今回の記事は英国の「Children's code」となります。GDPR そのものからは少し外れますが、GDPR にも度々記載されている子どもの保護に通じる大切なものとなるため本記事の題材としました。また、Children's code は ICO(Information Commissioner’s Office : 英国データ保護機関)により定められており法的強制力があります。罰則は GDPR とほぼ同等(最大1700万ポンド(日本円で約31.7億円(1ポンド=186.69円時)、または全世界売上高の4%)で非常に厳しく、高額な制裁のため十分にご注意ください。ただ、罰則以前に子どもの個人情報の処理は高リスクであるということを胸に刻んでおいて欲しいと願います。話は少し飛躍しますが、世界の各地で戦争が起こるたびに、子どもたちは保護されているのだろうか?と感じてしまうのですが、それは平時であっても大切なことで常に意識しておく必要があると考えています。子どもの保護を考えた思いは行動となり、少しずつ世界はより良くなるのではと思います。

EU GDPR と UK GDPR について

本内容について、GDPRに言及している内容がありますが、時系列で Children's code は2020年1月21日に公開され、そのわずか10日後の1月31日にBrexit(英国のEUからの離脱)があった関係で本内容中の「GDPR」は「EU GDPR」として説明させていただきます。また、「UK GDPR」は翌年の2021年1月1日に施行されています。

序文から

Children's code は子どもたちが生活のあらゆる側面において必要とする特別な保護措置を認める国連子どもの権利条約(UNCRC)に根ざしています。また、Children's code は、ICO により、親・子どもたち、学校、開発者、ゲーム会社、オンラインサービスプロバイダーとの対話による徹底的な協議プロセスを経て作られたものとなります。

また、英国では忘れられない事件がありました。Instagram を利用する14歳の少女が自殺した悲しい出来事です。年齢確認の欠落は今でこそ即時摘発案件ですが、当時(2017年)は Instagram は年齢確認を行なっていませんでした。この事は2019年にBBC でも取り上げられ大きな社会問題となりました。時系列でまとめると次のようになります。

  • 2017年 英国少女自殺
  • 2019年1月 BBCのニュースで取り上げられる
  • 2019年4月 Children's code 草案
  • 2019年12月 Instagram の年齢確認実施(新規ユーザーのみ)
  • 2020年9月 Children's code 発効

サービスを提供する事業者は、常に「子どもたちが触れるかもしれない」と考えて設計する必要があると考えています。当時、私自身この問題の狭間におりブランディングに適した Instagram のメディアとしての有益性と、対子どもの有害性と対峙しなければなりませんでした。もちろん結論は子どもの安全を優先する事でしたが、これを説明するためにグローバルの個人情報保護・プライバシー保護の最前線で活動されている弁護士の方に相談したり、深く悩んだことを思い出します。日本では残念ながら子どもに対する保護は欧米と比較して何年も遅れているため、なかなか理解を得ることは難しかったと記憶しています。理解を得られ実現した時の気持ちは今でも忘れられないものとなっています。Children's code ではそのための指針が多くの方々が議論された成果として示されているので是非ご確認いただきたいと思います。

Executive summary から

Executive summary に書かれた下記の言葉にはとてもグッときました。

"This code seeks to protect children within the digital world, not protect them from it."

(仮訳 この規範は、デジタル世界から子どもたちを保護するのではなく、デジタル世界内で子どもたちを保護することを目的とする。)

我が家の子どもたちが最初にネットワークに触れた際(それは YouTube でした)、明らかに有害な画像(子どもに人気のキャラクターを使用した、年齢制限有りの某ゲームを模したもの)に触れてしまうことを回避するために、様々な手立てを講じました。しかし、結局、私の講じた様々な対策は打ち破られ、YouTube アプリを消しても、ブラウザアプリから見られ、そこに制限を加えても、他のアプリから見られ正にイタチごっこだったことを思い出します。

子どもをデジタル世界から隔絶しようといくら足掻いてみても、既に大人だけでなく子どもにとっても生活から切り離せなくなっているのです。Executive summary の言葉は、こうした考えに基づいて書かれていると感じています。つまり、子どもがデジタル世界において、安全に活用するリテラシーを身につける必要があることは言うまでもありませんが、コンテンツやサービスを配信・提供する側にもルールが必要だと言うことになるかと思います。

適用されるサービス

Children's code の適用対象は ISS(“information society services likely to be accessed by children”)です。 この定義は、下記のようなものとなります。

“any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.”

