英国のオンライン上の子供たちを守るための大胆な取り組みは多くの疑問を投げかける

規制当局が懸念しているのは、子供たちがインターネット上で何を見ることができるかということだけではなく、インターネットが子供たちについて何を見ることができるかということも問題だ。

そして、GDPRを受けて、英国の情報コミッショナー事務局は、デジタルサービスに18歳未満のユーザーのプライバシー設定を強化することを要求する新しい一連の規則を制定しました。

簡単に言えば、「年齢相応のデザイン規約」は、ソーシャルメディアプラットフォームからインターネットに接続された玩具に至るまで、あらゆるものが子供に関するデータをどのように収集し、処理すべきかに関する新しい基準を詳述しています。

情報コミッショナーのエリザベス・デンハム氏は、英国のインターネット利用者の5人に1人が18歳未満であるにもかかわらず、「彼らは自分たちのために設計されていないインターネットを利用している」と述べています。デンハム氏によると、この規約の調査中に彼女のチームが出会った子供たちは、データ収集の慣行を「失礼」「詮索好き」「奇妙」と表現したそうです。この規約は、インターネット企業に対し、未成年者のデータの収集と取り扱いに特別な注意を払うよう求めることで、こうした状況に終止符を打つことを目的としています。

デジタル・文化・メディア・スポーツ省の広報担当者によると、このコードは英国を「世界で最も安全なオンラインの場」にするための継続的な取り組みの「重要な一部」となるという。しかし、本当にそうなるのか、そしてさらに重要なのは、それが一体何を意味するのかということだ。

ICOは、2018年5月に承認され、欧州連合（EU）のGDPRを補完するものとしてよく言及される2018年データ保護法に基づき、この法定実務規範を策定しました。データ保護法第123条は、子供が使用するデジタル製品およびサービスについて、年齢に応じた設計に関する新たな基準をICOが策定することを義務付けています。

EU法では、加盟国は新たな技術規制について欧州委員会に通知することが義務付けられているため、英国政府はまさにその義務を負うことになります。EU委員会による同様のケースの評価期間は通常約3か月です。この期間の後、DCMS長官のニッキー・モーガン氏がコードを議会に提出します。つまり、議員がコードを読み、異議を申し立てることができるようになるのです。

コード制定後40日間の会期中に異議申し立てが行われない場合、規則は公布され、21日後に発効します。ただし、企業には新しい規制枠組みに適応するための12ヶ月の「移行期間」が与えられます。これは実質的に、このコードが具体的な効果を発揮するのは2021年秋以降になることを意味します。その時点で、コードを遵守しない企業は制裁措置を受け、世界売上高の最大4%に相当する罰金を科せられることになります。

心配しないでください。Brexitの影響はありません。ICOによると、英国版GDPRが英国法の一部となるため、Brexitの最終的な結果やその後の交渉に関わらず、このコードは引き続き適用されるとのことです。

ICOの規範は、子供が使用する可能性のある製品を設計する際にすべての企業が遵守しなければならない15の基準を定めています。この規範の目的は、企業が18歳未満のユーザーから収集するデータの量を最小限に抑え、特定のサービスやデバイスの使用時に子供とその保護者が収集するデータの量と種類をより細かく制御できるようにすることです。

より具体的には、各サービスやアプリは、個々のユーザーが個別に設定するのではなく、デフォルトで「高度なプライバシー」設定を採用するべきです。プロファイリング目的でデータを使用するオプション（例えば、各ユーザーに表示されるコンテンツをターゲティングするなど）もデフォルトでオフにする必要があります。位置情報もデフォルトでオフにし、たとえ有効にしていたとしても、セッションごとに「オフ」に戻す必要があります。

