米国 FTC 児童オンラインプライバシー保護規則 の改正案の意見募集 (2024.01.11)
こんにちは、丸山満彦です。
米国の連邦取引委員会が、児童オンラインプライバシー保護規則の改正案について意見募集をしていますね。。。
・2024.01.11 Children's Online Privacy Protection Rule
変更ポイントは、背景の部分を読んでもらうと大体わかります。。。
具体的な変更については、「PART 312—CHILDREN'S ONLINE PRIVACY PROTECTION RULE」以下に記載があります。。。
日本でも個人情報保護法の見直しの検討が進んでいますが、おそらく日本でも子ども(児童)に対する保護についても議論がされるものと思われますので、参考になるかもですね。。。
内容とは関係ないですが、この改正による企業側の対応でどのくらいの社会的コストがかかるについて、「VI. ペーパーワーク削減法 」の部分で分析をしています。。。確か、英国でも同様のことをしていたと思います。。。
また、「VII. 規制柔軟性法」の部分では、この改正が零細企業に過大な負担をかけないことが説明されています。。。
日本でもこういう分析を義務付ければ良いのにね。。。
| Children's Online Privacy Protection Rule | 児童オンラインプライバシー保護規則 |
| AGENCY: | 政府機関 |
| Federal Trade Commission. | 連邦取引委員会 |
| ACTION: | 措置 |
| Notice of proposed rulemaking. | 規則制定案の通知 |
| SUMMARY: | 要旨 |
| The Commission proposes to amend the Children's Online Privacy Protection Rule, consistent with the requirements of the Children's Online Privacy Protection Act. The proposed modifications are intended to respond to changes in technology and online practices, and where appropriate, to clarify and streamline the Rule. The proposed modifications, which are based on the FTC's review of public comments and its enforcement experience, are intended to clarify the scope of the Rule and/or strengthen its protection of personal information collected from children. | 米国連邦取引委員会は、児童オンライン・プライバシー保護法の要件に基づき、児童オンライン・プライバシー保護規則を改正することを提案する。提案されている修正は、技術およびオンライン慣行の変化に対応し、必要に応じて規則を明確化および合理化することを目的としている。今回の修正案は、FTCによるパブリックコメントの検討および施行経験に基づくものであり、規則の範囲を明確にし、および/または児童から収集した個人情報の保護を強化することを意図している。 |
補足情報...
全体像...
| I. Background | I. 背景 |
| II. Comments on Expanding the COPPA Rule's Coverage | II. COPPA規則の適用範囲拡大に関する意見 |
| A. Amending the Definition of “Website or Online Service Directed to Children” | A. 児童向けウェブサイトまたはオンラインサービス」の定義の修正 |
| B. Changing the COPPA Rule's “Actual Knowledge” Standard | B. COPPA規則の「実際に知っている」標準の変更 |
| III. Comments on the Rebuttable Presumption | III. 反証可能推定に関する意見 |
| IV. Proposed Modifications to the Rule | IV. 規則の修正案 |
| A. Definitions (16 CFR 312.2) | A. 定義(16 CFR 312.2) |
| 1. Online Contact Information | 1. オンライン連絡先情報 |
| 2. Personal Information | 2. 個人情報 |
| a. Biometric Data | a. 生体データ |
| b. Inferred and Other Data | b. 推測されるデータおよびその他のデータ |
| c. Persistent Identifiers | c. 永続的識別情報 |
| 3. School and School-Authorized Education Purpose | 3. 学校および学校認可の教育目的 |
| 4. Support for the Internal Operations of the Website or Online Service | 4. ウェブサイトまたはオンラインサービスの内部運営の支援 |
| 5. Website or Online Service Directed to Children | 5. 児童向けのウェブサイトまたはオンラインサービス |
| a. Multi-Factor Test | a. 多要素テスト |
| b. Operators Collecting Personal Information From Other Websites and Online Services Directed to Children | b. 児童向けの他のウェブサイトおよびオンラインサービスから個人情報を収集する事業者 |
| c. Mixed Audience | c. 混合視聴者 |
| B. Notice (16 CFR 312.4) | B. 通知(16 CFR 312.4) |
| 1. Direct Notice to the Parent (Paragraph (b)) | 1. 親への直接通知(パラグラフ(b) |
| 2. Content of the Direct Notice (Paragraph (c)) | 2. 直接通知の内容(パラグラフ(c) |
| 3. Notice on the Website or Online Service (Paragraph (d)) | 3. ウェブサイトまたはオンラインサービスにおける通知(パラグラフ(d) |
| 4. Additional Notice on the Website or Online Service Where an Operator Has Collected Personal Information Under § 312.5(c)(10) (New Paragraph § 312.4(e)) | 4. 事業者が312.5条(c)(10)に基づき個人情報を収集したウェブサイトまたはオンラインサービスにおける追加通知(新段落312.4条(e) |
| C. Parental Consent (16 CFR 312.5) | C. 保護者の同意(16 CFR 312.5) |
| 1. General Requirements (Paragraph (a)) | 1. 一般要件(パラグラフ(a) |
| 2. Methods for Verifiable Parental Consent (Paragraph (b)) | 2. 確認可能な親の同意の方法(パラグラフ(b) |
| 3. Exceptions to Prior Parental Consent (Paragraph (c)) | 3. 親の事前同意の例外(第(c)項) |
| a. School Authorization Exception | a. 学校認可の例外 |
| i. Whether To Include a School Authorization Exception in the Rule | i. 学校認可の例外を規則に含めるかどうか |
| ii. Permitted Use of Data Collected Through the School Authorization Exception | ii. 学校認可の例外を通じて収集されたデータの許可された使用 |
| iii. Who at the school should provide authorization? | iii. 学校の誰が認可を行うべきか? |
| iv. Notice to Parents | iv. 保護者への通知 |
| b. Audio File Exception | b. 音声ファイルの例外 |
| c. Other Exceptions | c. その他の例外 |
| D. Right To Review Personal Information Provided by a Child (16 CFR 312.6) | D. 児童がプロバイダから提供された個人情報を確認する権利(16 CFR 312.6) |
| E. Prohibition Against Conditioning a Child's Participation on Collection of Personal Information (16 CFR 312.7) | E. 個人情報の収集に児童の参加を条件付けることの禁止(16 CFR 312.7) |
| F. Confidentiality, Security, and Integrity of Personal Information Collected From Children (16 CFR 312.8) | F. 児童から収集した個人情報の機密性、安全性、完全性(16 CFR 312.8) |
| G. Data Retention and Deletion Requirements (16 CFR 312.10) | G. データ保持および削除要件(16 CFR 312.10) |
| H. Safe Harbor (16 CFR 312.11) | H. セーフハーバー(16 CFR 312.11) |
| 1. Criteria for Approval of Self-Regulatory Program Guidelines (§ 312.11(b)) | 1. 自主規制プログラムガイドラインの承認基準(§312.11(b) |
| 2. Reporting and Recordkeeping Requirements (§ 312.11(d) and § 312.11(f)) | 2. 報告および記録の要件(§312.11(d)および§312.11(f) |
| 3. Revocation of Approval of Self-Regulatory Program Guidelines (Current § 312.11(f), Proposed To Be Renumbered as § 312.11(g)) | 3. 自主規制プログラムガイドラインの承認の取り消し(現行§312.11(f)、§312.11(g)への改称提案) |
| I. Voluntary Commission Approval Processes (16 CFR 312.12) | I. 自主的な委員会の承認プロセス(16 CFR 312.12) |
| V. Request for Comment | V. 意見要求 |
| VI. Paperwork Reduction Act | VI. ペーパーワーク削減法 |
| A. Number of Respondents | A. 対応者の数 |
| B. Recordkeeping Hours | B. 記録時間 |
| C. Disclosure Hours | C. 開示時間 |
| 1. New Operators' Disclosure Burden | 1. 新規事業者の情報開示負担 |
| 2. Existing Operators' Disclosure Burden | 2. 既存事業者の開示負担 |
| D. Reporting Hours | D. 報告時間 |
| E. Labor Costs | E. 人件費 |
| 1. Disclosure | 1. 情報開示 |
| a. New Operators | a. 新規オペレーター |
| b. Existing Operators | b. 既存のオペレーター |
| 2. Reporting | 2. 報告 |
| F. Non-Labor/Capital Costs | F. 人件費以外の費用 |
| VII. Regulatory Flexibility Act | VII. 規制柔軟性法 |
| A. Reasons for the Proposed Rule | A. 規則案の理由 |
| B. Statement of Objectives and Legal Basis | B. 目的および法的根拠の記述 |
| C. Description and Estimated Number of Small Entities to Which the Rule Will Apply |
C. 規則が適用される小規模事業体の説明と推定数 |
| D. Projected Reporting, Recordkeeping, and Other Compliance Requirements | D. 報告、記録、およびその他の遵守要件の予測 |
| E. Identification of Duplicative, Overlapping, or Conflicting Federal Rules | E. 重複、重複、または矛盾する連邦規則の特定 |
| F. Discussion of Significant Alternatives | F. 重要な代替案の検討 |
| VIII. Communications by Outside Parties to the Commissioners or Their Advisors | VIII. 外部関係者による委員会またはそのアドバイザーへのコミュニケーション |
| IX. Questions for the Proposed Revisions to the Rule | IX. 規則改正案に対する質問事項 |
まずは、I. 背景から...
| I. Background | I. 背景 |
| Congress enacted the Children's Online Privacy Protection Act (“COPPA” or “COPPA statute”), 15 U.S.C. 6501 et seq., in 1998. The COPPA statute directed the Federal Trade Commission (“Commission” or “FTC”) to promulgate regulations implementing COPPA's requirements. On November 3, 1999, the Commission issued its Children's Online Privacy Protection Rule, 16 CFR part 312 (“COPPA Rule” or “Rule”), which became effective on April 21, 2000.[1] Section 6506 of the COPPA statute and § 312.11 of the initial Rule required that the Commission initiate a review no later than five years after the initial Rule's effective date to evaluate the Rule's implementation. The Commission commenced this mandatory review on April 21, 2005.[2] After receiving and considering extensive public comment, the Commission determined in March 2006 to retain the COPPA Rule without change.[3] In 2010, the Commission once again undertook a review of the COPPA Rule to determine whether the Rule was keeping pace with changing technology. After notice and comment, the Commission issued final amendments to the Rule, which became effective on July 1, 2013 (“2013 Amendments”)).[4] | 連邦議会は1998年にChildren's Online Privacy Protection Act(「COPPA」または「COPPA法」)(15 U.S.C. 6501 et seq.)を制定した。COPPA法は、連邦取引委員会(「委員会」または「FTC」)にCOPPAの要件を実施する規制を公布するよう指示した。1999年11月3日、委員会は、16 CFR part 312「Children's Online Privacy Protection Rule」(「COPPA規則」または「規則」)を発表し、2000年4月21日に発効した[1]。COPPA法の第6506条および最初の規則の第312.11条は、規則の実施を評価するために、最初の規則の発効日から5年以内にレビューを開始するよう委員会に義務付けた。委員会は、2005年4月21日にこの強制的な見直しを開始した[2]。広範なパブリックコメントを受け、検討した結果、委員会は2006年3月にCOPPA規則を変更せずに維持することを決定した[3]。2010年、委員会は、COPPA規則が技術の変化に対応しているかどうかを判断するために、再度COPPA規則の見直しを行った。通知とコメントの後、委員会は規則の最終改正を発表し、2013年7月1日に発効した(「2013年改正」)[4]。 |
| The COPPA Rule imposes certain requirements on operators of websites [5] or online services directed to children under 13 years of age, and on operators of websites or online services that have actual knowledge that they are collecting personal information online from a child under 13 years of age (collectively, “operators”). The Rule requires that operators provide notice to parents and obtain verifiable parental consent before collecting, using, or disclosing personal information from children under 13 years of age.[6] Additionally, the Rule requires that operators must provide parents the opportunity to review the types or categories of personal information collected from their child, the opportunity to delete the collected information, and the opportunity to prevent further use or future collection of personal information from their child.[7] The Rule also requires operators to keep personal information they collect from children secure, including by imposing retention and deletion requirements, and prohibits them from conditioning children's participation in activities on the collection of more personal information than is reasonably necessary to participate in such activities.[8] The Rule contains a “safe harbor” provision enabling industry groups or others to submit to the Commission for approval self-regulatory guidelines that would implement the Rule's protections.[9] | COPPA規則は、13歳未満の児童に向けたウェブサイト[5]またはオンラインサービスの運営者、および13歳未満の児童からオンラインで個人情報を収集していることを実際に知っているウェブサイトまたはオンラインサービスの運営者(以下、総称して「運営者」)に一定の要件を課している。同規則は、13歳未満の児童から個人情報を収集、使用、開示する前に、事業者が保護者に通知し、検証可能な保護者の同意を得ることを求めている[6]。さらに、同規則は、事業者が保護者に対し、児童から収集した個人情報の種類またはカテゴリーを確認する機会、収集した情報を削除する機会、および児童からの個人情報のさらなる使用または将来の収集を防止する機会を提供しなければならないことを求めている[7]。また、同規則は、事業者に対して、保管および削除の要件を課すなどして、児童から収集した個人情報を安全に保管することを求めており、児童の活動への参加を、当該活動への参加に合理的に必要な以上の個人情報の収集に条件付けることを禁止している[8]。同規則には「セーフハーバー」規定があり、業界団体などが同規則の保護を実施する自主規制ガイドラインを委員会に提出し、承認を得ることができる[9]。 |
| The 2013 Amendments [10] revised the COPPA Rule to address changes in the way children use and access the internet, including through the increased use of mobile devices and social networking. In particular, the 2013 Amendments: | 2013年の改正[10]では、モバイル機器やソーシャルネットワーキングの利用増加など、児童のインターネット利用・アクセス方法の変化に対応するため、COPPA規則を改正した。特に、2013年改正では |
| ・Modified the definition of “operator” to make clear that the Rule covers an operator of a child-directed website or online service that integrates outside services—such as plug-ins or advertising networks—that collect personal information from the website's or online service's visitors, and expanded the definition of “website or online service directed to children” to clarify that those outside services are subject to the Rule where they have actual knowledge that they are collecting personal information directly from users of a child-directed website or online service; | ・「運営者」の定義を変更し、ウェブサイトやオンラインサービスの訪問者から個人情報を収集するプラグインや広告ネットワークなどの外部サービスを統合する児童向けウェブサイトまたはオンラインサービスの運営者が規則の対象となることを明確にした。また、「児童向けウェブサイトまたはオンラインサービス」の定義を拡大し、これらの外部サービスが児童向けウェブサイトまたはオンラインサービスの利用者から直接個人情報を収集していることを実際に知っている場合、規則の対象となることを明確にした; |
| ・Permitted a subset of child-directed websites or online services that do not target children as their primary audience to differentiate among users, requiring them to comply with the Rule's obligations only as to users who identify as under the age of 13; | ・児童を主な対象としていない児童向けウェブサイトまたはオンラインサービスのサブセットに対し、利用者を区別することを許可し、13歳未満であることを確認した利用者に対してのみ規則の義務を遵守することを義務付けた; |
| ・Expanded the definition of “personal information” to include geolocation information; photos, videos and audio files containing a child's image or voice; and persistent identifiers that can be used to recognize a user over time and across different websites or online services; | ・個人を特定できる情報」の定義を拡大し、地理的位置情報、児童の画像や音声を含む写真、ビデオ、音声ファイル、および長期的かつ異なるウェブサイトやオンラインサービス間でユーザーを認識するために使用できる永続的識別子を含める; |
| ・Streamlined the direct notice requirements to ensure that key information is presented to parents in a succinct “just-in-time” notice; | ・重要な情報が簡潔な「ジャストインタイム」通知で保護者に提示されるよう、直接通知の要件を合理化した; |
| ・Expanded the non-exhaustive list of acceptable methods for obtaining prior verifiable parental consent; | ・事前に検証可能な保護者の同意を得るための許容可能な方法の非網羅的リストを拡大した; |
| • Created three new exceptions to the Rule's notice and consent requirements, including for the use of persistent identifiers for the support for the internal operations of a website or online service; | - ウェブサイトやオンラインサービスの内部運営をサポートするための永続的識別子の使用を含め、規則の通知と同意の要件に3つの新しい例外を設けた; |
| ・Strengthened data security protections by requiring operators to take reasonable steps to release children's personal information only to service providers and third parties who are capable of maintaining the confidentiality, security, and integrity of such information, and required reasonable data retention and deletion procedures; and | ・児童の個人情報を、当該情報の機密性、安全性、完全性を維持できるサービスプロバイダーおよびサードパーティにのみ開示するための合理的な措置を講じることを事業者に義務付けるとともに、合理的なデータ保持および削除手順を義務付けることにより、データセキュリティ保護を強化した。 |
| • Strengthened the Commission's oversight of self-regulatory safe harbor programs.[11] | - 自主規制のセーフハーバープログラムに対する委員会の監督を強化した[11]。 |
