アメリカの法律は厳しいが、ネットの脅威から子供を守れてはいない #COPPA
アメリカは、ネットの脅威から子供を守ることに対してとても敏感な国です。敏感であるがゆえに、子供を保護するための基準やお作法は、任天堂のゲームでさえもアメリカの影響を強く受けていると言えます。
しかしながら、子供を保護する法律「COPPA(児童オンラインプライバシー保護法)」は、実務面でみて十分なものになっているかというと、そうでもないという意見が多く、Facebookマーク・ザッカーバーグなんかは「法律なんて要らねぇーよ」という発言をして話題になりました。
このCOPPAが一体、なにがどうダメなのかについて、掘り下げて考えてみたいと思います。
そもそもCOPPAとは何か?
COPPAというのはアメリカの法律で「13歳未満の子供が利用するんだったら、個人情報を親の管理下に置けるようシステムを構築してくださいね」ということを、サービスのプラットフォームに対して求めるルールです。
同類の法律としては、CIPA(児童インターネット保護法)・FERPA(家族の教育権利とプライバシー法)が挙げられますが、存在感が薄いのであまり気にされていません。一方で、CCPA(カリフォルニア州消費者プライバシー法)というものが2020年に施行され、こちらは最近始まったということもあり注目を集めています。
日本でも2000年前後は、ネットの出会い系サイトを通じた未成年のトラブルが社会問題となっていました。COPPAもまた、子どもたちがトラブルに巻き込まれないようにしたいという目的で90年代末につくられた歴史の長い法律です。子供は自身の個人情報をネット上で公開することのリスクや課題を認識する能力に欠けているため、親に判断させることを目的にしています。
COPPAの何が問題なのか?
このあたりの事情は、Shanon Finnegan氏作「HOW FACEBOOK BEAT THE CHILDREN’S ONLINE PRIVACY PROTECTION ACT…」というレポートに、わかりやすくまとめられています。
COPPAは、「child(児童)」「operator(運営者)」「website directed to children(児童向けウェブサイト)」などの用語は明確に定義しているものの、運営者が対象を児童か否か、すなわち「actual knowledge(実際に知っていること)」という一番重要なポイントが、何も定義されていません。これにより、COPPAは本質的な問題を解決していないという、マーク・ザッカーバーグの批判につながるわけです。
実際のところ、COPPAへの対応方法はGDPRほど統一感があるものではなく、各社それぞれで対応がバラバラです。もし13才未満の子供がサービスを利用する場合は、子供の個人情報を使うことを親に同意させるよう求めるのですが、その同意のレベルはさまざまな種類があり、「児童だったら親に合意とってねー」と利用規約に書いておくぐらいの雑なものもあれば、「クレカ登録できたら大人(親)が同意したと認めてやるよ」ぐらいの厳しいものもあります。
Nintendo Switchは、完全に後者のパターンで、金銭を扱うプラットフォームにこのような対応が多く見受けられます。しかし、FacebookやTwitterは、アカウント作成時に年齢を尋ねる程度の確認しか行っていません。その結果、やはり多くの児童が年齢を偽って登録しています。そして、サービス側としては「児童が登録していることなんでウチは知らなかった」が通用してしまいます。
実は2019年頃まで、Instagramはアカウント作成時に生年月日の入力を求めていませんでした。つまり、誰でもアカウントを作成することが可能な状況だったわけです。さすがにこれはやり過ぎだよなぁと思ったのか、現在はちゃんと年齢確認をしています。ただ、2019年までこの対応でも「児童が登録していることなんでウチは知らなかった」なんていう主張が通用してしまうとは、本当に信じられない話です。
これでは児童を本当に守ったとは言えないわけですが、COPPAを運営するFTCもそれを黙認しています。それゆえに、COPPAは子供を守っていない!ダメな法律だ!という風に批判されるわけです。
そんな感じで、COPPAがあまり機能していない中、昨今のインターネットの規制強化の流れで、その監視役は民間側に委ねられている感じになっています。Facebookもイギリスのテレビ番組Channel 4で放送されたドキュメンタリーの中で、全然子供守れてないじゃないかと強烈な批判をされ、その後大急ぎで「いやいや!!ちゃんとやりまっせ!!」という声明を同社のブログで発信しました。
政府でなく国民側から批判を受け、良くなっていくというのは、とても民主主義的なアプローチで、実にアメリカらしいなって思いました。
COPPA対応はどのようにすすめるのか?(実装編)
COPPAは児童の個人情報の扱いについて、13才以上と同じような範囲やルールで運用できません。13才未満と13才以上とで、同じように運用することは実質困難と言っていいでしょう。サービス側も、13才未満が利用する機能は相当作り込む必要があります。
本質的な問題を解決しないわりには、制約だけはしっかりとあって非効率的だなぁなんて思ったりもしますが。児童を守るという目的に対しては指針を示しているように思えます。この結果として、COPPA対応については、大きく分けると以下の3つの戦略が見受けられます。
1. 13才未満に体験を寄せる: ベースの体験を、13歳未満の子供でも十分に楽しめる状態に作り込み、13才以上はCOPPAやらの規制が取れた状態で遊べるように作るというものです。コミュニケーション機能やら様々な機能が、かなり制限された仕様になります。Nintendo Switchやウォルトディズニーが代表的で、つまり子供の親をターゲットに収益化することが重要なサービスでこのような対応が行われます。
2. 13才未満/以上を別々のアプリとして提供する: 体験が完全に異なる2つの独立したアプリケーションを提供することで、13才未満も13才以上も、両方が楽しめるようにサービスを提供します。ベースの体験は似ていますが、提供されるサービスは全然違う、というものになりがちです。YouTubeとYouTube Kids、FacebookとMessenger Kidsが、今回の事例に該当します。YouTube Kidsはログインを一切不要にして個人情報を取得しません。
3. 対応を諦める: 13才未満はすぐにはマネタイズの対象にはなりにくいので、一旦は対象から外してしまおうという方針です。アカウント作成時に弾かれて、サービスを一切利用できないようにします。TwitterやInstagramがその代表格になります。
2の対応をとっているのは、大手の企業に限定されると考えています。Facebookはユーザーを集めるために、アフリカの端っこまでケーブルを持って人間を追いかけてますが、それぐらい切実にユーザーを得たいというモチベーションがないと、2は成立し難いでしょう。
多くは、1か3になります。1を選ぶケースは、そもそも大人はターゲットに最初から設定されていないことがほとんどで、任天堂の事例は珍しい方だと思います。大人を含む時点で、3を選ぶのが多くの企業の基本戦略となります。
そもそも、子供を脅威から守るための対応というのは、情報の制限だけでは不足しており、機能の制限も必要不可欠です。このため、COPPA対応が必要なサービスやアプリケーションは、ほぼ間違いなく「Parental Control(みまもり設定)」という機能が実装されています。
COPPA対応はどのようにすすめるのか?(経営編)
法律に対応しただけでは「自分たちはネットの脅威から子供を守ろうとしていますよ」というスタンスをとることが難しく、もっと他の手段をもって自分たちの立場を示す必要があります。こういう時は、子供を守ることを目的に立ち上げられた団体に加入し、業界の健全に自分たちも関わっていく、という姿勢をみせることがアプローチとしては一般的です。
例えばFacebookは以下のような声明を発表しています。
子供の保護に対する人々からの視線は、日に日に厳しくなっていますので、今後はより多くのCSR的な活動が求められていくだろうというのが、私の見解です。COPPAは法律遵守よりも世論が大切な世界ですので、あまり役に立たないとは思いますが、こちらに違反の前例がありますので、リスク評価にお役立てください。
