改定検討中のスマートフォン利用者情報取扱指針(SPI)の改定ポイントと「こども」論点を見てみる
こんばんは!
このところ、個人情報保護法の3年ごと見直しのことばかりでしたが、パブコメも始まったので、今日は浮気(笑)
本日開催されたICTサービスの利用環境の整備に関する研究会 (去年までプラットフォーム研究会と言われていたものの後続)の利用者情報に関するワーキンググループ(第7回)
10年以上前からあるアプリ等の利用者情報のガイドライン〜スマートフォン プライバシー イニシアティブ(SPI)またの名をスマートフォン利用者情報取扱指針の改定案が議論されていました。
内容的に、こども、ダークパターン、プロファイリング、など今日的なテーマの追記案が議論されており、とても興味深い内容です。
「こども」については、個情法の3年ごと見直しでも追加規範の最右翼ですが、たぶん施行は2〜3年先。
世に出るのはこちらが先になり、カバー範囲も広いと思われることから、現在の案を紹介してみたいと思います。
1 スマートフォン利用者情報取扱指針(SPI)とは?
スマートフォン プライバシー イニシアティブ(SPI)、別名スマートフォン利用者情報取扱指針。
このGL、昨年度の電通法改正(外部送信)の時にも、一度話題になったのですが、名前が長く覚えにくいのと、いろいろな呼び方をされるので、知名度はあまり高くないのではないかと思います。
が、実は古く、平成24年(2012年)と、日本全国にスマホが普及しきっていない時代からあるガイドラインです。(当時は私も存在を知らず、この仕事に異動してきて、何ソレ?状態でした。。。)
概要は下図の通り。
ざっくりいうと、(個人情報かどうかを問わず)スマフォの利用に伴って取得、蓄積される利用者情報全般について、関係事業者みんなで協力して、適正に取り扱おうよ、という趣旨で作られたもの。
当時としては、意欲的かつ、画期的なものだったと思われます。
が、総務省が出しているものですが、電通法等の法的拘束力があるものではありません。
(スマホじゃないところに時代を感じますw)
その後10年の間に…
・その後の国内の法改正(個情法、電通法)を反映できていない、
・アプリストアが独自のレギュレーションを強化してきた、
・各国がオンラインサービス事業者向けの規範を出してきている、
・ユーザーのプライバシーへの感度が高まっている、、、
など様々な背景で、今回改定することになったものです。
2 今回の改定ポイントとスケジュール
改定の検討は、下表を改定の論点案として、昨年度末2024/3に始まり、ここまで、各種調査やアプリストア事業者のヒアリングなどを行なっていました。
改定のポイント案
そして、本日、改定の反映方針案として、以下が示されました!
特筆すべきは、単に法改正の反映だけでなく、
ダークパターン、プロファイリング、こども等の今日的なテーマが盛り込まれているところです。
加えて、スマートフォン プライバシー セキュリティ イニシアティブ(改定案・抜粋)として、取扱指針の抜粋ですが、改訂案のWord見え消し版が示されました。
今後のスケジュール
今後、改定案の文書が加筆修正され、7月中に改定案がまとまり、7月末から8月にかけての親会で承認され公表、or パブコメの後公表となるものと思われます。
特に興味をもった「こども」論点
その中で、今日、特に興味を持ったのは、こどもの利用者情報の保護の論点。
昨日まで、個人情報保護法3年ごと見直し中間整理祭りだったので、あれ?ちょっと味付けが違うな?と感じた新鮮な発見を、勢いのままにnoteにしておきたいと思います。
祭り例↓
3 こどもの利用者情報の取扱い(改定案)
では、早速、こどもの利用者情報の取扱いについての改定案を、
スマートフォン プライバシー セキュリティ イニシアティブ(改定案・抜粋)
の資料で見てみたいと思います。
1. スマートフォン利用者情報・セキュリティ取扱指針
③ 子どもの利用者情報
該当箇所は、具体的には、1.2.1 アプリケーション提供者の取組み の1.2.1.2 プライバシーポリシー等の運用 の(1)通知・公表又は同意取得の方法 の[同意取得等を要する利用者情報の取扱い] の③子どもの利用者情報。
改定案のこどもの追記は以下の通り(太字筆者)
③ 子どもの利用者情報34
子どもが利用する可能性があるサービスを企画・開発する際には、子どものプライバシーを高い水準で確保するための適切な措置を講じることが望ましい35。
例えば、プライバシーポリシーを簡潔で目立つように、利用者の年齢に適した明確な表現で記載したりすることが考えられる36。
また、特に低年齢の子どもに関する利用者情報の取扱いに当たっては、事前に 法定代理人等から個別の情報に関する同意取得を行うことが望ましい37。
さらに、子どもの利用者情報のプロファイリングに基づくターゲティング広告の表示は実施しないことが望ましい。
そんなにボリュームはないのですが、注釈含め
まとめると、大きく、5点に言及しています。
1)年齢基準
2)サービス企画開発段階からのプライバシー・バイ・デザイン
3)プラポリをこどもにもわかりやすく
4)法定代理人からの同意取得
5)プロファイリングによるこども向けターゲティング広告はしない
ひとつずつ見ていきましょう!
