はじめに
世界的に、子どものオンラインサービス規制・個人情報保護規制は重要なテーマになっている。
日本においても、本テーマへの関心が高まっている。たとえば、個人情報保護法改正案に子どもの保護に関する規律が追加されている注1)。また、こども家庭庁では、現在「青少年インターネット環境整備法の在り方等に関する検討ワーキンググループ」により、青少年インターネット環境整備法の今後の在り方等についての検討が進められている注2)。さらに総務省では、「デジタル空間における情報流通の諸課題への対処に関する検討会 青少年保護ワーキンググループ」により、インターネット上の違法・有害情報から青少年を保護するための適切な機能の在り方等に関する検討が進められている注3)。
このように、日本においても今後更に本テーマの検討が進むと予想されるが、本稿は、外国の規制のポイントを紹介し、外国法のコンプライアンスの参考としていただくためのものであり、日本においても特定の国の特定の制度を導入すべきといった主張を行うものではない。もっとも、外国の規制の動向や実務上の対応は今後の日本の規制の動向や実務上の対応の参考にもなるとは考えられるので、海外事業を展開していない企業の実務担当者にも参照していただければ幸いである。
本稿では、あえて国別ではなく、①個人情報保護規制、②年齢シグナル法(アプリストア責任法)、③ソーシャルメディア等規制、④AIチャットボット規制、⑤その他の有害コンテンツ規制、⑥包括的な消費者等保護規制の順に、テーマごとに規制を取り上げている。前編は、①~③を取り上げ、後編では④~⑥を取り上げる。各テーマで取り上げるものはあくまで代表的なものの例示となっており、世界の規制を網羅的に取り上げるものではないことはご了承いただきたい。
個人情報保護規制
個人情報保護規制の一環として、子ども関係の規制が設けられることは多い。以下では米国法と欧州・英国法を取り上げる。
米国法
(1) 全体像
米国では、連邦レベルでは、民間向けの統一の包括的な連邦個人情報保護規制が存在しておらず、個別の連邦法が存在するのみである。その中に、子ども関係の著名な連邦法として、児童オンラインプライバシー保護法(Children’s Online Privacy Protection Act of 1998:COPPA)があり、本稿でもこれを中心に取り上げる(下記(2)参照)。
州レベルでは、多数の州で包括的な個人情報保護規制が存在している。たとえば、カリフォルニア州の消費者プライバシー法(California Consumer Privacy Act of 2018:CCPA)が有名である。CCPAでは、カリフォルニア居住者の個人情報の販売・共有について、原則オプトアウトの対応をする義務があるが、事業者が当該カリフォルニア州居住者が16歳未満であることを現実に認識している場合にはオプトイン同意が必要になる(§1798.120(c))。また、最近の規則改正により、事業者が当該カリフォルニア州居住者が16歳未満であることを現実に認識している場合のその者の個人情報が機微個人情報に加えられており(§7001(bbb)(4))、法定の場合を除いて制限権が及ぶ。
また、個別州法も存在している。たとえば、カリフォルニア州では、Ⅱ2.で後述する英国の年齢適正デザインコード(UK Children’s Code)をモデルとした年齢適正デザインコード法(Age-Appropriate Design Code Act)が存在しているが、現在、裁判所の仮差止命令により執行ができない状態となっている。他の例として、たとえば、アーカンソー州の青少年オンラインプライバシー保護法(Teens’ Online Privacy Protection Act)やニューヨーク州の児童データ保護法(Child Data Protection Act)注4)がある。
(2) 児童オンラインプライバシー法(COPPA)
(a) 規制の概要
COPPA(Children’s Online Privacy Protection Act of 1998:児童オンラインプライバシー保護法)は、ウェブサイトやオンラインサービスで収集される13歳未満の子どもの個人情報保護を目的とした連邦法である。COPPAに違反した場合には、連邦取引委員会(FTC)法5条(後編のVで後述)違反により、FTCにより執行される可能性がある。FTCが2026年4月3日に公表した5か年計画注5)「COPPAの執行はFTCの最も重要な仕事のうちの一つである」とされている。2025年6月にはCOPPA規則(以下、「規則」という)が改正され、規制が強化されている。
