子どもを取り巻くサイバーセキュリティやデジタル安全について議論するとき、話題はたいてい二つの方向に収束します。一つは、米国でCOPPAが規制しようとしているような、不適切あるいは有害なコンテンツへの対応です。もう一つは、スクリーンタイムの過多が心理的・社会的に及ぼす影響への対処です。しかし、見落とされがちな重大な問題があります。
子どもたちは、親と同様のアイデンティティ、プライバシー、データセキュリティのリスクにさらされています。むしろ、リスクはさらに高いとも言えます。幼いうちから自分のデータやオンラインアカウントを守る方法を理解させることは、親としてますます重要な責任になりつつあります。
なぜ子どものデータが狙われるのか
現代の子どもたちはデジタルネイティブです。幼い頃から学校のアカウント、ゲームのプロフィール、クラウド上の写真、医療記録、さまざまなアプリのアカウントなどを持ちます。これらすべてに、個人情報の窃盗犯にとって価値ある情報が含まれています。
なぜこうした情報が狙われるのでしょうか。詐欺の観点から見ると、子どもの情報は「賞味期限」が長いからです。仮に情報が盗まれ、詐欺師が新たな信用枠を開くために使ったとしても、被害者が気づくのは何年も後、初めてローンを申し込む時になることが多いです。しかも子どもの信用情報はクリーンな状態のため、不正な申請が審査を通過してしまいやすいのです。詐欺師はそのままの情報を使うこともあれば、架空の情報と組み合わせて「合成ID」を作り出すこともあります。
AIツールの台頭により、こうした偽のアイデンティティを作成することはいっそう容易になっています。企業側には見破りにくいケースも増えていますが、詐欺が発覚した際にはお子さんの信用履歴に深刻な打撃を与えることになります。
これは決して架空のリスクではありません。あるレポートには、リスク・コンプライアンスの専門家Renata Galvãoの事例が紹介されています。彼女は6歳の時にIDを盗まれ、40万ドルを超える借金を作られました。名誉を回復し信用格付けを取り戻すまでに、20年以上かかったとされています。また別の事例では、Axton Betz-Hamiltonが11歳の時に身元を盗まれ、数千ドルに上るクレジットカードの未払い請求を受けました。彼女が被害に気づいたのは、大学で初めて公共料金の契約を申し込もうとした時のことでした。
最新データの入手は困難ですが、FTCによると、子どもを対象とした個人情報盗難は2021年から2024年の間に40%増加したとされています。
どのようなリスクがあるか
子どものデータが危険にさらされるケースはほかにもあります。オンラインアカウントを開設できるほどデジタルに慣れた子どもでも、セキュリティ意識が十分とは言えないことが多いです。特に、信頼できる人物や機関から送られたように見えるフィッシングメッセージに引っかかりやすい傾向があります。うまい話、一見無害なクイズ、FOMO(見逃したくない)型の広告なども、懐疑的な大人よりも純粋な13歳の子どもに刺さりやすいです。また、知らずにマルウェアをダウンロードしたり、パスワードや個人情報を友人と共有したりすることもあり、セキュリティリスクをさらに高めてしまいます。
セキュリティ上の弱点となりうるのは、子どもだけではありません。昨年発表されたサウサンプトン大学の研究によると、保護者の約半数(45%)が子どもに関する情報をオンラインで定期的に共有していることが明らかになっています。こうした「シェアペアレンティング(sharenting)」は、情報が詐欺師の手に渡るリスクを高めます。また同研究では、6人に1人の子どもが、サイバーいじめ、プライバシー侵害、個人情報の悪用など、少なくとも一形態のデジタル被害をすでに経験していると報告されています。
教育テクノロジー業者、学校のプラットフォーム、ゲームプロバイダー、スマートトイメーカー、SNS企業など、子どものデータを預かる組織自体が侵害されるリスクも高まっています。非営利団体のIdentity Theft Resource Center(ITRC)によると、昨年米国で確認されたデータ侵害は3,322件に達し、過去最高を記録しました。これは5年前と比べて79%増加した数字です。約2億7,900万人の被害者のデータが流出し、医療・教育分野は侵害件数の上位5分野に入っています。