(仮訳 通常、報酬を得て提供されるサービスであり、 遠隔地において、電子的手段により、個別の要求に応じて提供されるサービス。)

具体的に対象となるオンラインサービスは多岐にわたります。

  • アプリ
  • オンラインゲーム
  • サーチエンジン
  • SNS
  • メッセージサービス、もしくはネットベースの通話
  • マーケットプレース
  • コンテンツ ストリーミング サービス(動画、音楽、ゲーム配信サービス)
  • ネット接続されたおもちゃやデバイス
  • ニュースまたは教育ウェブサイト

注意点

子どもが対象でない場合も、子どもがアクセスする可能性がある場合は対応する必要があります。

対象企業

英国に本拠を置く企業のみならず、英国の子どもの個人データを処理する英国外企業にも適用されます。

GDPRの補完

原文には GDPR前文(38)が一部引用されています。

Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of personal data with regard to children when using services offered directly to a child.

(仮訳 子どもたちは、個人データの処理に関連するリスク、結果、安全対策、および自分たちの権利について十分認識していない可能性があるため、自分の個人データに関して特別な保護が必要である。特に、マーケティングまたはパーソナリティまたはユーザー プロフィールの作成を目的とした子どもの個人データの使用、および子どもに直接提供されるサービスを使用する際の子どもに関する個人データの収集にはそのような特別な保護が適用されなければならない。)

また、子どもに対するオンライン リスクの観点から、Children's code は GDPR の以下の条項を遵守するのに役立ちます。

  • 第5条(1)(a): 適法性、公正性、透明性の原則
  • 第5条(1)(b): 目的限定の原則
  • 第5条(1)(c): データ最小化の原則
  • 第5条(1)(e): 保存制限の原則
  • 第5条(2): アカウンタビリティの原則
  • 第6条: 処理の適法性
  • 第12条、第13条、および第14条: 情報を得る権利
  • 第15条から第20条: データ主体の権利
  • 第22条: プロファイリングと自動化された意思決定
  • 第25条: データ保護バイデザインおよびデータ保護バイデフォルト
  • 第35条: データ保護影響評価 (Data Protection Impact Assessment : 以降 DPIA と省略します)