適用対象事業者は、①13歳未満の子ども向けウェブサイトの運営者・オンラインサービス提供者および②13歳未満の子どもから個人情報を取得していることを現実に認識しているウェブサイト運営者・オンラインサービス提供者である。②のみならず、①が存在するため、13歳未満の子どもから個人情報を取得していることを現実に認識していなくても、子ども向けウェブサイト・オンラインサービスであると認められれば、COPPA対応は必要になる。13歳未満の子ども用のウェブサイト・オンラインサービスであるとされれば、Age Gate(ウェブサイト・オンラインサービスで年齢を確認する仕組み)による年齢確認を行ってもCOPPA対応を免れることはできない。実務上は、13歳以上と13歳未満のユーザーが混在している混合対象サービスが重要であり、これについては、中立的なAge Gateにより13歳以上と判断された者については、COPPA対応をしないことが可能である(規則改正で、§ 312.2で混合対象サービスについて明文化された)。
COPPAにおける個人情報とは、「オンラインで収集される、特定の個人を識別できる情報」を指し、含まれる情報が例示列挙注6)されている。
(b) 通知・同意取得義務
COPPAの適用対象となる事業者は、以下の二つの通知義務を負う(規則§312.4)。
① 保護者への直接通知:子どもから収集・利用する情報の詳細や、事業者のデータ開示プラクティスについて、保護者へ通知する義務
② オンライン上の公開通知:ウェブサイトやオンラインのサービス画面上で、所定事項を通知する義務
なお、規則改正によって上記の義務は強化された。具体的には、①の保護者への直接通知に「個人情報の用途」および「第三者への開示時の詳細」を通知する義務が追加されたほか、②の通知義務についても強化されている。
事業者は、子どもからの個人情報取得の前に、あらかじめ、保護者から検証可能な同意を取得しなければならない(規則§312.5)。
ただし、一定の一回的な情報利用(規則§ 312.5(c)(3))や、内部運用のための永続識別子の利用(規則§ 312.5(c)(7))については、例外的に同意不要である。もっとも、規則改正により、内部運用のための永続識別子の利用の例外に依拠する場合、目的外利用を防止するための対策について通知が必要である(規則§312.4(d)(3))。
さらに、規則改正により、①収集・利用用の同意と、②第三者開示用の同意(サービス提供に不可欠なものを除く)を分けて取得する義務が追加された。
(c) 検証可能な同意
検証可能な同意の取得方法は、規則で認められているか、FTCの承認プロセスを経て承認されていることが必要であり、規則で示されている具体的な方法は図表1のとおりである(規則§312.5(b)(2)注7))。実務上は、②の親のクレジットカードの利用により、検証可能な同意を取得する方法が広く使われている。具体的には、有料サービスについては代金分の、無料サービスについては1ドルの名目決済等をもって、親が同意したものとする方法である。
図表1 検証可能な同意取得の具体策
① 保護者に署名してもらう同意書を提供し、米国内郵便、ファックス、または電子スキャンで返送してもらう方法(いわゆる「プリント&送付」方式)
② 取引に関連して、保護者にクレジットカード、デビットカード、または各取引ごとに主たる口座名義人へ通知が行われるオンライン決済システムの利用を求める方法
③ 訓練を受けた担当者が対応するフリーダイヤルに保護者から電話してもらう、またはビデオ会議を通じて担当者と接続させる方法
④ 政府発行の身分証明書とその情報データベースを照合して保護者の本人確認を行う方法(ただし、確認後は速やかに当該身分証情報を削除することが条件)
⑤ 保護者の本人確認を、知識ベース認証(Knowledge-Based Authentication)によって行う場合。以下の条件を満たす必要がある
・ 検証プロセスにおいて、動的な多肢選択式の質問を用いること。すなわち、十分な数の質問と十分な数の選択肢を備え、正答を偶然に当てる確率が低くなるよう設計されていること