| On July 25, 2019, the FTC announced in the Federal Register that it was again undertaking a review of the COPPA Rule, noting that questions had arisen about the Rule's application to the educational technology (“ed tech”) sector, voice-enabled connected devices, and general audience platforms that host third-party child-directed content (“2019 Rule Review Initiation”).[12] The Commission sought public comment on these and other issues in its 2019 Rule Review Initiation. In addition to its standard regulatory review questions to determine whether the Commission should retain, eliminate, or modify the COPPA Rule, the Commission asked whether the 2013 Amendments have resulted in stronger protections for children and whether the revisions have had any negative consequences. The Commission also posed specific questions about the Rule's provisions, including the Rule's definitions, notice and consent requirements, access and deletion rights, security requirements, and safe harbor provisions. | 2019年7月25日、FTCは連邦官報で、教育技術(「ed tech」)分野、音声対応コネクテッドデバイス、サードパーティが児童向けコンテンツをホストする一般視聴者向けプラットフォームへの規則の適用について疑問が生じていることを指摘し、COPPA規則の見直しを再び行うと発表した(「2019 Rule Review Initiation」)[12委員会は、2019年規則見直しの開始において、これらおよびその他の問題についてパブリックコメントを求めた。委員会は、COPPA規則を維持すべきか、廃止すべきか、または修正すべきかを判断するための標準的な規制見直しの質問に加えて、2013年の改正が児童の保護を強化する結果になったかどうか、また改正が悪影響を及ぼしたかどうかを尋ねた。また、委員会は、規則の定義、通知と同意の要件、アクセスと削除の権利、セキュリティ要件、セーフハーバー規定など、規則の規定に関する具体的な質問も行った。 |
| During the comment period, the Commission held a public workshop on October 7, 2019, to discuss in detail several of the areas where it sought public comment (“COPPA Workshop”).[13] Specific discussion included such topics as application of the COPPA Rule to the ed tech sector, how the development of new technologies and business models have affected children's privacy, and whether the 2013 Amendments have worked as intended. | 意見募集期間中、委員会は2019年10月7日に公開ワークショップを開催し、パブリックコメントを求めたいくつかの分野について詳細に議論した(「COPPAワークショップ」)[13]。 具体的な議論には、COPPA規則のEd Tech分野への適用、新しい技術やビジネスモデルの発展が児童のプライバシーにどのような影響を与えたか、2013年改正が意図したとおりに機能したかどうかなどのトピックが含まれた。 |
| In response to the 2019 Rule Review Initiation, the Commission received more than 175,000 comments from various stakeholders, including industry representatives, video content creators, consumer advocacy groups, academics, technologists, FTC-approved COPPA Safe Harbor programs, members of Congress, and individual members of the public. While many of these comments expressed overall support for COPPA,[14] the comments identified a number of areas where the Commission could provide additional clarification or guidance about the COPPA Rule's requirements. The comments also proposed a number of potential changes to the Rule. | 2019年の規則見直し開始を受けて、委員会は業界代表者、動画コンテンツ制作者、消費者擁護団体、学者、技術者、FTCが承認したCOPPAセーフハーバープログラム、連邦議会議員、一般市民など、さまざまな関係者から17万5000件以上の意見を受け取った。これらの意見の多くはCOPPAに対する全体的な支持を表明していたが[14]、COPPA規則の要件について委員会が追加的な明確化またはガイダンスを提供できる多くの分野が特定された。また、これらのコメントは、規則に対する多くの潜在的な変更を提案した。 |
| Following consideration of the submitted public comments, viewpoints expressed during the COPPA Workshop, and the Commission's experience enforcing the Rule, the Commission proposes modifying most provisions of the Rule. Part II of this notice of proposed rulemaking (“NPRM”) discusses commenters' calls to expand the COPPA Rule's coverage by amending the definition of “website or online service directed to children” or by changing the Rule's actual knowledge standard. Part III of this NPRM discusses commenters' viewpoints on whether the Commission should permit general audience platforms that allow third parties to upload content to the platform to rebut the presumption that all users of uploaded child-directed content are children. Part IV addresses the Commission's proposed modifications to the Rule. Parts V–X provide information about requests for comment, the Paperwork Reduction Act, the Regulatory Flexibility Act, communications by outside parties to the Commissioners or their advisors, questions for the proposed revisions to the Rule, a list of subjects in the Rule, and the amended text of the Rule. | 提出されたパブリックコメント、COPPAワークショップで表明された見解、および委員会の規則の施行経験を考慮した結果、委員会は規則のほとんどの条項を修正することを提案する。本通知の第2部では、「児童に向けたウェブサイトまたはオンラインサービス」の定義を修正すること、または規則の標準を変更することにより、COPPA規則の適用範囲を拡大することを求める意見について述べる。本NPRMの第3部では、サードパーティにコンテンツのアップロードを許可している一般視聴者向けプラットフォームに対し、アップロードされた児童向けコンテンツの利用者はすべて児童であるという推定を覆すことを、委員会が許可すべきかどうかについてのコメント提出者の見解について論じている。第IV部では、委員会が提案する規則の修正について述べる。第V部から第X部では、意見要求、ペーパーワーク削減法、規制柔軟性法、委員会またはそのアドバイザーに対する外部当事者によるコミュニケーション、規則の修正案に対する質問、規則の主題リスト、および規則の修正文に関する情報を提供する。 |
・II. COPPA規則の適用範囲拡大に関する意見...
A. 「児童向けウェブサイトまたはオンラインサービス」の定義の修正
B. COPPA規則の「実際に知っている」標準の変更
| II. Comments on Expanding the COPPA Rule's Coverage | II. COPPA規則の適用範囲拡大に関する意見 |
| As part of its 2019 Rule Review Initiation, the Commission requested comment on questions regarding whether the Commission should revise the definition of “website or online service directed to children.” In response, the Commission received various comments regarding expanding the COPPA Rule's coverage by either amending the definition of “website or online service directed to children” or by changing the Rule's actual knowledge standard. This Part includes discussion of comments advocating for and against such expansions. | 2019年規則見直し開始の一環として、委員会は、委員会が "児童に向けたウェブサイトまたはオンラインサービス "の定義を改定すべきかどうかに関する質問に対する意見を要求した。これに対し、委員会は、「児童に向けられたウェブサイトまたはオンラインサービス」の定義を修正するか、または規則の実際の知識標準を変更することにより、COPPA規則の適用範囲を拡大することに関する様々なコメントを受け取った。本パートでは、このような適用範囲の拡大を支持する意見と反対する意見について説明する。 |
| A. Amending the Definition of “Website or Online Service Directed to Children” | A. 「児童向けウェブサイトまたはオンラインサービス」の定義の修正 |
| In its 2019 Rule Review Initiation, the Commission asked for comment on various aspects of the Rule's definition of “website or online service directed to children.” Among other questions, the Commission asked whether it should amend the definition to address websites and online services that do not include traditionally child-oriented activities but still have large numbers of child users.[15] | 2019年規則見直し開始において、委員会は、規則の「児童向けウェブサイトまたはオンラインサービス」の定義の様々な側面について意見を求めた。中でも、委員会は、伝統的に児童向けの活動を含まないが、それでも多数の児童ユーザーを抱えるウェブサイトやオンラインサービスに対応するために、定義を修正すべきかどうかを尋ねている[15]。 |
| Some commenters argued that the definition of “website or online service directed to children” should be modified to include sites and services with large numbers of children, those with a certain percentage of child users, or those that include child-attractive content.[16] For example, FTC-approved COPPA Safe Harbor program PRIVO asserted that general audience services with large numbers of children should be required to comply with COPPA, noting that “[s]ervices not targeted to children that have large numbers of children must be addressed as it can result in online harm to the child due to inherent privacy and safety risks.” [17] PRIVO further argued that the Commission should define thresholds for the number of child users at which COPPA's protections must be provided.[18] Similarly, Common Sense Media encouraged the Commission to interpret the definition of “website or online service directed to children” to include “sites and services that attract, or are likely to be accessed by, disproportionate numbers of children.” [19] | 一部のコメント提出者は、「児童向けウェブサイトまたはオンラインサービス」の定義を修正し、多数の児童が利用するサイトやサービス、一定の割合で児童が利用するサイトやサービス、または児童に魅力的なコンテンツを含むサイトやサービスを含めるべきだと主張した。 [例えば、FTCが承認したCOPPAセーフハーバープログラムであるPRIVOは、"多数の児童がいる児童を対象としていないサービスは、内在するプライバシーと安全のリスクにより、児童にオンライン上の危害をもたらす可能性があるため、対処しなければならない "と指摘し、多数の児童がいる一般視聴者向けサービスにもCOPPAの遵守を求めるべきであると主張した[16]。 [17]保護はさらに、委員会がCOPPAの保護を提供しなければならない児童のユーザー数のしきい値を定義すべきだと主張した[18]。同様に、コモン・センス・メディアは、「児童を対象としたウェブサイトまたはオンラインサービス」の定義に、「不釣り合いな数の児童がアクセスする、またはアクセスする可能性のあるサイトやサービス」を含めるように解釈するよう委員会に促した。 [19] |
| However, other commenters opposed expanding the definition of “website or online service directed to children” in such ways.[20] For example, The Toy Association opposed the adoption of a numerical or percentage audience threshold as a determinative factor in identifying child-directed websites or online services.[21] Similarly, panelists during the COPPA Workshop noted that “[a]ttractive to children is very different from targeted to children,” [22] and that COPPA's statutory language is “child-directed” and not “child-attractive.” [23] Commenters raised additional concerns with expanding the definition to include sites and services that do not include child-oriented activities but have large numbers of children, including because such a change would be inconsistent with the statute,[24] decrease online offerings for children,[25] be unduly burdensome to operators of non-child-directed websites or online services,[26] and lead to regulatory uncertainty.[27] Some commenters also noted that this amendment would be unnecessary since the definition already includes “competent and reliable empirical evidence regarding audience composition” as a factor to consider in determining whether a site or service is directed to children.[28] | しかし、他のコメント提出者は、そのような方法で「児童に向けられたウェブサイトまたはオンラインサービス」の定義を拡大することに反対した[20]。例えば、The Toy Associationは、児童に向けられたウェブサイトまたはオンラインサービスを特定する決定要因として、数値またはパーセンテージの視聴者閾値を採用することに反対した[21]。同様に、COPPAワークショップのパネリストは、「児童にとって魅力的であることは、児童をターゲットにしたものとは全く異なる」[22]と指摘し、COPPAの法定文言は「児童に向けられた」ものであり、「児童に魅力的な」ものではないと指摘した[23]。 [このような変更は法令と矛盾し[24]、児童向けのオンラインサービスを減少させ[25]、児童向けでないウェブサイトやオンラインサービスの運営者に不当に負担をかけ[26]、規制の不確実性につながるためである。 [27]また、サイトやサービスが児童向けかどうかを判断する際に考慮すべき要素として、定義に「視聴者構成に関する有能かつ信頼できる経験的証拠」が既に含まれているため、この改正は不要であると指摘する意見もあった[28]。 |
| During the Rule review that resulted in the 2013 Amendments, the Commission considered amending the definition of “website or online service directed to children” to cover sites or services that “[b]ased on the overall content of the website or online service, [are] likely to attract an audience that includes a disproportionately large percentage of children under age 13 as compared to the percentage of such children in the general population. . . .” [29] In response, the Commission received numerous comments raising concerns that such a standard was vague, potentially unconstitutional, and unduly expansive, and could lead to widespread age-screening and more intensive age verification across all websites and online services.[30] In ultimately declining to adopt this standard, the Commission stated it did not intend to expand the reach of the Rule to include additional sites and services. | 2013年の改正につながった規則見直しの中で、委員会は、「ウェブサイトまたはオンラインサービスの全体的なコンテンツに基づき、一般人口におけるそのような児童の割合と比較して、不釣り合いに大きな割合の13歳未満の児童を含む視聴者を惹きつける可能性が高い」サイトまたはサービスを対象とするよう、「児童向けのウェブサイトまたはオンラインサービス」の定義を修正することを検討した。. . ." [29]これに対し、委員会は、このような標準は曖昧で、違憲の可能性があり、不当に拡大解釈されており、すべてのウェブサイトやオンラインサービスにおいて、年齢審査やより集中的な年齢確認が広まる可能性があるとの懸念を示す多数のコメントを受け取った[30]。最終的にこの標準の採用を断念するにあたり、委員会は、追加的なサイトやサービスにまで規則の適用範囲を拡大するつもりはないと述べた。 |
| The Commission again declines to modify the Rule in this manner. The definition of “website or online service directed to children” includes a number of factors the Commission will consider in determining whether a particular website or online service is child-directed, including consideration of “competent and reliable empirical evidence regarding audience composition.” Because the Commission already considers the demographics of a website's or online service's user base in its determination, the Commission does not believe it is necessary to modify the definition. | 委員会は、このような形で規則を修正することを再度拒否する。児童向けウェブサイトまたはオンラインサービス」の定義には、特定のウェブサイトまたはオンラインサービスが児童向けかどうかを判断する際に、委員会が考慮する多くの要素が含まれており、その中には「視聴者構成に関する有能で信頼できる実証的証拠」の考慮も含まれている。委員会は、その判断において、ウェブサイトまたはオンラインサービスの利用者層をすでに考慮しているため、定義を変更する必要はないと考えている。 |
| Similarly, the Commission also previously considered amending the Rule to set forth that websites and online services with a specified percentage of child users would be considered directed to children. As part of the Rule review that led to the 2013 Amendments, the Institute for Public Representation recommended that the Commission amend the Rule so that a website per se should be deemed “directed to children” if audience demographics show that 20% or more of its visitors are children under age 13.[31] The Commission determined not to adopt this as a per se legal standard, in part because the Commission noted that the definition of “website or online service directed to children” already positions the Commission to consider empirical evidence of the number of child users on a site. | 同様に、委員会は以前にも、児童の利用者が一定の割合を占めるウェブサイトやオンラインサービスを児童向けとみなすことを規定する規則の改正を検討したことがある。2013年の改正につながった規則見直しの一環として、Institute for Public Representationは、視聴者の人口統計から、そのウェブサイトの訪問者の20%以上が13歳未満の児童である場合、そのウェブサイト自体を「児童向け」とみなすよう、規則を改正するよう委員会に勧告した[31]。委員会は、「児童向けウェブサイトまたはオンラインサービス」の定義が、サイトにおける児童の利用者数に関する経験的証拠を考慮するよう、すでに委員会に位置づけていることを指摘したこともあり、これをそれ自体の法的標準として採用しないことを決定した。 |
