コンテンツにスキップするには Enter キーを押してください

子供のデータプライバシーの懸念により新しいCOPPA規則が施行される

投稿日 2025年6月13日

コンピュータを使っている子供たちの列

出典: Aleksei Gorodenkov via Alamy Stock Photo

連邦取引委員会(FTC)の児童オンラインプライバシー保護法(COPPA)の変更が今月施行され、13歳以下の子供から個人情報を収集するウェブサイトやオンラインサービスの運営者に対して追加の制限が課されます。

これらの変更は6月23日に施行されますが、COPPAの規制を受ける組織は2026年4月22日までに遵守を確保する必要があります。COPPAに違反した規制対象者は、1件あたり最大53,088ドルの民事罰を受ける可能性があります。

子供のデータプライバシーは大きな問題です。なぜなら、子供たちは若い年齢で技術を使用し始め、教育目的、娯楽、または社交のために常にオンラインにいるからです。親はしばしば子供のオンラインでの存在や、どのアプリケーションを使用しているか、どのサイトを訪れているか、どのゲームをしているかを完全には把握していません。これらはすべて機密データを吸い上げる可能性があります。そして、多くのアプリケーションやウェブページは必要以上のデータを収集しています。

COPPAは1998年に最初に制定され、商業ウェブサイトやオンラインサービスが子供の個人情報を収集、使用、開示する際に親の同意を得ることを義務付けています。FTCは2019年にこの法律の見直しを開始し、昨年変更を提案しました。新しい規則は4月に最終決定されました。

関連記事:Regeneronが23andMeの買収でプライバシー保護を誓約

COPPAの改正は、COPPAで保護される個人情報の範囲を生体識別子を含むように拡大し、ウェブサイトやオンラインサービスプロバイダーが子供から収集した個人情報をパートナーや他の団体と共有する前に、別途親の同意を得ることを義務付けています。情報を共有するための同意は、データを収集するための最初の同意とは別でなければなりません。最終的な変更は、運営者に対して、書面による情報セキュリティプログラムとデータ保持ポリシーを策定、実施、維持することを義務付けています。

親の管理を拡大

いくつかの変更は、技術やオンラインの慣行の変化を反映しています。例えば、現在収集されている連絡先情報には、親の同意フォームのための携帯電話番号が含まれています。収集する前に同意が必要な個人情報には、指紋、手形、網膜や虹彩のパターン、声紋、歩行パターン、顔のテンプレート、顔のプリントなどの生体識別子が含まれています。遺伝データも保護されています。

データ共有は過去10年間で大幅に増加しているため、新しい改正では、子供のデータを含む第三者との共有のすべてのケースで親のオプトインが義務付けられています。親は、データを受け取る第三者の身元と特定のカテゴリーについて通知を受ける必要があります。

関連記事:デジタルの暗黒面: 若者のメンタルヘルスについての沈黙を破る

そして、新しい規則はデータ保持に制限を設けており、運営者はデータを無期限に保存することはできず、「合理的に必要な期間だけ個人情報を保持する」ことが求められています。

改正はまた、「混合オーディエンスのウェブサイトまたはオンラインサービス」とは何かを再定義し、オンラインのプロパティが主に子供向けではないが、子供にアピールするコンテンツを含む可能性がある状況をカバーしています。このようなプロパティの運営者は、親の同意を得ることなく、限定的な目的のために個人情報を収集することが許可されます。例えば、親への通知を送信するため、子供のリクエストに直接応答するため、または子供の安全に関する場合です。

書面による情報セキュリティプログラムについては、運営者はプログラムを調整するために1人以上の従業員を指名し、少なくとも年に1回、子供のデータの機密性、安全性、完全性に対する内部および外部のリスクを特定するためのリスク評価を実施し、特定されたリスクを管理するための保護策を設計および実施する必要があります。また、運営者は書面によるデータ保持ポリシーを策定、実施、維持し、公開する必要があります。

関連記事:NISTがAIとガバナンスの改訂を含むプライバシーフレームワークを更新

実施には時間がかかる可能性

多くの組織は、来年の4月までに遵守するために手順や環境を変更する必要があります。法律事務所White & Caseのブログ投稿によれば、「データ収集、保持、安全性、開示の慣行を優先し、更新する」などの行動が含まれます。法律事務所はまた、最終規則で許可された検証可能な親の同意を得るための新しい方法を活用するよう企業に促しました。新しい方法には、取引アラートがあるように親にクレジットカードを使用させることや、12歳以下の子供には答えにくい複数選択の質問を出す知識ベースの認証プロセスを使用することが含まれます。

「重要なのは、COPPA規則が基準としてのみ機能することです。組織は、子供に潜在的に害を及ぼす可能性のある慣行に対して、FTC法第5条の下でより広範なFTCの執行を受けます」と法律事務所のブログ投稿に記載されています。

FTCは、新しいおよび更新された規則を最終決定する前に、多数のベンダー提案と公的コメントをレビューしました。データプライバシーと共にメンタルヘルス問題に対処しようとする2つの提案など、一部は採用されませんでした。

ある変更は、子供にプッシュ通知を送信するために親の同意を求めることを提案しました。「[機関]は、プッシュ通知やその他のエンゲージメント技術を使用して、子供をオンラインに留めることが子供のメンタルヘルスに害を及ぼす可能性があることを懸念しています」とFTCはプレスリリースで述べています。

翻訳元: https://www.darkreading.com/data-privacy/new-coppa-rules-children-data-privacy-concerns

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です