令和2年・令和3年個人情報保護法改正への対応も記憶に新しいところですが、個人情報保護委員会において、いわゆる3年ごと見直し規定に基づく法改正の検討が開始されています(https://www.ppc.go.jp/aboutus/minutes/2023/20231115/)
2023年11月15日実施の第261回委員会では、現行法の施行状況に対する有識者らの主な意見をまとめたうえで、大まかな検討の方向性が示されているのみですが、今後、2024年春頃に予定されている中間整理に向けて詳細が整理されていくものと思われます。
資料上、注目される点の一つが、「こども」に関する記載です。「こども」については、「1.個人の権利利益のより実質的な保護の在り方」として権利保護の観点から言及がなされているほか、「3.データ利活用に向けた取組に対する支援等の在り方」の中で利活用のニーズが高い分野としても言及されています。
そのため、「こども」の個人情報の取扱いについて、次回何らかの見直しがなされる可能性は高いといえます。
「こども」といっても、学校や保育施設などのみに関係がある話ではなく、一般消費者向けのサービスを提供している企業であれば、利用者に「こども」を含む場合には影響を受ける可能性がありますので、改正の動向には注意しておく必要があります。
現状、個人情報保護法において、個人情報の本人が子どもであることを理由に特別な取り扱いを要求する規定はありません。
もっとも、個人情報保護法上必要となる本人同意を法定代理人等から得る必要がある子どもの年齢につき、個人情報保護法ガイドラインのQ&A1-62(本稿執筆時)では、「対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には12歳から15歳までの年齢以下」と記載されています。このように、子どもとそれ以外とでは異なる取扱いが必要にはなります。
では、今後、日本法において、子どもに関するどのような規律が設けられるのでしょうか。
委員会では、「諸外国の議論の動向」も考慮して「こどもの権益の保護の在り方を検討」すべき、との意見があったようです。
そこで、海外の規制に目を向けてみますと、例えばEUのGDPRでは、子どもの情報はセンシティブデータと並んで特に注意を要する個人データとされ、一定のオンラインサービスなどにおける子ども(16~13歳未満、加盟国により差があります)の個人データの処理について親権者等の同意を求めています。
また、「管理者」に該当する事業者においては、単に形式的に親権者等から同意を取ったという体裁にするのでは足りず、同意が親権者により付与又は許可されたものであることを証明するために、利用可能な技術を考慮して「合理的な努力」をすることが求められます。
近年、InstagramやTikTok等のサービスにおいて、GDPRの子どもに関する規定の違反を理由に、規制当局が数百億円規模の巨額の制裁金を科すと発表したとの報道も相次いでおり、違反の事業インパクトは決して無視できるものではありません。
アメリカや中国でも、内容の差はあれ子どもの個人データは特別な取扱いを受けており、各国における規制は厳格化していく傾向にあります。
このような海外の動向に鑑みると、日本においても、子どもを対象とした個人情報の取扱いを一定分野において制限することや、親権者等の同意を要求する範囲が拡大されること、年齢確認や親権者等の同意の真正性を確保するよう求められることなどが想定されます。
諸外国においては、親権者等の同意を要求する場合に、どのように子どもによるなりすましを回避するか等も課題となっており、こういった点に関する議論も今後なされていくものと思われます。
日本の個人情報保護法における子どもの情報の取扱いルールについて、議論は始まったばかりですが、改正が実現すれば、消費者向けのサービスの多くに影響が生じえます。特に、子どもを対象に含むサービスを提供している事業者の皆様におかれましては、事業影響が大きなルール変更となる可能性もありますので、今後の議論の動向をフォローいただければと思います。