FTCは、米国連邦法「1998年児童オンライン・プライバシー保護法(COPPA)」 (注1)(注2 )に基づき、規制の細則については連邦取引委員会規則を策定することとなっており、同規則は2000年4月21日に施行され、以降も新たな技術の進展やサービスの拡大にあわせ、適宜見直し、改正が行われている。
また、2015.3.20 の更新されたFTCのCOPPAのQ&A「Complying with COPPA: Frequently Asked Questions」は同法の運用解釈をめぐるガイダンスとして発刊している。
一般論でみると、米国の1998年「児童オンライン・プライバシー保護法(COPPA)」は、オンラインサービス運営企業(ウェブサイトやモバイル・アプリ等を含む)に対し、それらのユーザーが13才未満の子供たちを個人情報を集める前に「親の検証可能な同意(verifiable parental consent)」 (注3)を得ることを要求する。
ところが、一見簡単に思えるこの同意の確認方法の問題は米国の実務上従来から面倒な問題を投げかけてている。FTCはある企業の提案について慎重な検討を行っていると米国の大手ローファーム( Robinson & Cole ;Fieldfisher ほか)が取り上げており、今回のブログはこの問題の複雑性ならびに情報機器がますます多様化する中で、児童のプライバシー保護問題への親の理解と生活に占めるIT面のイニシアティブを行政としていかに支援するかという問題を考えてみる良い機会として本ブログでも取り上げる。
(2) 米国の全米州議会議員連盟(NCSL)は、州レベルにおける児童のプライバシーやサイバー被害、いじめ等から守るべき保護立法「State Laws Related to Internet Privacy 」つきカテゴリー分類、整理したうえで、その内容を以下のとおり概観している。
①Children's Online Privacy分野
・California州:Calif. Bus. & Prof. Code §§ 22580-22582
・Delaware州:Del. Code § 1204C
②e-Reader Privacy電子書籍分野
・Arizona州:Ariz. Rev. Stat. § 41-151.22
・California州:Cal. Govt. Code § 6267、Cal. Civil Code § 1798.90
・Delaware州:2015 SS 1 FOR SB 68 Del. Code tit. 6, § 1206C
・Missouri州:Mo. Rev. Stat. § 182.815, 182.817
・California州:Calif. Bus. & Prof. Code § 22575、Calif. Bus. & Prof. Code §§ 22575-22578、
California Ed. Code § 99122
・Connecticut州:Conn. Gen. Stat. § 42-471
・Delaware州:Del. Code Tit. 6 § 205C
④Privacy of Personal Information Held by Internet Service Providers
・Minnesota Statutes §§ 325M.01 to .09
・Nevada Revised Statutes § 205.498
・California Civil Code §§ 1798.83 to .84
・Utah Code §§ 13-37-101, -102, -201, -202, -203
⑤False and Misleading Statements in Website Privacy Policies
・Nebraska州:Nebraska Stat. § 87-302(14)
・Pennsylvania州:18 Pa. C.S.A. § 4107(a)(10)
・Connecticut州: Gen. Stat.§ 31-48d
・Colorado州:Colo. Rev. Stat. § 24-72-204.5
・Tennessee州:Tenn. Code § 10-7-512
(2) COPPAの解釈、運用上の問題点
COPPAは、親の同意を得る許容できる方法につき徹底が不能といえるリストを定める。たとえば、オペレーターは親に署名のうえ、アメリカ郵便公社の郵便(U.S. mail)、ファックスまたは電子スキャン(electronic scan) (注5)によって同意書を返すよう頼むことができる。または、他の方法で、例えばオペレータに対し親にフリーダイヤル受付の訓練された職員を置いていると言うように命じることができる。このように、現在認可された方法の多くは、今日の技術とりわけモバイル端末使用が習慣となっている時代には非実用的でふさわしくない。
(3)ID verification, Trust Online, Authenticity Online, Safety Onlineの専門会社であるリヨ・ヴェリファイド社(Riyo Verified.) (注6)は、前述の親の同意手続き規定の実態に合わない現状にかんがみ、現状の方法に追加すべく、親が顔認証の写真を撮って、つぎにスマートフォンまたはコンピュータ・カメラを用いて「自撮り(セルフィー:selfie)」することを親に要求する「ツーステップ顔認識プロセス」につき、2015年11月までをもって連邦取引委員会(FTC)に対して承認を求めてきたのである。
FTCは、2015年11月18日まで提案されたこの方法についての決定を延ばしていると最近発表した。FTCとしてはこの提案がこの提案が親の同意を得るより時代遅れの方法について、いくらかの実際的な選択肢を提供するように見える一方で、それはそれ自身の親のプライバシーに懸念が生ずるのである。どのように写真は分析されるのか、そして、運用会社は誰とその顔認証データを共有するのか? どこに、写真は保存されるのか、そして、どんな生体認証情報のセキュリティ対策が親によって提出される情報の不正発表を妨げるために実施されているか?