| While the Commission continues to believe that there are good reasons not to ground COPPA liability simply on an assessment of the percentage of a site's or service's audience that is under 13, the Commission would like to obtain additional comment on whether it should provide an exemption under which an operator's site or service would not be deemed child-directed if the operator undertakes an analysis of the site's or service's audience composition and determines that no more than a specific percentage of its users are likely to be children under 13. In particular, the Commission seeks comment on (1) whether the Rule should provide an exemption or other incentive to encourage operators to conduct an analysis of their sites' or services' user bases; (2) what the reliable means are by which operators can determine the likely ages of a site's or service's users; (3) whether and how the COPPA Rule should identify such means; (4) what the appropriate percentage of users should be to qualify for this potential exemption; [32] and (5) whether such an exemption would be inconsistent with the COPPA Rule's multi-factor test for determining whether a website or online service, or a portion thereof, is directed to children. | 委員会は、サイトまたはサービスの利用者のうち、13歳未満の利用者が占める割合を評価するだけで、COPPAの法的責任を根拠づけるべきでない十分な理由があると引き続き考えているが、委員会は、運営者がサイトまたはサービスの利用者構成の分析を行い、利用者のうち13歳未満の児童が占める割合が特定の割合以下であると判断した場合、その運営者のサイトまたはサービスは児童向けとはみなされないという免除規定を設けるべきかどうかについて、追加的なコメントを得たいと考えている。特に、委員会は、(1)事業者がサイトまたはサービスの利用者基盤の分析を行うことを奨励するために、規則が免除またはその他のインセンティブを提供すべきかどうか、(2)事業者がサイトまたはサービスの利用者の年齢を判断するための信頼できる手段は何か、について意見を求めている; (3) COPPA規則がそのような手段を特定すべきかどうか、またどのように特定すべきか、(4) この潜在的な免除の対象となるユーザーの適切な割合はどの程度である[32]か、(5) そのような免除が、ウェブサイトまたはオンラインサービス、またはその一部が児童に向けられているかどうかを判断するためのCOPPA規則の多要素テストと矛盾するかどうか。 |
| B. Changing the COPPA Rule's “Actual Knowledge” Standard | B. COPPA規則の「実際に知っている」標準の変更 |
| In responding to the Commission's request for comment on the definition of “website or online service directed to children,” a number of commenters recommended that the Commission revise COPPA's actual knowledge standard by moving to a constructive knowledge standard.[33] Namely, these commenters sought to bring within COPPA's jurisdiction those operators that have reason to know they may be collecting information from a child and those operators that willfully avoid gaining actual knowledge that they are collecting information from a child. Common Sense Media, for example, encouraged the Commission to broaden its view of “actual knowledge” to prevent the “willful disregard that children's personal[ ] information is being collected.” [34] Other commenters, referencing the California Consumer Privacy Act, similarly recommended that COPPA's actual knowledge standard should cover operators of general audience sites and services that ignore or willfully disregard the age of their users.[35] Children's privacy advocate 5Rights Foundation further recommended that the Commission should consider current and historic audience composition evidence of both the specific service and similar services in determining whether an operator has met the actual knowledge standard.[36] | 「児童に向けたウェブサイトまたはオンラインサービス」の定義に関する委員会の意見要求に対し、多くの意見提出者は、推定的知識基準に移行することにより、COPPAの実際の知識基準を改訂することを推奨した[33]。すなわち、これらのコメント提出者は、児童から情報を収集している可能性があることを知る理由がある事業者と、児童から情報を収集していることを実際に知ることを故意に回避している事業者をCOPPAの管轄範囲に入れることを求めた。例えば、コモン・センス・メディアは、「児童の個人情報が収集されていることを故意に無視する」ことを防ぐために、「実際に知っている」という見方を拡大するよう委員会に促した。 [34] カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)を参照した他のコメント提出者も同様に、COPPAの「実際に知っている」標準は、利用者の年齢を無視したり故意に無視したりする一般視聴者向けサイトやサービスの運営者を対象とすべきであると提言した[35]。児童のプライバシーを擁護する5Rights Foundationはさらに、委員会は、運営者が実際の知識基準を満たしたかどうかを判断する際に、特定のサービスと類似のサービスの両方について、現在および過去の視聴者構成の証拠を考慮すべきであると勧告した[36]。 |
| A number of industry commenters opposed the Commission adopting a constructive knowledge standard. Several of these commenters pointed to the COPPA statute's language [37] and argued that the Commission lacks authority to change the actual knowledge standard.[38] Others asserted that a constructive knowledge standard would result in operators collecting additional data from all users, including children, and might lead to a reduction in available online content because operators may decide to withdraw content intended for teenagers and young adults to avoid the risk of interacting with children.[39] Additionally, the Association of National Advertisers stated that a constructive knowledge standard would conflict with the Commission's long-established position that operators are not obligated to investigate the age of their users [40] and would increase uncertainty about companies' potential COPPA obligations.[41] Similarly, Engine, a non-profit policy organization, noted that moving from the “bright-line” standard of actual knowledge to a less clear constructive knowledge standard could disproportionately burden small companies and start-ups.[42] | 多くの業界関係者は、委員会が推定的知識基準を採用することに反対した。そのうちの何人かは、COPPA法の文言[37]を指摘し、委員会には実際の知識基準を変更する認可がないと主張した[38]。 また、構成的知識基準は、事業者が児童を含むすべての利用者から追加的なデータを収集することになり、利用可能なオンラインコンテンツの減少につながる可能性があると主張する者もいた。というのも、事業者は、児童たちとの交流のリスクを避けるために、ティーンエイジャーや若年成人向けのコンテンツを取りやめることを決定するかもしれないからである[39]。さらに、全米広告主協会は、構成的知識標準は、事業者は利用者の年齢を調査する義務はないという委員会の長年確立された立場と対立し[40]、企業の潜在的なCOPPA義務に関する不確実性を増大させると述べている[41]。同様に、非営利の政策団体であるEngineは、実際の知識という「明瞭な」標準から、より明確でない構成的な知識の標準に移行することは、小規模な企業や新興企業に不釣り合いな負担を強いる可能性があると指摘した[42]。 |
| The Commission declines to change the Rule to bring operators of general audience sites and services under COPPA's jurisdiction based on constructive knowledge. As the Commission noted in 2011, Congress has already rejected a constructive knowledge approach with respect to COPPA. Specifically, the legislative history indicates that Congress originally drafted COPPA to apply to operators that “knowingly” collect personal information from children, a standard which would include actual, implied, or constructive knowledge.[43] After consideration of witness testimony, however, Congress modified the knowledge standard in the final legislation to require “actual knowledge.” [44] This deliberate decision to reject the more expansive approach makes clear that Congress did not intend for the “actual knowledge” standard to be read to include the concept of constructive knowledge. The Commission rejected calls for a move to a lesser knowledge standard for general audience operators while considering the 2013 Amendments,[45] and the Commission again declines to do so.[46] | 委員会は、一般視聴者向けのサイトやサービスの運営者を、推定的知識に基づいてCOPPAの管轄下に置くために規則を変更することを拒否する。2011年に委員会が指摘したように、COPPAに関して、議会はすでに推定的知識アプローチを否定している。具体的には、立法経緯によると、議会は当初、COPPAを「故意に」児童から個人情報を収集する事業者に適用するようドラフトしており、この標準には実際の知識、黙示的な知識、または推定的な知識が含まれる[43]。しかし、目撃者の証言を考慮した後、議会は最終法案で知識標準を修正し、「実際の知識」を要求した。 [44] より拡大的なアプローチを拒否するというこの意図的な決定により、議会は「実際の知識」標準が構成的知識の概念を含むように読まれることを意図していなかったことが明らかになった。委員会は、2013年の改正を検討している間、一般的な視聴者である事業者について、より緩やかな知識標準への移行を求める声を拒否しており[45]、委員会は今回もこれを拒否している[46]。 |
・III. 反証可能推定に関する意見...
| III. Comments on the Rebuttable Presumption | III. 反証可能推定に関する意見 |
| Operators of websites or online services directed to children that collect personal information from their users must comply with COPPA regardless of whether they have actual knowledge that a particular user is, in fact, a child. Accordingly, as a practical matter, operators of child-directed sites and services must presume that all users are children.[47] | 利用者から個人情報を収集する児童向けのウェブサイトまたはオンラインサービスの運営者は、特定の利用者が実際に児童であることを実際に知っているかどうかにかかわらず、COPPAを遵守しなければならない。したがって、実際問題として、児童向けのサイトやサービスの運営者は、すべてのユーザーが児童であると推定しなければならない[47]。 |
| Through the 2013 Amendments, the Commission extended COPPA liability to operators that have actual knowledge they are collecting personal information directly from the users of another website or online service that is child-directed.[48] Under the Rule, such an operator “has effectively adopted that child-directed content as its own and that portion of its service may appropriately be deemed to be directed to children.” [49] | 2013年の改正を通じて、委員会は、児童向けである別のウェブサイトまたはオンラインサービスのユーザーから直接個人情報を収集していることを実際に知っている運営者にCOPPAの責任を拡大した[48]。規則の下では、そのような運営者は「その児童向けコンテンツを事実上自社のものとして採用したことになり、そのサービスのその部分は適切に児童向けとみなされる可能性がある」[49]。 |
| The Commission sought comments in its 2019 Rule Review Initiation on whether it should permit general audience platforms that allow third parties to upload content to the platform to rebut the presumption that all users of uploaded child-directed content are in fact children. In seeking comment on this issue, the Commission stated that absent actual knowledge that the uploaded content is child-directed, the platform operator is not responsible for complying with the Rule. Therefore, the FTC noted that the platform operator may have an incentive to avoid gaining knowledge about the nature of the uploaded content.[50] The Commission asked whether allowing general audience platform operators to rebut this presumption, thereby allowing them to treat users under age 13 differently from older users, would incentivize platform operators to take affirmative steps to identify child-directed content and treat users of that content in accordance with the Rule. The Commission also asked about the types of steps platforms could take to overcome the presumption that all users of child-directed content are children. | 委員会は、2019年の規則見直し開始において、サードパーティがプラットフォームにコンテンツをアップロードすることを許可している一般視聴者向けプラットフォームが、アップロードされた児童向けコンテンツのすべてのユーザーが実際には児童であるという推定を覆すことを許可すべきかどうかについて意見を求めた。この問題に関する意見を求める中で、委員会は、アップロードされたコンテンツが児童向けであることを実際に知らなければ、プラットフォーム運営者は規則を遵守する責任を負わないと述べた。したがって、FTCは、プラットフォーム運営者がアップロードされたコンテンツの性質について知識を得ることを避けるインセンティブが働く可能性があると指摘した[50]。委員会は、一般視聴者向けのプラットフォーム運営者にこの推定を覆すことを認めることで、13歳未満のユーザーをそれ以上の年齢のユーザーと異なる扱いをすることができるようになり、プラットフォーム運営者が児童向けコンテンツを特定するための積極的な措置を講じ、そのコンテンツのユーザーを規則に従って扱うインセンティブが働くかどうかを質問した。委員会はまた、児童向けコンテンツの利用者はすべて児童であるという推定を覆すために、プラットフォームが取りうる措置の種類についても質問した。 |
| Relying on a variety of arguments, many consumer and privacy advocates opposed the notion of modifying the Rule to allow operators of general audience platforms to rebut the presumption that users of child-directed content uploaded to the platform by third parties are children. For example, a coalition of consumer organizations argued against allowing general audience platforms to rebut the presumption, pointing to the fact that families often share devices, accounts, and apps and that, as a result, many children likely access child-directed content while logged into a parent's account. Because of this, they argued that if the FTC modifies the presumption, “it would lead to widespread mislabeling of children as adults and large numbers of under-protected children.” [51] Other commenters echoed the concern that because users in a household may share devices that are persistently signed in, operators may incorrectly determine that a user is an adult.[52] | 多くの消費者団体やプライバシー擁護団体は、さまざまな論拠に基づいて、一般視聴者向けプラットフォームの運営者が、第三者によってプラットフォームにアップロードされた児童向けコンテンツの利用者が児童であるという推定を覆すことができるよう、規則を修正するという考え方に反対した。例えば、消費者団体の連合は、一般視聴者向けプラットフォームが推定を覆すことを認めることに反対し、家族でデバイス、アカウント、アプリを共有することが多く、その結果、多くの児童が親のアカウントにログインした状態で児童向けコンテンツにアクセスしている可能性が高いという事実を指摘した。このため、FTCがこの推定を修正すれば、「児童を大人と誤認させることが広まり、保護が不十分な児童が大量に発生することになる」と主張した。 [51]他の意見提出者は、世帯内のユーザが持続的にサインインしているデバイスを共有する可能性があるため、オペレータがユーザを大人であると誤って判断する可能性があるという懸念を表明した[52]。 |
| Another commenter, while acknowledging the “perverse incentive” operators have to avoid gaining actual knowledge, raised concern about operators' ability to effectively establish which of their users are children.[53] The commenter argued that, until operators are transparent about methods used to determine which users are children and such methods are deemed effective, permitting operators to rebut the presumption may result in children being treated as adults.[54] | 別の意見提出者は、事業者が実際の知識を得ることを回避する「逆インセンティブ」を認める一方で、事業者がどのユーザが児童であるかを効果的に立証する能力について懸念を示した[53]。この意見提出者は、事業者がどのユーザが児童であるかを判断するために使用される方法について透明性を確保し、そのような方法が効果的であるとみなされるまでは、事業者が推定を覆すことを許可することは、児童を大人として扱う結果になりかねないと主張した[54]。 |
| One commenter argued that, “in the vast majority of cases,” users of child-directed content are, in fact, children.[55] This commenter further stated that allowing operators to rebut the presumption would prioritize allowing companies to engage in targeted advertising over ensuring that general audience platforms comply with COPPA.[56] Another commenter noted that, despite the alleged existence of subcultures of adult viewership of kids' content, the adult viewership of such content is likely very small.[57] The commenter further argued that protecting those adults' right to receive personalized advertising does not outweigh the risk of collecting personal data from children and tracking them online.[58] | ある意見提出者は、「大半の場合」、児童向けコンテンツの利用者は実際には児童であると主張した[55]。この意見提出者はさらに、事業者が推定を覆すことを認めることは、一般視聴者向けプラットフォームがCOPPAを遵守することを保証することよりも、企業がターゲット広告に従事することを優先することになると述べた[56]。 [56]別の意見提出者は、児童向けコンテンツの成人視聴者のサブカルチャーの存在が疑われているにもかかわらず、そのようなコンテンツの成人視聴者は非常に少ない可能性が高いと指摘した[57]。 この意見提出者はさらに、パーソナライズされた広告を受け取るそれらの成人の権利を保護することは、児童から個人データを収集し、オンラインで追跡するリスクを上回るものではないと主張した[58]。 |
| A number of State Attorneys General argued that modifying the Rule to allow rebuttal is unlikely to incentivize platforms to identify and police child-directed content.[59] These commenters claimed that, even with the ability to rebut the presumption, platforms would have a greater incentive not to know about the presence of child-directed content because this would allow them to collect data for targeted ads from all users.[60] Additionally, an FTC-approved COPPA Safe Harbor program argued that allowing rebuttal would “be complex and unfairly benefit large tech companies who may be the only companies with the wherewithal, rich customer data, and back-end infrastructure to meet the criteria for rebuttal.” [61] | 多くの州検事総長は、反証を認めるように規則を修正することは、プラットフォームが児童向けコンテンツを特定し、取り締まる動機付けになりそうもないと主張した[59]。これらの意見提出者は、推定を反証する能力があったとしても、プラットフォームは、すべてのユーザーからターゲット広告のためのデータを収集できるようになるため、児童向けコンテンツの存在を知らない方がより大きな動機付けになると主張した。 60]さらに、FTCが承認したCOPPAセーフハーバープログラムは、反証を認めることは「複雑であり、反証の基準を満たすだけの資力、豊富な顧客データ、バックエンドのインフラを持つ唯一の企業である可能性がある大手のハイテク企業に不当に利益をもたらす」と主張した[61]。 [61] |
