カリフォルニア州の年齢相応のデザイン規定は、オンラインプライバシーに関する大規模な実験を開始することになる。そして、その影響は子供だけにとどまらない。
写真:イスラエル・セバスチャン/ゲッティイメージズ
インターネットを「子供に優しい」と表現する人はいないでしょう。親たちは、いじめっ子から捕食者、そして秘密の監視まで、インターネット上の無数の危険から子供をどう守るかに頭を悩ませています。カリフォルニア州で成立した新たな法案は、親の負担を軽減し、子供たちのオンライン保護においてテクノロジー企業にさらなる責任を負わせる可能性を秘めています。
今週、カリフォルニア州議会は「カリフォルニア州年齢相応設計法(California Age-Applied Design Code Act)」を全会一致で可決しました。ギャビン・ニューサム知事が署名し、この法案が成立すれば、18歳未満のユーザーを対象とするサイトやアプリは、製品の設計、開発、提供において「児童の最善の利益を考慮する」ことが義務付けられます。ADCAは、児童ユーザーに対する包括的なオンライン保護に向けた、米国におけるこれまでで最大の一歩となる可能性があります。
ADCAは、子供たちがオンラインで過ごす時間、子供たちに関するどのようなデータが収集されるのか、そしてスクリーンタイムがどのように害を及ぼす可能性があるのかといった点に対する監視がますます厳しくなっている中で制定された。この法案を主導する民主党員であり、2人の幼い子供を持つバフィー・ウィックス氏は、この法案は若者のインターネット体験を取り締まるためのものではないと述べている。「私はデジタルネイティブで、オンラインで快適に過ごせる子供たちを育てています」と彼女は語る。「彼らが学び成長する中で、安全を守るのは私たちの道義的義務だと感じています」。一方、テクノロジー企業には、子供たちのために健全でデータ保護に配慮したインターネットを設計する経済的インセンティブがない。
ADCAの主要な柱は、18歳未満のユーザー向けのウェブ製品を提供する企業のプライバシーポリシーを規制するものです。これらの企業は、子供ユーザーに対してデフォルトで高いレベルのプライバシーを提供することが義務付けられます。例えば、親がソーシャルメディアプラットフォーム上で子供が知らない人からのメッセージを受け取らないようにしたい場合、小さな「設定」タブをわざわざクリックする必要はなく、そのオプションは既にオンになっているはずです。また、この法案は、子供たちがインターネットの閲覧に関してより多くのデジタル主体性を持つことを目指しています。企業は、プライバシーポリシーに関する透明性のある情報を子供向けの言葉で提供し、子供がプライバシーに関する懸念事項を企業に報告できるようにすることが義務付けられます。
この法律が成立すれば、企業が子供の個人情報をどのように扱い、何をしてはいけないかについて、より厳格な規則が課されることになります。この法律の下では、企業はサイトの機能に厳密に必要な範囲を超えてデータを収集または共有することはできません。企業は「データ保護影響評価」という調査に回答することが義務付けられ、子供のデータがどのように使用されるかを詳細に開示することが求められます。また、自動再生や、アプリで過ごす時間を増やすためのゲーミフィケーションなど、中毒性のあるデザインメカニズムを採用しているかどうかも開示する必要があります。
最も注目すべきは、この法案が、特に子供を対象としているわけではないものの、子供が「アクセスする可能性が高い」サイトやアプリにも適用される点です。つまり、規制の対象は、モバイルゲームやティーン向けソーシャルメディアといった従来の規制対象にとどまりません。この規制は、Google検索、小売サイト、そして当サイトのようなニュースサイトなどにも適用される可能性があります。企業がADCAに違反した場合、90日以内に是正措置を講じる必要があります。さもなければ、カリフォルニア州司法長官事務所は、影響を受けた子供1人につき最大7,500ドルの罰金を科す可能性があります。
ADCAの支持者たちは、テクノロジー企業が既に引き起こした被害に対処するのではなく、子供たちを守る製品を積極的に設計するよう促すものだと主張している。「これは事後的な問題を解決するものではありません」と、非営利団体アカウンタブル・テックの共同設立者兼事務局長であるニコール・ギル氏は述べている。「これは、子供たちにとって安全で健全なオンライン体験を育む設計を奨励することを目的としています。」アカウンタブル・テックは、コモン・センス、フェアプレイ、米国小児科学会カリフォルニア支部などの団体と共に、この法案を支持している。
インターネットにおける子供の安全の現状は、どこもかしこも残念なものだ。ソフトウェア会社Pixalateによる最近の調査では、何千もの子供向けアプリがユーザーのGPSデータと自宅のIPアドレスを広告会社に送信していることが明らかになった。ソーシャルメディアアプリの習慣化の性質は、ソーシャルメディアと10代の若者のメンタルヘルスの関係について懸念を引き起こしている。オンラインでの子供のプライバシーを管理する主要な法律は、連邦児童オンラインプライバシー保護規則(COPPA)である。しかし、議会が1998年以来数回しか改訂していないCOPPAの適用範囲は限られており、13歳未満の子供を対象としたサイトとアプリにのみ適用される。18歳未満のすべての人と、「子供がアクセスする可能性が高い」が特に子供を対象としていない可能性のあるオンライン製品の両方に適用されるADCAは、はるかに広範なものになるだろう。
この法案に批判的な人々の中には、ADCAの適用範囲が広すぎると主張する者もいる。反対派には、ビデオゲーム業界団体のエンターテインメントソフトウェア協会(ESA)や、Google、Meta、Snapなどが加盟するTechnetなどが含まれる。また、ニュース/メディア・アライアンス(NME)も、オンラインニュースの出版コスト上昇を懸念し、この法案に反対するロビー活動を展開している。(WIREDの親会社であるコンデナストもメンバーであり、同社のCEOはNMEの理事を務めている。)
この法案では、サイトが子供によってアクセスされる「可能性」を構成する要素として、いくつかの指標が概説されています。その中には、サイトが子供向けの広告を掲載しているかどうかといった明確な指標も含まれています。しかし、サイトが「相当数の子供によって日常的にアクセスされている」かどうかといった曖昧な指標もあります。(「日常的」とはどの程度の頻度で、「相当数」とはどの程度の人数を指すのでしょうか?)