15の基準

Children's code の具体的な基準は以下の15項目となります。

  1. 子どもの最善の利益:子どもがアクセスする可能性のあるオンライン サービスを設計および開発するときは、子どもの最善の利益を第一に考慮する必要があります。そしてこれは国連子どもの権利条約(UNCRC)の第3条に由来します。「子どもにとって」何が最善かがとても重要です。
  2. データ保護の影響評価(DPIA):DPIA を実施して、データ処理から生じるサービスにアクセスする可能性のある子どもの権利と自由に対するリスクを評価し軽減します。さまざまな年齢・能力・開発ニーズを考慮し、DPIA がこの規定に準拠して構築されていることを確認してください。
  3. 年齢に応じたアプリケーション:リスクベースのアプローチを採用して個々のユーザーの年齢を認識し、このコードを確実に子どものユーザーに適用する必要があります。データ処理によって生じる子どもの権利と自由に対するリスクに、適切なレベルの確実性で年齢を設定するか、代わりにこのコードをすべての年齢のユーザーに適用するようにしてください。
  4. 透明性:ユーザーに提供するプライバシー情報、およびその他の公開された規約、ポリシー、コミュニティ基準は、子どもの年齢に適した簡潔で目立つ、明確な言葉で表現されている必要があります。個人データの使用がアクティブ化された時点で、個人データをどのように使用するかについて、追加の具体的な「わかりやすい」説明を提供してください。
  5. データの不利益な使用:子どもの個人データを、子どもの幸福に有害であることが判明した方法、または業界の慣行規定、その他の規制規定、または政府の勧告に反する方法で使用しないでください。
  6. ポリシーとコミュニティ標準:独自に公開された規約、ポリシー、コミュニティ標準(プライバシー ポリシー、年齢制限、行動ルール、コンテンツ ポリシーを含みますがこれらに限定されません)を遵守する必要があります。
  7. デフォルト設定:デフォルトで設定は「高度なプライバシー」でなければなりません (異なるデフォルト設定を選択する説得力のある理由を証明できない限り、子どもの最善の利益を考慮して「高度なプライバシー」をデフォルトで設定してください)。
  8. データの最小化:子どもが積極的かつ故意に関与するサービスの要素を提供するために必要最小限の個人データのみを収集及び保持してください。どの要素をアクティブにするかについて、子どもたちに個別の選択肢を与えるようにしてください。
  9. データ共有:子どもの最善の利益を考慮して、やむを得ない理由を証明できない限り、子どものデータを開示しないでください。
  10. 地理位置情報:地理位置情報オプションをデフォルトでオフに切り替えます (子どもの最善の利益を考慮して、地理位置情報をデフォルトでオンにする説得力のある理由を証明できない限りオフにすること)。位置追跡がアクティブなときは、子どもたちにわかりやすい表示をしてください。子どもの位置を他の人に見えるようにするオプションは、各セッションの終了時にデフォルトで「オフ」に戻す必要があります。
  11. 保護者による制限:保護者による制限を提供する場合は、お子様の年齢に応じた情報を提供してください。オンライン サービスで、親や保護者が子どものオンライン活動を監視したり、位置を追跡したりできる場合は、監視されているときに子どもにわかりやすい表示をしてください。
  12. プロファイリング:デフォルトでプロファイリングを「オフ」にするオプションに切り替えてください(子どもの最善の利益を考慮して、プロファイリングをデフォルトでオンにする説得力のある理由を証明できない限りオフにすること)。子どもを有害な影響(特に、子どもの健康や幸福に有害なコンテンツを与えられること)から守るための適切な措置を講じている場合にのみ、プロファイリングを許可してください。
  13. ナッジ手法:子どもに不必要な個人データを提供させたり、プライバシー保護を弱めたり無効にしたりするよう誘導するための手法を使用しないでください。ナッジ(nudge)は注意を引くためひじなどで軽くつつく意ですが、ナッジ手法は2017年にノーベル経済学賞を受賞したリチャード・セイラー教授(米国・シカゴ大学)らが提唱したもので、「心理学の洞察を利用して経済的意思決定の際の分析を行い、それらを利用したしくみによって望ましい行動を自発的に選択するよううながす」という手法です。 ここで説明するナッジ手法はこの手法を悪用したケースを指し示します。
  14. 接続されたおもちゃやデバイス:接続されたおもちゃやデバイスを提供する場合は、この規定への準拠を可能にする効果的なツールが含まれていることを確認してください。
  15. オンライン ツール:子どもがデータ保護の権利を行使し、懸念事項を報告できるようにわかりやすく扱いやすいツールを提供してください。

ガバナンスとアカウンタビリティ

この箇所の説明にはGDPRそのものと共通する重要な課題が記載されており可能な範囲で説明します。ガバナンスとアカウンタビリティの重要性について、下記2つのGDPRの条項の引用とともに、「取締役会レベルのリーダーシップによってサポートされた場合に最も成功します」と書かれています。とても重要なアドバイスであると感じます。

GDPR 第 24 条第 1 項(コントローラ(管理者)の責任)

Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this regulation. Those measures shall be reviewed and updated where necessary.