| On the other hand, a number of industry commenters supported allowing general audience platforms to rebut the presumption that all users of child-directed content are necessarily children. Google argued that rebuttal “with the appropriate safeguards, would allow those users to benefit from social engagement with the content and would allow content creators to benefit from increased monetization options, supporting continued investment in such content.” [62] Without the ability to rebut the presumption, Google argued that platforms must degrade adults' user experience, including by preventing interactivity with other adults. Google also distinguished general audience platforms with third-party content from “static” child-directed websites intended for a single audience, noting that such platforms “have significant adult user bases that engage with traditionally child-directed content.” [63] | 一方、多くの業界関係者は、児童向けコンテンツのすべてのユーザーが必ずしも児童であるという推定に対して、一般視聴者向けプラットフォームが反証できるようにすることを支持した。グーグルは、「適切な保護措置を講じることで、これらのユーザーがコンテンツとの社会的エンゲージメントから利益を得ることができ、コンテンツ制作者が収益化の選択肢を増やすことで利益を得ることができ、そのようなコンテンツへの継続的な投資を支援することができる」と反論した [62] 。 [62] 推定を覆す能力がなければ、グーグルは、プラットフォームは、他の成人との双方向性を妨げることを含め、成人のユーザーエクスペリエンスを低下させなければならないと主張した。グーグルはまた、サードパーティ・コンテンツを有する一般視聴者向けプラットフォームと、単一の視聴者を対象とした「静的な」児童向けウェブサイトとを区別し、そのようなプラットフォームは「伝統的に児童向けコンテンツに関与する重要な成人ユーザベースを持っている」と指摘した。 [63] |
| Other commenters made similar arguments. One trade association stated that some general audience platforms “have significant adult user bases” and feature child-directed content that may appeal to users of varying ages, such as crafting or science education content.[64] It claimed that the audience presumption harms adult users of child-directed content by denying them the ability “to find community, learn, and discover new content.” [65] Another trade association noted that adults might want “to interact with child-directed content for a variety of reasons, including nostalgia or to find content suitable for their children or students.” [66] | 他の意見提出者も同様の主張を行った。ある業界団体は、いくつかの一般視聴者向けプラットフォームは「かなりの成人ユーザーベースを持っている」と述べ、工作や科学教育コンテンツなど、様々な年齢のユーザーにアピールする可能性のある児童向けコンテンツを特徴としている[64]と述べた。それは、視聴者推定が、児童向けコンテンツの成人ユーザーから「コミュニティを見つけ、学び、新しいコンテンツを発見する」能力を否定することによって害を及ぼすと主張した。 65]別の業界団体は、大人が「懐かしさを感じたり、自分の子どもや生徒に適したコンテンツを見つけたりするためなど、様々な理由で児童向けコンテンツと交流したい」と思うかもしれないと指摘した[66]。 [66] |
| A majority of the commenters that support modifying the Rule to permit rebuttal also recommended against the Commission proscribing specific means by which a general audience platform could rebut the presumption, calling instead for a flexible, standards-based approach that would allow platforms to employ a variety of measures to overcome the presumption. For example, citing “advancements in technology and age-screening,” one trade association recommended allowing rebuttal through reliance on a neutral age gate combined with additional steps to confirm identity, such as re-entry of a password.[67] The commenter also suggested that the Commission allow industry to explore alternative methods such as fingerprint, voiceprint, or device PIN.[68] Other commenters recommended similar flexibility in approach.[69] | 反論を許可するよう規則を修正することを支持する意見提出者の大多数も、委員会が一般視聴者向けプラットフォームが推定を覆すことができる特定の手段を規定することに反対し、代わりにプラットフォームが推定を覆すために様々な手段を採用できるようにする柔軟で標準ベースのアプローチを推奨している。例えば、ある業界団体は、「テクノロジーと年齢審査の進歩」を引き合いに出し、パスワードの再入力などの本人確認のための追加ステップと組み合わせた中立的な年齢ゲートへの依存による反証を認めることを推奨した[67]。この意見提出者はまた、委員会が業界に対し、指紋、声紋、またはデバイスのPIN[68]などの代替手段を検討することを認めるよう提案した。 |
| Many of the comments supporting rebuttal of the presumption also argued against tying rebuttal to a requirement that the platform investigate and identify child-directed content on the platform. These commenters asserted that such a requirement would change the Rule's actual knowledge standard to a constructive knowledge standard, which would “contravene [c]ongressional intent” [70] and impose an unreasonable burden on platforms that would chill investment into the production of child-directed content.[71] One commenter cautioned that requiring the platform operators to identify whether uploaded content is child-directed could raise First Amendment concerns.[72] | 推定の反証を支持する意見の多くは、反証をプラットフォーム上の児童向けコンテンツを調査し識別するという要件に結びつけることにも反対していた。これらの意見提出者は、このような要件は規則の実際の知識標準を構成的知識標準に変更するものであり、「議会の意図に反する」[70]と主張し、プラットフォームに不合理な負担を課すことになり、児童向けコンテンツの制作への投資を冷え込ませることになると主張した[71]。ある意見提出者は、アップロードされたコンテンツが児童向けかどうかを識別することをプラットフォーム運営者に要求することは、憲法修正第1条の懸念を生じさせる可能性があると警告した[72]。 |
| After reviewing the submitted comments, the Commission does not propose modifying the Rule to permit general audience platforms to rebut the presumption that all users of child-directed content are children. The Commission finds persuasive the concerns raised in the comments about the practicality of allowing operators of such platforms to rebut this presumption. In particular, the Commission believes that the reality of parents and children sharing devices, along with account holders remaining perpetually logged into their accounts, could make it difficult for an operator to distinguish reliably between those users who are children and those who are not. | 提出された意見を検討した結果、委員会は、児童向けコンテンツの利用者はすべて児童であるという推定を覆すことを一般視聴者向けプラットフォームに許可するよう、規則を修正することを提案しない。委員会は、このようなプラットフォームの運営者にこの推定を覆すことを認めることの現実性について意見で提起された懸念に説得力があると判断する。特に、親と児童がデバイスを共有している現実や、アカウント所有者がアカウントにログインしたままであることが、運営者が児童であるユーザーとそうでないユーザーを確実に区別することを困難にする可能性があると、委員会は考えている。 |
| The Commission recognizes that allowing platforms to rebut the presumption would permit additional forms of monetization and, in some instances, provide additional functionality and convenience for adults interacting with child-directed content. Such benefits, however, simply do not outweigh the important goal of protecting children's privacy. Moreover, as set forth in the Commission's 2019 Rule Review Initiation, the reason for considering whether to allow platforms to rebut the audience presumption was to create an incentive for them to “identify and police child-directed content uploaded by others.” [73] Many commenters supporting the addition of this rebuttal expressed strong opposition to such a duty, thereby undercutting the rationale for modifying the Rule. | 委員会は、プラットフォームがこの推定を覆すことを認めれば、新たな形の収益化が可能になり、場合によっては、児童向けコンテンツに接する成人に新たな機能と利便性を提供できることを認識している。しかし、そのような利点は、児童のプライバシーを保護するという重要な目標を上回るものではない。さらに、委員会の2019年規則見直し開始で示されたように、プラットフォームが視聴者推定を覆すことを認めるかどうかを検討する理由は、プラットフォームが「他者によってアップロードされた児童向けコンテンツを特定し、取り締まる」インセンティブを生み出すためであった。 [73] この反証の追加を支持する多くの意見提出者は、そのような義務に強い反対を表明し、それによって規則を修正する根拠が損なわれた。 |
| Finally, through its recognition of the “mixed audience” category of websites and online services, the Commission essentially allows operators to rebut the presumption as to the users of a subset of child-directed sites and services that do not target children as their primary audience. For example, where third-party content on a platform is child-directed under the Rule's multi-factor test but the platform does not target children as its primary audience, the operator can request age information and provide COPPA protections only to those users who are under 13. The Commission believes the mixed audience category affords operators an appropriate degree of flexibility.[74] | 最後に、ウェブサイトやオンラインサービスの「混合視聴者」カテゴリーを認めたことで、委員会は実質的に、児童を主たる視聴対象としていない児童向けサイトやサービスのサブセットの利用者について、事業者が推定を覆すことを認めている。例えば、あるプラットフォーム上のサードパーティーのコンテンツが、規則の多要素テストでは児童向けであるが、そのプラットフォームが児童を主な対象としていない場合、運営者は年齢情報を要求し、13歳未満のユーザーにのみCOPPA保護を提供することができる。委員会は、混合視聴者カテゴリーが事業者に適切な程度の柔軟性を与えると考えている[74]。 |
・IV. 規則案...
| IV. Proposed Modifications to the Rule | IV. 規則の修正案 |
| As discussed in Part I, comments reflect overall support for COPPA and a recognition that it is an important and helpful tool for protecting children's online privacy. Additionally, many comments indicate support for the 2013 Amendments.[75] | 第1部で述べたように、意見は、COPPAに対する全体的な支持と、COPPAが児童のオンラインプライバシーを保護するための重要かつ有用なツールであるという認識を反映している。さらに、多くの意見は2013年改正を支持していることを示している[75]。 |
| Despite this overall support, the Commission believes it is appropriate to modify a number of the Rule's provisions in light of the record developed through the 2019 Rule Review Initiation—including the COPPA Workshop and the large number of public comments received—as well as the FTC's two decades of experience enforcing the Rule. The Commission intends these modifications to update certain aspects of the Rule, taking into account technological and other relevant developments, and to provide additional clarity to operators on the Rule's existing requirements. Specifically, the Commission proposes modifying most provisions of the Rule, namely the following areas: Definitions; Notice; Parental Consent; Parental Right to Review; Confidentiality, Security, and Integrity of Children's Personal Information; Data Retention and Deletion; and Safe Harbor Programs. In addition, the Commission proposes minor modifications to the sections on Scope of Regulations and Voluntary Commission Approval Processes to address technical corrections. | このような全体的な支持にもかかわらず、委員会は、COPPAワークショップや寄せられた多数のパブリック意見など、2019年の規則見直し開始を通じて作成された記録や、FTCの20年にわたる規則執行の経験に照らして、規則の多くの条項を修正することが適切であると考えている。委員会は、技術的およびその他の関連する発展を考慮して規則の特定の側面を更新し、規則の既存の要件について事業者にさらなる明確性を提供するために、これらの修正を意図している。具体的には、委員会は、同規則のほとんどの条項、すなわち以下の分野を修正することを提案している: すなわち、「定義」、「通知」、「保護者の同意」、「保護者の確認権」、「児童の個人情報の機密性、セキュリティおよび完全性」、「データの保持および削除」、「セーフハーバー・プログラム」である。さらに、委員会は、技術的な修正に対応するため、「規則の範囲」および「委員会の自主的な承認プロセス」のセクションに若干の修正を提案する。 |
| Additionally, the Commission proposes some revisions to the Rule to address spelling, grammatical, and punctuation issues. For example, as noted above, the Commission proposes to modify § 312.1 regarding the scope of regulations, specifically to change the location of commas. Similarly, the Commission proposes amending the Rule to change the term “Web site” to “website” throughout the Rule, including in various definitions that use this term. This construction aligns with the COPPA statute's use of the term, as well as how that term is currently used in today's marketplace. This NPRM incorporates this proposed change in all instances in which the term “Web site” is used. The Commission does not intend for these proposed modifications to alter existing obligations or create new obligations under the Rule. | さらに、委員会は、スペル、文法、句読点の問題に対処するため、規則の修正を提案する。例えば、上述の通り、委員会は、規則の範囲に関する312.1条を修正することを提案し、特にコンマの位置を変更することを提案する。同様に、委員会は、この用語を使用する様々な定義を含め、規則全体を通じて「Webサイト」という用語を「Webサイト」に変更するために規則を修正することを提案している。この構成は、COPPA法がこの用語を使用していること、およびこの用語が現在の市場でどのように使用されているかに沿ったものである。本NPRMは、「ウェブサイト」という用語が使用されているすべての事例において、この変更案を取り入れる。委員会は、これらの修正案が既存の義務を変更したり、規則の下で新たな義務を生じさせたりすることを意図していない。 |
| A. Definitions (16 CFR 312.2) | A. 定義(16 CFR 312.2) |
| The Commission proposes to modify a number of the Rule's definitions in order to update the Rule's coverage and functionality and, in certain areas, to provide greater clarity regarding the Rule's intended application. The Commission proposes modifications to the definitions of “online contact information” and “personal information.” The Commission also proposes modifications to the definition of “website or online service directed to children,” including by adding a stand-alone definition for “mixed audience website or online service.” Additionally, the Commission proposes adding definitions for “school” and “school-authorized education purpose.” These two new definitions relate to the Rule's proposed new parental consent exception—a codification of longstanding Commission guidance by which operators rely on school authorization to collect personal information in limited circumstances rather than on parental consent. Finally, the Commission proposes modifications to the second paragraph of the definition of “support for the internal operations of the website or online service.” | 委員会は、規則の適用範囲と機能を更新し、特定の分野においては規則の意図する適用をより明確にするために、規則の定義をいくつか修正することを提案する。委員会は、「オンライン連絡先情報」および「個人情報」の定義の修正を提案している。また、委員会は、「混在視聴者向けウェブサイトまたはオンラインサービス」の独立した定義を追加するなど、「児童向けウェブサイトまたはオンラインサービス」の定義の修正も提案している。さらに、委員会は、"学校 "および "学校が認可した教育目的 "の定義の追加を提案している。これら2つの新たな定義は、同規則が新たに提案する保護者の同意の例外に関連するものである。これは、事業者が個人情報を収集する際、保護者の同意ではなく、限定された状況において学校の認可に頼るという、委員会の長年の指針を成文化したものである。最後に、委員会は、"ウェブサイトまたはオンラインサービスの内部運営のサポート "の定義の第2段落の修正を提案している。 |
| 1. Online Contact Information | 1. オンライン連絡先情報 |
| Section 312.2 of the Rule defines “online contact information” as “an email address or any other substantially similar identifier that permits direct contact with a person online, including but not limited to, an instant messaging user identifier, a voice over internet protocol (VOIP) identifier, or a video chat user identifier.” Online contact information is considered “personal information” under the Rule. Under certain parental consent exceptions, the Rule permits operators to collect online contact information from a child for certain purposes, such as initiating the process of obtaining verifiable parental consent, without first obtaining verifiable parental consent. | 規則第312.2条は、「オンライン連絡先情報」を、「電子メールアドレス、またはインスタントメッセージのユーザー識別子、VOIP(Voice Over Internet Protocol)識別子、ビデオチャットのユーザー識別子などを含むがこれらに限定されない、オンライン上で個人と直接接触できるその他の実質的に類似した特定できる情報」と定義している。オンライン上の連絡先情報は、この規則では「個人情報」とみなされる。特定の親権者の同意に関する例外の下で、本規則は、事業者が、検証可能な親権者の同意を最初に得ることなく、検証可能な親権者の同意を得るプロセスを開始するなどの特定の目的のために、児童からオンライン連絡先情報を収集することを認めている。 |
| To improve the Rule's functionality, the Commission proposes amending this definition by adding “an identifier such as a mobile telephone number provided the operator uses it only to send a text message” to the non-exhaustive list of identifiers that constitute “online contact information.” As discussed later in this Part, this modification would allow operators to collect and use a parent's or child's mobile phone number in certain circumstances, including in connection with obtaining parental consent through a text message. | 同規則の機能を改善するため、委員会は、"オンライン連絡先情報 "を構成する識別子の非網羅的リストに、「携帯電話番号のような識別子(ただし、事業者がテキストメッセージを送信するためにのみ使用するもの)」を追加することにより、この定義を修正することを提案する。本編で後述するように、この修正により、事業者は、テキストメッセージを通じて親の同意を得る場合など、特定の状況において、親または児童の携帯電話番号を収集し、使用することができるようになる。 |