・ 当該質問は、保護者の家庭内にいる12歳以下の子どもでは、合理的にその答えを特定できない程度に十分難易度が高いものであること
⑥ 保護者に政府発行の写真付き身分証明書を提出させ、その真正性を確認したうえで、携帯電話のカメラまたはウェブカメラで撮影された保護者の顔画像と顔認識技術を用いて照合し、さらに当該写真が一致していることを訓練を受けた担当者が確認する方法(ただし、照合が完了した後は、事業者は保護者の身分証明書および画像を速やかに記録から削除しなければならない)
事業者は、子どもの個人情報を内部目的のみに使用する場合(第三者への開示や公開を行わない場合)には、上記の方法に加え、E-mailプラス/テキストプラス方式注8)による保護者同意を利用することも可能である。
(d) その他の義務事項
上記の義務以外にも、事業者は以下の義務を遵守する必要がある。
子どもがアクティビティ(ゲームや懸賞等)に参加するための条件として、必要となる以上の情報を取得してはならない(規則§312.7)。
・ 子どもから収集した個人情報の機密性、安全性、完全性を保護するための合理的な手順を確立し維持しなければならない。文書化された情報セキュリティプログラムを策定・維持・実施しなければならず、年次リスク評価を行うことおよび、第三者ベンダのデューデリジェンスを行って書面による保証を得ることが必要である(規則§312.8)。
・ オンラインで子どもから収集した個人情報を、その情報が収集された目的を果たすために合理的に必要な期間のみ保持し、無期限に保持してはならない。加えて、文書化された保持方針を策定・実施・維持しなければならない(規則§312.10)。
(e) COPPA改正による規制強化の可能性
現在、COPPAで保護される年齢(13歳未満)を、17歳未満まで拡大し、子どもおよびティーンに対するターゲティング広告の禁止や、未成年者自身または保護者がオンラインサービス上の情報を削除できる「イレイサーボタン」の設置を義務化する、Children and Teen’s Online Privacy Protection Act(COPPA 2.0)法案が提出されている注9)。
EU/英国法
(1) GDPR
EUでは、統一的なデータ保護規制としてGDPR が存在しており、これに加えて各国法が存在している。英国は、EUを離脱した際に、GDPRを英国法(UK GDPR)として取り込み、従来から存在した国内法Data Protection Act 2018と併存していたが、データ(利用およびアクセス)法(Data (Use and Access) Act)により改正された。本稿では、UK GDPRについてもGDPRと一体として論じる。
子どもは脆弱なデータ主体であり、GDPRの前文38は、子どもに対する特別な保護の必要性に言及し、GDPR12条1項は透明性の原則を定める中で、「特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる」としている。GDPR57条1項(b)は、各国当局は、「とりわけ、子ども向けの活動に格別の注意を払わなければならない」としている。
また、GDPR8条1項は、子どもに対する直接的な情報社会サービスの提供との関係において、個人データの処理の法的根拠として「同意」(GDPR6条1項(a))に依拠する場合に子どもが自ら同意できる年齢について16歳以上としつつ、加盟国法では13歳を下回らない限りより低い年齢を定めることができるとしている。なお、GDPRでは、同意は個人データの処理の法的根拠の一つに過ぎず、あくまで同意により個人データの処理をする場合にのみ同意年齢が問題となる。
(2) 英国(UK Children’s Code)
英国のチルドレンズ・コード(年齢適正デザインコード)(Children’s Code(Age appropriate design code))には、オンラインサービスが遵守すべき15の基準が含まれる。
本コードは法律ではないが、Data Protection Act 2018の123条に基づき定められた、UK GDPRが情報社会サービスを利用する子どもにどのように適用されるかについて定める実務規範である。