1)年齢基準
こども範囲、すなわち年齢基準については、2箇所に注釈があり、GDPRと現在の個人情報保護法での記載が紹介されています。
加えて、現在進行中の、3年ごと見直し中間整理のこども論点も含めて考えると、
日本のこどもの利用者情報の取り扱いの実務は16歳未満をその範囲とする方向が固まってきたように感じます。
脚注34
対象とする年齢範囲については、例えば米国の児童オンラインプライバシー保護法(COPPA)は 13 歳未満を対象としているほか、GDPR における子どもの同意については、16 歳未満(加盟国ごとに 13歳を下回らない範囲で設定が可能)の場合は親権者による同意が必要とされており、これらを参考とす ることが考えられる。
脚注37
個人情報保護法上、本人同意の取得が必要であり、当該本人が未成年である場合については、「対象 となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には 12 歳 から 15 歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられ」ると されていることにも留意が必要である
(個人情報保護委員会「『個人情報の保護に関する法律についての ガイドライン』に関する Q&A」QA1-62)。
オ 年齢基準
こどもの個人情報等の取扱いに係る年齢基準の考え方については、国内外の 法制度において様々な年齢基準が設けられていることや、対象年齢によっては 事業者等の負担が大きくなることも考慮する必要があるが、対象とするこども の年齢については、Q&A の記載や GDPR の規定の例などを踏まえ、16 歳未満とす ることについて検討を行う。
2)サービス企画開発段階からのプライバシー・バイ・デザイン
この箇所で注釈がついているのが、英国 チルドレンズ・コード です。
子どもが利用する可能性があるサービスを企画・開発する際には、子どものプライバシーを高い水準で確保するための適切な措置を講じることが望ましい35。
脚注35
英国 Children’s Code(Age Appropriate Design Code )が示す行動規範も参照しながら、プライバシーポリシーの作成・運用、アプリの開発等を行うことも考えられる。
英国 Children’s Code については、WGの第1回の諸外国の動向の中で、
英国ICOによりインターネット上の子供のデータ保護のために制定された15の行動規範として、紹介されているものです。
英国は、サービス・バイ・デザインの考え方が進んでいる国という印象ですが、こどものサービスに特化したデザインコードがあるんですね!
この15のうち、SPIに組み込まれたのは#1が元となった印象です。
1.子供が利用する可能性があるオンラインサービスを企画・開発する際に は、子供にとって最善であるかどうかを第一に考慮すること。
3)プラポリをこどもにもわかりやすく
16歳未満という場合、仮に8歳と15歳では、文章の理解能力は大きく異なりますが、そのアプリのターゲットに応じてわかりやすくすることが望ましい対応にあげられています。
例えば、プライバシーポリシーを簡潔で目立つように、利用者の年齢に適した明確な表現で記載したりすることが考えられる36。
脚注36
子ども向けのプライバシーポリシーを別途用意することも有用である。
脚注にあるこどもむけプラポリを別途というところ、最初からわかりやすくすれば?と一瞬思ったのですが、そのアプリのターゲットで望ましい対応は変わるのかも?と思い直しました。
素人考えですが、例えば
・こどもだけをターゲットにするアプリ:そのこどもの年齢層に応じた書き振りにする? (+親向けへのリンクも小さく用意する?)
