以下の文章は、米連邦取引委員会(FTC)ビジネスブログの「FTC to Ed Tech: Protecting kids’ privacy is your responsibility」という記事を翻訳したものである。
あなたの会社が教育テクノロジービジネスに携わっている場合でも、教育テクノロジーが用いられている学校に子どもを通わせている場合でも、教育技術と児童オンラインプライバシー保護法(COPPA)に関するFTCのポリシーステートメントを一読することをお勧めします。重要なポイントは、“子どもたちは、学業や遠隔授業に参加するために、自らのプライバシー権の放棄を強要させられてはならない”ということです。つまり、企業は学習ツールの使用の条件として、子どもの包括的な監視について保護者や学校に同意するよう求めることはできない、ということです。
22年にわたり、COPPAルールは、デジタル社会における子どものプライバシー保護を保証するFTCの取り組みの中心にありました。しかし、2つの進展が重なり、FTCがCOPPAを継続的に執行するための考え方について明確にする必要性がでてきました。
1つは、個人情報の収集を収益化する技術の普及です。これにより、企業が子どものプロファイルを作成していないかどうか、深刻な懸念があります。そこで、2013年のCOPPA改正では「個人情報」の定義を拡大し、広告ターゲティングに用いられる永続的な識別子を含めるとともに、子どもの情報を違法に収集した広告ネットワーク等の第三者に責任を負わせることになりました。
もう1つの大きな変化は、教室に教育テクノロジーデバイスやアプリが導入されたことです。これはコロナ禍において遠隔授業が促されたことでも加速しました。たしかに、EdTechは学習効果を高める可能性を秘めていますが、その代償についても考えなくてはなりません。FTCの懸念は、EdTechが教室・自宅から個人情報を収集する口実に使われてはいないかということです。テクノロジー企業が収集する情報、その利用方法、第三者との共有いついて、保護者が懸念するのはもっともなことです。さらに、多くの母親や父親は、EdTechが自分の子どもを広告主の囚われの聴衆にしてしまうのではないかと心配しています。
通知と同意のシステムはどうなっているのでしょうか。動物園への遠足であれば、許可証をもらうだけで済むのかもしれませんが、この文脈では不十分に思えます。COPPAの制定に際して、議会はFTCに通知と同意の手続を管理する以上の権限を与えています。ポリシーステートメントでも、「当委員会のCOPPAの制定に際して権限は、事業者が子どものデータを収集、使用、保持する能力への実質的な制限と、そのデータをセキュアに保つための要件の執行を要求し、とりわけ、保護者に他の学校・学習環境の選択肢がない場合には、これらの要件を完全に実施することとする」と明確に述べられています。
詳しくはポリシーステートメントを読んでいただきたいのですが、業界関係者が心に留めておくべきもっとも重要なメッセージがあります。FTCは、教育デバイスプロバイダやその他の対象オンラインサービスによるCOPPA違反を調査するにあたり、「COPPAルールの実質的な禁止事項や要件、および全ての法令の文言をすべて遵守しているかを精査する」意向を示しています。FTCは特に、以下の点に着目しています。
- 強制的情報収集の禁止。COPPAの対象となる企業は、子どもの参加の条件として、参加に合理的な範囲で必要になる以上の情報を開示させてはなりません。たとえば、教育事業者が生徒に電子メールを送付する必要がない場合、子どものメールアドレスを要求してはなりません。
- 利用の禁止。COPPAの対象となる企業は、児童から収集した個人情報の使用方法が厳しく制限されています。たとえば、学校の認可に基づき個人情報を収集するEdTech事業者は、求められたオンライン教育サービスを提供するためにのみ、その情報を使用することができます。ポリシーステートメントでは、「この文脈では、EdTech企業は、マーケティング、広告、または学校が求めるオンラインサービスの提供とは無関係なその他の商業目的を含む、いかなる商業目的にもかかる情報を使用することが禁止されている」とあります。
- 保持の禁止。COPPAの対象となる企業は、子どもから収集した個人情報を、収集の目的を果たす上で合理的に必要な期間を越えて保持することはできません。これはCOPPAルールのセクション310.12の違反になります。
- セキュリティ要件。COPPAの対象となる企業は、子どもの個人情報の機密性、安全性、完全性を維持するための手続きを備えていなければなりません。データ侵害がない場合でも、そのような手続きを定めていない場合には、セクション310.8の違反になります。
教育テック企業が、契約条項や利用規約などを通じて、コンプライアンスを学校管理者や保護者に転嫁しようとしても、このポリシーステートメントは、それを明確に否定しています。強力なプライバシー保護を実施する責任はEdTech企業の側にあり、それは企業として放棄することのできない義務なのです。
ポリシーステートメントの最後は、EdTech企業が始めるべきことを示しています。つまり「今後、当委員会はこれらサービスプロバイダを綿密に精査し、プロバイダが子どものプライバシーに関する法的義務を果たしていないと判断した場合には、躊躇なく行動する」ということです。
FTCの「子どものプライバシー」のページでは「COPPAの遵守(よくある質問)」を含むコンプライアンスに関するリソースを提供しています。
FTC to Ed Tech: Protecting kids’ privacy is your responsibility | Federal Trade Commission
Author: Lesley Fair
/ Federal Trade Commission
Publication Date: May 19, 2022
Translation: heatwave_p2p
Material of Header image: GR Stocks
