその他のオンラインサービスが収集できる児童のデータの内容や保持する期間に制限を加えています。連邦取引委員会(Federal Trade Commission、FTC)は、前回の2013年COPPA規則の変更に際し、児童がモバイル機器やソーシャルネットワーキングの利用を増加させていることを反映して、特に個人情報の定義を拡大し、児童のオンライン上での行動を追跡するクッキーなどの永続的識別子(Perpetual Identifier、PID）や、地理的位置情報、写真、ビデオ、音声記録を個人情報に含めました。さらに2019年に、FTCはCOPPA規則の再度見直しを開始し、ルールに変更が必要かどうかに関する一般からの意見を募集しました。また、COPPA規則を更新するかどうかについてワークショップなども開催し、175,000件以上の意見を得ています。同庁は「音声対応コネクテッドデバイス」、「教育技術(Education Technology、Ed Tech)」、「サードパーティの児童向けコンテンツを誘導する一般視聴者向けプラットフォームの利用増加」などのオンラインにおける児童向け市場におけるビジネス慣行が進化していることに注視しています。

注目すべき内容

連邦官報に掲載される通知の中で、FTCは以下のような規則の変更を提案しています。

• ターゲット広告に対する個別のオプトインの要求：COPPAの対象となるウェブサイトおよびオンラインサービスのプロバイダー事業者は、広告主を含む第三者への情報開示がウェブサイトまたはオンラインサービスの性質上不可能でない限り、保護者の同意を別途得ることが求められます。事業者は、第三者への個人情報の開示をサービス利用の条件とすることもできません。
• 個人情報の収集を条件とした児童参加の活動の禁止：個人情報の収集を条件とした活動への児童の参加禁止の要件を強化し、児童がゲームや賞品の提供、その他の活動に参加するために必要な個人情報以外を収集することを全面的に禁止します。さらに「活動」の意味を明確にするため、新たな文言を追加することを検討しています。
• 内部運用業務のサポート例外の制限：現行の規則では、事業者が他の個人情報を収集せず、永続的識別子をウェブサイトまたはオンラインサービスの内部運用のサポートのためにのみ使用する限り、「最初に保護者の同意なしの永続的識別子のみの収集」を例外的に認めています。提案されている規則では、この例外を利用する事業者は、事業者が特定の内部運用業務によって得た永続的識別子が児童を標的とした広告を含む児童個人と接触するために使用または開示されないことを保証しその方法を記載したオンライン通知を提供する必要がでてきます。
• 児童にオンラインに留まるよう促すことの制限：事業者は、内部運用業務のサポート例外の下で収集された複数の連絡先情報や永続的識別子を使用して、児童にプッシュ通知を送信し、サービスの利用を促したり奨励したりすることを禁止します。また、保護者の同意の下で児童から収集した個人情報を使用してサービスの利用を促す事業者は、COPPA規則が要求する直接通知やオンライン通知でそのことを通知する必要があります。
• 教育技術(Ed Tech)に関する変更：教育技術の利用に関する現行のガイダンスを成文化し、児童情報の商業利用を禁止し、追加の保護措置を導入します。学校や学区において、教育技術のプロバイダーが児童の個人情報を収集、使用、開示することは許可されますが、商業目的での利用は禁止されます。
• セーフハーバープログラムの説明責任の強化：COPPA規則のセーフハーバー(適用免除基準)プログラムの透明性と説明責任を高め、各プログラムの会員リストを公開し、追加情報を委員会に報告することを義務付けています
• データセキュリティ要件の強化：COPPA規則のデータセキュリティ要件を強化し、事業者に対して、児童から収集する個人情報に適した機密性や保護措置を含む、書面による「児童の個人情報セキュリティプログラム」を策定、実施、維持することを義務付けます。
• データ保持の制限：COPPA規則のデータ保持制限を強化し、個人情報の保持を、収集された特定の目的を果たすために必要な期間のみに認めることとします。さらに、事業者が保持された情報を二次的な目的に使用することも禁止し、事業者が情報を無期限に保持することは禁止されます。また、事業者に対し、児童の個人情報に関する書面によるデータ保持方針を定め、公表することを義務付けています。

以上に加えて、FTCは「個人情報」の定義を拡大し、バイオメトリクス識別子を含めることや、ウェブサイトやオンラインサービスが児童向けかどうかを判断する際に、マーケティング資料、消費者や第三者への説明、ユーザーや第三者によるレビュー、類似のウェブサイトやサービスにおけるユーザーの年齢を考慮することを明記するなど、COPPA規則におけるいくつかの他の定義の変更も提案しています。FTCは、この規則案に関する意見を連邦官報に掲載後60日間の間、受け付けています。

参考情報

米連邦取引委員会(FTC)、児童のデータを収益化する事業者の権益を制限

連邦取引委員(FTC)とは

連邦取引委員(Federal Trade Commission、FTC)は、米国における公正な取引を監督・監視する連邦政府の機関です。同国の競争法にあたる法律などに基づき、商業活動に関わる不公正な競争手段、不公正または欺瞞的な行為または慣行を、人・団体・または法人が行わないようにするために設立されています。1914年に商務省（Commerce Department）の企業局（Bureau of Corporations）から独立する形で設置されました。元々は当時の反競争的状況を防ぐ取り組みの一環として、不公正な方法による取引を防ぐことが主な任務とされていました。その後、FTCに反競争的行為を監督する広い権限を与える法律が制定され、1938年には「不公正または欺瞞的な行為または慣行」を防ぐ任務が追加されました。それ以降、FTCは商品取引における消費者保護全般を所掌するようになり、1975年には産業全体の取引規制に関するルール策定の権限が付与されています。その他、消費者プライバシー、児童プライバシーといった個別分野も扱っています。