(仮訳 処理の性質、範囲、状況および目的、ならびに自然人の権利および自由に対するさまざまな可能性および深刻さのリスクを考慮して、管理者は、適切な技術的および組織的措置を講じて、確実かつ適切な権利と自由を確保しなければならない。」この規定に従って処理が行われていることを証明できること。これらの措置は必要に応じて見直され、更新されなければならない。)

GDPR 第 5 条第 2 項(アカウンタビリティの原則)

The controller shall be responsible for, and able to demonstrate compliance with paragraph 1

(仮訳 管理者は第 1 項に対する責任を負い、それを遵守することを実証できるものとする。)

組織的な対応・措置は経営陣のリーダシップがないと容易には達成できず、経営層の関与はGDPRの法令そのものと共通の課題だと考えられます。Children's code にはこうした内容も細かく書かれています。

アカウンタビリティの実行

DPO(Data Protection Officer) を任命している場合は DPO が主導し、あるいは取締役会レベルの上級管理職が監督する必要があります。中小企業の場合でも、子どものプライバシーが担当者に理解されていることを確認することが重要であり、優先事項が説明責任とされています。また、継続的に評価・改善し、子どものプライバシーをめぐる環境の変化に対応していく必要があります。

スタッフのトレーニング

対象サービスの設計に関わるスタッフがデータ保護に関する適切なトレーニングを受け、Children's code を認識していることを確認する必要があります。

記録保管

GDPR第30条 取り扱い活動の記録(Records of processing activities)第1項に基づき、以下の記録を保管する必要があります。

  • 組織 (管理者、代表者、DPO) の氏名と連絡先の詳細
  • 処理の目的
  • 個人データのカテゴリーおよび個人データのカテゴリーの説明
  • 個人データの受け取り者のカテゴリ
  • 第三国への送信の詳細(送信メカニズムの保護措置の文書化を含む)
  • 保存スケジュール
  • 技術的および組織的なセキュリティ対策の説明
  • DPIAの記録

なお、これらの記録に使用できるテンプレートがICOのサイトに用意されています。

データ保護法への準拠をサポートおよび実証するためのポリシーを用意

Children's codeの要件(GDPR含め関連するデータ保護法含め)を遵守する方法を明文化したポリシーを用意する必要があります。特に前述した取り扱い活動の記録を保存する義務(GDPR第30条第1項)をポリシーでカバーすることが必要です。

準拠の証明

ICO から Children's code 準拠の要求があった場合は、この規範への準拠を ICO に証明する準備をしておく必要があります。これを行うためには、まず DPIA、関連ポリシー、トレーニング記録、および処理活動の記録のコピーを ICO に提供する必要があります。

ここまで読まれて既にお気づきの方もいらっしゃるかと思いますが、Children's code は GDPR というしっかりとした基礎の上に構築されている事に気づくと、GDPR に関わる者としては感慨もひとしおと思います。

一方で、日本は子どもの権利条約(United Nations Convention on the Rights of the Child)の批准が世界で158番目、国連子どもの権利委員会から何度も勧告を受けてきた国です(ユニセフのレポートカード(2022)によれば日本の子どもの「精神的幸福度」はワースト2位)。今年は日本こども家庭庁が設立されました。これから日本もEU並みに改善されていくことに期待したいと思います。

まとめ

詳細は本文で述べた通りですが、Children's codeに準拠するためには下記の15の基準に準拠する必要があります。

  1. 子どもの最善の利益
  2. データ保護の影響評価(DPIA)
  3. 年齢に応じたアプリケーション
  4. 透明性
  5. データの不利益な使用
  6. ポリシーとコミュニティ標準
  7. デフォルト設定
  8. データの最小化
  9. データ共有
  10. 地理位置情報
  11. 保護者による制限
  12. プロファイリング
  13. ナッジ手法
  14. 接続されたおもちゃやデバイス
  15. オンライン ツール

最後に

子どもたちも物心ついた時には既にインターネットの世界に入っていると考えられる現代において、「この規範は、デジタル世界から子どもたちを保護するのではなく、デジタル世界内で子どもたちを保護することを目的としています。」という考え方に深く共感します。デジタル世界から子どもたちを隔絶するのではなく、安全に健やかな成長を手助けるインターネットであって欲しいと思うと同時に、世界から戦争が無くなることを願わずにいられません。一番の被害者は子どもたちですから。

※ 本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。