英国のデータ保護規制当局は、ソーシャルメディア大手のRedditに対して、子どもデータの使用に関して1,447万ポンド(1,950万ドル)の罰金を科しました。
情報コミッショナー局(ICO)によれば、Redditの利用規約は13歳未満の子どもによるプラットフォーム利用を禁止していましたが、同社が年齢確認メカニズムを導入したのは2025年7月までなかったと主張しています。
その時点より前に、ICOは「13歳未満の大数の子どもたち」がウェブサイトを使用していたと疑っており、その間、Redditは彼らのデータを処理するための合法的な根拠を持っていませんでした。
規制当局は、2025年1月前に、Redditが13~18歳のユーザーをサイトに持っていたにもかかわらず、子どもデータの使用リスクに関するデータ保護影響評価(DPIA)を実施していなかったと主張しています。
DPIAは、組織がヨーロッパのデータ保護法(英国GDPRを含む)に準拠するために完了する必要のある必須プロセスです。
すべての英国ユーザーからより多くの個人情報を収集するべきというICOの主張は直感に反しており、ユーザーのオンラインプライバシーと安全性に対する私たちの強い信念と矛盾しています。私たちは異議を唱える予定です…
ICOは、必要な評価を実施しなかったことで、Redditはこれらのユーザーと13歳未満のユーザーを不適切または有害なコンテンツにさらしている可能性があると付け加えました。
ジョン・エドワーズ英国情報コミッショナーは次のように述べています:「Redditのような大企業が英国の子どもたちの個人情報を保護する法的責務を果たさなかったことは懸念されるべきことです。
「13歳未満の子どもたちは、理解することも、同意することも、コントロールすることもできない方法で個人情報が収集・使用されました。それは彼らを見るべきではないコンテンツに潜在的にさらしました。これは受け入れられず、本日の罰金につながりました。
「明確にしましょう。子どもがアクセスする可能性のあるオンラインサービスを運営する企業には、データの使用方法を通じた危険にさらされないようにすることで、それらの子どもを保護する責任があります。これを行うには、ユーザーの年齢を知っていることに自信を持ち、適切で効果的な年齢確認措置を実施している必要があります。
「Redditはこれらの期待に応えられませんでした。彼らはより良くしなければならず、私たちはプラットフォームが現在実装した年齢確認コントロールを引き続き検討しています。」
The Registerはコメント寄稿をRedditに依頼し、スポークスパーソンは次のように述べました:「Redditは、年齢に関わらず、ユーザーに身元情報の共有を求めていません。これは、プライバシーと安全性への私たちの深いコミットメントからです。すべての英国ユーザーからより多くの個人情報を収集するべきというICOの主張は直感に反しており、ユーザーのオンラインプライバシーと安全性に対する私たちの強い信念と矛盾しています。私たちはICOの決定に異議を唱える予定です。」
このプラットフォームは、英国のユーザーが成人向けコンテンツにアクセスしようとする場合、生年月日を提供するよう求められ、その後、第三者の身元確認を行って検証されると述べています。
このプロセスを実行するためにピーター・ティール支援のPersonaを使用していると述べており、通常は政府発行のIDまたは自撮り写真を提供することで解決できます。
Persona自体は、セキュリティ研究者がデータを提出した個人に対して会社が広範な監視を行っていると主張したことを受けて、最近精査されており、Discordはそれをパートナーから削除しました。
ICOは2025年7月8日にRedditに仮の調査結果を発行し、本日発表された罰金はこれらの調査結果とRedditの対応を反映しています。
規制当局は通信規制当局であるOfcomとともに、オンライン安全法を執行する任務を負っており、ICOは7月25日に新しい規則が発効して以来、その執行に熱心です。
2025年3月のRedditとTikTokへの調査が開始されたときから、データ規制当局は年齢確認メカニズムの欠如に対してImgurの親会社MediaLabに罰金を科し、画像共有プラットフォームが英国から撤退するきっかけになりました。
ICOはDiscord、Pinterest、Xを含む17の他のプラットフォームも調査しており、ユーザーマップ機能で子どもの位置情報をどのように使用しているかについて、MetaとSnapchatの問題を解決し始めています。
2025年10月の時点で、規制当局は自らの取り組みが複数のプラットフォーム全体で300万人以上の子どもにオンラインで肯定的な影響を与えたと考えています。
Mishcon de Reya LLPのシニアデータ保護スペシャリストのジョン・ベインズはThe Registerに対して次のように述べています:「1,440万ポンドの英国GDPR罰金は重要になる可能性がありますが、最近ではICO罰金はますます稀になってきているので、これは目立つでしょう。
「不十分な年齢チェックの一部から生じたこの罰金がICOによるものであり、オンライン安全法の下で規制権も持つ可能性のあるOfcomによるものではないことは注目に値します。」
ベインズはまた、Redditが決定に異議を唱える可能性が高いことを考えると、罰金の発行と最終的に講じられる強制措置の間の時間が数年かかる可能性があると述べました。
「これは現在の規制体系の避けられない結果ですが、プロセスが進行している間、他のデータ管理者にいくらかの不確実性を残しています。
「しかし、罰金の一部は、おそらく – と思われますが – 比較的議論の余地がないでしょう:ICOは、Redditが必要な場合にデータ保護影響評価(DPIA)を実施することができなかったことを教えてくれます。それが事実上正しいと仮定すると、他のデータ管理者にとって簡単な教訓があります:DPIAはデータ保護リスクを評価し、管理者を規制執行の側面から保護するための比較的簡単な方法です。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/24/ico_fines_reddit/
