米ワシントン州、子供の個人データ利用について保護者同意がないとして制裁金


米国ワシントン州司法長官は、6月24日、ソーシャルメディア”We Heart it”の運営企業が13歳未満の子供からプロファイル、投稿履歴、位置情報、行動履歴などの個人データを取得し、広告エージェンシーにこれを開示する際に、連邦児童オンラインプライバシー保護法(COPPA)にもとづく保護者への情報提供および保護者からの同意取得の義務を果たさなかったことについて、運営企業が10万ドルの制裁金を支払うことを内容とする同意判決に至ったことを公表した。

同意判決は、さらに以下の事項を遵守することを運営企業に義務づけ、これを遵守しない場合には、追加的に40万ドルを支払う内容となっている。

  •  アカウント作成者の年齢を確認するエージ・ゲートを実装すること
  •  13歳未満の子供から個人データを取得する場合、事前に保護者から検証可能な同意を取得すること
  •  13歳未満の子供の保護者に対して、データ取得・開示について直接の情報提供を行うこと
  •  15ヶ月以内にワシントン州司法長官に対して法遵守状況の報告書を提出すること

ソーシャルメディアに限らず、子供の利用が想定されるコンテンツを掲載するWebサイトの運営者は、アカウント作成、プロファイル作成、クッキーによる行動追跡など、COPPAが規制する個人データ処理が想定される場合には、エージ・ゲートの実装、保護者への情報提供、保護者からの同意取得の義務を遵守しているか、確認すべきである。

COPPA不遵守のリスクは、今回のケースのようにFTC、州司法長官による訴追にとどまらず、これを理由として州法を根拠とする集団訴訟(class action)が起こされる可能性もあり、当事者が多数にのぼる場合には膨大な額の損害賠償を命じられる可能性がある。


【ワシントン州司法長官事務局の報道発表】
https://www.atg.wa.gov/news/news-releases/ag-ferguson-tech-companies-pay-100000-violating-childrens-online-privacy

関連情報

IIJ ビジネスリスクマネジメントポータル(BizRis)

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

カリフォルニア州消費者プライバシー法対応テンプレート (アドバンスト会員用)

購入のお申込みはこちら
なお、本パッケージには以下が含まれています:
01_CCPA_infographic
02_CCPA_概要
03_CCPA_ステップガイド
04_CCPA_用語集
05_CCPA_対象チェックリスト
06_CCPA_制裁金シミュレーションシート
07_CCPA_プライバシーポリシー(英)
08_CCPA_プライバシーポリシー(日)
09_CCPA_プライバシー侵害リスク分析レポート

関連記事