Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

米国16州の包括的個人情報保護立法の最新動向から見たわが国の保護法改正の課題

2024-04-10 10:06:03 | 個人情報保護法制

 筆者は、これまで米国各州の包括的個人情報保護立法につき解説してきた。例えば、最も厳しいとされるカルフォルニア州同州オハイオ州コロラド州につき取り上げてきた。

 4月初め、ケンタッキー州議会は包括的なプライバシー法(H.B.15)(以下、「法律」という)を可決した。この法律は4月4日に州知事が署名し、成立、この法律は 2026 年 1 月 1 日に発効する。

 今回のブログ投稿では、この法律の重要な要点を要約する。これにより、カリフォルニア、バージニア、コロラド、コネチカット、ユタ、アイオワ、インディアナ、テネシー、モンタナ、オレゴン、テキサス、フロリダ、デラウェア、ニュージャージー、ニューハンプシャー州の立法に加わる。 (計16州)

 また筆者が注目するのは英国や米国州の最近時の立法傾向は「正確な地理位置情報データ(precise geolocation data)」や「13歳未満の児童の個人情報」(注1)を機微情報としている点である。また、従来から国際スタンダードとして立法上明記されている「データ保護影響評価 (DPIA)」の重要性や義務化問題もある。

 一方で、わが国の法改正の経緯を見ると欧米のような経緯をたどっているようには見えない。今回のブログはこれら問題につき詳細に論じる。

Ⅰ.ケンタッキー州の包括的情報保護法の概要

 Covington & Burling LLP.の以下の弁護士が執筆したブログ仮訳する。

 Lindsey Tonsager 氏

Libbie Canter氏

Hensey A. Fenton III 氏

Samar Amidi 氏

法律の適用範囲: この法律は、ケンタッキー州で事業を行うか、ケンタッキー州住民を対象とした製品やサービスを生産する暦年中に、(i) 少なくとも 100,000 人の消費者の個人データを管理または処理する、または (ii) 少なくとも 25,000 人の消費者のデータを管理または処理し、総収益の 50% 以上を個人データの販売から得る管理者および処理者に適用される。

消費者の権利: この法律は、とりわけ、消費者にアクセス、削除、携帯性・移植性、および修正の権利を付与する。 同法により、消費者は、(1)ターゲットを絞った広告、(2)個人データの販売、(3)法的または同様の重要な効果を生み出す意思決定を促進するプロファイリングを「オプト・アウト」することも可能となる。

■機密データ(Sensitive Data)について事前同意義務: 管理者(controllers)は、消費者の機密データを処理する前に同意を得る必要がある。 同法では、機密データを、(1)人種または民族的出身、(2)宗教的信念、(3)精神的または身体的健康状態、(4)性的指向、(5)市民権または永住権保持・在留資格(immigration status)(注2)を示す個人データ、(6)固有の個人を識別するために処理された遺伝子(genetic)データまたは生体認証データ、(7)収集された既知の子ども情報(注2-2)および「正確な地理位置情報データ(precise geolocation data)」(注3)を「機密データ」と定義している。

■データ保護影響評価 (DPIA)の義務付け: この法律は、(1)ターゲットを絞った広告、(2)個人データの販売、(3) 限られた状況でのプロファイリング、(3)機密データの処理、または(4)その他の消費者への危害リスクの増大を伴う活動の処理に対して、データ保護影響評価 (DPIA) を義務付ける。

執行: ケンタッキー州司法長官は、この法律を執行する独占的な権限を有する。 この法律はまた、管理者と処理者に、日没しない30日間の治療権を与えることになる。

Ⅱ.米国各州の包括的情報保護法のおける「機微情報」をめぐる特徴的な点やわが国の今後の保護法立法や法改正のあり方を巡る課題

 1. 子供特に 13 歳未満等の児童の個人情報の機微情報の明確な規定化

(1)米国の新しい州の「包括的な」プライバシー法には、子供に適用される規定がある。 たとえば、カリフォルニア州では、子供が 13 歳未満であることを実際に知っている企業は、連邦法である1998年COPPA(Children's Online Privacy Protection Act) の同意要件に加えて、その子供のデータを販売または共有する場合は親の同意を得る必要がある。 13 歳から 16 歳までの子どもの場合、カリフォルニア州法に基づき、企業は子どもの情報の販売または共有について子どもの「同意」を得る必要がある。 他の州では、子供の情報を「機密情報(sensitive data)」と定義している。 そしてこれらの法律に基づき、企業は機密情報を第三者と共有する場合、消費者(未成年者の場合はその親)に通知しなければならない。 また、場合によっては、機密情報を処理する前に「データ保護影響評価(DPIA)」を実施する必要がある。

(2)次に、カリフォルニア州が、英国の児童保護規範 (Children's Code:年齢確認に基づく保護規範)(筆者ブログ参照)をモデルとした「カリフォルニア州年齢適正設計法:The California Age-Appropriate Design Code Act)」 を2022年11月に可決した。(解説例参照) この法律は2024年7月1日に施行される予定で、「子供がアクセスする可能性がある」オンライン製品、サービス、機能を提供する企業(つまり18歳未満の子供)に適用される予定である。 ただし、この法律は 裁判結果もあり2023 年末に一時的に禁止された。この法律が予定どおり発効した場合、企業は以下の行為を禁止される。

①「ダーク・パターン」(注4)を使用する。

②「子どもにとって重大な害を及ぼす」行為。

③子どもたち情報の自動プロファイリング。(注5)

 さらに、企業は(やむを得ない理由がない限り)子供の地理位置情報を収集することはできず、サービスの提供に必要な個人情報のみの収集に限定される。 さらに、通知と条件は年齢に応じた言葉で提供される必要がある。 最後に、企業は子供が利用できるサービスを提供する前に、データ保護影響評価(DPIA)を実施する必要がある。

 (3)学生のプライバシー保護

 連邦レベルで「家族の教育の権利とプライバシーに関する法律 (Family Educational Rights and Privacy Act :FERPA 」と米国の州の約半分の両方で、学生のプライバシーに対処する法律がある。 これらの法律の主な焦点は、学校が生徒からどのような情報を収集できるかということである。 ただし、学校のビジネス パートナーが生徒とどのようにやり取りできるかにも影響を与える。 たとえば、州法に基づき、学校のビジネス パートナーは、生徒の個人情報を不正なアクセス、使用、破壊、開示から保護する必要がある。 また、学校から要請があった場合には、生徒情報を削除しなければならない。

4)ソーシャルメディア・プラットフォームを対象とした新しい米国の州立法の動向に留意

 心に留めておく価値があるのは、ソーシャルメディア・プラットフォームを対象とした新しい米国の州立法である。 これらの法律はこれまでにアーカンソー州、モンタナ州、オハイオ州、テキサス州、ユタ州で可決された。 しかし、発効予定だったすべての法律は延期されており、合衆国憲法修正第 1 条の言論の自由を理由に州の法律は違憲であるという難題に悩まされている。 一般に、これらの法律では、アカウントを作成する際に個人に年齢の提供を義務付け、アカウントが完成する前に子供の親の同意が必要となる。 また、プラットフォームが子供から収集できる情報の量や、子供がアクセスできる広告の種類も制限されることになる。

2.米国でビジネスを行っており、子供たちから情報を収集する場合、現在施行されている法律、および今後施行される法律に備えるためにどのような手順を踏むことが必要か?

 (1) 親や保護者の同意

 13 歳未満のユーザーから個人情報をオンラインで収集する場合は「同意」が必要であることに注意すべきである。この要件は 1998 年COPPAから存在する。その間に「オンライン」は変化した可能性があり、「個人情報」に対する我々の理解も広がった。 オンライン・ プラットフォームにはモバイル・ アプリが含まれており、インタラクティブなおもちゃも含まれる場合があることに注意されたい。 また、個人情報は単なる名前や電子メール・ アドレスだけでなく、画像や音声に加え、連邦取引委員会(FTC) によれば永続的な識別子も含まれる。

 (2) データ最小化の原則の検討

 法律で子供から収集するものを最小限に抑えることが特に義務付けられていない場合でも (ただし、そうしている人が多いことに注意されたい)、データが多ければ多いほど、保護する必要があるものも増える。 現時点では、COPPA は、該当する場合、収集できる内容を「サービスまたは機能を提供するために必要なもの」に制限しており、新しい州法も同様である。

(3)収集行為が「暗いパターン」に該当するかどうかを評価する

  FTC は、EUのデータ保護委員会(EDPB) と同様に、消費者をだまして、誤解を与えて、通常よりも多くの情報を提供させることに懸念を表明している。 あるいは、もっと反省していれば同意しなかったであろう方法で自分の情報が使用されることに同意することを重要視している。 こうしたアクティビティは「ダーク ・パターン」と呼ばれ、FTC はさまざまな推奨事項の中で、ユーザーの観点からプログラムをテストすることを提案している。 子供の場合、これには子供だけでなく、COPPA の目的で同意を与える親も含まれる可能性がある。

 (4)子供への危害の概念に留意する

  規制当局が特に懸念しているのは、子供に危害を及ぼす可能性のある活動である。 規制当局からの明確な指示がない場合、またはこれらの法律に基づく判例が存在しない場合、企業は規制当局が自社のプラットフォームについてどう考えているのか疑問を持つ可能性がある。 たとえば、それが子供を搾取していると誰かが主張できるか? 子どもが関与する活動に対して、どのような対抗措置や利益が存在するか? 潜在的な危害を最小限に抑えるためにどのような措置が講じられているか? 言い換えれば、GDPR データ保護影響評価を実施するときに通過する思考プロセスに参加されたい。

3. 「正確な地理位置情報データ(precise geolocation data)」を機微情報の位置づけ問題

 「正確な地理位置情報」は、カリフォルニア州(Cal Civ. Code § 1798.121)やバージニア州(Va. Code § 59.1-517)を含め、最近のデータ・プライバシー法がそのような情報の収集と処理を規制しようとしていることにより、プライバシーの世界でホットボタンとなる問題となっている。「正確な地理位置情報データ」の定義は州によって異なるが、一般的には「デバイスから取得され、消費者の位置を特定するために使用される、または使用されることが意図されている、一定の距離(注6)を半径とする円内の地理的領域以下の地理的領域内のあらゆるデータ」を意味する。 現在、州レベルのプライバシー法の大多数は、正確な地理位置情報データを「機密個人情報」として分類している。この分類により、正確な地理位置情報データを収集および処理する組織に追加の義務が生じます。 例えば以下の州法を参照されたい。

 ① カリフォルニア州法: 正確な地理位置情報データを含む「機密個人情報」を収集および処理する対象となる組織・団体は、特定の例外を除き、その組織による「機密個人情報」の使用を制限する権利をカリフォルニア州民に提供する必要がある。

 ② バージニア州法: 対象となる組織・団体は、正確な地理位置情報データを含む「機密データ」を処理すること、およびデータ保護評価を実施および文書化することについて同意を得る必要がある。

