「米国COPPA」が求める親の同意の確認方法に自己撮り(selfie)をみとめるか？

　FTCは、米国連邦法「1998年児童オンライン・プライバシー保護法（COPPA）」 (注1)(注2 )に基づき、規制の細則については連邦取引委員会規則を策定することとなっており、同規則は2000年４月21日に施行され、以降も新たな技術の進展やサービスの拡大にあわせ、適宜見直し、改正が行われている。

　また、2015.3.20 の更新されたFTCのCOPPAのQ&A「Complying with COPPA: Frequently Asked Questions」は同法の運用解釈をめぐるガイダンスとして発刊している。 

　一般論でみると、米国の1998年「児童オンライン・プライバシー保護法（COPPA）」は、オンラインサービス運営企業(ウェブサイトやモバイル・アプリ等を含む)に対し、それらのユーザーが13才未満の子供たちを個人情報を集める前に「親の検証可能な同意(verifiable parental consent)」 (注3)を得ることを要求する。 

　ところが、一見簡単に思えるこの同意の確認方法の問題は米国の実務上従来から面倒な問題を投げかけてている。FTCはある企業の提案について慎重な検討を行っていると米国の大手ローファーム( Robinson & Cole　；Fieldfisher　 ほか)が取り上げており、今回のブログはこの問題の複雑性ならびに情報機器がますます多様化する中で、児童のプライバシー保護問題への親の理解と生活に占めるIT面のイニシアティブを行政としていかに支援するかという問題を考えてみる良い機会として本ブログでも取り上げる。 

１．COPPAに関する連邦議会改正論議と州レベルでの取り組み

　(1)FTCの「Children's Online Privacy Protection Rule ("COPPA")｣のこれまでの改正経緯一覧 を参照されたい。 

(2) 米国の全米州議会議員連盟(NCSL)は、州レベルにおける児童のプライバシーやサイバー被害、いじめ等から守るべき保護立法「State Laws Related to Internet Privacy 」つきカテゴリー分類、整理したうえで、その内容を以下のとおり概観している。

　この種の解説はわが国ではほとんど見ないので、ここで紹介する。なお、各条文へのリンクは略す。 

①Children's Online Privacy分野

・California州：Calif. Bus. & Prof. Code §§ 22580-22582 

・Delaware州：Del. Code § 1204C

②e-Reader Privacy電子書籍分野

・Arizona州：Ariz. Rev. Stat. § 41-151.22

・California州：Cal. Govt. Code § 6267、Cal. Civil Code § 1798.90

・Delaware州：2015 SS 1 FOR SB 68 Del. Code tit. 6, § 1206C

・Missouri州：Mo. Rev. Stat. § 182.815, 182.817

③ウェブサイトやオンラインサービスにおけるプライバシーポリシー分野

・California州：Calif. Bus. & Prof. Code § 22575、Calif. Bus. & Prof. Code §§ 22575-22578、

California Ed. Code § 99122

・Connecticut州：Conn. Gen. Stat. § 42-471

・Delaware州：Del. Code Tit. 6 § 205C

④Privacy of Personal Information Held by Internet Service Providers

・Minnesota Statutes §§ 325M.01 to .09 

・Nevada Revised Statutes § 205.498

・California Civil Code §§ 1798.83 to .84 

・Utah Code §§ 13-37-101, -102, -201, -202, -203

⑤False and Misleading Statements in Website Privacy Policies

・Nebraska州：Nebraska Stat. § 87-302(14)

・Pennsylvania州：18 Pa. C.S.A. § 4107(a)(10)

⑥従業員のE-mail交信内容やインターネット利用に関するモニタリングの告知

・Connecticut州： Gen. Stat.§ 31-48d

・Colorado州：Colo. Rev. Stat. § 24-72-204.5

・Tennessee州：Tenn. Code § 10-7-512

⑦〔参考〕各州の政府サイトのプライバシーポリシー 

２．FTC規則のこれまでの取り組み

(1)TFCは前述したQ&A””の「H.  VERIFIABLE PARENTAL CONSENT(IとしてEXCEPTIONS TO PRIOR PARENTAL CONSENTのQ&Aも定ている)で、その手続きを明確化している。(注4) 

　いずれにしても、これだけのページを割く以上、同法の運用面の複雑さが理解できよう。 

(2) COPPAの解釈、運用上の問題点

　COPPAは、親の同意を得る許容できる方法につき徹底が不能といえるリストを定める。たとえば、オペレーターは親に署名のうえ、アメリカ郵便公社の郵便(U.S. mail)、ファックスまたは電子スキャン(electronic scan) (注5)によって同意書を返すよう頼むことができる。または、他の方法で、例えばオペレータに対し親にフリーダイヤル受付の訓練された職員を置いていると言うように命じることができる。このように、現在認可された方法の多くは、今日の技術とりわけモバイル端末使用が習慣となっている時代には非実用的でふさわしくない。 

