COPPA(2)

Q: インターネットに国境はありません。米国外で制作され、運営されているウェブサイトやオンラインサービスに関しても、COPPAは遵守する必要があるのでしょうか?

A: はい。米国外にベースを置くウェブサイトやオンラインサービスも、①米国内の子供向けのものであるか、②オペレータが米国内の子供から個人情報を取得することを認識している場合には、遵守する必要があります。「オペレータ」とは、米国内におけるビジネスに関与する米国外のウェブサイトやオンラインサービスを含みます。なお、米国内のウェブサイトやオンラインサービスで、米国外の子供から個人情報を取得する場合にも、COPPAは適用されます。

 

ということで、最近仕事でCOPPA(Children’s Online Privacy Protection Act)が関連する件、要するに何らかのウェブサービスを米国で展開するけど子供の個人情報を取るかもしれない、というようなものがあり、1年7か月も前に記事を書いてほったらかしていたことを思い出しました。

続きをFAQ形式で訳し/まとめます。

 

 

 

 

 

 

 

 

 

 

 

Q: 最近のCOPPA関係の動きとして注意すべきものはありますか?

A: 法改正等の動きは見受けられないようですが、2017年1月、Electronic Privacy Information Center (EPIC)による申し立てに応じ、FTCは、インターネットに接続する子供向けおもちゃについて、プライバシー/セキュリティ上の懸念を検討することを決めました。EPICによれば、最近のハイテクおもちゃが子供の情報についてCOPPAに違反するかたちで”spying”しているとのこと。コレとかコレなんかがそうらしいです(どっちもイギリス製みたいですね)。

 

Q: COPPAは、ウェブサイトのみならず、「オンラインサービス」にも適用されるとのことですが、COPPAが適用される「オンラインサービス」にはどのようなものがありますか?

A: オンラインサービスは、広くインターネット又は広域のネットワークを介して提供されるいなかるサービスも含みます。例えば、ネットワークに接続するゲーム、ソーシャルネットワーキング、モノやサービスの販売、オンライン広告の受信、他のオンラインコンテンツやオンラインサービスとリンクして相互作用する場合などが含まれます。このほかにも、インターネットと接続する携帯アプリ、インターネットを介したゲームプラットフォーム、VOIPサービス、インターネットを利用した位置情報サービスなどもCOPPAの適用対象となるオンラインサービスにあたります。

 

Q: COPPAは、両親又は成人から取得される子供の個人情報にも適用されますか?

A: いいえ、適用されません。COPPAは、オンライン上で、子供から、個人情報(その子供自身の情報のほか、両親や友達その他の第三者の個人情報も含みます)を取得する際に適用されます。ただし、FTCは、オペレータに対し、親の同意の取得に際して取得されたすべての情報を機密のものとするよう推奨しています。

 

Q: COPPAが子供からの個人情報取得について適用されることは分かりましたが、私のウェブサイトでは、子供も含めた利用者に、任意で個人情報を入力してもらっており、サービスの利用につき必ずしも個人情報を入力する必要はありません。それでもCOPPAは適用されますか?

A: はい、適用されます。ウェブサイト又はサービスの参加に情報の入力が不要であったとしても、子供からの個人情報の取得には適用されます。COPPAは、子供が個人情報を掲示板等に投稿する場合にも適用されます。また、FTCは、積極的な個人情報の取得のみならず、永続的識別子を利用した子供の個人情報のトラッキングにもCOPPAが適用されることを明らかにしていますので注意してください。

 

Q: 子供が年齢を偽って一般のウェブサイトや子供の利用を禁止したウェブサイトに個人情報を登録した場合にはどうなりますか?

A: COPPAは、オペレータが、13歳未満の子供が個人情報を提供しているという「現実の認識」を持っている場合のウェブサイトやオンラインサービスを対象とします。したがって、COPPAは、ウェブサイト等の訪問者に年齢を尋ねることを義務付けるものではありません。また、オペレータが、一定の方法で訪問者の年齢スクリーニングをしたが、その入力された年齢が不正確なこともあるでしょう。したがって、子供が年齢を偽って(13歳以上であるふりをして)個人情報を提供した場合には、COPPAの定める親の同意の取得等の義務は生じないことになります。しかし、後に、オペレータが、「このユーザーは12歳以下の子供だ」と判断した場合には、COPPAが適用されることになります。

 

Q: COPPA違反のペナルティは?