(3) 日本のデータ保護影響評価 (DPIA)の重要性や義務化問題

 令和2年6月に成立した改正個人情報保護法(施行は、令和4年4月1日)には、データ保護影響評価(Data Protection Impact Assessment (DPIA)の実施を事業者に求めるという要件は含まれていない。しかし、令和元年12月の制度改正大綱において、民間の自主的取組の推進として、DPIAの実施が推奨されている。

 このような動きに伴いDXを推進する組織は、個人識別可能情報1(以下、PIIという。)を処理するプロセス、情報システム、プログラム、ソフトウェアモジュール、デバイス又はその他の取組において、今まで以上にプライバシーに対するデューデリジェンス(善管注意義務)およびプライバシーバイデザイン(Privacy by Design)の達成が求められることとなった。DPIAは、潜在的なプライバシーへの影響を事前にアセスメント(評価)するための手段であり、ステークホルダーと協議してプライバシーリスクに対応するために必要な行動を起こすための手段である。DPIAを実施することは、プライバシーバイデザインを達成することである。

*****************************************************************

(注1) 米国の新しい州の「包括的な」プライバシー法には、子供に適用される規定がある。 たとえば、カリフォルニア州では、子供が 13 歳未満であることを実際に知っている企業は、COPPA の同意要件に加えて、その子供のデータを販売または共有する場合は親の同意を得る必要がある。 13 歳から 16 歳までの子どもの場合、カリフォルニア州法に基づき、企業は子どもの情報の販売または共有について子どもの同意を得る必要がある。 他の州では、子供の情報を「機密情報」と定義している。 そしてこれらの法律に基づき、企業は機密情報を第三者と共有する場合、消費者(未成年者の場合はその親)に通知しなければならない。 また、場合によっては、機密情報を処理する前にデータ保護評価を実施する必要がある。

  さらに、企業は(やむを得ない理由がない限り)子供の地理位置情報を収集することはできず、サービスの提供に必要な個人情報のみの収集に限定される。 さらに、通知と条件は年齢に応じた言葉で提供される必要がある。 最後に、企業は子供が利用できるサービスを提供する前に、データ保護影響評価 (DPIA)を実施する必要がある。

 第三に、連邦レベル (FERPA) と米国の州の約半分の両方で、学生のプライバシーに対処する法律がある。 これらの法律の主な焦点は、学校が生徒からどのような情報を収集できるかということである。 ただし、学校のビジネス・パートナーが生徒とどのようにやり取りできるかにも影響を与える。 たとえば、州法に基づき、学校のビジネス パートナーは、生徒の個人情報を不正なアクセス、使用、破壊、開示から保護する必要がある。 また、学校から要請があった場合には、生徒情報を削除しなければならない。

 最後に、心に留めておく価値があるのは、ソーシャルメディア・プラットフォームを対象とした新しい米国の州法ですある。 これらの法律はこれまでにアーカンソー州、モンタナ州、オハイオ州、テキサス州、ユタ州で可決された。 しかし、発効予定だったすべての法律は延期されており、憲法修正第 1 条の言論の自由を理由に法律は違憲であるという難題に悩まされている。 一般に、これらの法律では、アカウントを作成する際に個人に年齢の提供を義務付け、アカウントが完成する前に子供の親の同意が必要となる。 また、プラットフォームが子供から収集できる情報の量や、子供がアクセスできる広告の種類も制限されることになる。( Sheppard Mullin Richter & Hampton LLPの弁護士Liisa Thomas氏 およびKathryn Smith氏のブログを抜粋、仮訳)

(注2) Immigrant (移民): 米国永住権保持者として米国内に居住している人。Status (在留資格/ステータス): 米国内に存在する、すべての人には、必ず何かしらのステータス (身分) があり、米国市民というステータス、永住権保持者というステータス、H-1B (特殊技能職) ビザ保持者のステータスという具合に、カテゴリごとに分けることができます。よって、米国で滞在するためには、外国人も、移民、非移民を問わず、必ず何かしらのステータスを保持していなければならない。

(注3)正確な地理位置情報」は、カリフォルニア州(Cal Civ. Code § 1798.121)やバージニア州(Va. Code § 59.1-517)を含め、最近のデータ・プライバシー法がそのような情報の収集と処理を規制しようとしていることにより、プライバシーの世界で大いなる議論(hot button)となる問題となっている。「正確な地理位置情報データ」の定義は州によって異なるが、一般的には「デバイスから取得され、消費者の位置を特定するために使用される、または使用されることが意図されている、一定の距離(注6)を半径とする円内の地理的領域以下の地理的領域内のあらゆるデータ」を意味する。 現在、州レベルのプライバシー法の大多数は、正確な地理位置情報データを「機密個人情報」として分類している。この分類により、正確な地理位置情報データを収集および処理する組織に追加の義務が生じる。 例えば以下の立法を参照されたい。

カリフォルニア州法: 正確な地理位置情報データを含む「機密個人情報」を収集および処理する対象組織は、特定の例外を除き、その組織による「機密個人情報」の使用を制限する権利をカリフォルニア州民に提供する必要がある。

バージニア州法: 対象となる組織は、正確な地理位置情報データを含む「機密データ」を処理すること、およびデータ保護評価を実施および文書化することについて同意を得る必要がある。

(注4) ダーク・パターン(Dark pattern)は、主にウェブサイトなどで、ユーザーを騙すために慎重に作られたユーザインタフェースのことである。認知バイアスを利用して、ユーザーが思っているよりも多くの時間やお金を使わせる。または注意を払うように設計されている。

 例としては、購入時に保険に入会させたり、何かを定期購入させるなどの特定の行動をユーザーに促すものがある。また、「『購入ボタン』よりも『定期購入ボタン』の方が目立つ配色や大きさになっている」や「登録は簡単なのに退会が非常に面倒である」などの例もある。特に悪質なものが多いとされる例の1つは、利益が関わるショッピングサイトなどで、有名なウェブサイトほどダークパターンを利用しやすい傾向がある。ダークパターンには、プライバシー侵害や人々の判断力低下など複数の問題点が指摘されている。

 ダークパターンの例:①おとり商法(bait and switch:値引きした商品をおとりとして、類似した高額な商品を買わせる商法。 baitは「餌」、switchは「(小枝で)むち打つこと」の意味)、②比較を困難にする(Comparison prevention)、③羞恥心に働き掛ける(Confirmshaming)、④偽装広告(Disguised ads)、⑤強制開示(Privacy zuckering)他(Wikipedia から抜粋)

(注5) プロファイリング:本人に関する行動・関心等の情報を分析する処理を行う場合には、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要がある。具体的には、以下のような事例においては、分析処理を行うことを含めて、利用目的を特定する必要がある。

(事例1)ウェブサイトの閲覧履歴や購買履歴等の情報を分析して、本人の趣味・嗜好に応じた広告を配信する場合

(事例2)行動履歴等の情報を分析して信用スコアを算出し、当該スコアを第三者へ提供する場合

(個人情報保護委員会サイト「個人情報取扱事業者は、個人情報の利用目的を「できる限り特定しなければならない」とされていますが、どの程度まで特定する必要がありますか」から抜粋)

(注6) カリフォルニア州の保護法(CPRA) では、地理位置情報データの精度と精度の範囲は半径 1,850 フィート(563.88m)以下である。 一方、他の州のプライバシー法では、半径は 1,750 フィート(533.40m)以下である。(JD SUPRAの用語解説「Precise Geolocation: Recent Trends and Enforcement」から抜粋、仮訳)

************************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution. 

 

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

英国の個人情報保護機関である英国情報コミッショナーはSNS等オンライン利用にかかる子供のプライバシー保護強化のための具体的施策に関し2024 年から 2025 年の優先事項「児童規範戦略」 を発表

2024-04-06 11:27:21 | 個人情報保護法制

 筆者は去る4月2日のブログでフロリダ州、オハイオ州およびウタ州等の未成年者特に児童等のソーシャル・ メディア・ プラットフォーム利用にかかる厳格な規制州法立法につき詳しく解説した。

 一方、英国の取組みを見ると、2024 年 4 月 3 日、英国情報コミッショナー事務局 (以下、「英国 ICO」という) は、オンラインでの子どもの個人データ保護に関する 2024 年から 2025 年の優先事項「児童規範戦略(Children’s Code Strategy” (「戦略」という)発表した。

John Edwards, UK Information Commissioner

 翻ってわが国の保護法制整備の現状を見た。まず、思いつくのは「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律(平成20年法律第79号)(以下、「環境整備法」という)(注1)(注2)であろう。最後にわが国の保護法強化につき喫緊の問題点をとりあげる。

Ⅰ.英国ICO児童規範(UK ICO Children’s Code)」の概要

 ここで英国「児童規範戦略(Children’s Code Strategy” (「戦略」)」の内容に入る前に“Principleworks”のblogをもとに2020年1月21日に公開された「英国ICO児童規範(UK ICO Children’s Code)」に基づき補足する。なお、Principleworksは、オープンソース・ソフトウェアに関連した各種サービスの提供業者である。

1.Children's Code

(1)制定の背景

 Children's Code は子どもたちが生活のあらゆる側面において必要とする特別な保護措置を認める「国連子どもの権利条約(UN Convention on the Rights of the Child:UNCRC)」に根ざしている。また、Children's Code は、ICO により、親・子どもたち、学校、開発者、ゲーム会社、オンラインサービス・プロバイダーとの対話による徹底的な協議プロセスを経て作られたものである。

 また、英国では忘れられない事件があった。年齢確認の欠落は今でこそ即時摘発案件であるが、当時(2017年)は Instagram は年齢確認を行われていなかった。この事件は2019年にBBC でも取り上げられ大きな社会問題となった。時系列でまとめると次のようになる。

2017年 英国Instagram を利用する14歳の少女が自殺

2019年1月 BBCのニュースで取り上げられる

2019年4月 Children's Code 草案作成

2019年12月 Instagram の年齢確認実施(新規ユーザーのみ)

2020年9月 Children's code 発効

(2) 適用されるサービス

 Children's Code の適用対象は ISS(“information society services likely to be accessed by children”)である。 この定義は、下記のようなものとなる。

「通常、報酬を得て提供されるサービスであり、 遠隔地において、電子的手段により、個別の要求に応じて提供されるサービス」

 具体的に対象となるオンラインサービスは以下のとおり多岐にわたる。

・アプリ

・オンラインゲーム

・サーチエンジン

・SNS

・メッセージサービス、もしくはネットベースの通話

・マーケットプレース

・コンテンツ・ストリーミング・サービス(動画、音楽、ゲーム配信サービス)

・ネット接続されたおもちゃやデバイス

・ニュースまたは教育ウェブサイト

(3)留意事項

 子どもが対象でない場合も、子どもがアクセスする可能性がある場合は対応する必要がある。

(4)Codeの適用対象企業

 英国に本拠を置く企業のみならず、英国の子どもの個人データを処理する英国外企業にも適用される。

(5)EU一般データ保護規則(GDPR)との関連

 Children's Code 原文にはGDPR前文(38)が一部引用されている。

(6) Children's Ccode の具体的な基準は以下の15項目となる。

子どもの最善の利益:子どもがアクセスする可能性のあるオンライン・サービスを設計および開発するときは、子どもの最善の利益を第一に考慮する必要がある。そしてこれは「国連子どもの権利条約(UNCRC)」の第3条に由来し、子どもにとって何が最善かが極めて重要である。

