スキップしてメイン コンテンツに移動

「米国COPPA」が求める親の同意の確認方法に自己撮り(selfie)をみとめるか?

 

 FTCは、米国連邦法「1998年児童オンライン・プライバシー保護法(COPPA)」 (注1)(注2 )に基づき、規制の細則については連邦取引委員会規則を策定することとなっており、同規則は2000年4月21日に施行され、以降も新たな技術の進展やサービスの拡大にあわせ、適宜見直し、改正が行われている。

 また、2015.3.20 の更新されたFTCのCOPPAのQ&A「Complying with COPPA: Frequently Asked Questions」は同法の運用解釈をめぐるガイダンスとして発刊している。 

 一般論でみると、米国の1998年「児童オンライン・プライバシー保護法(COPPA)」は、オンラインサービス運営企業(ウェブサイトやモバイル・アプリ等を含む)に対し、それらのユーザーが13才未満の子供たちを個人情報を集める前に「親の検証可能な同意(verifiable parental consent)」 (注3)を得ることを要求する。 

 ところが、一見簡単に思えるこの同意の確認方法の問題は米国の実務上従来から面倒な問題を投げかけてている。FTCはある企業の提案について慎重な検討を行っていると米国の大手ローファーム( Robinson & Cole Fieldfisher  ほか)が取り上げており、今回のブログはこの問題の複雑性ならびに情報機器がますます多様化する中で、児童のプライバシー保護問題への親の理解と生活に占めるIT面のイニシアティブを行政としていかに支援するかという問題を考えてみる良い機会として本ブログでも取り上げる。 

1.COPPAに関する連邦議会改正論議と州レベルでの取り組み

 (1)FTCの「Children's Online Privacy Protection Rule ("COPPA")」のこれまでの改正経緯一覧 を参照されたい。 

(2) 米国の全米州議会議員連盟(NCSL)は、州レベルにおける児童のプライバシーやサイバー被害、いじめ等から守るべき保護立法「State Laws Related to Internet Privacy 」つきカテゴリー分類、整理したうえで、その内容を以下のとおり概観している。

 この種の解説はわが国ではほとんど見ないので、ここで紹介する。なお、各条文へのリンクは略す。 

①Children's Online Privacy分野

・California州:Calif. Bus. & Prof. Code §§ 22580-22582 

・Delaware州:Del. Code § 1204C

②e-Reader Privacy電子書籍分野

・Arizona州:Ariz. Rev. Stat. § 41-151.22

・California州:Cal. Govt. Code § 6267、Cal. Civil Code § 1798.90

・Delaware州:2015 SS 1 FOR SB 68 Del. Code tit. 6, § 1206C

・Missouri州:Mo. Rev. Stat. § 182.815, 182.817

③ウェブサイトやオンラインサービスにおけるプライバシーポリシー分野

・California州:Calif. Bus. & Prof. Code § 22575、Calif. Bus. & Prof. Code §§ 22575-22578、

California Ed. Code § 99122

・Connecticut州:Conn. Gen. Stat. § 42-471

・Delaware州:Del. Code Tit. 6 § 205C

④Privacy of Personal Information Held by Internet Service Providers

・Minnesota Statutes §§ 325M.01 to .09 

・Nevada Revised Statutes § 205.498

・California Civil Code §§ 1798.83 to .84 

・Utah Code §§ 13-37-101, -102, -201, -202, -203

⑤False and Misleading Statements in Website Privacy Policies

・Nebraska州:Nebraska Stat. § 87-302(14)

・Pennsylvania州:18 Pa. C.S.A. § 4107(a)(10)

⑥従業員のE-mail交信内容やインターネット利用に関するモニタリングの告知

・Connecticut州: Gen. Stat.§ 31-48d

・Colorado州:Colo. Rev. Stat. § 24-72-204.5

・Tennessee州:Tenn. Code § 10-7-512

⑦〔参考〕各州の政府サイトのプライバシーポリシー 

2.FTC規則のこれまでの取り組み

(1)TFCは前述したQ&A””の「H.  VERIFIABLE PARENTAL CONSENT(IとしてEXCEPTIONS TO PRIOR PARENTAL CONSENTのQ&Aも定ている)で、その手続きを明確化している。(注4) 

 いずれにしても、これだけのページを割く以上、同法の運用面の複雑さが理解できよう。 

(2) COPPAの解釈、運用上の問題点

 COPPAは、親の同意を得る許容できる方法につき徹底が不能といえるリストを定める。たとえば、オペレーターは親に署名のうえ、アメリカ郵便公社の郵便(U.S. mail)、ファックスまたは電子スキャン(electronic scan) (注5)によって同意書を返すよう頼むことができる。または、他の方法で、例えばオペレータに対し親にフリーダイヤル受付の訓練された職員を置いていると言うように命じることができる。このように、現在認可された方法の多くは、今日の技術とりわけモバイル端末使用が習慣となっている時代には非実用的でふさわしくない。 

(3)ID verification, Trust Online, Authenticity Online, Safety Onlineの専門会社であるリヨ・ヴェリファイド社(Riyo Verified.) (注6)は、前述の親の同意手続き規定の実態に合わない現状にかんがみ、現状の方法に追加すべく、親が顔認証の写真を撮って、つぎにスマートフォンまたはコンピュータ・カメラを用いて「自撮り(セルフィー:selfie)」することを親に要求する「ツーステップ顔認識プロセス」につき、2015年11月までをもって連邦取引委員会(FTC)に対して承認を求めてきたのである。 

 同社によると、親の写真データは専門ソフトウェアにより保存し、提出された親のID(ソフトウェアは機密データを暗号化する)から親の年齢をチェックし、最後にリヨとそのサービスプロバイダーは5分の確認作業後いかなる親の情報をも「直ちに削除」するとする。 

 FTCは、2015年11月18日まで提案されたこの方法についての決定を延ばしていると最近発表した。FTCとしてはこの提案がこの提案が親の同意を得るより時代遅れの方法について、いくらかの実際的な選択肢を提供するように見える一方で、それはそれ自身の親のプライバシーに懸念が生ずるのである。どのように写真は分析されるのか、そして、運用会社は誰とその顔認証データを共有するのか? どこに、写真は保存されるのか、そして、どんな生体認証情報のセキュリティ対策が親によって提出される情報の不正発表を妨げるために実施されているか?