A: 裁判所により、1件のCOPPA違反につき、最大4万ドルの民事制裁金が科せられる可能性があります。民事制裁金の金額は、違反の悪質性、対象オペレータが以前にCOPPAを違反していたかどうか、巻き込まれた子供の数、取得された個人情報の量と種類、情報がどのように使用されたか、第三者に提供されたか、企業としての規模を含む複数の要素に基づき裁判所が判断します。

 

Q: 州やFTC以外の連邦行政機関もCOPPAのエンフォースメントができるのですか?

A: はい、できます。COPPAは、州と一定の連邦行政機関に、所管する法人・団体につきCOPPAのエンフォースメントの権限を与えています。また、通貨監督庁(OCC)や運輸省のような一定の連邦行政機関は、所管業界のCOPPAの遵守について責任を負っています。

 

Q: 弊社のウェブサイトやアプリがCOPPAに適合していない場合、どうすればよいのでしょうか?

A: まず、COPPAのルールを遵守できる状態になるまで、13歳未満の子供からの個人情報の取得、その情報の第三者への提供、使用を停止してください。次に、貴社の情報の取扱実務と、プライバシーポリシーを注意深く見直してください。見直しにあたっては、①どのような情報を取得するのか、②どのような方法で取得するのか、③どのように使用するのか、④貴社ウェブサイト又はオンラインサービス上、取得情報が必要かどうか、⑤親に対する通知と裏付けの確認が可能な親の同意の取得のための十分な仕組みがあるか、そして⑥取得情報のセキュリティ、維持、削除の運用が十分か、の観点を注意深く検討してください。

 

Q: NPO/非営利団体のウェブサイトやオンラインサービスにもCOPPAは適用されますか?

A: COPPAは明文で、商業(commercial)ウェブサイトやオンラインサービスに適用され、非営利組織には適用されないとしています。ただし、非営利組織が、その構成員である営利組織の利益のために運営するウェブサイト等は、COPPAの適用を受ける可能性があります。このように、非営利組織には一般的にCOPPAは適用されませんが、FTCでは、非営利組織に対しても、プライバシーポリシーの掲載や子供の訪問者に対するCOPPA上と同様の保護を与えることを推奨しています。

 

Q: 弊社の子供向けウェブサイトは一切個人情報を取得しません。この場合でもプライバシーポリシーをウェブサイトに掲載しなければならないのでしょうか?

A: COPPAは、子供から個人情報を取得する/当該個人情報を使用する/第三者に開示するウェブサイト又はオンラインサービスにのみ適用されます。ただし、FTCは、特に子供向けのウェブサイト/オンラインサービスにつき、訪問者が個人情報の取扱について容易に理解できるよう、プライバシーポリシーの掲載を推奨しています。

 

Q: プライバシーポリシーにはどのような情報を盛り込む必要がありますか?

A: 法312.4(d)に定めがあります。大きく分けて、以下の3つの種類の情報を掲載する必要があります。

  • ウェブサイト又はオンラインサービスを通じて個人情報を取得、管理する全てのオペレータの名前、住所、電話番号、メールアドレス
  • 子供から取得する情報の内容(利用者である子供においてその個人情報を公開できる仕様かどうか、オペレータによる取得個人情報の使用目的・方法、オペレータによる個人情報の第三者提供の内容を含む)に関する記載
  • 子供の親が子供の個人情報を閲覧し又は削除できること、および個人情報の取得や仕様を停止できること、並びにこれらに措置に必要な手続

FTCは、スマホ等の端末でも見やすいよう、プライバシーポリシーが、取得情報の取扱について明確、簡潔な記載になることを期待しています。

 

(続く)

この記事が気に入ったら
いいね!をお願いします

Twitter で

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です