批評家たちは特に、ADCAが企業に対し「児童利用者の年齢を合理的な確実性をもって推定する」ことを義務付けていることに着目している。法案自体には、企業が児童利用者の年齢をどのように推定すべきかは明記されていない。では、どのように推定するのだろうか?一部の批評家が指摘するように、オンラインサービスはユーザーに運転免許証やクレジットカードの提示を求めるようになるのだろうか?年齢を推定することは、データ収集を減らすどころか、むしろ増やすことになるのではないだろうか?
この法案の支持者たちは、年齢推定方法は必ずしも侵入的である必要はないと主張している。カリフォルニア州と英国のデザインコードの両方を後援した5Rights Foundationの報告書によると、ユーザーは例えば、生年月日を自己申告したり、第三者の年齢保証プロバイダーを利用したり、「能力テスト」(年齢層を示すのに役立つパズルを解く)を完了したりすることができるという。出会い系サイトのように、ユーザーが成人であることを絶対に確認する必要がある企業は、運転免許証などの確かな身分証明書の提示を求めるだろう。ADCAの下では、企業は全ユーザーのオンライン活動のプロファイルを作成したり、既存のユーザーのオンラインプロファイルを保持したりすることも許可されるが、これらのデータプロファイルはユーザーの年齢を推定するためにのみ使用できる。年齢推定プロファイルは必要以上に長く保持したり、他の目的で使用したりはできない。しかし、規制当局がこれらの法律の側面をどのように施行するかは不明である。
ADCA には例外規定が含まれており、サイトやアプリが高いレベルのデータ保護を提供している場合 (ユーザーデータを販売しない、ターゲット広告を使用しないなど)、年齢推定メカニズムはまったく必要ない、と規定されています。
Fake-website.comというウェブサイトがあるとしましょう。もしFake-website.comに10代の若者が定期的に「相当数」訪れていることが判明した場合、ADCAに基づく規制の対象となります。この時点で、Fake-website.comには2つの選択肢があります。ターゲティング広告を使用したり、ユーザーデータを販売したりする場合、18歳未満と自認するユーザーにターゲティング広告を表示しないよう、ユーザーに生年月日の入力を促すなど、年齢推定メカニズムを導入する必要があります。これにより、Fake-website.comはユーザーデータポイント(生年月日)を他の用途に使用できなくなり、速やかに削除しなければなりません。ターゲティング広告を使用したり、ユーザーデータを販売したりしない場合は、それ以上の措置はありません。支持者たちは、関連条項(「すべての子供に与えられるプライバシーとデータ保護をすべての消費者に適用する」)こそが法案の核心であり、ADCAがインターネットをすべてのユーザーにとってより安全なものにするためのインセンティブとなるメカニズムだと主張しています。
ただし、施行できるかどうかは別問題だ。一方で、年齢推定条項を含むこの法案の曖昧さはあまりにも曖昧で、そもそも施行できないのではないかと懸念する声もある。「おそらくテクノロジー企業はこの法案を無視するだろう」と、非営利団体コンシューマー・レポートのテクノロジー政策ディレクター、ジャスティン・ブルックマン氏は言う。「ずさんな政策立案のように感じられる」
しかし、支持者たちは、この曖昧さは意図的なものだと主張している。この法律は、年齢推定要件を含む法案の具体的な内容を詰める任務を負う新たな規制機関を設置する。この機関は、企業と個別に協力し、2024年7月に施行されるこの法律への準拠方法を決定することを目的としている。
ADCAには前例がないわけではありません。この法案は、2021年に施行された英国の同様の法律をモデルにしています。英国のデザインコードが大きな影響を与えたかどうかは不明です。施行期間は1年ですが、まだ施行されていません。英国の情報コミッショナー、ジョン・エドワーズ氏はブルームバーグに対し、50を超えるオンラインサービスがどのようにコードを遵守しているかを「調査中」だと述べました。
ニューサム知事はADCAについてまだ公式の立場を明らかにしていませんが、9月末までに署名する予定で、成立すれば法案はカリフォルニア州の子供たちだけでなく、より広範な影響を及ぼす可能性があります。この法律はカリフォルニア州に拠点を置くユーザーと企業にのみ適用されますが、企業はカリフォルニア州向けのジオフェンシング保護ではなく、すべての子供たちに対してより高度なデータプライバシー保護を提供することを選択する可能性があります。例えば、欧州でGDPRが可決された際、マイクロソフトはGDPRの保護をすべてのユーザーに拡大することを選択しました。
ウィックス知事は火曜日の記者会見でこう述べた。「この法案が成立すれば、事実上、国の法律となることを心から願っています。」
受信箱に届く:ウィル・ナイトのAIラボがAIの進歩を探る
ピア・セレスは、WIRED.comがスムーズに運営されるよう尽力しています。見出しの作成から印刷記事のウェブ版へのリハーサルまで、彼女は常に執筆活動に携わっています。彼女は常に犬派です。…続きを読む