・大人もこどももターゲットとするアプリ:両方用意
みたいなイメージでしょうか??
4)法定代理人からの同意取得
本SPI改定案の法定代理人からの同意取得については、どういう場面での同意取得なのか、具体の明記がない状態です。
また、特に低年齢の子どもに関する利用者情報の取扱いに当たっては、事前に 法定代理人等から個別の情報に関する同意取得を行うことが望ましい37。
一方、個情法3年ごと見直し中間整理の考え方では、
個人データの取得の場面での同意は必要とされておらず、取得情報が要配慮個人情報である場合や第三者提供などを行う場面のみです。
また、個情法で本人に対する通知が必要な場面でも、法定代理人に対しての情報提供の明文化を規範案としています。
ア 法定代理人の関与
現行法上、原則として本人同意の取得が必要とされている場面(目的外利用(法第 18 条第2項)、要配慮個人情報の取得(法第 20 条第2項)、個人データの第三者提供(法第 27 条第1項、第 28 条1項)、個人関連情報の第三者提供(法第 31 条第1項)など)において、こどもを本人とする個人情報について、法定代理人の同意を取得すべきことを法令の規定上明確化することを検討する必要がある。
また、本人に対する通知等が必要となる場面(利用目的の通知(法第 21 条第1項)、本人から直接書面に記載された個人情報を取得する場合における利用目的の明示(同条第2項)、漏えい等に関する本人への通知(法第 26 条第2項)など)においても、こどもを本人とする個人情報について、法定代理人に対して情報提供すべきことを法令の規定上明文化することを検討する必要がある。
この点、なんらか統一されることが望ましいですよね。
法令成立後はGLを法に合わせるのは当然として、そこまでの2−3年の間も中間整理の案を脚注に未確定案として追記するなどして、統一的な考え方で運用できるとよいなぁと思いました。
5)プロファイリングによるこども向けターゲティング広告はしない
こどもの利用者情報のプロファイリングに基づくターゲティング広告の表示の自粛の件、
さらに、子どもの利用者情報のプロファイリングに基づくターゲティング広告の表示は実施しないことが望ましい。
こちら、ここまでの経緯が追いきれていないのですが、前述英国 Children’s Code12、13に見られるように、こどもは脆弱な存在とみなし、それに漬け込んで、誘導するような広告は、有害な場合が多いという考え方に基づいてると想像されます。
12.ユーザプロファイリング機能はデフォルトでオフにすること(デフォルトでオンに する場合、子供の利益を考慮したうえでそうしなければならない必要不可欠な 理由があることを証明すること)。子供を悪影響から保護するための適切な手 段が取られたプロファイリングのみ許可される(特に体や心の健康に悪影響が あるコンテンツを含む場合)。
13.子供が不必要に個人情報を提供したりプライバシー設定をオフにしたりするように誘導するようなナッジ技術(誘導技術)を使ってはならない。
ひとこと
以上、スマホアプリの利用者情報のガイドライン案を概観し、こどもの規範案をみてみました!
個人データを取得する場面は、多くの場合、オンラインサービスやアプリ等の申し込みや契約時となります。
特に、相手がこどもの場合、必然的に利用者情報の取扱いの実装場面では、ユーザー接点の設計に配慮が必要なのは言うまでもなく。
(昨日まで)個人情報保護法での、机上のルールのこども対応ばかりを見ていましたが、
今日、この改定案を見て、やっぱりどのように「こども」から見えるか?、リアルなイメージをもちつつ、サービス段階から設計(デザイン)していくべきなんだろうなー、
と感じはじめています。
このテーマ、まだまだかじり始めたばかりですが、こちらのガイドラインの今後を追いかける過程で、理解を深め、腹落ちしていけたらいいなと思います。
それでは、また!
p.s. 指針が改訂されたら、この本も改訂版が出るかなぁ?