アンドリュー・チン/ゲッティイメージズ
受信箱は嘆願メールでいっぱいになっているが、GDPR のもう 1 つの予期せぬ結果は、10 代の若者にとって悪いニュースとなる可能性がある。
今週発効する欧州のデータ保護法は、子どもとオンラインサービスに関する新たな規則を導入し、場合によっては16歳未満の子どもが個人データを要求するアプリを使用する前に親の同意を得ることを義務付けることになる。
年齢制限の背後にある考え方は、若者の個人データに関する保護を強化することですが、一部のアプリ開発者や専門家は、10代の若者が教育情報にアクセスしたりデジタル社会に参加したりすることを妨げるという意図しない結果をもたらす可能性があると主張しています。そもそも、年齢確認を機能させる方法を誰も本当に知りません。
生理周期管理アプリ「Clue」の創業者兼CEO、アイダ・ティン氏は、16歳未満の利用に親の同意を求めることが義務付けられることで、特に親に同意を求めることに抵抗を感じる若い女性がアプリのサービスから恩恵を受けられなくなるのではないかと懸念している。「13歳、14歳、あるいはもっと若い年齢で初潮を迎えた若い女性にとって、このアプリを使って自分の体の中で何が起こっているのかを親に説明してもらうのは本当に大変なことです」とティン氏は語る。「多くの人にとって、それは基本的に、Clueのようなサービスが提供する教育情報にアクセスできないことを意味すると思います」
年齢制限と保護者の同意に関する新しい規則は、EUの一般データ保護規則(GDPR)の一部です。この規則は、企業が個人情報を収集および処理する方法を規定しています。GDPRが規定する事項の一つは、企業が個人データを合法的に処理できる状況です。そのような状況の一つとして、企業がデータ主体から同意を得ている場合が挙げられます。
しかし、この規則では、子供はリスクや結果を理解できないため、データ処理に同意できない場合があることを認めています。そのため、「子供が16歳未満の場合、当該子供の親権者または後見人から同意または承認を得た場合にのみ、当該処理は合法となる」と規定されています。つまり、16歳未満の場合、親または後見人の同意を得て、企業がデータを利用する必要があるということです。
ヨーロッパ諸国すべてが16歳という年齢制限を設けているわけではありません。GDPRでは、この年齢制限を13歳まで引き下げる余地が残されています(これはこれまで米国とヨーロッパで一般的な基準であり、Facebookなどのソーシャルメディアプラットフォームでは、ユーザーに最低13歳以上の年齢制限を設けています)。英国とアイルランドは同意年齢を13歳に据え置くことを選択しましたが、フランス、オランダ、ドイツなどの国は16歳制限の導入に向けて動いています。
これを受けて、一部のアプリは年齢制限を変更し、16歳以上でないと利用できないようにしました。先月、WhatsAppはヨーロッパのユーザーの最低年齢を16歳に引き上げました(ただし、米国での利用は依然として13歳以上です)。Facebookは依然として13歳でも登録可能ですが、パーソナライズ広告などの一部の機能にアクセスするには保護者の同意が必要です。
規制における明らかな問題点の一つは、子供が未成年かどうかを実際に見分けるのが難しいことです。GDPRでは、サービス側がユーザーの年齢確認や保護者の同意取得をどのように行うべきかについて、「合理的な努力」を払う必要があると述べるだけで、具体的な規定はありません。子供が16歳以上だと主張した場合、企業側がどのように確認すべきかは明確ではありません。利用規約の変更だけで、16歳未満のユーザーが全員WhatsAppを離れるとは考えにくいでしょう。
そして、子供が親の同意を得ていることを徹底的に検証するために、企業は同意が正当であることを証明するために子供と親の両方の身元を知る必要があると思われます。これは、ほとんどのアプリのサインアップ手順をはるかに超えるレベルの検証です。
ティン氏によると、Clueはユーザーに年齢確認と、必要に応じて保護者の同意を求めるという。保護者の同意を得ていない未成年ユーザーはアプリを閲覧することはできるが、アカウント登録はできない。しかし、ティン氏は同社の年齢確認能力について現実的な見方をしている。「12歳の子供が13歳だと言っても、確認することはできない」と彼女は言う。
そしてClue社にとって、これはまた別の残念な連鎖反応を引き起こす可能性があると彼女は言う。同社は女性の健康に関する研究で学術界とも協力しており、虚偽の情報を提供する人々がデータを歪める可能性があるからだ。「基本的には、人々から提供されるデータを信頼する必要がありますが、誰もが突然16歳になったと仮定するのは良い解決策ではありません」と彼女は言う。「それは本当に最適とは言えません。」
彼女はまた、親の同意を求めることが義務付けられることで、例えば生理周期追跡アプリへのアクセス許可を求めるのが怖くて許可をもらえないなど、一部のティーンエイジャーが自分の健康や変化する体についてより深く理解するのに役立つ情報にアクセスできなくなるのではないかと懸念している。「本当に若い女性が支援を必要としていることを私たちは何度も目にしています。教育制度は彼女たちに必要な支援を提供していないのです」と彼女は言う。「女性が情報や教育へのアクセスが少なくなることを私は恐れています。」
ティン氏は、規制当局が新たな規則を制定する際に、女性の健康問題を明確に考慮するよう求めている。「フィットネストラッカーの使い方についてお父さんやお母さんに聞くのと、生理周期追跡アプリの使い方について聞くのとでは、全く違うと思います。残念ながら」と彼女は言う。
続きを読む: あなたが受け取っているすべての愚かなメールはGDPRのせいではない
ロンドン・スクール・オブ・エコノミクスの社会心理学教授、ソニア・リビングストン氏は、GDPRは、若者の個人情報を保護する必要性を認識している点で前向きな一歩だが、関連するすべての問題や、予期せぬ結果の可能性をすべて考慮に入れているわけではないと述べている。
親が子供たちのネット上での行動をより深く知ることは、多くの場合良いことかもしれないが、必然的に不平等が生じると彼女は指摘する。「穏やかで幸せな家庭であれば、親も子供も親の同意義務を歓迎するでしょう。なぜなら、誰もが自分が使っているものについて、より深く話し合うことになるからです」と彼女は言う。「不幸で、困難で、忙しく、緊張感に満ちた家庭では、これは子供のプライバシーへの不当な侵害につながるでしょう。」
リビングストン氏は、そもそも保護者による利用制限の必要性は、オンラインサービスがデータ保護に関して子供を公平に扱わなかった歴史的事実に起因していると主張している。例えば、利用規約が子供(あるいはほとんどの成人)には理解しがたいほど複雑であるなどだ。「GDPRは、業界が作り出した問題に対する解決策なのです」と彼女は言う。
今後、彼女は規制当局がデータ保護などの問題について親や子供たちと協議し、国民へのより良い教育を提供することを望んでいます。多くのサービスでは、収集するデータを最小限に抑え、人々が提供したい、あるいは提供できるデータ量に応じて段階的なサービスを提供することも可能です。
より政治的な提案としては、そもそも民間企業にどのような個人データを提供すべきかを再考することだと彼女は言う。「私たちは、多くのものが商業開発に委ねられる社会を築いてきました」と彼女は言う。「例えば、生理周期追跡アプリが10代の若者にとって役立つのであれば、なぜNHS(国民保健サービス)は無料で使える便利なアプリを提供しないのでしょうか?」
この記事はWIRED UKで最初に公開されました。
