ニューメキシコ州司法長官が、Googleの子供向け教育サービスをCOPPA法違反で提訴(2020/2/20)


ニューメキシコ州司法長官が、Googleの子供向け教育サービスを児童オンライン保護法(COPPA法)違反で提訴(2020/2/20)

2020年2月20日、ニューメキシコ州司法長官が、Googleが無料の子供向けサービス(G Suite for Education)において、13歳未満の子供の個人情報を親の同意なく取得していることからCOPPA法に違反していると主張し、州司法裁判所に対し停止命令、裁判所が適切と認める民事罰等を求めて提訴したことが判明した。

公開された司法長官のGoogleに宛てた書面によると、州の調査によりGoogleは親の明示的な同意を取得せずに、インターネット、デバイス間、家、及び学校外でも子供を追跡していることが判明したこと、Googleは学校の利益のためではなく、Google固有の利益のために大量の子供の個人情報を収集していることから、この提訴に踏み切ったとしている。

司法長官は、これらの不法に収集された情報が、適法及び不法に世界中に拡散することから、直ちにこのサービスをやめさせるために提訴した。Googleとビジネスを行うデータブローカーとマーケティングテクノロジー会社は、年齢にふさわしくない広告を13歳未満に提供したことで訴追されている。のみならずこれらの会社は重大なデータブリーチを引き起こしており、個人情報が法執行の及ばない国のダークウェブに販売されるに至っている等としている。

訴状によると、Googleは、子供の情報を商業的目的のために用いないと公的に約束し、子供のプライバシーを保護する旨の膨大な保証をしていたにもかかわらず、親や先生を故意に欺き、ニューメキシコの子供とその家族の物理的場所、訪問したWeb、Google検索用語とその結果、Youtubeで見たビデオ、連絡先、音声記録、セーブされたパスワード、他の行動情報を、教育サービスを用いて探っていた(spy)。のみならず2014年4月までに、Googleは生徒のメールアカウントを探索して生徒の情報を取得し、上記情報とともに広告目的で用いた等としている。なお、アメリカでは国の半数以上の生徒がGoogleの本教育サービスを用いているとしている。

ヨーロッパにおいてもEU一般データ保護規則(GDPR)8条に基づき子供の個人情報収集には親の同意を要求するところ、COPPA法においては、13歳未満の個人情報を収集する前に、親の同意を取得することが義務づけられている。同法の個人情報の定義には個人をWebで識別するために用いられる持続的識別子や位置情報も定義されており、ターゲティングクッキー(Cookie)も個人情報に含まれると解される。

また、親の同意は、子供の実際の親であることを明確にするため厳格な要件が要求されており、例えばクレジットカードによる少額決済や親の署名入り同意書による確認等が要求される。

特に最近アメリカにおける執行が活発であり、2016年9月のNY州司法長官による子供向けサイトの一斉調査(13歳未満の子供にターゲティング広告を用いていたとしてマテル社(25万ドル)、バイアコム社(50万ドル)、ハスブロ社(セーフハーバープログラムに加入していたため罰金無し、ジャンプスタート社(8.5万ドル)と和解))、2019年2月のTikTok社との570万ドルの和解、2019年9月のYoutubeとの2億ドルの和解(13歳未満の子供にターゲティング広告を用いていたとしていたもの)等の事件があり、特にアメリカで13歳未満の子供向けにターゲティング広告や位置情報を取得しようとする企業は注意が必要である。

【司法長官のGoogleに宛てた書面及び訴状】
https://www.nmag.gov/uploads/PressRelease/48737699ae174b30ac51a7eb286e661f/AG_Balderas_Sues_Google_for_Illegally_Collecting_Personal_Data_of_New_Mexican_School_Children.pdf

関連記事