18歳未満の子どもがアクセスする可能性が高い情報社会サービス(通常、報酬を得て、遠隔地で、電子的手段により、サービスを受ける人の個別の要求に応じて提供されるサービス)に適用される。ターゲット層でなくても、子どもがサービスにアクセスする可能性が高い場合は本コードを検討する必要があるため、ほとんどの営利目的のオンラインサービスがこれに該当しうる。
適用対象は、英国に拠点を置く企業と、英国の子どもの個人データを処理する英国以外の企業である。
英国データ保護当局(ICO)は、本コードが定める15の基準に対応する「セルフリスクアセスメントツール」を公表しており、企業が子どものプライバシー保護について自社の状況を評価する際に有益な指標となる。
図表2 UK Children’s Codeが定める15の基準
| 1 | 子どもの最善の利益のために:子どもがアクセスする可能性のあるオンラインサービスを設計・開発する際には、子どもの最善の利益を第一に考慮する必要がある |
| 2 | DPIA(データ保護影響評価):DPIAを実施して、データ処理に起因する、サービスにアクセスする可能性のある子どもの権利と自由に対するリスクを評価し、緩和する。年齢、能力、発達上のニーズの違いを考慮し、本規範に準拠してDPIAを実施※1 |
| 3 | 年齢に応じた適用:個々のユーザーの年齢を認識するためにリスクベースのアプローチを取り、このコードの基準を子どものユーザーに効果的に適用することを保証する。データ処理から生じる子どもの権利と自由に対するリスクに適したレベルの確実性をもって年齢を確定するか、代わりにこのコードの基準をすべてのユーザーに適用する(なお、Children’s Codeで用いられている五つの年齢区分は、後述の図表3のとおりであり、詳細は附属書Bで定められている) |
| 4 | 透明性※2:ユーザーに提供するプライバシー情報、およびその他の公表された規約、ポリシー、コミュニティ・スタンダードは、簡潔で目立つように、子どもの年齢に適した明確な言葉でなければならない。個人情報の使用方法について、使用が有効になった時点で、具体的かつ一口サイズの(“bite-sized”)説明を追加する。 |
| 5 | データの有害な使用:子どもの健康に悪影響を及ぼすことが明らかになっている方法、または業界の実践規範、その他の規制条項、政府の助言に反する方法で、子どもの個人情報を使用しない |
| 6 | ポリシーとコミュニティ・スタンダード:公開されている規約、ポリシー、コミュニティの基準を遵守すること |
| 7 | デフォルト設定:設定は、デフォルトで「高プライバシー」でなければならない(ただし、子どもの最善の利益を考慮して異なるデフォルト設定を行うことのやむを得ない理由を示すことができる場合を除く) |
| 8 | データの最小化:子どもが積極的かつ意識的に関与するサービスの要素を提供するために、必要最小限の個人データのみを収集・保持すること。子どもがどの要素を有効にしたいか、個別に選択できるようにする |
| 9 | データの共有:子どもの最善の利益を考慮し、やむを得ない理由を示すことができない限り、子どものデータを開示しない |
| 10 | ジオロケーション:地理位置情報の追跡オプションをデフォルトでオフにする(ただし、子どもの最善の利益を考慮して、地理位置情報をデフォルトでオンにすべきやむを得ない理由を示すことができる場合を除く)。位置情報の追跡が有効な場合は、子どもにもわかるようなサインを出す。子どもの位置情報が他人に見えるようなオプションは、各セッション終了時にデフォルトで「オフ」に戻すこと |
| 11 | 保護者コントロール:保護者コントロールを提供している場合は、子どもの年齢に応じた情報を提供する。オンラインサービスで、親等が子どものオンライン活動を監視したり、子どもの居場所を追跡することができる場合は、子どもが監視されていることが一目でわかるようにする |
| 12 | プロファイリング:プロファイリングを使用するオプションをデフォルトで「オフ」にする(ただし、子どもの最善の利益を考慮して、デフォルトでプロファイリングをオンにするための説得力のある理由を示すことができる場合を除く)。プロファイリングを許可するのは、有害な影響(特に、健康や福祉に悪影響を及ぼすコンテンツの提供)から子どもを保護するための適切な措置を講じている場合に限る |