データ保護の影響評価(Data Protection Impact AssessmentDPIA:DPIA を実施して、データ処理から生じるサービスにアクセスする可能性のある子どもの権利と自由に対するリスクを評価し軽減する。さまざまな年齢・能力・開発ニーズを考慮し、DPIA がこの規定に準拠して構築されていることを確認する。

年齢に応じたアプリケーション:リスクベースのアプローチを採用して個々のユーザーの年齢を認識し、この規範(Code)を確実に子どものユーザーに適用する必要がある。データ処理によって生じる子どもの権利と自由に対するリスクに、適切なレベルの確実性で年齢を設定するか、代わりにこの規範をすべての年齢のユーザーに適用するようにされたい。

透明性保持:ユーザーに提供するプライバシー情報、およびその他の公開された規約、ポリシー、コミュニティ基準は、子どもの年齢に適した簡潔で目立ち、明確な言葉で表現されている必要がある。個人データの使用がアクティブ化された時点で、個人データをどのように使用するかについて、追加の具体的な「わかりやすい」説明を提供されたい。

データの不利益な使用禁止:子どもの個人データを、子どもの幸福に有害であることが判明した方法、または業界の慣行規定、その他の規制規定、または政府の勧告に反する方法で使用しないこと。

ポリシーとコミュニティ標準の遵守:独自に公開された規約、ポリシー、コミュニティ標準(プライバシー ポリシー、年齢制限、行動ルール、コンテンツ・ ポリシーを含むがこれらに限定されない)を遵守する必要がある。

高度なプライバシー保護に沿った初期設定(デフォルト)設定:初期設定(以下、「デフォルト」という)の設定は「高度なプライバシー」保護でなければなりません (異なるデフォルト設定を選択する説得力のある理由を証明できない限り、子どもの最善の利益を考慮して「高度なプライバシー」保護をデフォルトで設定されたい)。

個人データの収集・保持の最小化:子どもが積極的かつ故意に関与するサービスの要素を提供するために必要最小限の個人データのみを収集及び保持されたい。また、どの要素をアクティブにするかについて、子どもたちに個別の選択肢を与える。

データ共有の限定:子どもの最善の利益を考慮して、やむを得ない理由を証明できない限り、子どものデータを開示しない。

地理位置情報のデフォルト時のオフ:地理位置情報オプションをデフォルトでオフに切り替える (子どもの最善の利益を考慮して、地理位置情報をデフォルトでオンにする説得力のある理由を証明できない限りオフにすること)。位置追跡がアクティブなときは、子どもたちにそのことがわかりやすいよう表示を行う。子どもの位置を他の人に見えるようにするオプションは、各セッションの終了時にデフォルトで「オフ」に戻す必要がある。

保護者による制限:保護者による制限を提供する場合は、その子どもの年齢に応じた情報を提供されたい。オンライン・ サービスで、親や保護者が子どものオンライン活動を監視したり、位置を追跡したりできる場合は、監視されているときに子どもにわかりやすく表示する。

プロファイリングのオフ設定:デフォルトでプロファイリングを「オフ」にするオプションに切り替える(子どもの最善の利益を考慮して、プロファイリングをデフォルトでオンにする説得力のある理由を証明できない限りオフにすること)。子どもを有害な影響(特に、子どもの健康や幸福に有害なコンテンツを与えられること)から守るための適切な措置を講じている場合にのみ、プロファイリングを許可する。

ナッジ(nudge)手法の禁止:子どもに不必要な個人データを提供させたり、プライバシー保護を弱めたり無効にしたりするよう誘導するための手法を使用しない。ナッジ(nudge)は注意を引くためひじなどで軽くつつく意味であるが、ナッジ手法は2017年にノーベル経済学賞を受賞したリチャード・セイラー(Richard H. Thaler)教授(米国・シカゴ大学)らが提唱したもので、「心理学の洞察を利用して経済的意思決定の際の分析を行い、それらを利用したしくみによって望ましい行動を自発的に選択するよううながす」という手法である。 ここで説明するナッジ手法はこの手法を悪用したケースを指し示す。

接続されたおもちゃやデバイス:接続されたおもちゃやデバイスを提供する場合は、この規定への準拠を可能にする効果的なツールが含まれていることを確認する。

オンライン・ ツール:子どもがデータ保護の権利を行使し、懸念事項を報告できるようにわかりやすく扱いやすいツールを提供する。

(7) ガバナンスとアカウンタビリティ(説明責任)

①GDPR 第 24 条第 1 項(コントローラ(管理者)の責任)を引用。

(仮訳 :処理の性質、範囲、状況および目的、ならびに自然人の権利および自由に対するさまざまな可能性および深刻さのリスクを考慮して、管理者は、適切な技術的および組織的措置を講じて、確実かつ適切な権利と自由を確保しなければならない。」この規定に従って処理が行われていることを証明できること。これらの措置は必要に応じて見直され、更新されなければならない。)

②GDPR 第 5 条第 2 項(アカウンタビリティの原則)を引用。

(仮訳 :管理者は第1項に対する責任を負い、それを遵守することを実証できるものとする。)

  組織的な対応・措置は経営陣のリーダシップがないと容易には達成できず、経営層の関与はGDPRの法令そのものと共通の課題だと考えられ、Children's Code にはこうした内容も細かく書かれている。

③アカウンタビリティの実行

 DPO(Data Protection Officer) を任命している場合は DPO が主導し、あるいは取締役会レベルの上級管理職が監督する必要がある。中小企業の場合でも、子どものプライバシーが担当者に理解されていることを確認することが重要であり、優先事項が説明責任とされている。また、継続的に評価・改善し、子どものプライバシーをめぐる環境の変化に対応していく必要がある。

(8)スタッフのトレーニング

 対象サービスの設計に関わるスタッフがデータ保護に関する適切なトレーニングを受け、Children's Code を認識していることを確認する必要がある。

(9)記録の保管

 GDPR第30条 取扱活動の記録(Records of processing activities)第1項に基づき、以下の記録を保管する必要がある。

①組織 (管理者、代表者、DPO) の氏名と連絡先の詳細

②処理の目的

③個人データのカテゴリーおよび個人データのカテゴリーの説明

④個人データの受け取り者のカテゴリー

⑤第三国への送信の詳細(送信メカニズムの保護措置の文書化を含む)

➅保存スケジュール

⑦技術的および組織的なセキュリティ対策の説明

⑧DPIAの記録

 なお、これらの記録に使用できるテンプレートがICOのサイトに用意されている。

データ保護法への準拠をサポートおよび実証するためのポリシーを用意する。

Children's Codeの要件(GDPR含め関連するデータ保護法含め)を遵守する方法を明文化したポリシーを用意する必要がある。特に前述した取り扱い活動の記録を保存する義務(GDPR第30条第1項)をポリシーでカバーすることが必要である。

Ⅱ.オンラインでの子どもの個人データ保護に関する 2024 年から 2025 年の優先事項「児童規範戦略」(「戦略」) を発表

1.この戦略は、2021年に導入された「英国ICO児童規範(UK ICO Children’s Code)」に基づいており、ソーシャルメディアとビデオ共有プラットフォームの改善の優先分野を定め、英国ICOが児童規範への準拠をどのように強化し推進し続けるかを示している。 英国の ICO は、この戦略を通じて、ソーシャル・ メディアとビデオ共有プラットフォームに関して以下の点に焦点を当てる。

(1) デフォルト時のプロファイルにつき「プライバシー」遵守と「地理位置情報」の設定 (子供のプロファイルはデフォルトで非公開に設定され、地理位置情報の設定は初期設定で無効にされる必要がある )

 (2) ターゲットを絞った広告を目的とした子供のプロファイリングにつき、通常、プロファイリングはデフォルトで無効にする)。

 (3) レコメンダー・システム(recommender systems)(注3)での子供の情報の使用 (子供たちを有害なコンテンツにさらしたり、子供たちにプラットフォーム上で追加の時間を費やすよう奨励したり、子供たちにプラットフォームに追加の個人情報を提供するよう奨励するなど、アルゴリズムで生成されたコンテンツ フィードによってもたらされる子供への潜在的な危害に焦点を当てることの禁止。

 (4) 13 歳未満の子供のオンライン情報の使用 の制限(サービスが親や保護者の同意を取得し、確実な年齢確認技術を使用する方法に焦点を当てる)。

 この戦略を運用するために、英国 ICO は 2024 年夏に具体案の基づく“Call for Evidence(注4)を発表し、さまざまな利害関係者からの意見を募り、主要なソーシャルメディアとビデオ共有プラットフォームを特定し、利害関係者(親、子供、関連する児童団体を含む)と連携し、当局の規制執行権限を利用してコンプライアンスを確保する予定である。

2.ICO子供向け規範のガイダンスとリソースの内容

 ICOの関係サイトのリンクを提供する。

(1)共有部(共有パネルを開く)

 このページのガイダンスは、あらゆる規模のあらゆる部門の組織に適している。中小企業では、中小企業 Web ハブのリソースを使用することもできる。

(A)簡単な入門ガイダンス

 児童向け規範の入門解説(Introduction to the Children's code):児童規範が誰に適用されるのか、またそれに準拠するには何をする必要があるのかの解説。

(B)実践規範

 年齢に応じたサービス・デザインの徹底(Age appropriate design: a code of practice for online services) : オンライン・ サービスの実践規範

 児童規範には、子供がアクセスする可能性が高いオンライン・サービス (アプリ、オンライン・ゲーム、Web サイトやソーシャルメディア・ サイトなど) のプロバイダーが準拠すべき 15 の基準が詳しく規定されている。

 (C)法執行や規範の徹底に向けた戦略

 オンラインでの子供のプライバシーの保護: 子供向けの規範の徹底化戦略(Protecting children's privacy online: Our Children's code strategy)

 この戦略は、法律の執行と児童規範への準拠を継続する方法など、我われの取り組みの次の段階における優先事項をまとめたもの。

(D)追加のガイダンス

子供に向けた最善の利益確保策

 最初の基準の紹介、子どもの権利の理解、影響の特定と評価、行動の優先順位付け等。

年齢確認(Age assuarance):コミッショナーの意見(Age assurance for the Children’s Code)

 コミッショナーは、(1)IT企業がこの規範の年齢に適した適用基準を満たすことをどのように期待しているか、(2)年齢に適した適用がどのように実行されることを期待しているか、および(3)年齢確認による個人データ保護コンプライアンスへの期待。

アクセスされる可能性が高いISS向けガイダンス(‘Likely to be accessed’ by children – FAQs, list of factors and case studies)

子供を対象としたものではない場合でも、子供がサービスにアクセスする可能性がある ISS に対するガイダンス。

(E)あなたの分野に関し

Edtech (学校と教育テクノロジー)- あなたの質問が解決される。

学校や教育テクノロジーへのCodeの適用に関してよくある質問を例示(FAQ)。

②Codeが組織・団体に適用されるかどうかなど、デジタル ニュース業界でのコードの適用に関してよくある質問を例示。

ゲームデザイナーのための重要なヒントの提供 ( 児童向け規約に準拠する方法等)