| Although the Commission did not raise the issue of adding mobile telephone numbers to the online contact information definition in its 2019 Rule Review Initiation, some commenters supported such a modification in discussing the Rule's parental consent requirement.[76] One commenter noted that parents increasingly rely on telephone and cloud-based text messaging services,[77] and another similarly noted that permitting parents to utilize text messages to provide consent would be more in sync with current technology and parental expectations.[78] Commenters also stated that mobile communication mechanisms are more likely to result in operators reaching parents for the desired purpose of providing notice and obtaining consent, and that sending a text message may be one of the most direct and easily verifiable methods of contacting a parent.[79] Further, one commenter posited that the chance of a child submitting his or her own mobile number in order to circumvent a valid consent mechanism is no greater than, for instance, a child submitting his or her own email address.[80] | 委員会は、2019年の規則見直し開始において、オンライン連絡先情報の定義に携帯電話番号を追加する問題を提起しなかったが、一部の意見提供者は、規則の保護者の同意要件について議論する中で、このような修正を支持した[76]。 ある意見提供者は、保護者が電話やクラウドベースのテキストメッセージングサービスにますます依存するようになっていると指摘し[77]、別の意見提供者も同様に、保護者がテキストメッセージを利用して同意を提供することを認めることは、現在の技術や保護者の期待により合致していると指摘した[78]。 [78]また、ある意見提供者は、モバイル通信の仕組みは、通知を提供し同意を得るという望ましい目的のために、事業者が親に到達する可能性が高く、テキストメッセージを送信することは、親に連絡する最も直接的で容易に確認可能な方法の1つであると述べている[79]。さらに、ある意見提供者は、有効な同意の仕組みを回避するために、児童が自分の携帯電話番号を提出する可能性は、例えば、児童が自分の電子メールアドレスを提出する可能性よりも高くないと仮定している[80]。 |
| The Commission agrees that permitting parents to provide consent via text message would offer them significant convenience and utility. The Commission also recognizes that consumers are likely accustomed to using mobile telephone numbers for account creation or log-in purposes. For these reasons, the Commission is persuaded that operators should be able to collect parents' mobile telephone numbers as a method to obtain consent from the parent. Therefore, the Commission proposes adding mobile telephone numbers to the definition of “online contact information.” | 委員会は、保護者がテキストメッセージで同意を提供することを許可することが、保護者に大きな利便性と有用性を提供することに同意する。また、消費者がアカウント作成やログインの目的で携帯電話番号を使用することに慣れている可能性が高いことも認識している。このような理由から、委員会は、親からの同意を得る方法として、事業者が親の携帯電話番号を収集できるようにすべきであると確信している。したがって、委員会は、"オンライン連絡先情報 "の定義に携帯電話番号を追加することを提案する。 |
| Modifying the definition in this way, however, will also enable operators to collect and use a child's mobile telephone number to communicate with the child, including—under various parental consent exceptions—prior to the operator obtaining parental consent.[81] The Commission does not seek to allow operators to use children's mobile telephone numbers to call them prior to the operator obtaining parental consent. Therefore, the Commission proposes including the qualifier “provided the operator uses it only to send a text message” to ensure that operators cannot call the child using the mobile telephone number, unless and until the operator seeks and obtains a parent's verifiable parental consent to do so.[82] | しかし、このように定義を変更することで、事業者が親の同意を得る前に、さまざまな親の同意の例外を含めて、事業者が児童の携帯電話番号を収集し、使用して児童と連絡を取ることも可能になる[81]。したがって、委員会は、事業者が携帯電話番号を使って児童に電話をかけることができないようにするために、「事業者がそれをテキストメッセージの送信にのみ使用することを条件とする」という修飾語を含めることを提案する[82]。 |
| This proposed modification is a departure from the position the Commission previously took when it declined to include mobile telephone numbers within the definition of “online contact information.” In discussing the 2013 Amendments, the Commission stated that the COPPA statute did not contemplate adding mobile telephone numbers as a form of online contact information, and therefore it determined not to include mobile telephone numbers within the definition.[83] However, the Commission also stated at that time that the list of identifiers constituting online contact information was non-exhaustive and would encompass other substantially similar identifiers that permit direct contact with a person online.[84] As part of the 2013 Amendments, the Commission revised the definition to include examples of such identifiers, and the Commission now believes that adding mobile telephone numbers to this list is appropriate. | この修正案は、委員会が以前、"オンライン連絡先情報 "の定義に携帯電話番号を含めることを拒否した時の立場からの変更である。2013年の改正について議論した際、委員会は、COPPA法は携帯電話番号をオンライン連絡先情報の一形態として追加することを想定していないため、定義に携帯電話番号を含めないことを決定したと述べた[83]。しかし、委員会は当時、オンライン接触情報を構成する識別子のリストは非網羅的であり、オンライン上で個人との直接接触を可能にする他の実質的に類似した識別子を包含するとも述べていた[84]。2013年の改正の一環として、委員会は、そのような識別子の例を含めるように定義を修正し、現在では、このリストに携帯電話番号を追加することが適切であると考えている。 |
| Specifically, consumers today widely use over-the-top messaging platforms, which are platforms that utilize the internet instead of a carrier's mobile network to exchange messages. These platforms include Wi-Fi messaging applications, voice over internet protocol applications that have messaging features, and other messaging applications. Because a consumer's mobile telephone number is often used as the unique identifier through which a consumer can exchange messages through these over-the- top platforms, mobile telephone numbers permit direct contact with a person online, thereby meeting the statutory requirements for this definition.[85] | 具体的には、今日、消費者はオーバー・ザ・トップのメッセージング・プラットフォームを広く利用しており、これは、通信事業者のモバイルネットワークの代わりにインターネットを利用してメッセージを交換するプラットフォームである。これらのプラットフォームには、Wi-Fiメッセージング・アプリケーション、メッセージング機能を持つボイス・オーバー・インターネット・プロトコル・アプリケーション、その他のメッセージング・アプリケーションが含まれる。消費者の携帯電話番号は、消費者がこれらのオーバー・ザ・トップ・プラットフォームを通じてメッセージを交換できる一意の識別子として使用されることが多いため、携帯電話番号はオンライン上で個人と直接接触することを可能にし、それによってこの定義の法定要件を満たすことになる[85]。 |
| When the Commission enacted the 2013 Amendments, the use of over-the-top messaging platforms was more nascent and growing in adoption. Today, the prevalent and widespread adoption of such messaging platforms allows consumers to use these platforms as their primary form of text messaging. Therefore, the Commission finds it appropriate to propose amending the definition of “online contact information” to include “an identifier such as a mobile telephone number provided the operator uses it only to send a text message.” The Commission welcomes comment on this proposed modification. In particular, the Commission is interested in understanding whether allowing operators to contact parents through a text message to obtain verifiable parental consent presents security risks to the recipient of the text message, especially if the parent would need to click on a link provided in the text message. | 委員会が2013年改正を制定した当時、Over-the-topメッセージング・プラットフォームの利用はより初期段階であり、導入が拡大していた。今日、このようなメッセージング・プラットフォームが普及し、広く採用されているため、消費者はこのようなプラットフォームをテキスト・メッセージングの主要な形態として使用することができる。したがって、委員会は、「オンライン連絡先情報」の定義を修正し、「携帯電話番号などの識別子を、事業者がテキストメッセージの送信にのみ使用する場合」に含めることを提案することが適切であると判断した。委員会は、この修正案に対する意見を歓迎する。特に、検証可能な保護者の同意を得るために、事業者がテキストメッセージを通じて保護者に連絡することを認めることが、テキストメッセージの取得者にセキュリティリスクをもたらすかどうか、特に保護者がテキストメッセージに記載されたリンクをクリックする必要がある場合について理解することに、委員会は関心を抱いている。 |
| 2. Personal Information | 2. 個人情報 |
| The COPPA statute defines “personal information” as individually identifiable information about an individual collected online, including, for example, a first and last name, an email address, or a Social Security number.[86] The COPPA statute also includes within the definition “any other identifier that the Commission determines permits the physical or online contacting of a specific individual.” [87] | COPPA法は、「個人情報」をオンラインで収集された個人を特定できる情報と定義しており、例えば、姓名、電子メールアドレス、社会保障番号などが含まれる[86]。COPPA法はまた、「特定の個人と物理的またはオンラインで接触できると委員会が判断するその他の識別子」も定義に含めている[87]。 [87] |
| a. Biometric Data | a. 生体データ |
| The Commission proposes using its statutory authority to expand the Rule's coverage by modifying the Rule's definition of “personal information” to include “[a] biometric identifier that can be used for the automated or semi-automated recognition of an individual, including fingerprints or handprints; retina and iris patterns; genetic data, including a DNA sequence; or data derived from voice data, gait data, or facial data.” [88] The Commission believes this proposed modification is necessary to ensure that the Rule is keeping pace with technological developments that facilitate increasingly sophisticated means of identification. | 委員会は、その法的権限を使用して、規則の「個人情報」の定義を修正し、「指紋または手形、網膜および虹彩パターン、DNA配列を含む遺伝子データ、または音声データ、歩行データ、または顔データから得られるデータを含む、個人の自動化または半自動化された認識に使用できる生体識別データ」を含めることにより、規則の適用範囲を拡大することを提案している。 [88] 委員会は、この修正案は、ますます高度化する本人確認手段を促進する技術の発展に規則が対応できるようにするために必要であると考えている。 |
| The majority of comments addressing the question of whether to expand the Rule's definition of “personal information” supported the addition of biometric data.[89] These commenters asserted that different types of biometric data can be used to contact specific individuals. For example, a coalition of consumer groups recommended adding biometric data, including genetic data, fingerprints, and retinal patterns, to the Rule's enumerated list of “personal information.” [90] These commenters cited consumer products' current use of biometrics to identify and authenticate users through such mechanisms as fingerprints and face scans.[91] They also noted that while some types of personal information may be altered to protect privacy, biometric data collected today may be used to identify and contact specific children for the rest of their lives.[92] Several other commenters also argued that the permanent and unalterable nature of biometric data makes it particularly sensitive.[93] Additional commenters noted that many states have expanded the definition of personally identifiable information to include biometric data as have other federal laws and regulations, such as the Department of Education's Family Educational Rights and Privacy Act (“FERPA”) Regulations, 34 CFR 99.3.[94] | 規則の「個人情報」の定義を拡大するかどうかの問題を取り上げた意見の大半は、生体データの追加を支持した[89]。これらの意見提出者は、異なる種類の生体データを特定の個人との接触に使用できると主張した。例えば、消費者団体の連合は、生体データ(遺伝子データ、指紋、網膜パターンを含む)を規則の「個人情報」の列挙リストに追加することを推奨した。 [90] これらの意見提出者は、指紋や顔スキャンなどのメカニズムを通じてユーザーを識別し本人認証するために、消費者製品が現在バイオメトリクスを使用していることを挙げている[91]。また、プライバシーを保護するために個人情報の種類によっては改ざんされる可能性がある一方で、今日収集された生体データは、特定の児童を特定し、その児童に生涯にわたって接触するために使用される可能性があるとも指摘している[92]。また、他の数名の意見提出者は、生体データの永続的で変更不可能な性質が、それを特にセンシティブなものにしていると主張した[93]。追加の意見提出者は、多くの州が個人を特定できる情報の定義を拡大し、教育省のFamily Educational Rights and Privacy Act(「FERPA」)規則、34 CFR 99.3[94]のような他の連邦法や規則と同様に、バイオメトリクスデータを含むようにしたと指摘した。 |
| A small number of commenters urged the Commission to proceed cautiously with respect to adding biometric data to the Rule's personal information definition. These commenters suggested that such an expansion could stifle innovation [95] or questioned whether biometric data allows the physical or online contacting of a specific individual.[96] Some commenters also recommended that, if the Commission does define biometric data as personal information, it should consider appropriate exceptions, for example, where the data enhances the security of a child-directed service [97] or the operator promptly deletes the data.[98] | 少数の意見提出者は、規則の個人情報の定義に生体データを追加することに関して、慎重に進めるよう委員会に求めた。これらの意見提出者は、このような拡大はイノベーションを阻害する可能性があると示唆したり[95]、生体データによって特定の個人と物理的またはオンライン上で接触できるようになるかどうかを疑問視したりした[96]。また、一部の意見提出者は、委員会が生体データを個人情報と定義する場合、例えば、データが児童向けサービスのセキュリティを強化する場合[97]、または事業者がデータを速やかに削除する場合[98]など、適切な例外を検討すべきであると勧告した。 |
| The Commission believes that, as with a photograph, video, or audio file containing a child's image or voice, biometric data is inherently personal in nature. Indeed, the Commission agrees with the many commenters [99] who argued that the personal, permanent, and unique nature of biometric data makes it sensitive, and the Commission believes that the privacy interest in protecting such data is a strong one. | 委員会は、児童の画像や音声を含む写真、ビデオ、音声ファイルと同様に、生体データは本質的に個人データであると考える。実際、委員会は、生体データが個人的、永続的、かつユニークな性質を持っているため、敏感であると主張した多くの意見[99]に同意しており、委員会は、そのようなデータを保護するプライバシー上の利益は強いものであると確信している。 |
| And, as with some facial and voice recognition technologies, the Commission believes that biometric recognition systems are sufficiently sophisticated to permit the use of identifiers such as fingerprints and handprints; retina and iris patterns; genetic data, including a DNA sequence; and data derived from voice data, gait data, or facial data to identify and contact a specific individual either physically or online. | また、一部の顔認識技術や音声認識技術と同様に、生体認識システムは、指紋や手形などの識別データ、網膜や虹彩のパターン、DNA配列を含む遺伝子データ、音声データ、歩行データ、顔データから得られるデータを、物理的またはオンラインで特定の個人を識別し、接触するために使用することを可能にするほど、十分に洗練されていると委員会は考えている。 |
| The Commission notes that the specific biometric identifiers that it proposes adding to the Rule's personal information definition are examples and not an exhaustive list. The Commission welcomes further comment on this proposed modification, including whether it should consider additional biometric identifier examples and whether there are appropriate exceptions to any of the Rule's requirements that it should consider applying to biometric data, such as exceptions for biometric data that has been promptly deleted. | 委員会は、規則の個人情報の定義に追加することを提案している特定のバイオメトリクス識別情報は一例であり、網羅的なリストではないことに留意する。委員会は、追加の生体識別子の例を検討すべきかどうか、また、速やかに削除された生体データに対する例外など、生体データに適用することを検討すべき規則の要件に適切な例外があるかどうかを含め、この修正案についてさらなる意見を歓迎する。 |
| b. Inferred and Other Data | b. 推測されるデータおよびその他のデータ |