(3)ID verification, Trust Online, Authenticity Online, Safety Onlineの専門会社であるリヨ・ヴェリファイド社(Riyo Verified.） (注6)は、前述の親の同意手続き規定の実態に合わない現状にかんがみ、現状の方法に追加すべく、親が顔認証の写真を撮って、つぎにスマートフォンまたはコンピュータ・カメラを用いて「自撮り(セルフィー：selfie)」することを親に要求する「ツーステップ顔認識プロセス」につき、2015年11月までをもって連邦取引委員会（FTC）に対して承認を求めてきたのである。 

　同社によると、親の写真データは専門ソフトウェアにより保存し、提出された親のID（ソフトウェアは機密データを暗号化する）から親の年齢をチェックし、最後にリヨとそのサービスプロバイダーは5分の確認作業後いかなる親の情報をも「直ちに削除」するとする。 

　FTCは、2015年11月18日まで提案されたこの方法についての決定を延ばしていると最近発表した。FTCとしてはこの提案がこの提案が親の同意を得るより時代遅れの方法について、いくらかの実際的な選択肢を提供するように見える一方で、それはそれ自身の親のプライバシーに懸念が生ずるのである。どのように写真は分析されるのか、そして、運用会社は誰とその顔認証データを共有するのか？ どこに、写真は保存されるのか、そして、どんな生体認証情報のセキュリティ対策が親によって提出される情報の不正発表を妨げるために実施されているか？

 　Riyo Verifiedの提案は、あらたな挑戦のもう一つの良い例とデジタル・プライバシーの世界の緊張に置くもので、FTCとしては一般ルール策定にあたりより慎重な検討を要すると考えたのである。 

　急速に変化するデジタル市場の機関の適応性（または注意）の指標として、FTCの対応をモニターすることは、面白いと課題といえるのが、米国のローファームの見解である。 

**********************************************************************

(注1) 総務省情報通信国際戦略局国際政策課 入江晃史「オンライン上の児童のプライバシー保護の在り方について－米国、ＥＵの動向を踏まえて－」

COPPAに関するわが国の解説文である。ただし、どういうわけか「親の検証可能な同意（verifiable parental」に関する具体的な説明はない。 

(注2) 米国は個別立法の国であるが、児童に有害なオンライン情報に関する連邦規制法も数多く存する。内閣府サイト「米国　3.青少年のインターネット利用環境(レイティング、ゾーニング)に関する制度、法及び政策とその背景 (3)連邦規制機関による規制」で確認されたい。

(注3) 親の検証可能な同意(verifiable parental consent)につき、わが国の「みんなのたのしいネットワーク」のなかの「the Children's Online Privacy Protection Act of 1998 (COPPA)の詳細化」から一部抜粋する。 

「細則(COPPAを受けたFTC規則)として最も注目されていたのは"verifiable parental consent"とはどのような方法を指すかでした。子どもの個人情報を取得するには「証明可能な親の同意」が必要なのですが、具体的にはどのような方法が必要かは法は規定していないからです。

ニューヨークタイムス(By JERI CLAUSING)が

"A number of companies had argued that e-mail from a parent should be considered sufficient proof of parental consent, saying that other methods can be too costly for small Internet start-ups. But privacy advocates countered that e-mail is too easy to forge, especially by children who are often much more tech-savvy than their parents."

と指摘しているように、産業界は電子メールでの確認が確実であり、他の方法は費用がかかり過ぎると言い、人権保護の立場からは親よりパソコンに詳しい最近の子どもたちは簡単にごまかしてしまうと主張するという問題があるわけです。

この点についてＦＴＣのルールは「スライド制」という方法を採用しました。・・・」 

(注4) H.  VERIFIABLE PARENTAL CONSENT(IとしてEXCEPTIONS TO PRIOR PARENTAL CONSENTのQ&Aも定めている)

(1).  When do I have to get verifiable parental consent?

(2)May I first collect personal information from the child, and then get parental permission to such collection if I do not use the child’s information before getting the parent’s  consent?

(3) I collect personal information from children who use my online service, but I only use the personal information I collect for internal purposes and I never give it to third parties.  Do I still need to get parental consent before collecting that information?

(4) How do I get parental consent?

(5) I would like to get consent by collecting a credit card or debit card number from the parent, but I don't want to engage in a monetary transaction.  Is this ok?

(6) I would like to use a credit card or a government-issued identification as a method of parental consent.  I am worried, however, that I will not know whether it is the child’s parent or another adult who is submitting identification for consent.  Do I need to collect additional information to confirm that, in fact, it is the parent?

(7) What do I do if some parents cannot or will not use the consent method I have chosen?  For instance, some parents might not have a credit card, or might feel uncomfortable providing government identification information online.

(8)  Should I give out passwords or PIN numbers to parents to confirm their identity in any future contact with them?

(9) I know that I must allow parents to consent to my collection and use of their children’s information, while giving them the option of prohibiting me from disclosing that information to third parties.  Does that mean that if I operate a social networking site, or have chat rooms or message boards, I have to offer the same kind of “choice” about these types of sites as well?

(10) I am the developer of an app directed to kids.  Can I use a third party, such as one of the app stores, to get parental consent on my behalf?

(11) What types of information can I collect to obtain or confirm parental consent?  Can I use a parent’s mobile phone number to obtain or confirm parental consent?

(12) How long will “email plus” remain an approved form of parental consent?

(13) Can I use a third party to carry out my notice and consent obligations for me?

(14) Can I apply to the FTC for pre-approval of a new consent mechanism?

(15) I would like to apply to the FTC for approval of a new method of parental consent that I have developed, but I am concerned about having my trade secrets publicly posted.  Is there a way to prevent this?

(16) I run an app store, and would like to help app developers that operate on my platform by providing a verifiable parental consent mechanism for them to use.  Under what circumstances will this expose me to liability under COPPA?

 

(注5) ”electronic scan”とは、FTCのQ&Aによると、スキャンした文書をメールで送信(electronic scan (the “print-and-send” method)という意味である。 

(注6)  Riyo Verifiedの利用約款(Term of Use) を読んだが、FTCの規則の改訂前のためか具体的な点には言及していない。 

***********************************************************************

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

テロ資金とビットコインの関係をめぐるドイツ・メデイアの見方と暗号化通貨のこれから」

　 

　Last Updated: March 26,2021

7月25日付けの金融メデイア「Finance Magnates」は「ドイツのメディアは、Bitcoinをテロ攻撃において使われる武器の購入と結びつける」と題する記事を載せた。Bitcion自体の既存通貨に替わるサイバー時代の新たな決済手段として、各国の中央銀行や財務省、金融監督機関、研究機関、わが国のメガバンク等での行内通貨試行等、話題には事欠かない。

　一方で、正確に論じた信頼度の高いレポートが少ない点も否めない。時間の関係で網羅するには程遠いが、今回は前述の記事を要訳するとともに、参考になるであろう内外レポートをあわせ引用する。

　なお、本文を読んで理解されると思うが、「Bitcoin」はデジタル暗号化通貨の1つであり、わが国を含む世界中には例えば「Ripple 、Litecoin 、MonaCoin 」等無数にあるといって過言でない。はっきりいってこれらは完全に自己責任の決済手段であり、既存の通貨制度のように国家の保証はまったくない。

　さらに、8月3日香港のビットコイン取引所Bitfinexがハッキング被害を受けたというニュースが話題となっている。香港のビットコイン交換所Bitfinexが、ハッキングによりビットコイン11万9,756枚が盗まれたことを公表した。ビットコイン11万9,756枚は、3日現在、約72,00万ドル（約73億円）に相当する。ハッキングニュースがでた火曜日（今月2日）、ビットコインの価値は23％ほど急落。翌日、少しばかり回復し545ドル20セントに。また、Bitfinexは、今回のハッキングはビットコインのみがターゲットとされており、他のデジタル通貨は無事だと発表している。(8月8日GIZmodo記事から一部抜粋) 

　今回のハッキングの原因や被害の範囲等については、なお今後の調査を待つことになろうが、世界最大規模のドルベースのビットコイン交換所の1つであるBitfinex以外がハッカーのターゲットになることは言うまでもないし、デジタル通貨の各国の決済制度上の法整備等も遅れている現状から見て、ユーザーが負う負担額の大きさ(各ユーザーはアカウントの約36%の損失を負担するという記事もある)問題の根は深いと考えざるを得ない。 

１．テロ資金とビットコインの関係をめぐるドイツ・メデイアの見方 

　ドイツからのレポートは、ミュンヘンのショッピングモールでの銃乱射で使われた銃がDarknet (注1)の上でBitcoinで買われたと主張している。(注2)

　ドイツのメデイア・レポートは、ミュンヘンテロ銃撃で使われた銃がDarknet上でBitcoinで買われたと主張する。  

 2016.7.25 BBC ニュース日本語版記事の写真

　ドイツが7月24日のテロ攻撃（ドイツ南部のアンスバッハ(Ansbach)の自爆攻撃）に対処しようと試みており、前の事件の意味合いをかたちつくり始めたばかりである。ドイツのメディアの多数の報道は、ミュンヘン銃撃をBitcoinとヨーロッパ加盟国政府により暗号化通貨使用に対する更なる取締り強化につながるかもしれないと関連づけている。 

　明らかに、各メデイアが一致している指摘点は、ガンマンがDarknetの上で銃を不法に得たにちがいないという点であり、またそれを報告したドイツの新聞社の多くが特に秘密のネットワークの上のユーザーが好む代金の支払方法としてBitcoinに言及している点である。言うまでもなく、これは、捜査がまだまだ終わっていないという事実にもかかわらずである。 

　これら事件打消しにかかるドイツの政治家による即座の反応は、主に国家として厳しい銃の非所持法の強化という要求である一方で、メディアが増加するテロリズムの脅威と結びつけていることを考えれば、暗号化通貨による匿名のオンライン取引の取締りを求める要求ははるかに遅れていることは間違いない。ヨーロッパの金融規制・監査機関はすで以前から長い間彼らのサイト上でbitcoinを取り上げていた。そして、Bitcoinとテロ・ファイナンス(terror financing：テロ資金供与やマネーローンダリング等)、麻薬密売(drug trafficking)、租税回避(tax avoidance)や極悪投機事業(nefarious ventures)）を関連づけた。 

　我々はそれがどんな形であこれらの事件に関連があったという証拠はないにもかかわらず、パリのテロ攻撃の後、これがヨーロッパの暗号化通貨交換においてさらに匿名性を奪うべきという要求につながったと引き続き見ている。現在、bitcoinが実は武器の購入のために多勢の殺人者により用いられる最も好む決済方法とみなされるとき、ヨーロッパの規制･監督当局はそれらを阻止すべく行動するためにすべての「合法性」と「緊急」を持つことになろう。

２．デジタル通貨をめぐる主な内外のレポート例

(1) 「デジタル通貨」の特徴と国際的な議論　(日銀レビュー　2015年12月)

　わが国の中央銀行である日本銀行決済機溝局がまとめたもので、体系的、国際比較等を踏まえたものである。

(2)

「ビットコインとはなんだったのか、仮想通貨とサイバー取引の現在」岡田仁志(国立情報研究所　情報社会

　　相関研究系　准教授 岡田仁志氏)

　2014年度市民講座「未来を紡ぐ情報学」(2014年6月26日開催)における参加者からの質問(57件)に丁寧に答えて おり、初心者にもわかりやすい。

(3) Bitcoin(ビットコイン)投資の始め方(まとめ)  

(4) ビットコインの仮想通貨としてのメリットとデメリット　

(5)英国財務省の3年間にわたるデジタル通貨の決済面の利益と危険性(ALM)に関する見解と証拠を求める検討経緯

①2014.12.3 英国財務省のデジタル通貨に関する意見具申　

リリース文：デジタル通貨の決済面の利益と危険性(ALM)に関する見解と証拠を求めるたもの。

本文：「Digital currencies: call for information」(全28頁)

②前記①に対する財務省の意見のとりまとめ

　2015.3.18英国財務省リリース「Digital currencies: call for information」

　本文： 「Digital currencies:response to the call for information　」(全28頁)

③前記②を受けた2016.4.25 英国財務省レポート「反マネーローンダリングおよび反テロ資金から見た行動計画(Action Plan for anti-money laundering and counter-terrorist finance )」

 (6) MUFGコインの衝撃-「三菱UFJ銀、独自の仮想通貨」がもたらすもの

(7)「法とコンピュータ」No.34《特集　暗号通貨の諸問題(ビットコインを題材に)/IoTの法的課題・個人情報保護》2016 july (注3)

  *********************************************************************:*******************************

(注1)ダークネットとは、インターネット上で到達可能なIPアドレスのうち、特定のホストコンピュータが割り当てられていないアドレス空間のことである。ダークネットは未使用のIPアドレスであり、通常はダークネットに対してパケットが送信されることはほとんどない。しかし実際には、ダークネット上で相当数のパケットが観測されるという。

ダークネット上を流れるパケットの多くは、不正な行為・活動に起因するものと言われている。情報通信研究機構（IPA）は、ダークネット上を流れるパケットの主な種類として、「マルウェアが感染対象を探査するためのスキャン」、「マルウェアが感染対象の脆弱性を攻撃するためのエクスプロイトコード」、「送信元IPアドレスが詐称されたDDoS攻撃を被っているサーバからの応答」を挙げている。( IT用語辞典から一部抜粋) 

(注2) ドイツ第３の都市・南部ミュンヘンの大規模商業施設で7月22日午後６時（日本時間23日午前１時）前、男が銃を乱射し、9人が死亡し、子供を含む16人が負傷した。うち3人が重傷。地元警察は23日、容疑者はイラン系の男（18歳）で、単独犯とみられると明らかにした。(2016.7.23外務省海外安全ホームページ等参照) 

(注3) 『法とコンピュータ』は「法とコンピュータ学会」の学会誌であり、市販されていない。8月23日に筆者の手元に届いたので補足した。

***************************************************::************************

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．