リスク評価の実施、年齢確認の取得、透明性の確保、子供の情報の不利益な使用の防止、高度なプライバシー設定、責任あるプロファイリング、および積極的なナッジ技術の規制。

3.リソース

児童向けCodeにかかる自己評価リスク ・ツールキット(Children's code self-assessment risk toolkit)

  サービスにどのように適用されるかについてリスク評価を実施し、子供とそのプライバシーを保護するために適切かつリスクベースのアプローチを確実に適用するための実践的な手順を取得できる。

よくある質問: Codeに関する 15 の標準の解説

 Codeの標準を適用する方法についてよくある質問に答える。

データ保護影響評価 (DPIA) ツール(Tools for completing a data protection impact assessment (DPIA))

 オンライン小売、コネクテッド・トイ(注6)、モバイルゲームやアプリ向けの一般的な DPIA テンプレートとサンプル DPIAを提供。

Ⅲ.我が国のオンライン児童保護強化、徹底に向けた課題

1. オンライン児童保護に関する法制の現状

 環境整備法で、事業者・管理者側に閲覧できないような措置をとるよう努力義務を課しているが、罰則規定はない。わが国IHC(インターネットホットラインセンター)(注7)が主にメールで管理者側に削除を要請しても、2ちゃんねるの場合は「削除要請のメールに反応もない」(警察庁幹部)という。

 全国の警察は、ネット上の違法情報に基づく摘発を進めているが、大半は書き込みや投稿をした側が対象。サイト管理者側の摘発は、児童ポルノやわいせつ画像を掲載させた容疑など昨年は8件にとどまる。サーバーが海外にあるなど日本の法律の適用が難しいケースもある。

 ネット問題に詳しい岡村久道弁護士は「ネット上でも、交流サイト(SNS)のように身元を明かして情報交換などを行う場が広がり、匿名の掲示板には違法情報が集中しやすい構造にある」と指摘。「自らが管理する場所に違法情報があることを知ったら責任を持って対処すべきだ」として、サイト管理者が削除要請に応じる体制を整える必要性を強調している。(日経新聞サイトから抜粋)

 2.わが国の特に児童(小中学生)のオンライン利用からいかに子供たちを守るべきか(私見)

①「環境整備法」はあくまで抽象的に事業者の努力義務を課しているが、具体的でなく、また「罰則規定はない。実効性が疑問。

② IHC等国際的ネットワークのホットラインの効果はいかがであろうか。法的な罰則の根拠がないままで効果があげられるとは思えない。

③前記法で見る通り、「青少年」が対象であるが。海外の立法例も十分斟酌し、わが国でも13歳未満の児童のオンライン利用保護立法が喫緊の課題であろう。その根拠としてINHOPE年報で世界的に見た被害者の年令層やジェンダーを見た。その結果は以下のとおりである。(13歳未満の被害者は85% また女性の被害は95%)

④親や保護者に向けた具体的対応に向けたガイダンス、Q&Aがない。

*************************************************

(注1) 「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律(平成20年法律第79号)」の一部抜粋

(定義)

第二条 この法律において「青少年」とは、十八歳に満たない者をいう。

2 この法律において「保護者」とは、親権を行う者若しくは後見人又はこれらに準ずる者をいう。

(携帯電話インターネット接続役務提供事業者等の青少年確認義務)

第十三条 携帯電話インターネット接続役務提供事業者及び携帯電話インターネット接続役務提供事業者の携帯電話インターネット接続役務の提供に関する契約(以下「役務提供契約」という。)の締結の媒介、取次ぎ又は代理を業として行う者(以下「携帯電話インターネット接続役務提供事業者等」という。)は、役務提供契約(既に締結されている役務提供契約(以下この項において「既契約」という。)の変更を内容とする契約又は既契約の更新を内容とする契約にあっては、当該既契約の相手方又は当該既契約に係る携帯電話端末等の変更を伴うものに限る。以下この条及び次条において同じ。)の締結又はその媒介、取次ぎ若しくは代理をしようとするときは、あらかじめ、当該役務提供契約を締結しようとする相手方が青少年であるかどうかを確認しなければならない。

2 携帯電話インターネット接続役務提供事業者等は、前項の規定により役務提供契約を締結しようとする相手方が青少年でないことを確認したときは、当該相手方に対し、当該役務提供契約に係る携帯電話端末等の使用者が青少年であるかどうかを確認しなければならない。

3 携帯電話端末等を青少年に使用させるために役務提供契約を締結しようとする者は、携帯電話インターネット接続役務提供事業者等が前項の規定による確認を行う場合において、当該携帯電話インターネット接続役務提供事業者等に対し、その旨を申し出なければならない。

(携帯電話インターネット接続役務提供事業者等の説明義務)

第十四条 携帯電話インターネット接続役務提供事業者等は、役務提供契約を締結しようとする相手方が青少年である場合にあっては当該青少年に対し、役務提供契約に係る携帯電話端末等の使用者が青少年であり、かつ、当該役務提供契約を締結しようとする相手方がその青少年の保護者である場合にあっては当該保護者に対し、次に掲げる事項について、説明しなければならない。

一 携帯電話端末等からのインターネットの利用により青少年が青少年有害情報の閲覧をする可能性がある旨

二 青少年有害情報フィルタリングサービスの利用の必要性及び内容並びに第十六条に規定する青少年有害情報フィルタリング有効化措置の必要性及び内容

(携帯電話インターネット接続役務提供事業者の青少年有害情報フィルタリングサービスの提供義務)

第十五条 携帯電話インターネット接続役務提供事業者は、役務提供契約の相手方又は役務提供契約に係る携帯電話端末等の使用者が青少年である場合には、青少年有害情報フィルタリングサービスの利用を条件として、携帯電話インターネット接続役務を提供しなければならない。ただし、その青少年の保護者が、青少年有害情報フィルタリングサービスを利用しない旨の申出をした場合は、この限りでない。

(携帯電話インターネット接続役務提供事業者等の青少年有害情報フィルタリング有効化措置実施義務)

第十六条 携帯電話インターネット接続役務提供事業者等は、携帯電話端末等(青少年有害情報フィルタリング有効化措置(インターネットを利用する者の青少年有害情報の閲覧を制限するため、インターネットと接続する機能を有する機器に組み込まれたプログラムの機能を制限する措置をいう。以下この条及び第十九条において同じ。)を講ずる必要性が低いものとして総務省令・経済産業省令で定めるものを除く。)であって、その販売が携帯電話インターネット接続役務の提供と関連性を有するものとして総務省令・経済産業省令で定めるもの(以下この条において「特定携帯電話端末等」という。)を販売する場合において、当該特定携帯電話端末等に係る役務提供契約の相手方又は当該特定携帯電話端末等の使用者が青少年であるときは、当該特定携帯電話端末等について、青少年有害情報フィルタリング有効化措置を講じなければならない。ただし、その青少年の保護者が、青少年有害情報フィルタリング有効化措置を講ずることを希望しない旨の申出をした場合は、この限りでない。

(インターネット接続役務提供事業者の義務)

第十七条 インターネット接続役務提供事業者は、インターネット接続役務の提供を受ける者から求められたときは、青少年有害情報フィルタリングソフトウェア又は青少年有害情報フィルタリングサービスを提供しなければならない。ただし、青少年による青少年有害情報の閲覧に及ぼす影響が軽微な場合として政令で定める場合は、この限りでない。

第三章 インターネットの適切な利用に関する教育及び啓発活動の推進等

第四章 青少年が青少年有害情報の閲覧をすることを防止するための措置

(注2) 環境整備法の要旨を引用する。

 18歳以下の青少年がインターネットを利用する際、暴力、アダルト、出会い系、薬物といった有害情報に触れる機会を減らすことを目的に作られた法律。

 正式名称は「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律」。内容としては、企業や個人に対して主に下記のようなことを定めている。

ケータイ事業者……保護者が申し出た場合を除き、青少年がネットを利用する際にコンテンツフィルタリングサービスを提供する

インターネット事業者……コンテンツフィルタリングサービスの普及、および利用を促進するための措置を取る

サイト管理者……青少年にとって有害な情報が発信されていることを知ったときに、青少年の閲覧を防ぐように努める

 そのほか、青少年の安全なネット利用に関する基本方針を決める「インターネット青少年有害情報対策・環境整備推進会議」を内閣府に設置することや、フィルタリングの調査、開発、啓発を行なう団体を第三者機関として認定して、国や地方公共団体が支援することなどを定めている。

(注3) レコメンダー・システム(recommender system)は、情報フィルタリング (IF) 技法の一種で、特定ユーザーが興味を持つと思われる情報(映画、音楽、本、ニュース、画像、ウェブページなど)、すなわち「おすすめ」を提示するものである。通常のレコメンダ・システムは、ユーザーのプロファイルを何らかのデータ収集基準と比較検討し、ユーザーが個々のアイテムにつけるであろう評価を予測する。基準は情報アイテム側から形成する場合(コンテンツベースの手法)とユーザーの社会環境から形成する場合(協調フィルタリングの手法)がある。(Wikipedia から抜粋)

(注4) “Call for Evidence”とは、政府のモデル分析などについて、その根拠となる仮定やデータが適当であり、利用可能な最善の根拠に基づくものあるかを検証するため、広く国民、専門家、事業者、NGOなどに対して、質問票の照会事項に沿った、根拠に基づく情報の提供を照会する(公開協議)ものである。その意味からして、わが国で一般的な「根拠に基づく情報提供の照会」という訳語は誤訳であろう。

(注5) 子供にオンライン サービスを提供するために子供の個人データを使用する場合は、どうする必要があるか?(ICOサイトから抜粋、仮訳する)

子供にオンライン サービスを提供するために子供の個人データを使用する場合は、DPIA を実行して、その処理がデータ主体の権利と自由に高いリスクをもたらすかどうかを確認する必要がある。 これは、子供たちへのオンライン サービスの提供が、そのようなリスクを引き起こす可能性が高い状況の 1 つであると ICO がみなしているためである。 さらに詳しいガイダンスについては、データ保護影響評価に関する詳細なガイダンスを参照されたい。

英国GDPR 8 条には何と書かれているか?