| 13 | ナッジ技術:ナッジ技術を使用して、子どもが不必要な個人情報を提供するように誘導・奨励したり、プライバシー保護を弱めたりオフにしたりしない |
| 14 | コネクテッドトイおよびデバイス:コネクテッドトイやデバイスを提供する場合は、本コードへの準拠を可能にする効果的なツールを含める |
| 15 | オンラインツール:子どもたちがデータ保護の権利を行使したり、懸念事項を報告したりするのに役立つ、目立つアクセス可能なツールを提供する |
※1 ICOから、DPIAのサンプル①オンラインリテール、②コネクティッドトイ、③アプリ/ゲームが公表されている。
※2 子ども向けのプライバシーノーティスを策定することが想定される。たとえば、実例として、①RoosterMoney、②LEGO、③Yotiがある。
透明性についての年齢ごとの推奨事項は図表3のとおりである。
図表3 透明性についての年齢ごとの推奨事項
| 0-5歳 (読み書きの前段階と読み書き能力の初期段階) |
・ UK GDPRの13条および14条で要求されている完全なプライバシー情報を、保護者に適した形式で提供する ・ 子どもがデフォルトの高いプライバシー設定を変更しようとした場合、そのままにしておくか、親または信頼できる大人の助けを借りるよう、音声またはビデオで指示する |
| 6-9歳 (小学校の中心的な年齢) |
・ UK GDPRの13条および14条で要求されている完全なプライバシー情報を、保護者に適した形式で提供する ・ 保護者向けの資料と並行して、漫画、ビデオ、音声の資料を提供する。サービスにおけるオンライン・プライバシーの基本概念、提供するプライバシー設定、誰が何を見ることができるか、情報の権利、自分の情報を管理する方法、他人のプライバシーを尊重することについて説明する。事業者のサービスの基本や仕組み、保護者が事業者に期待すること、事業者が保護者に期待することを説明する ・ 保護者が子どもと一緒に使えるように、プライバシーの概念やサービスにおけるリスクについて説明するためのリソースを提供する。保護者が子どもと一緒に利用できるリソースを提供し、事業者のサービスの基本や仕組み、子どもが事業者に期待できること、事業者が子どもに期待することを説明する ・ 子どもがデフォルトの高いプライバシー設定を変更しようとした場合、自分の情報がどうなるのか、またそれに伴うリスクについて、漫画、ビデオ、音声の資料を用いて説明する。設定を変更する前に、そのままにしておくか、親や信頼できる大人の助けを借りるよう伝える |
| 10-12歳 (移行期) |
・ UK GDPR13条および14条で要求される完全なプライバシー情報を、保護者に適した形式で提供する ・ UK GDPR13条および14条で要求されているプライバシー情報を、この年齢層の子どもに適した形式で完全に提供する。子どもたちが、文章と映像・音声のどちらかを選択できるようにする。子どもたちが、個々のニーズに応じて、(より高い年齢層またはより低い年齢層向けに開発された資料に)表示する情報を拡大または縮小する選択肢を与える ・ 子どもがデフォルトの高いプライバシー設定を変更しようとした場合、自分の情報がどうなるのか、またそれに伴うリスクについて、書面、漫画、ビデオ、音声の資料を用いて説明する。設定を変更する前に、そのままにしておくか、親や信頼できる大人の助けを借りるよう伝える |
| 13-15歳 (10代前半) |
・ UK GDPRの13条および14条で要求される完全なプライバシー情報を、この年齢層に適した形式で提供する。子どもたちが、文章と映像・音声のどちらかを選択できるようにする。子どもたちが、個々のニーズに応じて、(より高い年齢層またはより低い年齢層向けに開発された資料に)表示する情報を拡大または縮小する選択肢を与える ・ 子どもがデフォルトの高いプライバシー設定を変更しようとした場合、自分の情報がどうなるのか、関連するリスクについて説明した書面、ビデオ、音声資料を提供する。懸念があったり、説明されたことが理解できない場合は、親や信頼できる大人に助けを求め、設定を変更しないよう促す ・ 子ども向けの情報と並行して、保護者に適した形式で完全な情報を提供する |
| 16-17歳 (成人に近づく時期) |
