米国司法省は、玩具メーカーのApitor Technologyが、子供の位置情報データを保護者の同意や知識なしに中国の第三者が収集できるようにしたとして、同社を提訴しました。
連邦取引委員会(FTC)からの通知を受けて司法省が提出した訴状によると、Apitorは子供のオンラインプライバシー保護規則(COPPA)に違反し、保護者への通知や同意を得ずに子供の位置情報を収集していたとされています。
Apitorは6~14歳向けのロボット玩具を販売しており、ユーザーは玩具を操作するための無料Androidアプリを利用できます。玩具と接続して使用するには、ユーザーは位置情報の共有を有効にする必要があります。
しかし、このアプリはJPushというサードパーティのソフトウェア開発キット(SDK)も利用しており、開発者が子供の正確な位置情報を、ターゲティング広告を含むあらゆる目的で収集できるようになっています。
「この過程で、Apitorは第三者が位置情報を収集していることを保護者に通知せず、13歳未満の子供からこのデータを収集する前に保護者の同意を得ることもしませんでした。これはCOPPAで求められていることです」と、FTCは水曜日に述べました。
和解案のもと、Apitorは今後使用するサードパーティ製ソフトウェアもCOPPAに準拠していることを保証し、50万ドルの罰金を支払う必要があります。なお、Apitorの財政難により罰金の支払いは一時猶予されますが、財務状況について虚偽があった場合は全額支払う義務が生じます。
その他の要件として、データ収集前の保護者への通知と同意取得、収集済み個人情報の削除、必要な期間のみのデータ保持などが含まれます。
「Apitorは自社製品を利用する子供から、中国の第三者が機微なデータを収集することを許可し、COPPAに違反しました」と、FTC消費者保護局長のクリストファー・ムファリッジ氏は付け加えました。
「COPPAは明確です。子供向けのオンラインサービスを提供する企業は、たとえ第三者がデータを収集する場合でも、子供から個人情報を収集する際には保護者に通知し、同意を得なければなりません。」
また火曜日、FTCはディズニーがYouTube上で子供向け動画を誤ってラベリングし、保護者への通知や同意なしに子供の個人情報収集を可能にしたとして、1,000万ドルの民事罰金を支払うことで和解すると発表しました。