 英国の GDPR の第 8 条は、情報社会サービス (information society service (ISS)  を子供に直接提供する場合に適用される。 この文脈における子供の個人データの処理について常に同意を得る必要はないはないが、同意に依存することを選択した場合は、次のようなさらなる条件が定められている。

 「1. 第 6 条 第1項 の点 (a) が児童への直接的な情報社会サービスの提供に関連して適用される場合、児童の個人データの処理は、児童が 13 歳以上であれば合法となる。 児童が 13 歳未満の場合、そのような処理は、児童に対する親の責任を負う者の同意が得られるか許可されている場合に限り、またその範囲においてのみ合法となる。

  1. 管理者は、このような場合、利用可能なテクノロジーを考慮して、子供に対する親の責任を持つ者によって同意が与えられているか、または許可されているかを確認するための合理的な努力を払うものとする。
  2. 第 1 項は、児童に関する契約の有効性、成立、効力に関する規則などの国内法で運用されるため、一般契約法には影響を及ぼさないものとする」

(注6) 「コネクテッド・ トイ」は、Wi-Fi、Bluetooth、またはその他の機能が組み込まれたインターネット対応デバイスである。これらのおもちゃは、スマート・ トイである場合もそうでない場合もあり、アプリの統合、および/または画像認識、RFID機能、およびWeb検索機能、音声認識を提供できる組み込みソフトウェアを通じて、子供たちによりパーソナライズされた遊び体験を提供する。コネクテッド ・トイは通常、ユーザーに関する情報を自発的または非自発的に収集するため、プライバシーに関する懸念が生じる。(Wikipedia から抜粋、仮訳)

(注7) インターネット・ホットラインセンター(IHC)は、ホットラインの国際的な連合組織である”INHOPE”の日本支部である。

利用者からインターネット上の違法情報や自殺誘引等情報、重要犯罪密接関連情報の通報を受理し、ガイドラインに基づいて警察に情報提供するとともに、サイト管理者等に送信防止措置を依頼する。

**********************************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution. 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ドイツ連邦データ保護法および連邦電気通信テレメディア・データ保護法 (TTDSG)の改正を巡り何が変わるのか、企業等は何に特に注意を払う必要があるのか?

2024-04-04 17:40:08 | 個人情報保護法制

 2024 年 2 月 7 日、ドイツ連邦内閣は連邦データ保護法(Bundesdatenschutzgesetz :以下、「 BDSG」という)を改正する法案 (以下、「法案」という) を承認した。 この法案は今後、連邦参議院(Bundesrat:連邦レベルでドイツの16の州を代表する立法機関)に意見を求め、その後、連邦議会 (Bundestag))に提出されて議論され、場合によっては採択される予定である。

 この法案は、BDSGの第1部と第2部を一部改正することにより、2021年の連邦内務省によるBDSG評価で浮き彫りになった問題に対処することを目的としている。 他の立法プロジェクトではさらなる修正に取り組む予定である。

 この法改正につきドイツを中心に400 lawyers, 22 languagesをカバーする国際法律事務所である「HEUKING」の標記解説記事blogを読んだ。筆者はDr.Philip Kempermann氏( LL.M.(法学修士)である。他の解説を踏まえ補足しつつ仮訳、解説を加える。

Philip Kempermann氏

 要約すると「ドイツ連邦政府はデータ保護の施行と一貫性を改善するために、我々は欧州の協力を強化し、連邦データ保護法(Bundesdatenschutzgesetz :以下、「 BDSG」という)に「データ保護会議(Datenschutzkonferenz:Data Protection Conference)(以下、「DSK」という)」を制度化し、可能な限り法的拘束力のある決定を下せるようにしたいと考えている。現在、 連邦内閣は現在、BDSGの改正草案を承認しており、その目的はデータ保護とBDSGの評価結果に関する連立協定を部分的に実施することである。

 また、同時に連邦デジタル・運輸省(BMDV)も電気通信電気メディアデータ保護法 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG)の改正草案を提示した。 電気通信電気メディアデータ保護法 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG) は、特に「番号に依存しない対人電気通信サービス」が次のように標準化した完全エンドツーエンド暗号化を使用して電気通信サービスを提供することが義務付けられる範囲で改正される予定である。

Ⅰ.BDSGの主な改正点

 1970 年代に BDSG が導入されて以来、数多くの法律改正が行われてきた。 法律の明確化を目的とした多くの変更に加えて、データ管理者とデータ主体に影響を与える可能性のある特定の変更も数多く行われている。

(1)新たに導入された BDSG 草案第 16a に従って、データ保護会議 (Datenschutzkonferenz – DSK) は、独立したデータ保護監督当局の正式な代表機関としての立場に関する疑念を払拭するために制度化される。 しかし、連立合意の意図に反して、DSKの決議は法的拘束力を持たないままであり、さもなければ憲法上の制限に影響を与える可能性がある(混合統治)

(2)BDSG 草案の新設第 40a 条によると、国境を越えたプロジェクトを行う企業および/または研究機関は、単一の州のデータ保護当局にのみ服従するものとします。(注1) これらの企業は、共同管理者であることを共同で示すことができる必要があります。 その場合、管轄監督当局は、通知の前の会計年度において年間売上高が最も高かった企業が管轄する当局となる。 通知は、共同管理者に対して責任を負うすべての監督当局に行われるべきである。

 科学的または歴史的研究目的および統計的目的でデータを処理する共同管理者、および独占的企業でない、または独占的企業ではない共同管理者については、最も多くの人が雇用されている当局が単独で責任を負うという条件で、新設のBDSG40a が適用される。

(3)GDPR第 15 条に基づくデータ主体のアクセスの権利

  GDPR第 15 条 は、情報が管理者または第三者の企業秘密またはビジネス秘密をデータ主体に開示する可能性を規定しており、ドイツは機密性に対する利益が情報に対するデータ主体の利益を上回る場合の扱いについて、BDSG 改正草案第 34 条(Section 34 Right of access by the data subject)によって明確化される。

 その背景は欧州司法裁判所 (CJEU) は、2023 年 7 月 12 日 判決( C-634/21 )において、民間信用情報会社SCHUFAスコアリングが第三者の権利を決定するものである場合には、許されない自動決定に当たるとの判決を下したことである。 送信されたSCUFAのスコア値は、この与信申込人物との契約関係を確立、実行、または終了する。 CJEU の判決は、GDPR の要件が BDSG 第 31 条の適用を妨げるかどうかの問題も扱っている。 ヴィースバーデン行政裁判所と欧州司法裁判所法廷長官は、EU法違反を含む「深刻な懸念」を表明し、その結果、連邦政府はBDSG第31条を廃止し、新たに第37a条を新設し、置き換えることでこの問題を是正したいと考えているという。 この問題は、後記第2節で詳しく述べる。

(4)企業実務にとって重要な点:企業秘密における情報への主体の権利の制限

 連邦政府はBDSG 第 34 条の改正も望んでいる。この基準は、GDPR 第 15 条に基づく情報に対する権利が適用されなくなる条件を規定する。 BDSG は、法定の保存要件によりデータが削除できないため、データが保存されるだけの場合に当てはまる。しかし、新しい改正法の文言によれば、情報に対する権利はもはや公法に基づく法律には適用されないのみでとある。

 一方、新たに挿入された法案文によれば、営業秘密または営業秘密が関係者に漏洩する可能性があり、秘密保持に対する利益が関係者の情報に対する利益を上回る場合には、情報に対する権利はもはや存在しないはずである。

 BDSG 第 34 条の規定のいずれかにより情報に対する権利が存在しなくなった場合、第 3 項は、本人の要求に応じて少なくとも連邦長官に情報を提供する可能性を規定している。この段落では、連邦公共団体がこの可能性について関係者に通知する義務を追加した。

 例外は、営業秘密および営業秘密の機密性への利益が、情報におけるデータ主体の利益を上回る場合に適用される。

 (5)民間団体のビデオ監視に関する法規制の撤廃

 BDSG第4条第(1)項の改正案は次のように要約される。(注2)

「公的機関による光学電子機器(ビデオ監視)を備えた公的にアクセス可能な部屋の観察は、許可される。」

 その結果、非公的機関、特に企業による公的にアクセス可能な部屋のビデオ監視に関する規制は、BDSG連邦法から削除された。このビデオ監視の許容性は、GDPR の第 6 条第 1 項に直接基づいている。

 考えられる影響:規制がこのように施行された場合、BDSG第4条第4項がまだ参照されている場合、ビデオ監視の参照標識は法的根拠に関する調整と見なす必要がある。

2.欧州連合司法裁判所 (CJEU) は、2023 12 7 日、SCHUFA Holding AG (以下、「SCHUFA」という) に対して画期的な判決

 CJEUのリリースと判決原本、ならびに解説から抜粋、引用、仮訳する。

(1)SCHUFA とは何か

 SCHUFA とは個人を中心とした信用スコアである。ドイツに住むほぼ全ての人についてスコアがつけられている(移住して間もない場合はスコアデータが出せない)。

 SCHUFA は決して公的機関の出すものではなく、Schufa Holdings AG という民間金融機関や一般事業会社からの出資によって経営されている会社によって運営されている。

 一般のスコア Basisscore は、100点満点中 97.5 以上であれば最優秀のカテゴリーですが、95 以上であれば十分で、90 を超えていれば何とか支障はないという印象です。逆に50 を切るとかなり問題になる。

 これとは別に、100 を最高点に600 台まで下がっていく、SCHUFA-Orientierungswert というスコアもある。

 また、SCHUFA には主に2種類あって、オンラインで請求して書面郵送を待つ正式版の SCHUFA-BonitätsAuskunftと、銀行や不動産系のウェブサイトでもその場で PDF の形でダウンロードできる SCHUFA-Bonitätscheckがある。

(2) 2023 年 12 月 7 日、欧州連合司法裁判所 (CJEU) は、SCHUFA Holding AG (以下、「SCHUFA」という) に対して画期的な判決を下した。この判決は、信用スコアリング機関の「EU 一般データ保護規則 」の適用方法に影響を与える可能性がある。 判決では、借り手予定者(prospective borrower) (以下、「OQ 」という)対. ヘッセン州事件で、CJEU は、SCHUFA の信用スコアリングが GDPR 第 22 条の対象となる自動意思決定 (以下、「ADM」という) として適格であると決定した。以下で、裁判経緯を概観する。

①事件の背景

 この事件には、ドイツの民間信用照会機関である SCHUFA が提供した信用情報に基づいて貸し手が融資申請を拒否した後、GDPR に基づく個人の権利を行使した「OQ」が関係している。 SCHUFA は OQ の個人データを使用して個人の信用度を示すスコアを生成し、その後ドイツの金融業者と共有した。

 OQ は、GDPR に従って、SCHUFA の自動信用スコアリング プロセスに関する情報を求める件名アクセス リクエストを作成した。 具体的には、GDPR 第 15 条 (1) (h) では、個人が「関係するロジック、およびデータ主体にとってのそのような処理の重要性と予想される結果について」知るためにADM に関する情報を要求することを許可している。 要約すると、第 22 条第 1 項は、「[データ主体] に関する法的効果を生み出す、または同様に [データ主体] に重大な影響を与える」決定をもたらす処理の自動化を規定している。

 SCHUFAは、企業秘密を理由に、OQのこの情報の要求を拒否した。 SCHUFA は、同社は第 22 条第 1 項の対象となる種類の ADM を実行しておらず、最終的な融資決定に向けた「準備行為」に従事しているだけであると主張した。 ローン申請を拒否する決定を下したのは SCHUFA ではなく銀行等貸し手であり、SCHUFA の役割は OQ の自動スコアを作成することだけであり、したがってSCHUFAは、OQの第15条の要求に従う必要はないと主張した。

CJEUは何を決定したか?