・ この年齢層に適した形式で十分な情報を提供する。文章とビデオ・音声のどちらかを選択できるようにする。子どもたちが、個々のニーズに応じて、(より高い年齢層またはより低い年齢層向けに開発された資料に)表示する情報を拡大または縮小する選択肢を与える ・ 子どもが、デフォルトの高いプライバシー設定を変更しようとした場合、自分の情報がどうなるのか、関連するリスクについて説明した書面、ビデオ、音声資料を提供する。懸念があったり、説明されたことが理解できない場合は、大人や信頼できる情報源を確認し、設定を変更しないよう促す ・ 子ども向けの情報と並行して、保護者に適した形式で完全な情報を提供する |
年齢シグナル法(アプリストア責任法)
米国では近時、複数の州で、未成年者のアプリ利用の際の安全を強化するための年齢シグナル法(アプリストア責任法)が可決されている。
アプリストア責任法は、たとえば、以下のような規律を課している。
① アプリストアは、ユーザーが当該アプリストアでアカウント作成をする際、年齢確認を行う
② アプリ開発者は、各アプリおよびアプリを通じて購入できる各商品に年齢レーティングを設定する
③ アプリ開発者は、アプリストアから受領した年齢確認情報を使用して各アプリユーザーの年齢区分を確認し(アプリ開発者自身がユーザーに対して直接年齢確認を行う必要はない)、ユーザーが未成年者(18歳未満)の場合には、ユーザーの保護者の同意の有無を確認するためのシステムを構築・実施する
④ アプリ開発者は、アプリに適用される利用規約またはプライバシーポリシーに重要な変更を加える際には事前にアプリストアへ通知し、当該通知を受けたアプリストアは保護者の同意を更新する
現在アプリストア責任法が可決されている州は図表4のとおりである。
図表4 アプリストア責任法が可決済みの州
| 州名 | 説明 |
| テキサス州 | 2026年1月施行予定であったが、2025年12月23日に連邦地裁で憲法違反を理由に仮差止命令が出されたため未施行。控訴手続中 |
| ユタ州 | もともとアプリストアおよびアプリ開発者の遵守義務は2026年5月から施行予定であったが、連邦地裁に執行停止を求める申立てが係属し、その後法改正がなされ、訴訟が終了し、2027年5月6日が新たな適用開始日となった |
| ルイジアナ州 | 2026年7月施行予定。2025 Louisiana Laws Revised Statutes Title 51 - Trade and Commerceの§51:1771~1775。アプリ開発者は、年齢シグナルに依拠することに加えて、ユーザーの年齢を確認するために合理的と考えるその他の情報も利用しなければならないため、アプリ開発者の義務が重い |
| カリフォルニア州 |
2027年1月施行予定。他の3州と以下の点で異なる。 ・OSプロバイダーに主な義務が課される(アプリストアという概念も存在するが他州と異なり主な義務の主体ではない。ただし、現実には、大手アプリストア=OSプロバイダーである) ・モバイルデバイスのみならずPC等向けのアプリも対象となる ・アプリ開発者には年齢シグナルを受信する義務のみがあり、受信時に年齢についての実際の認識を持ちそれに基づくCOPPAやCCPA等の各法の義務が生じるのみであり、同法独自に同意の有無の確認を義務づけてはいない |
特にカリフォルニア州法のようなモデルの法令を制定する動きは、今後、他の州にも広がっていく可能性がある。各アプリストアは、対応のためのAPI提供を含めて、アプリストア責任法への対応方針(Google / Apple)を公表している。実際にアプリストア責任法に対応することによりユーザーの年齢確認情報をアプリストアから受領する場合、13歳未満と確認されたユーザーに関しては、COPPA(Ⅱ1.(2)参照)を遵守する必要が生じることにも注意が必要である。
なお、連邦119th Congressには、州のアプリストア責任法と同様の規制を連邦レベルで導入する法案として、App Store Accountability Act法案が提出されている。
- 個人情報保護委員会「「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について」(令和8年4月7日)。[↩]