Riyo Verifiedの提案は、あらたな挑戦のもう一つの良い例とデジタル・プライバシーの世界の緊張に置くもので、FTCとしては一般ルール策定にあたりより慎重な検討を要すると考えたのである。
(注1) 総務省情報通信国際戦略局国際政策課 入江晃史「オンライン上の児童のプライバシー保護の在り方について-米国、EUの動向を踏まえて-」
COPPAに関するわが国の解説文である。ただし、どういうわけか「親の検証可能な同意(verifiable parental」に関する具体的な説明はない。
(注2) 米国は個別立法の国であるが、児童に有害なオンライン情報に関する連邦規制法も数多く存する。内閣府サイト「米国 3.青少年のインターネット利用環境(レイティング、ゾーニング)に関する制度、法及び政策とその背景 (3)連邦規制機関による規制」で確認されたい。
(注3) 親の検証可能な同意(verifiable parental consent)につき、わが国の「みんなのたのしいネットワーク」のなかの「the Children's Online Privacy Protection Act of 1998 (COPPA)の詳細化」から一部抜粋する。
「細則(COPPAを受けたFTC規則)として最も注目されていたのは"verifiable parental consent"とはどのような方法を指すかでした。子どもの個人情報を取得するには「証明可能な親の同意」が必要なのですが、具体的にはどのような方法が必要かは法は規定していないからです。
ニューヨークタイムス(By JERI CLAUSING)が
"A number of companies had argued that e-mail from a parent should be considered sufficient proof of parental consent, saying that other methods can be too costly for small Internet start-ups. But privacy advocates countered that e-mail is too easy to forge, especially by children who are often much more tech-savvy than their parents."
(1). When do I have to get verifiable parental consent?
(2)May I first collect personal information from the child, and then get parental permission to such collection if I do not use the child’s information before getting the parent’s consent?
(3) I collect personal information from children who use my online service, but I only use the personal information I collect for internal purposes and I never give it to third parties. Do I still need to get parental consent before collecting that information?
(4) How do I get parental consent?
(5) I would like to get consent by collecting a credit card or debit card number from the parent, but I don't want to engage in a monetary transaction. Is this ok?
(6) I would like to use a credit card or a government-issued identification as a method of parental consent. I am worried, however, that I will not know whether it is the child’s parent or another adult who is submitting identification for consent. Do I need to collect additional information to confirm that, in fact, it is the parent?
(7) What do I do if some parents cannot or will not use the consent method I have chosen? For instance, some parents might not have a credit card, or might feel uncomfortable providing government identification information online.
(8) Should I give out passwords or PIN numbers to parents to confirm their identity in any future contact with them?
(9) I know that I must allow parents to consent to my collection and use of their children’s information, while giving them the option of prohibiting me from disclosing that information to third parties. Does that mean that if I operate a social networking site, or have chat rooms or message boards, I have to offer the same kind of “choice” about these types of sites as well?
(10) I am the developer of an app directed to kids. Can I use a third party, such as one of the app stores, to get parental consent on my behalf?
(11) What types of information can I collect to obtain or confirm parental consent? Can I use a parent’s mobile phone number to obtain or confirm parental consent?
(12) How long will “email plus” remain an approved form of parental consent?
(13) Can I use a third party to carry out my notice and consent obligations for me?
(14) Can I apply to the FTC for pre-approval of a new consent mechanism?
(15) I would like to apply to the FTC for approval of a new method of parental consent that I have developed, but I am concerned about having my trade secrets publicly posted. Is there a way to prevent this?
(16) I run an app store, and would like to help app developers that operate on my platform by providing a verifiable parental consent mechanism for them to use. Under what circumstances will this expose me to liability under COPPA?
(注5) ”electronic scan”とは、FTCのQ&Aによると、スキャンした文書をメールで送信(electronic scan (the “print-and-send” method)という意味である。
(注6) Riyo Verifiedの利用約款(Term of Use) を読んだが、FTCの規則の改訂前のためか具体的な点には言及していない。
