カリフォルニアで始まる年齢確認デザインコードで求められるもの
※このインタビューは2023年8月15日に収録されました
インターネット空間が子供にとって安全な場所にしていくために新しい動きが始まっています。
今回は金融分野で活躍され、現在はKidsTechEthics™で子供たちに向けたサービスをて今日するジェフさんに、年齢適正デザインコードの制定から事業者に求められることについてお伺いしました。
前回の記事より
ジェフさんが出演されていた過去のインタビューを拝見したのですが、インタビューの中ではほとんどの企業は子供と倫理に関する問題に取り組めていないとお話しされていたのが印象に残っています。今現在ジェフさんが課題に思われているものについて教えて頂いても良いでしょうか?
子供の年齢確認が抱えるプライバシー保護との矛盾
Jeff: わかりました。事前にインタビューを視聴頂きありがとうございます。年齢確認については、ウェブサイト上で対象者の年齢を確認することがビジネス上求められるように変わって来ています。
ここでは年齢を正確に把握する様に変わって来ていることが背景にあるのですが、全ての個人の情報を特定できなくても利用者の年齢については把握することが求められる様になって来ています。
多くの企業では今起きている変化に気づくことができていません。プライバシーや年齢、性別や地域、その人個人の背景に関する情報を保護しながらウェブサイト上で確認していくことが求められ始めています。
ではオンライン上での年齢確認と活動においてどういった課題が生まれているのか紹介したいと思います。あるケースでは、年齢確認を行うために顔情報を利用した検知プログラムを実施している場合もあります。アルゴリズムを利用して、対象となる個人の年齢が幾つになるのかを想定するものです。
こういった機能を導入することは問題ないかと思いますが、検知機能を利用する際に高い確率でエラーが発生する場合があります。実際はウェブサイト上では13歳以上であれば問題なくサイトにアクセスできる様に設計されていることが多いですが、21歳以上の場合や、21歳から18歳の間で設定している場合もあります。
適正年齢をさらに引き上げられるかと言えば、13歳より下に引き下げることはとても難しいのです。では、適正年齢とはどの様に判断すれば良いでしょうか。米国内ではいくつかの連邦法があり、子供の情報に関してはCOPPA(児童オンラインプライバシー保護法)があります。
私が知る限りシンガポールでも同様の制度を進めているみたいです。シンガポールに限らず、世界中の様々な国で年齢確認についての取り組みが少しづつ進んできています。もし13歳以下の子供のサービスについては親が監督する様になることで、適切な管理はしやすくなると思います。
ただ13歳から17歳の間をどの様に考えるべきかということについてはより大きな問題になると考えられるため、ビジネスサイドの人たちと規制当局が一緒になって適切な方向性に向けて協議を行い始めています。
Kohei: なるほど。年齢に関する議論はとても大切ですね。ここからは次のテーマに移っていきたいと思います。前のテーマで年齢確認デザインコードについてのお話が出て来たかと思います。この年齢確認デザインコードについてはこれまでの子供の情報に関する規制と異なる点があるかと思います。
カリフォルニアで始まる年齢確認デザインコードで求められるもの
年齢確認デザインコードについてもう少し詳しく教えていただきたいのと、年齢確認デザインコードが子供と倫理にどう繋がっていくのかお伺いできれば幸いです。
(動画:California Age Appropriate Design Code)
Jeff: 子供向けのサービスを検討する際には、どの様にデータを取得し、利用し、処理するのかを十分に検討した後にどういったコンテンツをエンドユーザーへ提供するのかを考える必要があります。
提供するコンテンツに関しては、13歳以下を対象とするのか、13歳から17歳までの間なのか、それとも18歳以上なのかによって適切か否かの判断が異なってきます。
レコメンデーションを提案する仕組みを設計する際に取得したデータを利用して、どういったコンテンツを子供に表示するのかを含めて倫理的な検討を行うことが必要になります。
位置情報に関しては、子供に対して影響が大きなサービスを提供する際に一定の範囲内での利用を差し止めるような検討も進んでいます。位置情報を取得して別の機会に利用する場合について厳しく制限されています。先ほどお話しした13歳以下の子供に対して両親による同意を求めるようなケースが率直に公正ではないかとも思います。
レコメンデーションを提案する仕組みを設計する際には、こういった複雑な対策を事前に考慮する必要があります。レコメンデーションを通してどういったコンテンツを提供するのか、そして子供達へメリットがあるものなのかを事前に検討した上で対策を検討することが求められます。
加えて、データ保護影響評価についても未然に実施することが必要です。
これまで実施して来ていた影響評価についても、子供向けのサービスにおいて改めて実施することが必要です。これは子供のデータ保護影響評価と呼ばれるものです。子供の権利への影響評価と呼ぶ人もいます。それぞれ全く同じものではありませんが、同じ目的のもとで実施されることになります。
子供のデータを取得し、ビジネス利用を検討する際には事前に検討することが求められるのです。
Kohei: ご紹介ありがとうございます。先程カリフォルニア州でも年齢確認デザインコードが制定されたとお話をいただきました。カリフォルニア州の制度は英国の制度と少し異なる点もあるかと思います。カリフォルニアと英国の制度の違いについて教えて頂いてもよろしいでしょうか?
カリフォルニアと英国が採用した子供の年齢確認制度の違い
Jeff: カリフォルニアでは1990年後半に制定され、2000年代に施行されたCOPPA(児童オンラインプライバシー保護法)で既に定められている通り両親による同意が求められます。
(動画:Protecting Children's Privacy Under COPPA | Federal Trade Commission)
英国の場合は13歳以下であることを十分に確認し、対象年齢以下子供に関しては両親の同意のもとでビジネスに必要なデータを取得することが許されていますが、カリフォルニアに関してはデータマネジメントにおいて発生し得るリスクへ対象する必要があるレベルでの年齢確認が求められる様になります。
COPPA(児童オンラインプライバシー保護法)とは対照的に、罰則金に対する考え方がカリフォルニアでは異なります。子供に対する対策違反を行った場合には、一人の子供につき2500米国ドルが課せられることになります。
必要以上にデータを取得し子供のデータを処理していた場合については、全く規制に準拠した対応を実施していないということになります。
規制への対応を行った場合については、子供あたり7500ドルの支払いが求められることになります。カリフォルニア州で子供の利用者を多く抱えるサービスにとってはとても大きな罰則金になります。核心か田舎は内部情報を持っているわけではないのでわかりませんが、他にはカリフォルニア司法長官が執行を強化すると発表しています。
英国データ保護監督局のICO(情報コミッショナーオフィス)ではカリフォルニアよりも比較的緩い執行と罰則金を課すとしています。アイルランドやポルトガルのデータ保護監督局は法令違反に対してより大きな制裁金を課す事になると発表しています。カリフォルニアよりも厳格な執行を実施すると思います。
Kohei: 子供達のデータに対しても基本的な権利を保護するための動きが進みつつありますね。子供のデータに関する新しい制度はビジネスへの影響も大きなものとなりそうです。
ジェフさんが寄稿された記事をいくつか拝見したのですが、企業の取締役会がビジネスの意思決定を行う際に子供のデータに対する問題に取り組むべきであると書かれていました。
投稿したミディアムの記事を読んでみたのですが、非常に重要なポイントが紹介されていました。特に5つの重要事項について子供のデータについての適正なデザインを検討することが取締役会で必要であると書かれていたのが印象的でした。
質問ですが、プライバシー専門家はどのように適正年齢デザインコードに取り組めば良いか教えていただけますか?特に企業の取締役が心がけておくべき事についてもお伺いできれば幸いです。
〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?