 CJEU は、SCHUFA の主張に反して、同機関は第 22 条第 1 項に従う決定を下したという判決を下した。同裁判所は、SCHUFAが金融機関によるOQの融資申請拒否の結果において「決定的な役割」を果たしたことから、SCHUFAは実際に関連するGDPRの ADM義務の対象となる意思決定者を構成していると明言した。

 これは、例えば信用スコアリングの法的根拠を作成することになり、 それは消費者を保護するのに役立つ。すなわち、以下のデータを使用して、スコアリング中に確率値を作成することはできないことになる。:

  • 民族的起源、生体認証データ、健康データなど、DSGVO第9条1項の意味における個人データの特別なカテゴリ。
  • ソーシャルネットワークの使用によるデータ主体の名前または個人データ。
  • 銀行口座からの入金および入金に関する情報。
  • アドレスデータ。
  • 未成年者に関するデータ。

 この決定を受けて、CJEUはプレスリリースを発行し、第三者が自動プロセスを「信用の付与における決定的な役割」とみなす場合、実施される信用スコアリングは「GDPR第22条によって原則的に禁止されている[ADM]とみなされなければならない」という与信決定機能を確認した。

SCHUFA事件の信用情報(スコアリング)事業者等への影響

 GDPR第 22 条に基づく ADM の構成要素に関するこの CJEU の広範な解釈は、企業が個人に影響を与える最終的な決定を下さなかったとしても、企業が「決定的な役割」を果たしている場合には、依然として GDPR の ADM 義務の対象となる意思決定者を構成できることを意味する。最終的な結果では。 特に、この決定は信用スコアリング機関に影響を与えるだけでなく、個人に重大な影響を与える決定を下す際に信頼されるリスクベースのスコアを生成する自動プロセスを使用するサービスプロバイダーにも影響を与える可能性がある。

 したがって、意思決定チェーンに参加する自動化プロセスに従事するすべての団体・組織は、自身がGDPR に準拠する独立した義務があるかどうかを検討する必要がある。

3.連邦法務省の改正法案の逐条解説 

 連邦法務省のBDSG改正法案の逐条解説(全27頁)を以下で、仮訳する。

第1条

連邦データ保護法の改正 

(1)  目次を次のように変更する(Die Inhaltsübersicht wird wie folgt geändert:)

(2)  第 1 条は次のように修正される。(§ 1 wird wie folgt geändert:)

(3)  第 1 部第 2 章を次のように修正する。(Teil 1. Kapitel 2. wird wie folgt geändert:)

(4) 第 1 部、第 4 章の後、次の第 4a 章を 挿入する(Nach Teil 1. Kapitel 4. wird folgendes Kapitel 4a. eingefügt:)

(5)  第 17 条は次のように修正される。(. § 17 wird wie folgt geändert:)

(6) 第 18 条は次のように修正される。

(7). 第 19 条第 1 項は次のように修正される。(§ 19 Absatz 1 wird wie folgt geändert)

(8) 第 27 条は次のように修正される。(§ 27 wird wie folgt geändert:)

(9) 第 29 条第 3 文 1 において、情報「2a」が情報「2」に置き換えられる(In § 29 Absatz 3 Satz 1 wird die Angabe „2a“ durch die Angabe „2“ ersetzt.)

(10) 第 30 条第 2 項第 3 文は廃止される。(§ 30 Absatz 2 Satz 3 wird aufgehoben.)

(11) 第 31 条は廃止される。(. § 31 wird aufgehoben.)

(12) 第 34 条は次のように修正される。(§ 34 wird wie folgt geändert:)

(13) 第 37 条は次のように修正される。(. § 37 wird wie folgt geändert:)

(14)第 37 条の後に、次の第37a 条が挿入される。

「§37a スコアリング」(Nach § 37 wird folgender § 37a eingefügt:§ 37a Scoring)

(15) 第40 条第 2 項は次のように修正される。(§ 40 Absatz 2 wird wie folgt geändert:)

(16) セクション 第40条 の後に、次の第40a 条が挿入される。

「第40a条 共同責任会社の監督権限」

(筆者注:本条はEUのGDPR第56条のワンストップ・ショップ制度を取りこんだもの。複数の加盟国内に拠点を有する管理者/処理者の処理を担当する監督当局を一つに集中させることを狙いとしている。具体的には、管理者/処理者の主たる拠点の監督当局が、国境を越えた処理に関する主要監督当局としての役割を果たし、管理者/処理者にとって、越境での処理に関わる唯一の窓口となる。

主要監督当局は、意見の一致を図り、すべての関連情報を交換するよう、他の関連する監督当局と協力する。主要監督当局は、他の監督当局が相互支援や共同作業を行うよう要請し、特に、他の加盟国内に拠点をもつ管理者/処理者に関わる調査や対策実施の監督を行う。(筆者ブログ(注1)参照。)

(第2条以下は略す)

 Ⅱ.ドイツ連邦電気通信テレメディア・データ保護法 (TTDSG) の一部改正法案

 電気通信情報保護法に基づく同意管理業務等に関する改正法案につき連邦「交通・デジタル・インフラ省(Bundesministerium für Digitales und Verkehr)」の法案解説を抜粋、仮訳する。 

 1.エンドツーエンド暗号化の義務化に加えて、明確化および補足的な規制も法律に組み込む必要がある。

 たとえば、「安全なエンドツーエンド暗号化」(注3)とは、通信コンテンツが送信側エンドユーザーで暗号化され、受信側エンドユーザーでのみ再度復号化されるため、閲覧することはできず、電気通信サービスのプロバイダーまたは第三者はキーにアクセスできず、伝送路全体にわたって解読できないようにする暗号化技術として定義される。

 エンドユーザーには、電気通信サービスのプロバイダーからエンドツーエンド暗号化について通知される必要がある。 このような暗号化が技術的に不可能な場合、プロバイダーは、そのような暗号化を妨げる技術的な理由に関する情報を提供する必要がある。

2.新たに導入されたTTDSG-E第13a 条は、商業的に提供される電気通信サービスのプロバイダーが、EUの刑事手続きにおける証拠、および刑事手続き後の懲役刑の執行には証拠を必要とする「欧州電子情報セキュリティ命令(Electronic evidence in criminal proceedings – production and preservation orders)(注4)の場合に電子証拠を保護および送信するために必要な場合に限り、加入者データ、トラフィック データ、および位置データを処理できるようにすることを目的としている。 (TTDSG第13条は位置情報規定(Standortdaten)

 3.同じ目的で、TTDSG-E 第24a条 によれば、ユーザーが相互に通信したり、別の方法でデータを処理したりできるようにする商用テレメディアのプロバイダーは、データの保存が許可されることを条件として、加入者データと使用状況データの処理を許可されるべきで、ユーザーに提供されるサービスのプロセスの決定的な部分である。 これは、インターネット ドメイン名と、IP アドレス割り当てやドメイン名登録サービスなどの IP 番号付けサービスのプロバイダー、ドメイン名レジストラ サービスのプロバイダー、ドメイン名に関連するプライバシーとプロキシ サービスのプロバイダーにも適用される必要がある。

4.2 つの新たな違反行為につきTTDSG第28条細則(Bußgeldvorschriften) の罰金規定に追加される。

  一方で、TKG の第 3 条第 13 号(注5)の意味に含まれるエンドユーザーは、エンドツーエンド暗号化の実装または可能性について通知される必要がある。 一方、ユーザーには、TKG 第3条(定義)第41号(注6)の意味の範囲内で、提供されたユーザーのみが情報を読み取ることができるようにする継続的かつ安全な暗号化の可能性について通知する必要がある。 罰金の額は変更されるべきではない。 TTDSG-E 第29条 (注7)では、データ保護と情報の自由に関する連邦長官の権限が拡大される。 特に、データ保護の遵守を確保するための命令やその他の措置を講じることができるようになる。

現在のところ、そのような一般条項は GDPR 第 58 条に規定されていない。 この権限が GDPR 第 58 条に記載されている権限にどの程度限定されるかは、まだ不明である。TTDSG-E第 29 条 の措置を施行するために、最大 100 万ユーロ(約1億6400万円)の違約金の支払いを設定する可能性があることは言うまでもない。

*********************************************************

(注1) BDSG 草案の新設第 40a 条はGDPR第56条、第60条のワンストップ・ショップ・メカニズムの国内法化である。

ワンストップ・ショップ・メカニズムにつき、筆者blog(注1)参照。

(注2) 現行法のBGSG第 4条第1項を仮訳する。

公共のアクセス可能なスペースにおけるビデオ監視

(1) 光電子機器による公共のアクセス可能なエリアの監視 (ビデオ監視) は、次の必要な場合にのみ許可される。

  1. 公共機関がその任務を遂行するため、
  2. 誰かにアクセスを許可または拒否するかを決定する権利を行使するため、
  3. 特別に定義された目的のために正当な利益を保護するため、

また、もしデータ主体の正当な優先利益を示すものが何もない場合、以下の ビデオ監は、参加者の生命、健康、自由を保護することは、非常に重要な利益とみなされる。

  1. スポーツ施設、集会や娯楽の場所、ショッピングセンターや駐車場などの公共の利用できる大規模な施設
  2. 公共鉄道、船舶、またはバス交通機関の車両および公共の利用できる大規模な施設、

(注3) エンドツーエンド暗号化(end-to-end encryption、E2EE、E2E暗号化)は、通信経路の末端でメッセージの暗号化・復号を行うことで、通信経路上の第三者からのメッセージの盗聴・改ざんを防ぐ通信方式である。E2EEを用いた通信では、メッセージは意図した受信者だけが復号できるよう暗号化してから転送されるため、通信が傍受されたり、通信を中継するサーバが危殆化したりした場合でも、通信の機密性が確保される。

 一方、TLS(Transport Layer Security)では、通信はメッセージを中継するサーバとの通信経路では保護されるが、中継サーバからは保護されない。一方、E2EEを用いると、メッセージはサーバ間ではなく通信経路の末端で暗号化・復号されるため、通信は中継サーバを含む意図した受信者以外から保護される。(Wikipedia から抜粋)

(注4) “Electronic evidence in criminal proceedings – production and preservation orders”の立法目的の規定を仮訳する。

データの所在に関係なく、刑事犯罪の捜査と訴追に使用される電子証拠へのアクセスを容易にし、迅速化することを目的としている。

欧州連合 (EU) 加盟国の司法当局は、別の加盟国におけるサービスプロバイダーの指定設立またはその任命された法定代理人に対し、次のことを要求することができる。

加入者データ、ユーザーを識別するために必要なインターネット・ プロトコル (IP) アドレス、電子メール、テキスト、アプリ内メッセージなどの電子証拠を作成する。

また、今後のリクエストが保留されるまで、指定されたデータを保存する。

(注5) Telekommunikationsgesetz (TKG)第 3 条Begriffsbestimmungen(定義)第13号の仮訳

13.号 「エンドユーザー」とは、公衆電気通信ネットワークを運営せず、公的に利用可能な電気通信サービスを提供しないユーザーを意味する。

(注6) TKG 第3条(定義)41号の仮訳

 「ユーザー」とは、公的に利用可能な電気通信サービスを私用またはビジネス目的で使用または申請する自然人または法人を意味する。

(注7)  TTDSG第29条「データ保護と情報の自由に対する連邦長官の責任、任務、権限」参照。

********************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution. 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