コードの4番目の基準である透明性は、プライバシー情報やデータ利用に関するその他の企業ポリシーを、子供が理解できる明確で直接的な言葉で説明することを規定しています。ICOはさらに、「書面によるコミュニケーションだけに頼るのではなく、図表、漫画、グラフィック、動画、音声コンテンツ、そして子供が興味を持ち、興味を持つようなゲーム化されたコンテンツやインタラクティブなコンテンツ」の使用を推奨しています。私たちは、それほど分かりやすくはないにしても、幼児向けの利用規約の時代を迎えることになるかもしれません。

議論を呼ぶであろう 1 つの標準 (これについては後で詳しく説明します) では、各サービス プロバイダーは、ユーザーを ICO の標準に従って扱えるようにユーザーの年齢を自信を持って確認するか、すべてのユーザーを扱う際に同じ高度なプライバシーのデフォルト アプローチを適用するかのいずれかを行う必要があると規定しています。

しかし、どの企業がこの規範を遵守すべきかを判断するのは困難です。ICOの文書によると、「この規範は、英国において『子供がアクセスする可能性のある情報社会サービス』に適用されます」とのことです。これには、アプリ、プログラム、コネクテッドトイ、検索エンジン、ソーシャルメディアプラットフォーム、ストリーミングサービス、オンラインゲーム、ニュースや教育ウェブサイト、その他商品やサービスを提供するウェブサイトが含まれます。しかし、重要なのは、この規範は特に子供を対象としたサービスに限定されないということです。簡単に言えば、かなり厳格な年齢確認措置を実施しているウェブサイトを除けば、大多数のウェブサイトとサービスがこの基準を遵守する必要があるということです。

ICOは、サービス提供者に対し、児童が自社のサービスを利用する可能性が低いことを示す文書を提出することで、この規範を採用しない決定の正当性を証明することを提案しています。ICOによると、これらの文書には「市場調査、ユーザー行動に関する最新の証拠、類似または既存のサービスやサービスタイプのユーザー基盤、アクセス制限措置のテスト」などが含まれます。もちろん、児童が実際に特定のサービスを利用し始めているという証拠が明らかになった場合、当該サービスは年齢に応じた基準の適用を開始することが義務付けられます。

では、企業はどのようにしてユーザーの年齢を確認すべきなのでしょうか？ICOは特定の方法論にとらわれず、自己申告（低リスクのウェブサイト向け）、AIによる年齢推定、第三者による年齢確認サービス、さらには全ユーザーに身分証明書やパスポートのコピーの提出を求めることまで、様々な手法を挙げています。あるいは、企業はサービスの設定を年齢層ごとにカスタマイズするのではなく、すべてのユーザーに対して同じ年齢基準を適用するという選択肢もあるかもしれません。

「これは、ユーザーの年齢に関する情報をすべて無視しなければならない、あるいは成人ユーザーを幼児扱いしなければならないという意味ではありません。すべてのユーザーが、個人データの使用方法に関して、デフォルトで基本的な保護を受けられるという意味です」とICOの文書には記されている。

おそらく意外ではないが、テクノロジー業界の中には、こうした変化に冷淡な見方をする人もいる。英国のテクノロジー系スタートアップ企業のロビー団体であるデジタル経済連合（Coadec）は、ICOの規約を「大企業を縛り付ける悪質な規制の典型例」と呼び、激しく非難した。

Coadecは、この規則によりテクノロジー企業は同じ製品の複数のバージョンを設計する必要が生じ、最終的には、この微調整作業に投入できるスタッフと資本を持つ巨大テクノロジー企業に有利になると主張している。

同組織はまた、年齢確認管理を実施するために、企業はユーザーに関するデータを現在よりも多く収集する必要があると示唆している。この点に関して、ICOの文書は、ユーザーの年齢確認のために追加データを収集する企業は、そのデータを年齢確認以外の目的に使用すべきではないことを強調した。

「スタートアップのビジネスモデルを破壊しようとするこうした軽率な計画によって企業が被るコストについての影響評価は行われていない」とコアデックは声明で述べた。

この記事はWIRED UKで最初に公開されました。