| In addition to biometric data, the Commission also asked for comment on whether it should expand the Rule's definition of “personal information” to include data that is inferred about, but not directly collected from, children, or other data that serves as a proxy for “personal information.” Several commenters recommended such an expansion.[100] For example, one commenter stated that inferred data, including predictive behavior, is often incredibly sensitive and that even when it is supplied in the aggregate, can be easily re-identified.[101] The commenter also noted that certain State laws include inferred data in their definitions of personally identifiable information.[102] Another pointed to the ability of analysts to infer personal information that the Rule covers, such as an individual's geolocation, from data that currently falls outside the Rule's scope.[103] | 生体データに加えて、委員会は、規則の「個人情報」の定義を拡大し、児童から直接収集されたものではないが、児童について推測されるデータ、または「個人情報」の代理となるその他のデータを含めるべきかどうかについても意見を求めた。このような拡大を推奨する意見も複数あった[100]。例えば、ある意見提出者は、予測行動を含む推論データは、しばしば信じられないほど機密性が高く、集計して提供されたとしても、容易に再識別される可能性があると述べている[101]。また、この意見提出者は、特定の州法が個人を特定できる情報の定義に推論データを含んでいることを指摘している[102]。別の者は、アナリストが、現在規則の適用範囲外となっているデータから、個人の地理的位置情報など、規則が対象とする個人情報を推論する能力を指摘している[103]。 |
| Commenters opposed to including inferred data stated that such an expansion would not be in accordance with the COPPA statute, which covers data collected “from” a child.[104] Some commenters opposed to the inclusion of inferred data argued that inferred data does not permit the physical or online contacting of the child.[105] Some commenters also expressed concern that adding inferred data would create ambiguity and hamper companies' abilities to provide websites and online services to children, would stifle new products and services, and may prohibit the practice of contextual advertising.[106] | 推論データを含めることに反対する意見提出者は、そのような拡大は、「児童から」収集されたデータを対象とするCOPPA法令に準拠しないと述べた[104]。推論データを含めることに反対する意見提出者の中には、推論データは児童の物理的またはオンライン上の接触を許可するものではないと主張する者もいた[105]。 また、推論データを追加することは曖昧さを生み、企業が児童にウェブサイトやオンラインサービスを提供する能力を妨げ、新しい製品やサービスを阻害し、文脈広告の実践を禁止する可能性があると懸念を表明する意見提出者もいた[106]。 |
| The Commission has decided not to propose including inferred data or data that may serve as a proxy for “personal information” within the definition. As several commenters correctly note, the COPPA statute expressly pertains to the collection of personal information from a child.[107] Therefore, to the extent data is collected from a source other than the child, such information is outside the scope of the COPPA statute and such an expansion would exceed the Commission's authority. Inferred data or data that may serve as a proxy for “personal information” could fall within COPPA's scope, however, if it is combined with additional data that would meet the Rule's current definition of “personal information.” In such a case, the existing “catch-all” provision of that definition would apply.[108] | 委員会は、「個人情報」の代用となりうる推論データやデータを定義に含めることを提案しないことを決定した。複数の意見者が正しく指摘しているように、COPPA法は、明示的に児童からの個人情報の収集に関連している[107]。したがって、児童以外の情報源からデータが収集される限り、そのような情報はCOPPA法の範囲外であり、そのような拡大は委員会の権限を超えることになる。しかし、推測されるデータまたは「個人情報」の代理となる可能性のあるデータが、規則の現行の「個人情報」の定義を満たす追加データと組み合わされる場合は、COPPAの範囲に入る可能性がある。そのような場合、同定義の既存の「キャッチオール」規定が適用される[108]。 |
| c. Persistent Identifiers | c. 永続的識別情報 |
| In 2013, the Commission used its authority under 15 U.S.C. 6501(8)(F) to modify the Rule's definition of “personal information” to include persistent identifiers that can be used to recognize a user over time and across different websites or online services. Prior to that change, the Rule covered persistent identifiers only when they were combined with certain types of identifying information.[109] As part of the 2019 Rule Review Initiation, the Commission asked for comment on whether this modification has resulted in stronger privacy protections for children. The Commission also asked whether the modification has had any negative consequences. | 2013年、委員会は、15 U.S.C. 6501(8)(F)に基づく認可を利用して、同規則の「個人情報」の定義を変更し、長期間にわたり、異なるウェブサイトまたはオンラインサービス間でユーザーを認識するために使用できる永続的識別子を含めるようにした。この変更以前は、規則が永続的識別子を対象としていたのは、永続的識別子が特定の種類の識別情報と組み合わされた場合に限られていた[109]。2019年規則見直し開始の一環として、委員会は、この変更が児童のプライバシー保護の強化につながったかどうかについて意見を求めた。委員会はまた、この修正が悪影響を及ぼしたかどうかも尋ねた。 |
| A number of commenters, citing a variety of reasons, argued that the amendment to include “stand-alone” persistent identifiers as personal information was incorrect or had caused harm. Several commenters claimed that persistent identifiers alone do not allow for the physical or online contacting of a child, and thus should not be included unless linked to other forms of personal information.[110] Commenters also argued that the persistent identifier modification harmed both operators and children. Specifically, some commenters pointed to operators' lost revenue from targeted advertising, which requires collection of persistent identifiers, and the resulting reduction of available child-appropriate content online due to operators' inability to monetize such content.[111] One commenter stated that while the 2013 modification “served the widely held goal of excluding children from interest-based advertising,” it created uncertainty for operators' use of data for internal operations.[112] The commenter suggested that the Commission consider exempting persistent identifiers used for internal operations from the Rule's deletion requirements.[113] | さまざまな理由を挙げて、「単体の」永続的識別子を個人情報に含めるという改正は誤りである、または弊害をもたらすと主張する意見が多数あった。複数の意見者は、永続的識別 子だけでは、児童の物理的またはオンライン上の接触ができないため、他の形態の個人 情報とリンクしていない限り、含めるべきでないと主張した[110]。また、意見提出者は、永続的識別子の修正は、事業者と児童の双方に害を及ぼすと主張した。具体的には、永続的識別子を収集する必要があるターゲティング広告から事業者が収入を失うこと、及びそのようなコンテンツを事業者が収益化できないために、結果としてオンラインで利用可能な児童に適切なコンテンツが減少することを指摘する意見もあった[111]。ある意見提出者は、2013年の修正は、「興味関心に基づく広告から児童を排除するという広く受け入れられている目標を達成した」一方で、事業者が内部業務のためにデータを使用することに不確実性を生じさせたと述べている[112]。この意見提供者は、委員会に対し、内部業務に使用される永続的識別子を規則の削除要件から除外することを検討するよう提案した[113]。 |
| In contrast, other commenters expressed strong support for the 2013 persistent identifier modification. For example, while acknowledging that it took time for the digital advertising industry to adapt to the new definition, one commenter described the 2013 modification as “wholly positive.” [114] The commenter also noted that the change recognized that unique technical identifiers might be just as personal as traditional identifiers such as name or address when used to contact, track, or profile users.[115] The commenter stated that this change “laid the groundwork for many countries adopting this expanded definition of personal information in their updated privacy laws.” [116] | 対照的に、他の意見提出者は、2013年の永続的識別子の修正を強く支持している。例えば、デジタル広告業界が新しい定義に適応するのに時間がかかったことを認めつつも、ある意見提供者は、2013年の修正を「全面的に肯定的」であると評している[114]。 [また、その意見提供者は、一意の技術的識別子が、ユーザとの接触、追跡、またはプロファイリングに使用される場合、氏名や住所などの従来の識別子と同様に個人を特定できる可能性があることを、この変更が認識したとも述べている[115]。この意見提供者は、この変更が「多くの国がプライバシー法の更新において、この拡大された個人情報の定義を採用するための基礎を築いた」と述べている。 [116] |
| After reviewing the comments relevant to this issue, the Commission has decided to retain the 2013 modification including stand-alone persistent identifiers as “personal information.” The Commission is not persuaded by the argument that persistent identifiers must be associated with other individually identifiable information to permit the physical or online contacting of a specific individual. The Commission specifically addressed, and rejected, this argument during its discussion of the 2013 Amendments. There, the Commission rejected the claim that persistent identifiers only permit contact with a device. Instead, the Commission pointed to the reality that at any given moment a specific individual is using that device, noting that this reality underlies the very premise behind behavioral advertising.[117] The Commission also reasoned that while multiple people in a single home often use the same phone number, home address, and email address, Congress nevertheless defined these identifiers as “individually identifiable information” in the COPPA statute.[118] The adoption of similar approaches in other legal regimes enacted since the 2013 Amendments further supports the Commission's position.[119] | この問題に関連する意見を検討した結果、委員会は、単体の持続的識別子を "個人情報 "に含める2013年の修正を維持することを決定した。委員会は、特定の個人と物理的またはオンライン上で接触することを可能にするためには、永続的識別子が他の個人識別可能な情報と関連付けられていなければならないという主張には説得力がない。委員会は、2013年改正案の議論の中で、この議論に特に言及し、これを退けた。そこでは、委員会は、永続的識別子はデバイスとの接触のみを可能にするという主張を否定した。その代わりに、委員会は、任意の瞬間において特定の個人がそのデバイスを使用しているという現実を指摘し、この現実が行動ターゲティング広告の背後にある前提そのものを支えていると指摘した[117]。また、委員会は、1つの家庭で複数の人が同じ電話番号、自宅住所、電子メールアドレスを使用することはよくあるが、それでも議会はCOPPA法においてこれらの識別子を「個人を特定できる情報」と定義していると推論した[118]。2013年改正以降に制定された他の法体系においても同様のアプローチが採用されていることは、委員会の立場をさらに裏付けるものである[119]。 |
| Nor does the Commission find compelling the argument that the 2013 persistent identifier modification has caused harm by hindering the ability of operators to monetize online content through targeted advertising. One of the stated goals of including persistent identifiers within the definition of “personal information” was to prevent the collection of personal information from children for behavioral advertising without parental consent.[120] After reviewing the comments, the Commission has determined that the privacy benefits of such an approach outweigh the potential harm, including the purported harm created by requiring operators to provide notice and seek verifiable parental consent in order to contact children through targeted advertising.[121] | また、2013年の永続的識別子の修正が、ターゲット広告を通じてオンラインコンテンツを収益化する事業者の能力を阻害することによって害をもたらしたという議論についても、委員会は説得力を持たない。永続的識別子を「個人情報」の定義に含めることの目的のひとつは、親の同意なしに行動ターゲティング広告のために児童から個人情報を収集することを防止することであった[120]。意見を検討した結果、委員会は、このようなアプローチのプライバシー上の利点が、ターゲティング広告を通じて児童と接触するために、事業者に通知を提供し、検証可能な親の同意を求めることを義務付けることによって生じるとされる弊害を含め、潜在的な弊害を上回ると判断した[121]。 |
| Moreover, it bears noting, as the Commission did in 2013, that the expansion of the personal information definition was coupled with a newly created exception that allows operators to collect persistent identifiers from children to provide support for the internal operations of the website or online service without providing notice or obtaining parental consent. One of these purposes is serving contextual advertising, which provides operators another avenue for monetizing online content. The Commission continues to believe that it struck the proper balance in 2013 when it expanded the personal information definition while also creating a new exception to the Rule's requirements. | さらに、2013年に委員会が行ったように、個人を特定できる情報の定義の拡大が、ウェブサイトまたはオンラインサービスの内部運営をサポートするために、通知や保護者の同意を得ることなく、事業者が児童から永続的識別情報を収集することを可能にする、新たに創設された例外と組み合わされていることは注目に値する。こうした目的の一つは、オンラインコンテンツを収益化するための新たな手段をプロバイダに提供する、コンテクスト広告の配信である。委員会は、2013年に個人情報の定義を拡大すると同時に、規則の要件に新たな例外を設けたことで、適切なバランスを取ることができたと引き続き考えている。 |
| 3. School and School-Authorized Education Purpose | 3. 学校および学校認可の教育目的 |
| As discussed in Part IV.C.3.a., the Commission proposes codifying current guidance on ed tech [122] by adding an exception for parental consent in certain, limited situations in which a school authorizes an operator to collect personal information from a child. The Commission also proposes adding definitions for “school” and “school-authorized education purpose,” terms that are incorporated into the functioning of the proposed exception and necessary to cabin its scope. Part IV.C.3.a. provides further discussion about these definitions. | パートIV.C.3.a.で述べたように、委員会は、学校が事業者に児童から個人情報を収集することを認可する特定の限定された状況において、保護者の同意の例外を追加することにより、EDテック[122]に関する現行の指針を成文化することを提案している。また、委員会は、「学校」および「学校が認可した教育目的」の定義を追加することを提案している。この用語は、提案されている例外の機能に組み込まれており、その範囲を拡大するために必要なものである。パートIV.C.3.a.では、これらの定義についてさらに詳しく説明する。 |
| 4. Support for the Internal Operations of the Website or Online Service | 4. ウェブサイトまたはオンラインサービスの内部運営の支援 |
| As discussed in Part IV.A.2.c., the 2013 Amendments expanded the definition of “personal information” to include stand-alone persistent identifiers “that can be used to recognize a user over time and across different websites or online services.” [123] The 2013 Amendments balanced this expansion by creating an exception to the Rule's notice and consent requirements for operators that collect a persistent identifier for the “sole purpose of providing support for the internal operations of the website or online service.” [124] The Rule defines “support for the internal operations of the website or online service” to include a number of specified activities and provides that the information collected to perform those activities cannot be used or disclosed “to contact a specific individual, including through behavioral advertising, to amass a profile on a specific individual, or for any other purpose.” [125] | パートIV.A.2.c.で議論したように、2013年改正は、「個人情報」の定義を拡大し、「長期的かつ異なるウェブサイトまたはオンラインサービス間でユーザーを認識するために使用できる」スタンドアロン永続的識別子を含めるようにした。 [123] 2013年改正は、「ウェブサイトまたはオンラインサービスの内部運用のサポートを提供することのみを目的」として永続的識別子を収集する事業者に対して、規則の通知および同意要件に対する例外を設けることで、この拡大とのバランスをとっている。 [124] 規則は、「ウェブサイトまたはオンラインサービスの内部運用のサポート」を定義し、多くの特定の活動を含み、これらの活動を実行するために収集された情報を「行動広告を含む特定の個人への接触、特定の個人に関するプロファイルの蓄積、またはその他の目的で」使用または開示することはできないと規定している。 [125] |