フロリダ州、オハイオ州およびウタ州等の未成年者のソーシャル・ メディア・ プラットフォーム利用にかかる厳格な規制州法立法とそれらを巡る憲法違反裁判等の最新動向

2024-04-02 11:52:18 | ITと未成年者保護

 フロリダ州では3月25日(月)、州知事ロン・デサンティス(Ron DeSantis)氏はSB 3法案に署名した。この法案は大まかにいうと、ソーシャル・メディア・プラットフォームに対し、14歳未満の個人のアカウント作成を停止する一方で、14歳または15歳のアカウント作成については親や保護者の同意を求めることを義務付けている。州法務局は、違反 1 件につき最高 50,000 ドル(約755万円)の民事罰金、妥当な弁護士費用および訴訟費用、および (特定の条件下で) 懲罰的損害賠償を徴収する場合があり、また未成年のアカウント所有者に対し、最大 10,000 ドル(約51万円)の損害賠償を請求することもできる。

 この法律は 2025 年 1 月 1 日に発効する。

 この記事を読んで、まず筆者は他州の動向を調べるべくオハイオ州、ウタ州の法解説サイトにたどり着た。

 今回のブログは、これら3州の法内容を比較すべくまとめるとともに、これら発生するであろう大手テクノロジー企業のメンバーからなる全国的な業界団体であるNetChoiceの告訴による仮差止命令の意義等に言及する。

 この判決は、いくつかの州が州レベルで子供のプライバシーを規制しようとし、連邦取引委員会(FTC)が連邦レベルでCOPPA制度の大幅な変更を提案(注1)するなど、米国内および海外で子供のデータ・プライバシーへの注目が高まっている中で下された。

 一部の州では、ソーシャル・ メディア・ プラットフォームなど、特定のコンテンツや Web サイトの種類に制限を設けることで、より対象を絞ったアプローチを採用しているが、カルフォルニア州(注2)等他の州では、英国の「子供のアクセスの年齢適正化デザイン規則(Age-Appropriate Design Code))(「Children’s Code」が略称)」のより包括的なアプローチに従っている。(注3)(解説から一部抜粋)

 なお、Children’s CodeはEUのGDPRおよび国連子どもの権利条約(UN Convention on the Rights of the Child :UNCRC)などに大きく依存しており、今後のわが国の子どものソーシャル・メディア・プラットフォーム等保護法の在り方を考える上で重要となろう。

 なお、後述するオハイオ州連邦地裁判決には筆者には大いなる異論がある。この点はEUのAI法の対する米国の考えの差にもつながる。この点については、別途本ブログで取り上げる予定である。

-1.フロリダ州上院の法案解説

 フロリダ州上院の法案解説仮訳する。(法案原文)

 この法案は、規制対象のソーシャル・メディア・プラットフォームに対し、14歳未満の未成年者がアカウント所有者となるためにソーシャルメディア・プラットフォームと契約を結ぶことを禁止することを義務付けている。 14 歳または 15 歳の未成年者もアカウント所有者になることができるが、親または保護者の同意がある場合に限る。ソーシャル・ メディア・ プラットフォームは、次の場合にこの法案に基づいて規制される。

(1)ユーザーがコンテンツをアップロードしたり、他のユーザーのコンテンツやアクティビティを表示したりできるようにすること。

(2)法案に記載されている一定の毎日のアクティブ ・ユーザー指標を満たすこと。(筆者補足:一定とは16 歳未満の場合、毎日のアクティブ ・ユーザーの 10% 以上が、過去 12 か月間、プラットフォームで 1 日あたり 2 時間以上過ごしたこと)。

(3)ユーザーデータまたはユーザーに関する情報を分析するアルゴリズムを採用して、ユーザー向けのコンテンツを選択できること。

(4)特定の中毒性のある機能・内容を持っていること。

 この法案は、14 歳未満の未成年者が所有するすべてのアカウント、および 14 歳または 15 歳の未成年者が所有するが親または保護者の同意を得ていないアカウントに関して、規制対象のソーシャル・ メディア・ プラットフォームにそれらのアカウントを停止することを義務付けており、また、アカウント所有者またはその親または保護者がアカウントを終了できるようにする義務がある。

 ソーシャル・ メディア・ プラットフォームは、法律で個人情報の保持が義務付けられていない限り、これら停止されたアカウントに関連して保有するすべての個人情報を永久に削除しなければならない。

 また、この法案は、ウェブサイトやアプリケーション上で未成年者にとって有害なコンテンツを意図的かつ故意に公開または配布する規制対象の営利団体に対し、そのウェブサイトやアプリケーションにコンテンツの大部分が含まれている場合、18 歳未満による当該コンテンツへのアクセスを禁止することも義務付ける。

 それらは未成年者にとって有害であり、このような営利団体は、匿名または標準の年齢確認方法を使用して、未成年者にとって有害なコンテンツにアクセスしようとする人の年齢が法案の年齢要件を満たしていることを確認する必要がある。

 また、匿名の年齢確認方法を使用する場合、その確認は、米国の州の法律に基づいて組織された非政府の独立した第三者によって行われなければならない。この年齢確認に使用された情報は、年齢を確認した後に削除する必要がある。

 規制対象のソーシャル メディア プラットフォーム、営利団体、および法案の要件に故意かつ無謀に違反する営利団体の年齢確認を行う第三者は、「フロリダ州欺瞞および不公正取引慣行規制法(Florida Deceptive and Unfair Trade Practices Act)」に基づく強制法執行の対象となる。

  州法務局は、違反 1 件につき最高 50,000 ドル(約755万円)の民事罰金、妥当な弁護士費用および訴訟費用、および (特定の条件下で) 懲罰的損害賠償(注4)を徴収する場合がある。また未成年のアカウント所有者に対し、最大 10,000 ドル(約51万円)の損害賠償を請求することもできる。

-2.フロリダ州の16歳以下の未成年のアクセスを制限するソーシャルメディア規制法案の詳細

2024.3.29 Inside Privacy「フロリダ州は16歳以下の未成年のアクセスを制限するソーシャルメディア規制法案を制定」を前節と重複しない形で仮訳する。

 3月25日(月)、フロリダ州知事ロン・デサンティス(Ron DeSantis)氏はSB 3法案に署名した。 この法案は大まかに、ソーシャル・メディア・プラットフォームに対し、14歳未満の個人のアカウントを停止する一方で、14歳または15歳のアカウント作成については親の同意を求めることを義務付けている。 この法律は 2025 年 1 月 1 日に発効する。

Ron DeSantis氏

  主要な規定を、以下のとおり要約する。

(1)ソーシャルメディア・プラットフォームの定義

  この法案は、次の基準をすべて満たすプラットフォームに適用される。

① ユーザーがコンテンツをアップロードしたり、他のユーザーのコンテンツやアクティビティを閲覧したりできるようにします。

② 16 歳未満の毎日のアクティブ ユーザーの 10% 以上が、過去 12 か月間、プラットフォームで 1 日あたり 2 時間以上過ごしたこと。

③ ユーザーデータまたはユーザーに関する情報を分析して表示するコンテンツを選択するアルゴリズムを採用しています。

 ④ 1 つ以上の中毒性のある機能が含まれている。

(2) 「中毒性のある機能」の定義

 この法律は、以下は中毒性のある機能とみなされると説明する。

① 無限スクロール(infinite scroll) (継続的に読み込まれるコンテンツ、または終了または改ページがないコンテンツ; ページを下にスクロールするたびに記事がある限り無限に次々と読み込まれて記事が表示される動きのこと)。

② アカウントのアクティビティまたはイベントについてユーザーに通知するプッシュ通知(注5)またはアラート。

③ 他のユーザーがユーザーのコンテンツに反応、共有、または再投稿した回数を示すインタラクティブな指標。

④ ユーザーがビデオまたは再生ボタンをクリックせずに再生を開始するビデオ機能。

⑤ ユーザーまたは広告主がリアルタイムでライブビデオコンテンツをブロードキャストできる機能。「ソーシャル メディア・ プラットフォーム」の定義の 4 番目の要素を満たすには、機能が 1 つだけ存在する必要があることに注意されたい。

(3) 未成年者のアカウントの特定と開設

  ソーシャル メディア ・プラットフォームは、アカウントに関連付けられた年齢情報と、コンテンツやコンテンツをターゲットや広告目的でプラットフォームがアカウントを処理または分類する方法の両方を考慮して、アカウントを評価して、そのアカウントが 15 歳以下のユーザーに属しているかどうかを判断する必要がある。

(4) 14 歳未満のアカウント:14 歳未満と判断された人のアカウントは停止されなければならない。アカウント所有者は、停止に対して 90 日間異議を申し立てることができる。 アカウント所有者またはその親もアカウントの終了を要求することができる。この場合、アカウント所有者が要求した場合は 5 営業日以内に、また親が要求した場合は 10 営業日以内に終了する必要がある。 さらに、プラットフォームは、法的要件を除き、終了したアカウントに関連するすべての個人情報を永久に削除する必要がある。

(5)私的訴訟の権利

 この法律の故意または無謀(reckless)な違反は、不公平で欺瞞的な取引慣行であり、国家によって罰則が強制される。 州は、違反 1 件につき最高 50,000 ドル(約755万円)の民事罰金と、妥当な弁護士費用および訴訟費用を徴収する場合がある。 また、違反行為のパターンに対して懲罰的損害賠償(punitive damages)が課されることもある。

(6)年齢認証

 未成年者にとって有害なコンテンツが 33.3% 以上含まれている Web サイトまたはアプリケーション上で、未成年者にとって有害なコンテンツを故意かつ意図的に公開または配布する営利団体は、ユーザーが 18 歳以上であることを確認するために年齢認証を実行する必要がある。ただし、 報道機関はこの要件から免除されます。

 事業体は、標準または匿名の年齢確認の両方のオプションを提供する必要がある。 匿名の年齢確認は、年齢確認に使用された後は個人識別情報を保持せず、そのような情報を匿名に保ち、不正または違法な使用、アクセス、破壊、変更、または開示から保護するプロセスとして定義される。この規定は、国家および私的訴訟権を通じて執行可能である。

Ⅱ.Utah 州「Utah Social Media Regulation Act」の概要

(1)2024.3.1 Utah州法(Utah Social Media Regulation Act)を施行

 Utah 州の統合法案(S.B. 152 Social Media Regulation Amendments)の解説から抜粋、仮訳する。

 ソーシャル・ メディア・ プラットフォームへの関与による未成年者への危害について、親、保護者、教育者、安全担当者、研究者、個人などとしての経験を共有されたい。

■2024 年 3 月 1 日以降、ソーシャル・ メディア企業は以下を行う必要がある。

〇ソーシャル メディア アカウントの維持または開設を希望するユタ州の住民の年齢を確認する

〇18 歳未満のユタ州ユーザーの場合は、親または保護者の同意を得る。

〇親または保護者は子供のアカウントへのフルアクセスを許可する。

〇未成年アカウントへの夜間アクセスをブロックするデフォルトの門限を設定 (午後 10 時 30 分から午前 6 時 30 分) を作成し、保護者が調整できるようにする。