  Riyo Verifiedの提案は、あらたな挑戦のもう一つの良い例とデジタル・プライバシーの世界の緊張に置くもので、FTCとしては一般ルール策定にあたりより慎重な検討を要すると考えたのである。 

 急速に変化するデジタル市場の機関の適応性(または注意)の指標として、FTCの対応をモニターすることは、面白いと課題といえるのが、米国のローファームの見解である。 

**********************************************************************

(注1) 総務省情報通信国際戦略局国際政策課 入江晃史「オンライン上の児童のプライバシー保護の在り方について-米国、EUの動向を踏まえて-」

COPPAに関するわが国の解説文である。ただし、どういうわけか「親の検証可能な同意(verifiable parental」に関する具体的な説明はない。 

(注2) 米国は個別立法の国であるが、児童に有害なオンライン情報に関する連邦規制法も数多く存する。内閣府サイト「米国 3.青少年のインターネット利用環境(レイティング、ゾーニング)に関する制度、法及び政策とその背景 (3)連邦規制機関による規制」で確認されたい。

(注3) 親の検証可能な同意(verifiable parental consent)につき、わが国の「みんなのたのしいネットワーク」のなかの「the Children's Online Privacy Protection Act of 1998 (COPPA)の詳細化」から一部抜粋する。 

「細則(COPPAを受けたFTC規則)として最も注目されていたのは"verifiable parental consent"とはどのような方法を指すかでした。子どもの個人情報を取得するには「証明可能な親の同意」が必要なのですが、具体的にはどのような方法が必要かは法は規定していないからです。

ニューヨークタイムス(By JERI CLAUSING)が

"A number of companies had argued that e-mail from a parent should be considered sufficient proof of parental consent, saying that other methods can be too costly for small Internet start-ups. But privacy advocates countered that e-mail is too easy to forge, especially by children who are often much more tech-savvy than their parents."

と指摘しているように、産業界は電子メールでの確認が確実であり、他の方法は費用がかかり過ぎると言い、人権保護の立場からは親よりパソコンに詳しい最近の子どもたちは簡単にごまかしてしまうと主張するという問題があるわけです。

この点についてFTCのルールは「スライド制」という方法を採用しました。・・・」 

(注4) H.  VERIFIABLE PARENTAL CONSENT(IとしてEXCEPTIONS TO PRIOR PARENTAL CONSENTのQ&Aも定めている)

(1).  When do I have to get verifiable parental consent?

(2)May I first collect personal information from the child, and then get parental permission to such collection if I do not use the child’s information before getting the parent’s  consent?

(3) I collect personal information from children who use my online service, but I only use the personal information I collect for internal purposes and I never give it to third parties.  Do I still need to get parental consent before collecting that information?

(4) How do I get parental consent?

(5) I would like to get consent by collecting a credit card or debit card number from the parent, but I don't want to engage in a monetary transaction.  Is this ok?

(6) I would like to use a credit card or a government-issued identification as a method of parental consent.  I am worried, however, that I will not know whether it is the child’s parent or another adult who is submitting identification for consent.  Do I need to collect additional information to confirm that, in fact, it is the parent?

(7) What do I do if some parents cannot or will not use the consent method I have chosen?  For instance, some parents might not have a credit card, or might feel uncomfortable providing government identification information online.

(8)  Should I give out passwords or PIN numbers to parents to confirm their identity in any future contact with them?

(9) I know that I must allow parents to consent to my collection and use of their children’s information, while giving them the option of prohibiting me from disclosing that information to third parties.  Does that mean that if I operate a social networking site, or have chat rooms or message boards, I have to offer the same kind of “choice” about these types of sites as well?

(10) I am the developer of an app directed to kids.  Can I use a third party, such as one of the app stores, to get parental consent on my behalf?

(11) What types of information can I collect to obtain or confirm parental consent?  Can I use a parent’s mobile phone number to obtain or confirm parental consent?

(12) How long will “email plus” remain an approved form of parental consent?

(13) Can I use a third party to carry out my notice and consent obligations for me?

(14) Can I apply to the FTC for pre-approval of a new consent mechanism?

(15) I would like to apply to the FTC for approval of a new method of parental consent that I have developed, but I am concerned about having my trade secrets publicly posted.  Is there a way to prevent this?

(16) I run an app store, and would like to help app developers that operate on my platform by providing a verifiable parental consent mechanism for them to use.  Under what circumstances will this expose me to liability under COPPA?

 

(注5) ”electronic scan”とは、FTCのQ&Aによると、スキャンした文書をメールで送信(electronic scan (the “print-and-send” method)という意味である。 

(注6)  Riyo Verifiedの利用約款(Term of Use) を読んだが、FTCの規則の改訂前のためか具体的な点には言及していない。 

***********************************************************************

Copyright © 2006-2016 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...