AIアプリの普及もプライバシーリスクをもたらしています。子どもたちがAIツールを使う際、自分が実際に機微な情報を共有していること、そしてプロバイダーが侵害された場合にその情報が悪用される可能性を理解していないケースは少なくありません。
ゲームアカウントも詐欺師にとって格好の標的です。以下のような価値ある情報が含まれているためです。
- クレジットカードや金融情報(詐欺に悪用される)
- 同じネットワーク内の子どもたちへのスパムやフィッシングに使えるソーシャルグラフ
- 盗んで換金できるスキン
- 収益化に使える情報が含まれているプライベートチャット
これらすべてが、子どもの個人情報が漏洩しうる広大な攻撃対象領域を生み出しています。
異変の確認方法
子どものアイデンティティや個人情報(認証情報を含む)が盗まれていないかを確認する方法はいくつかあります。以下のような兆候があれば、危険信号として注意が必要です。
- パスワードが突然使えなくなる(第三者がアカウントにアクセスしてログイン情報を変更した可能性)
- ゲームアカウントからスキン、コイン、その他のアイテムが消える
- アカウントの変更、ログイン、リセットに関する通知が届く
- 身に覚えのない購入が発生している
- 友人や知人から、子どものアカウントから不審なメッセージが届いたと報告される
- 子どもが福祉給付を拒否される(他者が社会保障番号を不正使用しているため)
- 信用格付けの低下を理由に学生ローンや銀行口座の開設が拒否される
- 未払い税金に関する政府からの通知が届く(他者が子どもの情報を使って就職登録しているため)
- 子どもが作ったとされる未払い請求について、電話や書面による連絡が届く
共同の責任
実際には、子どもの個人情報を守るうえで複数の関係者が関わっています。最も重要なのは親ですが、学校、そして情報の共有を余儀なくされるアプリ開発者やデバイスメーカーも同様です。データのライフサイクル全体を一者だけで管理・保護することはできません。
では、親としてできることは何でしょうか。データの共有を制限し、アカウント設定を安全に構成し、子どもにベストプラクティスを教えることです。
まずはデータから始めましょう。新しいアカウントを作成すること、学校のアプリに権限を付与すること、あるいはオンラインでシェアペアレンティングをすることが本当に必要かどうか、一歩引いて考えることが大切です。データの最小化はGDPRの中核原則の一つです。外部に出る個人情報が少なければ少ないほど、悪用されるリスクは低くなります。
次に、すでに持っているアカウントについては、リスクを最小限に抑えるよう設定を調整しましょう。すべてのアカウントに長くて強力でユニークなパスワードを設定し、家族で使えるパスワードマネージャーに保存してください。これによりブルートフォース攻撃のリスクを軽減できます。フィッシングリスクを抑えるため、可能な限り多要素認証(MFA)を有効にしましょう。
すべてのアプリやSNSプラットフォームのプライバシー設定を見直し、最もセキュアな状態に設定しましょう。位置情報の共有・追跡は制限するか無効にしてください。アプリ内購入はすべて保護者の承認が必要な設定にしましょう。ハッキングへの露出を減らすため、すべてのデバイスとアプリを常に最新の状態に保ちましょう。また、利用可能な場合は、アプリ内の保護者向けコントロール機能を活用して使用状況を監視し、機微データの共有を最小化してください。
主要な3つの信用調査機関すべてに対して、子どもの名義でクレジットフリーズ(信用凍結)を申請しましょう。多少の手続きが必要ですが、第三者が子どもの名義でクレジットを申請できなくなるため、安心感は大きいです。
最後に、子どもと向き合い、個人情報保護の重要性、何が危険にさらされているか、そして悪意ある人物がどのようにデータを盗んで悪用するか(フィッシングの手口なども含めて)をしっかり話し合いましょう。パスワード管理の基本と、オンライン上の不審な動きを見極める方法を教えてください。何よりも大切なのは、子どもが何でも親に話せると感じられる環境を作ることです。
子どものアイデンティティを守ることは、デジタルの世界を制限することではありません。今も将来も、安心してその世界を歩んでいける自信を与えることなのです。
翻訳元: https://www.welivesecurity.com/en/kids-online/lessons-life-childrens-data-long-term-identity-risk/