| A variety of commenters recommended modifying the definition of “support for the internal operations of the website or online service.” Multiple consumer and privacy advocates, academics, and one advertising platform called for the Commission to define “support for the internal operations” narrowly and thereby restrict the exception's use.[126] For example, a coalition of consumer groups argued that the current definition is overly broad, too vague, and allows operators to avoid or minimize their COPPA obligations.[127] These commenters cited the lack of clarity between data collection for permissible content personalization versus collection for impermissible behavioral advertising.[128] To prevent operators from applying the exception too broadly, the coalition recommended a number of modifications to the definition, including limiting “personalization” to user-driven actions and to exclude methods designed to maximize user engagement.[129] | 様々な意見提出者が、"ウェブサイトまたはオンラインサービスの内部運営のサポート "の定義を修正することを推奨した。複数の消費者団体、プライバシー擁護団体、学者、ある広告プラットフォームは、委員会が「内部運営のサポート」を狭く定義し、それによって例外の使用を制限するよう求めた[126]。例えば、消費者団体の連合は、現行の定義は広範で曖昧すぎるため、事業者がCOPPAの義務を回避または最小化することを可能にしていると主張した。 [127]これらの意見提出者は、許容されるコンテンツパーソナライゼーションのためのデータ収集と、許容されない行動広告のためのデータ収集との間に明確性がないことを挙げている[128]。事業者が例外を広範に適用することを防ぐため、同連合は、「パーソナライゼーション」をユーザー主導の行動に限定し、ユーザーエンゲージメントを最大化するために設計された方法を除外するなど、定義に多くの修正を加えることを推奨した[129]。 |
| Several commenters specifically recommended that the Commission exclude the practice of “ad attribution”—which allows the advertiser to associate a consumer's action with a particular ad—from the support for the internal operations definition.[130] A group of State Attorneys General argued that ad attribution is unrelated to the activities enumerated in the definition and that the practice “necessarily involves `recogniz[ing] a user over time and across different [websites] or online services.' ” [131] Another commenter argued that companies should not be able to track children across online services to determine which ads are effective because the harm to privacy outweighs the practice's negligible benefit.[132] | 何人かの意見提出者は、委員会に対し、「広告アトリビューション」(広告主が消費者の行動を特定の広告と関連付けることを可能にする)の慣行を、内部業務の定義のサポートから除外することを特に推奨した[130]。州検事総長のグループは、広告の帰属は定義に列挙された活動とは無関係であり、この慣行は「必然的に、時間をかけて、異なる(ウェブサイト)またはオンラインサービスにわたってユーザーを認識することを含む」と主張した。 " [131] 別の意見提出者は、プライバシーへの害がこの慣行のごくわずかな利益を上回るため、企業は、どの広告が効果的であるかを判断するために、オンラインサービスを横断して児童を追跡すべきではないと主張した[132]。 |
| In contrast, many industry commenters recommended that the Commission expand the list of activities that fall under the support for the internal operations definition. With respect to ad attribution, these commenters generally cited the practical need of websites and online services that monetize through advertising to evaluate the effectiveness of ad campaigns or to measure conversion in order to calculate compensation for advertising partners.[133] Some commenters characterized the practice as common and expected, and they argued that reducing the ability to monetize would result in the development of fewer apps and online experiences for children.[134] | 対照的に、多くの業界意見提供者は、内部業務の支援定義に該当する活動のリストを拡大するよう委員会に提案した。広告のアトリビューションに関して、これらの意見提出者は一般的に、広告を通じて収益を得ているウェブサイトやオンラインサービスが、広告パートナーに対する報酬を計算するために、広告キャンペーンの効果を評価したり、コンバージョンを測定したりする現実的な必要性を挙げている[133]。一部の意見提出者は、この慣行は一般的で期待されるものであるとし、収益化の能力を低下させることは、児童向けのアプリやオンライン体験の開発を減少させる結果になると主張している[134]。 |
| Several commenters stated that ad attribution already falls within the definition but supported a Rule modification to make this clear.[135] One argued that the definition's prohibition on the collection of persistent identifiers for behavioral advertising “serves as a safeguard to assure that [attribution] is appropriately limited.” [136] | 複数の意見提出者は、広告のアトリビューションは既に定義に含まれると述べているが、これを明確にするためのルール修正を支持している[135]。ある意見提出者は、行動ターゲティング広告のための永続的識別子の収集に関する定義の禁止は、「(アトリビューションが)適切に制限されることを保証するセーフガードとして機能する」と主張している[136]。 [136] |
| Commenters also recommended that a number of other practices should fall within the definition of “support for the internal operations of the website or online service.” These include additional ad measuring techniques,[137] different types of personalization activities,[138] product improvement,[139] and fraud detection.[140] | 意見提出者はまた、他の多くの慣行が "ウェブサイトまたはオンラインサービスの内部運用のサポート "の定義に含まれるべきであると提言した。これらには、追加の広告測定技術[137]、異なるタイプのパーソナライゼーション活動[138]、製品改善[139]、不正検知[140]が含まれる。 |
| By expanding the definition of “personal information” to include stand-alone persistent identifiers, while at the same time creating an exception that allowed operators to collect such identifiers without providing notice and obtaining consent for a set of prescribed internal operations, the Commission struck an important balance between privacy and practicality in the 2013 Amendments.[141] After careful consideration of the comments that addressed the Rule's support for the internal operations definition, the Commission does not believe that significant modifications to either narrow or expand the definition are necessary. | 「個人情報」の定義を拡大し、単体の永続的識別子を含めると同時に、事業者が一連の所定の内部業務について通知や同意を得ることなく、そのような識別子を収集することを認める例外を設けることにより、委員会は2013年の改正において、プライバシーと実用性の間で重要なバランスを取った[141]。内部業務の定義に対する規則の支持を取り上げた意見を慎重に検討した結果、委員会は、定義を狭めたり拡大したりする大幅な修正は必要ないと考えている。 |
| With respect to ad attribution, which generated significant commentary, the Commission believes the practice currently falls within the support for the internal operations definition. When it amended the definition in 2013, the Commission declined to enumerate certain categories of uses, including payment and delivery functions, optimization, and statistical reporting, in the Rule, stating that the definitional language sufficiently covered such functions as activities necessary to “ `maintain or analyze' the functions” of the website or service.[142] The Commission believes that ad attribution, where a persistent identifier is used to determine whether a particular advertisement led a user to take a particular action, falls within various categories, such as the concept of “payment and delivery functions” and “optimization and statistical reporting.” When used as a tool against click fraud, ad attribution also falls within the category of “protecting against fraud or theft,” an activity that served as a basis for the Commission's creation of the support for the internal operations exception.[143] That said, as the definition makes clear, the Commission would not treat ad attribution as support for the internal operations of the website or online service if the information collected to perform the activity is used or disclosed “to contact a specific individual, including through behavioral advertising, to amass a profile on a specific individual, or for any other purpose.” [144] | 重要な意見が寄せられた広告のアトリビューションに関して、委員会は、この慣行が現在、内部業務の定義の支持範囲に含まれると考えている。2013年に定義を改正した際、委員会は、支払い・配信機能、最適化、統計報告を含む特定のカテゴリーの利用を規則で列挙することを断念し、定義の文言は、ウェブサイトまたはサービスの「機能の「維持または分析」に必要な活動として、そのような機能を十分にカバーしているとしている[142]。委員会は、特定の広告がユーザーに特定の行動を起こさせたかどうかを判断するために永続的識別子を使用する広告アトリビューションは、"支払い・配信機能 "や "最適化・統計報告 "の概念など、さまざまなカテゴリーに該当すると考えている。クリック詐欺に対抗するツールとして使用される場合、広告アトリビューションは、委員会が内部業務のサポート例外を創設した根拠となった活動である「詐欺または窃盗からの保護」のカテゴリーにも該当する[143]。 とはいえ、定義が明確にしているように、活動を実行するために収集された情報が「行動広告を含む特定の個人への接触、特定の個人に関するプロファイルの蓄積、またはその他の目的」のために使用または開示される場合、委員会は広告アトリビューションをウェブサイトまたはオンラインサービスの内部業務のサポートとして扱わないだろう。 [144] |
| The definition's use restriction is an important safeguard to help ensure that operators do not misuse the exception that allows them to collect a persistent identifier in order to provide support for the internal operations without providing notice and obtaining consent.[145] The Commission appreciates the concerns expressed by some commenters that there is a lack of clarity in how operators implement the support for the internal operations exception and that certain operators may not comply with the use restriction. To increase transparency and to help ensure that operators follow the use restriction, the Commission proposes modifying the online notice requirements in § 312.4(d) to require any operator using the support for the internal operations exception to specifically identify the practices for which the operator has collected a persistent identifier and the means the operator uses to comply with the definition's use restriction.[146] | この定義の使用制限は、事業者が、通知や同意を得ることなく内部運用のサポートを提供するために、永続的識別子を収集することを認める例外を悪用しないようにするための重要な保護措置である[145]。委員会は、事業者が内部運用のサポートをどのように実施するのかが明確でなく、特定の事業者が使用制限に従わない可能性があるという、一部の意見提供者から表明された懸念を高く評価する。透明性を高め、事業者が使用制限に従うことを確実にするために、委員会は、§312.4(d)のオンライン通知要件を修正し、内部運用の例外のサポートを使用する事業者に対して、事業者が永続的識別子を収集した慣行と、事業者が定義の使用制限を遵守するために使用する手段を具体的に特定することを義務付けることを提案する[146]。 |
| With respect to the other proposed additions, the Commission does not believe additional enumerated activities are necessary. Other proposed additions—such as personalization, product improvement, and fraud prevention—are already covered.[147] As the Commission noted in developing the 2013 Amendments, the Commission is cognizant that future technical innovation may result in additional activities that websites or online services find necessary to support their internal operations.[148] Therefore, the Commission reminds interested parties that they may utilize the process permitted under § 312.12(b) of the Rule, which allows parties to request Commission approval of additional activities to be included within the support for the internal operations definition based on a detailed justification and an analysis of the activities' potential effects on children's online privacy. | その他の追加案に関して、委員会は、列挙された追加的な活動は必要ないと考えている。他の追加案(パーソナライゼーション、製品改善、詐欺防止など)は、すでにカバーされている[147]。委員会が2013年改正案の策定時に指摘したように、委員会は、将来の技術革新により、ウェブサイトまたはオンラインサービスがその内部運営をサポートするために必要と考える活動が追加される可能性があることを認識している[148]。したがって、委員会は、利害関係者に対し、規則の312.12条(b)で認められているプロセスを利用することができることを喚起する。このプロセスでは、利害関係者は、詳細な正当化理由と、その活動が児童のオンラインプライバシーに及ぼす潜在的影響の分析に基づいて、内部業務の支援の定義に含める追加の活動について、委員会の承認を求めることができる。 |
| Although the Commission does not find it necessary to modify the definition's enumerated activities, it does propose modifications to the definition's use restriction. Currently, the use restriction applies to each of the seven enumerated activities in the definition, and it states that information collected for those enumerated activities may not be used or disclosed to contact a specific individual, including through behavioral advertising, to amass a profile on a specific individual, or for any other purpose.[149] However, certain of these activities likely necessarily require an operator to contact an individual, for example in order to “[f]ulfill a request of a child as permitted by §§ 312.5(c)(3) and (4).” [150] Therefore, the Commission proposes clarifying language to indicate that the information collected for these enumerated activities may be used or disclosed to carry out the activities permitted under the support for the internal operations exception. | 委員会は、定義に列挙された活動を修正する必要はないと考えているが、定義の使用制限については修正を提案している。現在、利用制限は、定義に列挙された7つの活動のそれぞれに適用され、これらの列挙された活動のために収集された情報を、行動広告を含む特定の個人への接触、特定の個人に関するプロファイルの蓄積、またはその他の目的のために使用または開示してはならないとされている[149]。しかし、これらの活動の中には、例えば「第312.5条(c)(3)および(4)で認められている児童の要求を満たす」ために、事業者が個人と接触する必要があるものもある。 [150] したがって、委員会は、これらの列挙された活動のために収集された情報は、内部業務支援例外の下で許可された活動を実施するために使用または開示される可能性があることを示す明確な表現を提案する。 |
| In addition, the Commission proposes expanding its non-exhaustive list of use restrictions. The Commission agrees with commenters who argued that the support for the internal operations exception should not be used to allow operators to maximize children's engagement without verifiable parental consent. Therefore, the Commission proposes prohibiting operators that use this exception from using or disclosing personal information in connection with processes, including machine learning processes, that encourage or prompt use of a website or online service. This proposed addition prohibits operators from using or disclosing persistent identifiers to optimize user attention or maximize user engagement with the website or online service, including by sending notifications to prompt the child to engage with the site or service, without verifiable parental consent. | さらに、委員会は、使用制限の非網羅的リストを拡大することを提案する。委員会は、検証可能な保護者の同意なしに、事業者が児童の関与を最大化することを認めるために、内部業務支援例外を使用すべきではないという意見に同意する。そのため、委員会は、この例外を利用する事業者が、ウェブサイトまたはオンラインサービスの利用を奨励または促す機械学習プロセスを含むプロセスに関連して、個人情報を使用または開示することを禁止することを提案する。この追加案では、事業者が、検証可能な親の同意なしに、児童のサイトやサービスへの関与を促す通知を送るなどして、ユーザーの関心を最適化したり、ウェブサイトやオンラインサービスへのユーザーの関与を最大化したりするために、永続的識別子を使用または開示することを禁止している。 |
| The Commission welcomes comment on whether there are other engagement techniques the Rule should address. The Commission also welcomes comment on whether and how the Rule should differentiate between techniques used solely to promote a child's engagement with the website or online service and those techniques that provide other functions, such as to personalize the child's experience on the website or online service. | 委員会は、規則が扱うべき他のエンゲージメント手法があるかどうかについての意見を歓迎する。また、委員会は、規則が、ウェブサイトまたはオンラインサービスへの児童の関与を促進するためだけに使用される手法と、ウェブサイトまたはオンラインサービスにおける児童の体験をパーソナライズするなどの他の機能を提供する手法とを区別すべきかどうか、またどのように区別すべきかについての意見も歓迎する。 |
| 5. Website or Online Service Directed to Children | 5. 児童向けのウェブサイトまたはオンラインサービス |
| The Commission proposes a number of changes to the definition of “website or online service directed to children.” Overall, the Commission does not intend these proposed changes to alter the definition substantively; rather, the changes will provide additional insight into and clarity regarding how the Commission currently interprets and applies the definition. | 委員会は、「児童向けウェブサイトまたはオンラインサービス」の定義に多くの変更を提案している。全体として、委員会は、これらの変更案が定義を実質的に変更することを意図しているわけではない。むしろ、この変更により、委員会が現在どのように定義を解釈し、適用しているかについて、さらに理解を深め、明確にすることができる。 |
| a. Multi-Factor Test | a. 多要素テスト |