〇未成年アカウントを未承認のダイレクト・メッセージから保護する。

〇未成年アカウントを検索結果からブロックする。

■さらに、ソーシャル メディア企業は次のことを行う。

〇未成年者の個人データは収集できない。

〇未成年者のソーシャル・メディア・アカウントを広告のターゲットにすることはできない。

〇中毒性のあるデザインや機能を備えた未成年のソーシャル・ メディア・ アカウントをターゲットにすることはできない。

■ソーシャルメディア規制法の施行

 消費者保護局は、新しい法律を施行するために行政的または民事上の措置を講じる場合がある。法違反は 2024 年 3 月 1 日から同部門に報告できるようになる。

■ソーシャルメディア規制法が公布された。

プレスリリース: ユタ州行政規則局( OAR )がソーシャルメディア規制法の規則を発行

ユタ州がTikTokを告訴(ウタ州司法長官の告発状

動画: コックス知事がTikTok訴訟を発表

プレスリリース: ユタ州、児童中毒被害を巡りTikTokを提訴、中国に拠点を置く親会社との「巻き込み」を標的に

■ユタ州がメタ(META PLATFORMS, INC., and INSTAGRAM, LLC,)を告訴訴訟(ウタ州司法長官の告発状)

プレスリリース: ユタ州、児童中毒被害とFacebookとInstagramの危険性について両親を欺いたとしてメタを告訴

Ⅲ.Ohio の規制法制定と裁判

1.州法「Social Media Parental Notification Act」の制定

 同法は、ソーシャル・メディア・プラットフォームに年齢確認措置を課し、16歳未満のユーザーには親の同意を求めるものである。オハイオ州法は、特に子供を対象としたプラットフォーム、または子供がアクセスする可能性が高いプラットフォームに適用され、以下の要素に基づいて決定される。

(1) 主題。

(2) 言語。

(3) デザイン要素。

(4) ビジュアル・コンテンツ。

(5) アニメキャラクターや子供向けの活動やインセンティブの使用。

(6) 音楽またはその他の音声コンテンツ。

(7) モデルの年齢。

(8) 子供芸能人や子供向けの有名人の存在。

(9) 広告。

(10) 視聴者の構成に関する経験的証拠。

(11) 対象読者に関する証拠。

 さらに、この法律は、製品レビュー サイトと、コメント機能を備えた「確立され広く認知されている」ニュース サイトを例外としている。

  違反に対する罰則は、(i) 違反の最初の 60 日間は 1 日あたり最大 1000 ドルの罰金が含まれる。 (ii) 61 ~ 90 日目は 1 日あたり最大 5000 ドルの追加料金。 (iii) 91 日目以降は 1 日あたり最大 10,000 ドルの追加料金である。

 この法律はオンラインで未成年者を保護することを目的としている一方で、デジタルプラットフォームにおける言論の自由、曖昧さ、コンプライアンスの負担について深刻な懸念を引き起こしている。

2.米大手テクノロジー企業のメンバーからなる全国的な業界団体NetChoiceが連邦地裁に憲法違反で告訴と一連の企業の対応

 大手テクノロジー企業のメンバーからなる全国的な業界団体であるNetChoiceが主に合衆国憲法修正第1条を根拠に、これらの法律をめぐってさまざまな州を訴えおよびオハイオ州では2024年1月9日、オハイオ州南部地区連邦地方裁判所裁判決の争点内容と他州への影響につき、 以下のローファームの解説をベースに仮訳する。

 2024.2.15 JD Supra LLCの解説「Court Prohibits Ohio’s AG From Enforcing Social Media Parental Notification Act」

 2024.1.22 Hunton Andrews Kurth LLP’の解説「Ohio Social Media Age Verification and Parental Consent Law Temporarily Blocked 」

 オンラインビジネスを代表する業界団体であるNetChoiceは、同法がNetChoiceの会員とそのユーザー双方の憲法修正第1条と第14条の権利を侵害しているとして、オハイオ州司法長官デイブ・ヨスト(Dave Yost)氏に対して仮差止命令を出すよう申し立てた。

Dave Yost 氏

 NetChoice は、この法律は表現の自由とインターネット上の情報にアクセスする権利を不当に制限していると主張した。 さらに、NetChoiceは、この法律は曖昧であり、一部の企業が適用すらされない法律を遵守するために不必要に多額の費用を費やすことになると主張した。

 裁判所はまず、NetChoice が NetChoice の主張を聞き入れなかった場合の言論の自由への萎縮効果などの憲法上の損害だけでなく、会員への経済的損害に基づいて、NetChoice が自社とその会員の両方を代表して訴訟を起こす資格があると判断した。 次に同裁判所は、言論の自由への影響とソーシャル・メディア・プラットフォームとそのユーザーに及ぼす潜在的な損害を考慮し、合衆国憲法修正第1条と第14条の両方のレンズを通して同法を精査した。

1.厳格な精査と内容に基づく制限: 裁判所は、本法は「内容に基づく」ものであるため、最高水準の審査である厳格な精査の対象であると判断した。 厳格な監視のため、政府は、法律が政府のやむを得ない利益にかなうように、厳密に調整されたアプローチを使用していることを示す必要がある。 司法長官は、オハイオ州法は、「子供を対象とした」サイト、または「子供によるアクセスが合理的に予想される」サイトに適用することで、未成年者のプライバシー、健康、安全にリスクをもたらすプラットフォームに適用を調整しているだけで特定のコンテンツをターゲットにするのではないと主張した。 しかし裁判所は、特定の機能を備えたサイトに適用される法律の規定は、そのサイトが管理し育成することを意図したコミュニティに関するメッセージを伝えているため、本質的にコンテンツベースであると判示した。 さらに、裁判所は、明らかにコンテンツベースであるとして「確立された」ニュースサイトと製品レビューサイトの例外を指摘した(一例として、裁判所は、なぜ法律に書籍や映画のレビューサイトの例外も含まれていないのかを尋ねた)。 したがって、裁判所は、この法律は言論を選択的に規制しており、厳しい精査の対象であると判断した。

2.法律の曖昧さと範囲の広さ: 裁判所は、同法の曖昧さと広範な適用が言論の自由を冷やす可能性があり、プラットフォームのコンプライアンス要件が不明確であると認定した。 たとえば、司法長官は、オハイオ州法は未成年者が個人データの使用を許可する利用規約を締結することを保護することに関係していると主張した。しかし、裁判所は、この法律は、親の同意がない限り未成年者をこれらのサイトから完全にブロックしているため広範すぎる一方、「子供は親の同意がなくてもニューヨーク・タイムズとの契約に同意することができ、 しかしFacebookはそうではない」と判示した。 司法長官はまた、特定のソーシャルメディアサイトの使用によって子どもたちに潜在的な心理的および現実世界の危害が及ぶ可能性についても列挙したが、これに対して裁判所は、この法律は「子どもたちに対するソーシャルメディアの危害を軽減するための、息をのむほど率直な手段である」と答えた。 憲法修正第 14 条に基づく曖昧さの問題に関して、裁判所は、「確立された」および「広く認知されている」報道機関に対する同法の「眉をひそめるような例外」を指摘し、「そのような大胆で主観的な表現は事実上、法的規制の恣意的な適用を招く」と結論付けた。

3.未成年者の権利への影響: 2011 年の最高裁判例、ブラウン対エンタープライズ事件を取り上げます。 マーチャンツ・アッセンは、未成年者への暴力的なビデオゲームの販売を禁止するカリフォルニア州法を無効としたが、裁判所は、司法長官が主張したように、オハイオ州法は親権を強制するものではなく、むしろ親の拒否権を条件として政府の権限を課すものであると指摘した。 。 裁判所はまた、オンラインプラットフォームには保護された言論を未成年者と成人の両方に広める権利があるという逆の主張も行った。

4.衡平法上の正当な権利と公共の利益のバランス: NetChoice が本案と取り返しのつかない損害の可能性に関して成功の可能性が高いことを示したと結論付けた後、裁判所は、差し止め命令が他者に損害を与えるかどうか、および公衆に害を及ぼすかどうかという最後の 2 つの予備的な差し止め命令の要素を検討しました。 これら 2 つの要素は「政府が当事者である場合には統合される」と指摘し、差し止め命令によって利益が得られるだろう。 司法長官は、法律の施行を許可して未成年者を保護することで公共の利益が果たされると主張したが、裁判所は「国家は憲法に違反する法律を施行することに関心がない」というネットチョイスの主張に納得した。 したがって、裁判所は一時的差止命令を認めた。

 本訴訟は、ソーシャル・メディア・プラットフォームを規制しようとする立法府の試みと、プラットフォームとそのユーザーの言論の自由やその他の憲法上の権利とを争う最近および係争中の数多くの訴訟の1つである。

***********************************************************************

(注1) 米国連邦法「COPPA(Children's Online Privacy Protection Act)」とは、米国連邦取引委員会(FTC)が、子どものオンライン個人情報を保護者の管理下で安全に管理することを目的に制定した法律。 COPPAでは、子ども向けのサイトやアプリが13歳未満の子どもから情報を収集する場合は、本人確認済みの親や保護者から許可を得ることを義務付けている。

(注2) 英国Children’s Codeは、様々な影響をすでに与えており、例えばYouTubeは18歳未満のユーザーの自動再生機能を無効にした。他にも、Instagramは、フォロー外の18歳未満のユーザーに大人がメッセージを送ることを禁止、TikTokは、時間帯によって18歳未満に対するプッシュ通知の送信を停止するなど、対応を余儀なくされている。(解説から抜粋)

(注3) 今回の規則はEUのGDPR(一般データ保護規則)や2018年のデータ保護法をベースに策定されたもので、今年の秋に英国議会で審議される見通しだ。法案が成立した場合、企業らは12カ月間の猶予期間内に、新基準を満たすことを求められる。

 この規則は子供がアクセスする可能性のあるアプリやソーシャルメディア、ストリーミングサイト、ネット接続可能な玩具まで、あらゆるネットを用いたサービスを対象とする。サービスの運営者は、プライバシー設定をデフォルト状態で高度なレベルにしておくことを求められ、子供らに抜け道を与えてはならない。規則に違反した企業は最大で1700万ポンド(約25億円)の罰金もしくは、世界の総売上の4%の支払いを求められる。小規模な企業にとってシステムの改修は大きな負担になり得るし、利用者の年齢を把握する義務も生じる。デジタルの権利と自由の保護を推進する団体のOpen Rights Groupも、基本的にはこの規則を歓迎しているが、様々なサービスに年齢認証が義務づけられることには懸念を示している。(Forbes japan記事から抜粋)

(注4) 懲罰的損害賠償の請求(punitive damage)とは、英米法上の概念であって、主として不法行為に基づく損害賠償請求訴訟において、強い非難に値する加害者の行為に対して裁判所の裁量により、実際の損害の補填に加えて制裁金を上乗せして賠償請求をすることをいう。

(注5) プッシュ通知とは特にモバイル端末において、情報の更新があった際に自動でユーザーへ送られる通知を指す。

**********************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution. 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする