2020.01
ICO、オンライン上で子供のプライバシーを厳格に保護するための行動規範を公表
英国のデータ保護に関する独立規制機関である情報コミッショナーズオフィス(ICO)は、2020年1月、子供のプライバシーをオンラインで保護するための行動規範である「年齢適合デザイン(Age Appropriate design)行動規範」を公開した。
同行動規範は、「2018年データ保護法」の中にある、オンライン上の児童を適切に保護する基準をICOが設定することを求める規定(第123条)を踏まえたもので、子供のプライバシー保護に厳格な内容となっている。
具体的には、ソーシャルネットワークやゲーム・アプリ開発会社などが「(予め)組み込まれた基本的なデータ保護」を子供に提供することが義務付けられ、ユーチューブ、TikTok、インスタグラム等のプラットフォームは、初期設定で子供のプライバシー保護を最強にしておくことが義務となる。また、初期設定では、子供を対象にしたターゲット広告、位置追跡をオフにしておくことも義務付けられる。
主な内容は以下のとおり。
<行動規範の対象事業者>
行動規範の対象は、個人データを処理し、児童がアクセスする可能性があるオンライン商品やサービス(アプリ、プログラム、ウェブサイト、ゲーム、コミュニティ、コネクテッド玩具など)を提供する事業者(情報社会サービス(ISS)提供事業者)を対象としている。
<行動規範の内容>
行動規範の内容としては、リスクベースのアプローチを踏まえ、15の行動規範が示されている。具体的には、データ保護の影響評価の実施、年齢に適したアプリケーションの構築、透明性の確保、必要最小限の個人データのみを収集すること、初期設定では位置情報の取得オプションをオフにすること等を含む15種類の行動規範が示されている。
<行動規範の効果>
行動規範は、2018年データ保護法に基づく行動規範であり、GDPR(EU一般データ保護規則)などに従ってデータ処理を「公正」に行っていることを示すための実務的な指針となる。同規範違反ということは、当該事業者はGDPRなどの規則に従ってデータを処理していると宣言することが困難になるということであり、GDPR違反の場合は、ICOの制裁が発動する可能性がある。
<行動規範の発効>
議会で同規範が承認された日から、ISS提供事業者には12か月の導入期間が与えられる。