- こども家庭庁「青少年インターネット環境整備法の在り方等に関する検討ワーキンググループ(第4回)」(令和8年4月30日)。[↩]
- 総務省「デジタル空間における情報流通の諸課題への対処に関する検討会 青少年保護ワーキンググループ(第4回)配布資料」(令和8年4月22日)。[↩]
- 2025年6月20日施行。参考資料:ガイダンス、AGオフィスの子どもの保護のページ。[↩]
- Federal Trade Commission Strategic Plan for Fiscal Years 2026-2030[↩]
- 以下が例示されている。(1)名および姓(2)番地および市区町村名を含む、自宅その他の物理的住所(3)本条に定義されるオンライン連絡先情報(4)本条に定義されるオンライン連絡先情報と同様の方法で機能するスクリーンネームまたはユーザー名(5)電話番号(6)社会保障番号、州発行の身分証明書番号、出生証明書番号、またはパスポート番号などの政府が発行する識別番号(規則改正で追加)。(7)時間の経過および異なるウェブサイトまたはオンラインサービス間においてユーザーを認識するために使用され得る永続的識別子。これには、クッキーに保存される顧客番号、インターネット・プロトコル(IP)アドレス、プロセッサまたは端末のシリアル番号、もしくは固有のデバイス識別子などが含まれるが、これらに限定されない。(8)当該ファイルに子どもの画像または音声が含まれる写真、動画、または音声ファイル(9)番地および市区町村名を特定できる程度に十分な位置情報(10)指紋、手形、網膜パターン、虹彩パターン、DNA配列を含む遺伝情報、声紋、歩行パターン、顔テンプレートまたはフェイスプリントなど、個人を自動または半自動で識別するために使用され得る生体識別情報(規則改正で追加)(11)本定義に記載された識別子と組み合わされ、事業者がオンラインで子どもから収集する、当該子どもまたはその親に関する情報。[↩]
- ⑤、⑥は、規則改正で最近追加されたものである(規則§312.5(b)(2)(vi)(vii))。[↩]
- 規則§312.5(b)(2)(viii)(ix)。保護者のオンライン連絡先に送付する直接通知(E-mail/テキストメッセージ)の中で、返信により同意の意思表示を求める。ただし、この方法を適切に利用するためには、保護者からの返信を受け取った後に追加の確認措置(ここがプラスの部分)を講じる必要がある。具体的には以下の二つのいずれかが含まれる。
・同意の返信受領後に(合理的な期間をおいて)保護者へ確認のメールを別途送信して改めて同意を確認すること。
・保護者から郵送先住所や電話番号を取得し、書面または電話により同意を確認すること。
※この方法を用いる事業者は、保護者が当該電子メールに基づいて与えた同意を撤回できる旨を通知しなければならない。[↩] - 上院版は2026年3月16日に上院を可決し、下院に送られた。/下院版。[↩]
田中 浩之
森・濱田松本法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士
慶應義塾大学大学院法学研究科特任教授(非常勤)
04年慶應義塾大学法学部法律学科卒業。06年慶應義塾大学大学院法務研究科修了。07年弁護士登録(第二東京弁護士会所属)。13年ニューヨーク大学ロースクール修了、同年Clayton Utz法律事務所で執務。14年ニューヨーク州弁護士登録。データ・プライバシー、AI、知的財産、デジタル法制、ITに関する業務を手がける。「日経企業法務税務・弁護士調査」の活躍した弁護士ランキングで複数回選出。AI法研究会 生成AI・AIエージェント部会 部会長。著作として、『グローバルデータ保護法対応Q&A100』(共著、中央経済社、2024年)、『改訂版 ビジネス法体系 知的財産法』(共著、第一法規、2025年)、『生成AIと知財・個人情報Q&A』(共著、商事法務、2024年)、『ゼロからわかる生成AI法律入門 対話型から画像生成まで、分野別・利用場面別の課題と対策』(共著、朝日新聞出版、2023年)、『ChatGPTの法律』(共著、中央経済社、2023年)、『60分でわかる!改正個人情報保護法 超入門』(共著、技術評論社、2022年)等がある。
森・濱田松本法律事務所外国法共同事業のプロフィールページはこちら