| The first paragraph of the definition sets forth a list of factors the Commission will consider in determining whether a particular website or online service is child-directed. The Commission received a significant number of comments regarding the Rule's multi-factor test. Several industry commenters encouraged the FTC to continue relying on a multi-factor test to determine whether a site or service is directed to children, balancing both context ( e.g., intent to target children, promoted to children, and empirical evidence of audience) and content ( e.g., subject matter, animation, and child-oriented activities) factors.[151] These commenters discouraged the FTC from relying on a single factor taken alone, arguing that a multi-factor evaluation allows flexibility and takes into account that some factors may be more or less indicative than others.[152] | 定義の第1段落では、特定のウェブサイトまたはオンラインサービスが児童向けかどうかを判断する際に、委員会が考慮する要素のリストを定めている。同規則の多要素テストに関して、委員会は多数の意見を受け取った。複数の業界関係者は、FTCに対し、サイトまたはサービスが児童向けであるかどうかを判断するために、引き続き多要素テストに依拠し、コンテクスト(例えば、児童を対象とする意図、児童向けに宣伝されていること、視聴者に関する経験的証拠)とコンテンツ(例えば、主題、アニメーション、児童向けの活動)の両要素のバランスをとるよう奨励した[151]。これらの意見提出者は、FTCが単一の要素のみに依拠することを戒め、多要素評価によって柔軟性が確保され、いくつかの要素が他の要素よりも示唆的である場合もあれば、そうでない場合もあることを考慮に入れていると主張した[152]。 |
| At the same time, commenters also recommended that the Commission reevaluate the test's existing factors, claiming that some are outdated and no longer seem indicative of child-directed websites or online services. For example, several industry members noted that content styles such as animation are not necessarily determinative of whether a service is child-directed.[153] In addition, several industry members recommended that the FTC consider giving more weight to particular factors when determining whether a website or online service is directed to children or that it create a sliding scale for existing factors to provide more guidance for operators.[154] For example, a number of commenters recommended that the Commission weigh more heavily operators' intended audience as opposed to empirical evidence of audience composition.[155] | 同時に、意見提出者は、いくつかの要素は時代遅れであり、もはや児童向けのウェブサイトやオンラインサービスを示すものではないと主張し、テストの既存の要素を再評価するようFTCに勧告した[153]。例えば、複数の業界関係者は、アニメーションのようなコンテンツのスタイルは、必ずしもサービスが児童向けかどうかを決定するものではないと指摘している[153]。さらに、複数の業界関係者は、FTCに対し、ウェブサイトやオンライン・サービスが児童向けか否かを判断する際に、特定の要素をより重視することを検討すること、あるいは、既存の要素についてスライド・スケールを設け、事業者により多くのガイダンスを提供することを提言した[154]。例えば、多くの意見提出者は、視聴者構成に関する経験的証拠とは対照的に、事業者の意図する視聴者をより重視するよう提言している[155]。 |
| Several FTC-approved COPPA Safe Harbor programs suggested adding new factors to the Rule to help guide operators, including by adding an operator's self-categorization to third parties. One such program, for example, recommended considering marketing materials directed to third-party partners or advertisers, claiming that such materials can provide insights on the operator's target and users.[156] Another supported consideration of “whether an operator self-categorizes its website or online service as child-directed on third[-]party platforms.” [157] A third FTC-approved COPPA Safe Harbor program recommended requiring operators to periodically analyze the demographics of their audience or users and to consider consumer inquiries and complaints.[158] | FTCが承認したCOPPAセーフハーバープログラムのいくつかは、サードパーティに対する事業者の自己分類を追加するなど、事業者の指針となる新たな要素を規則に追加することを提案した。例えば、そのようなプログラムの1つは、サードパーティのパートナーや広告主に向けたマーケティング資料を考慮することを推奨し、そのような資料は事業者のターゲットやユーザーに関する洞察を提供することができるとしている[156]。また別のプログラムは、「事業者がサードパーティのプラットフォームにおいて、そのウェブサイトまたはオンラインサービスを児童向けと自己分類しているかどうか」を考慮することを支持している。 [157]FTCが承認した3つ目のCOPPAセーフハーバープログラムは、事業者に対して、視聴者やユーザーの人口統計を定期的に分析し、消費者からの問い合わせや苦情を考慮するよう求めることを推奨している[158]。 |
| Some commenters cautioned against relying on an operator's internal rating system or a third party's rating system as a factor.[159] One such commenter argued that relying on operators' internal rating systems would potentially punish those that engage in good faith, responsible review activities and might violate section 230 of the Communications Decency Act.[160] The commenter also argued that a third party's ratings do not constitute competent and empirical evidence regarding audience composition or evidence regarding the intended audience, and further argued that relying on such ratings increases an operator's risk of unexpected liability, particularly if the rating system may have been developed for a purpose unrelated to the COPPA Rule's factors.[161] | 事業者の内部レーティングシステムやサードパーティーのレーティングシステムを要素として依拠することに注意を促す意見もあった[159]。そのような意見の一人は、事業者の内部レーティングシステムに依拠することは、善意で責任あるレビュー活動を行う事業者を罰する可能性があり、コミュニケーション良識法230条に違反する可能性があると主張した[160]。 [160] また、この意見提出者は、サードパーティによるレーティングは、視聴者構成に関する有能かつ実証的な証拠や、意図された視聴者に関する証拠にはならないと主張し、さらに、このようなレーティングに依存することは、特にレーティングシステムがCOPPA規則の要素とは無関係な目的で開発された可能性がある場合、事業者の予期せぬ法的責任のリスクを高めると主張した[161]。 |
| The Commission continues to believe that the Rule's multi-factor test, which applies a “totality of the circumstances” standard, is the most practical and effective means for determining whether a website or online service is directed to children. The determination of whether a given site or service is child-directed is necessarily fact-based and requires flexibility as individual factors may be more or less relevant depending on the context. Moreover, a requirement that the Commission, in all cases, weigh more heavily certain factors could unduly hamper the Commission's law enforcement efforts. For example, it is not hard to envision operators circumventing the Rule by claiming an “intended” adult audience despite the attributes and overall look and feel of the site or service appearing to be directed to children.[162] Additionally, a rigid approach that prioritizes specific factors is unlikely to be nimble enough to address a site or service that changes its characteristics over time. | 委員会は、「状況の総合」標準を適用する規則の多要素テストが、ウェブサイトまたはオンラインサービスが児童に向けられたものであるかどうかを判断するための最も実用的かつ効果的な手段であると引き続き考えている。あるサイトやサービスが児童向けかどうかの判断は、必然的に事実に基づくものであり、個々の要素が状況によって関連性が高くなったり低くなったりするため、柔軟性が求められる。さらに、すべての場合において、委員会が特定の要素をより重視するよう要求することは、委員会の法執行努力を不当に妨げることになりかねない。例えば、サイトやサービスの属性や全体的なルック・アンド・フィールが児童向けであるように見えるにもかかわらず、「意図された」成人向けであると主張することで、規則を回避する事業者を想定することは難しくない[162]。さらに、特定の要素に優先順位をつける厳格なアプローチは、時とともに特性が変化するサイトやサービスに対処するのに十分な機動性を持ちにくい。 |
| The Commission does not propose eliminating any of the existing factors or modifying how it applies the multi-factor test.[163] However, the Commission proposes modifications to clarify the evidence the Commission will consider regarding audience composition and intended audience. | 委員会は、既存の要素を廃止したり、多要素テストの適用方法を修正したりすることは提案していない[163]。しかし。委員会は、視聴者の構成と意図する視聴者に関して、委員会が考慮する証拠を明確にするための修正を提案している。 |
| Specifically, the Commission proposes adding a non-exhaustive list of examples of evidence the Commission will consider in analyzing audience composition and intended audience. The Commission agrees with those commenters that argued that an operator's marketing materials and own representations about the nature of its site or service are relevant. Such materials and representations can provide insight into the operator's understanding of its intended or actual audience and are thus relevant to the Commission's analysis. Additionally, the Commission believes that other factors can help elucidate the intended or actual audience of a site or service, including user or third-party reviews and the age of users on similar websites or services. Therefore, the Commission proposes adding “marketing or promotional materials or plans, representations to consumers or to third parties, reviews by users or third parties, and the age of users on similar websites or services” as examples of evidence the Commission will consider. Because many of these examples can provide evidence as to both audience composition and intended audience, the Commission also proposes a technical fix to remove the comma between “competent and reliable empirical evidence regarding audience composition” and “evidence regarding the intended audience.” | 具体的には、委員会は、視聴者の構成と意図する視聴者の分析において委員会が考慮する証拠の例を非網羅的に追加することを提案する。委員会は、事業者のマーケティング資料やサイトまたはサービスの性質に関する自らの表明が関連性があると主張する意見に同意する。このような資料や表現は、事業者が意図するまたは実際の視聴者について理解していることを示すものであり、委員会の分析に関連するものである。さらに、委員会は、ユーザーまたはサードパーティによるレビューや、類似のウェブサイトまたはサービスにおけるユーザーの年齢など、他の要因もサイトまたはサービスの意図するまたは実際の利用者を明らかにするのに役立つと考えている。したがって、委員会は、「マーケティングまたは販売促進用の資料または計画、消費者またはサードパーティに対する表明、ユーザーまたはサードパーティによるレビュー、類似のウェブサイトまたはサービスにおけるユーザーの年齢」を、委員会が考慮する証拠の例として追加することを提案する。これらの例の多くは、視聴者構成と意図する視聴者の両方に関する証拠を提供できるため、委員会は、"視聴者構成に関する有能で信頼できる経験的証拠 "と "意図する視聴者に関する証拠 "の間のコンマを削除する技術的修正も提案している。 |
| b. Operators Collecting Personal Information From Other Websites and Online Services Directed to Children | b. 児童向けの他のウェブサイトおよびオンラインサービスから個人情報を収集する事業者 |
| The second paragraph of the definition of “website or online service directed to children” states “[a] website or online service shall be deemed directed to children when it has actual knowledge that it is collecting personal information directly from users of another website or online service directed to children.” [164] The Commission added this language in 2013, along with parallel changes to the definition of “operator,” in order “to allocate and clarify the responsibilities under COPPA” of third parties that collect information from users of child-directed sites and services.[165] The changes clarified that the child-directed content provider is strictly liable when a third party collects personal information through its site or service, while the third party is liable only if it had actual knowledge that the site or service from which it was collecting personal information was child-directed.[166] | 児童を対象としたウェブサイトまたはオンラインサービス」の定義の第2段落には、「児童を対象とした他のウェブサイトまたはオンラインサービスの利用者から直接個人情報を収集していることを実際に知っている場合、そのウェブサイトまたはオンラインサービスは児童を対象としたものとみなされる」と記載されている。 [164] 委員会は2013年、児童向けサイトやサービスの利用者から情報を収集する第三者の「COPPAに基づく責任を割り当て、明確にする」ために、「運営者」の定義に並行してこの文言を追加した[165]。この変更により、第三者がそのサイトやサービスを通じて個人情報を収集する場合、児童向けコンテンツのプロバイダは厳格な責任を負うが、第三者は、個人情報を収集しているサイトやサービスが児童向けであることを実際に知っていた場合にのみ責任を負うことが明確になった[166]。 |
| Because the second paragraph of this definition specifies that the operator must have actual knowledge that it is collecting personal information “directly” from users of another site or service, the Commission is concerned that entities with actual knowledge that they receive large amounts of children's data from another site or service that is directed to children, without collecting it directly from the users of such site or service, may avoid COPPA's requirements. For example, the online advertising ecosystem involves ad exchanges that receive data from an ad network that has collected information from users of a child-directed site or service. In the same spirit of avoiding a loophole that led the Commission to amend the Rule in 2013, the Commission proposes modifying the current language by deleting the word “directly.” The Commission did not seek comment in the 2019 Rule Review Initiation on this aspect of the Rule's definition of “website or online service directed to children” and therefore welcomes comment on this proposed modification. | この定義の第2段落では、事業者が他のサイトやサービスの利用者から「直接」個人情報を収集していることを実際に知っている必要があると規定されているため、委員会は、児童向けの他のサイトやサービスから、そのようなサイトやサービスの利用者から直接収集することなく、大量の児童のデータを受け取っていることを実際に知っている事業体が、COPPAの要件を回避することを懸念している。例えば、オンライン広告のエコシステムには、児童向けのサイトやサービスの利用者から情報を収集した広告ネットワークからデータを受け取るアドエクスチェンジが含まれる。2013年に委員会が規則を改正するきっかけとなった抜け穴を避けるという同じ精神に基づき、委員会は、"directly "という単語を削除することで、現行の文言を修正することを提案する。委員会は、2019年規則見直し開始において、規則の「児童向けウェブサイトまたはオンラインサービス」の定義のこの点に関する意見を求めていないため、この修正案に関する意見を歓迎する。 |
| c. Mixed Audience | c. 混合視聴者 |
| The 2013 Amendments established a distinction between child-directed sites and services that target children as a “primary audience” and those for which children are one of multiple audiences—so called “mixed audience” sites or services. Specifically, the Rule provides that a website or online service that meets the multi-factor test for being child-directed “but that does not target children as its primary audience, shall not be deemed directed to children” so long as the operator first collects age information and then prevents the collection, use, or disclosure of information from users who identify as younger than 13 before providing notice and obtaining verifiable parental consent.[167] This allows operators of mixed audience sites or services to use an age-screen and apply COPPA protections only to those users who are under 13. | 2013年の改正では、児童を「主たる視聴者」とする児童向けサイトおよびサービスと、児童が複数の対象者の一人である、いわゆる「混合視聴者」と呼ばれるサイトおよびサービスとの区別が設けられた。具体的には、運営者がまず年齢情報を収集し、13歳未満であることを確認したユーザーからの情報の収集、使用、開示を防止した上で、通知を提供し、検証可能な保護者の同意を得る限り、「児童向けであるが、児童を主たる対象としていない」という多要素テストを満たすウェブサイトまたはオンラインサービスは、児童向けとはみなされないと規定している[167]。これにより、混合視聴者のサイトまたはサービスの運営者は、年齢スクリーンを使用し、13歳未満のユーザーにのみCOPPA保護を適用することができる。 |
| Although there appears to be general support for the mixed audience classification, a number of commenters cited confusion regarding its application and called on the Commission to provide additional clarity on where to draw the line between general audience, primarily child-directed, and mixed audience categories of sites and services.[168] One commenter noted that the mixed audience definition is confusing and the language “shall not be deemed directed to children” suggests that such sites or services are not within the definition of child-directed websites or online services.[169] Others recommended the Commission use a specific threshold for making the determination or provide additional guidance based on the Rule's multi-factor test.[170] | 混合視聴者の分類には一般的な支持があるように見えるが、多くの意見提供者は、その適用に関する混乱を挙げ、サイトやサービスの一般視聴者、主に児童向け、および混合視聴者の分類の間の線引きをどこで行うかについて、さらに明確にするよう委員会に求めた。 [168] ある意見提供者は、混在視聴者の定義が紛らわしいと指摘し、「児童向けとはみなされないものとする」という文言は、そのようなサイトやサービスが児童向けウェブサイトやオンラインサービスの定義に含まれないことを示唆しているとした[169]。 |
| Commenters also questioned the effectiveness of age screening, with some arguing that children have been conditioned to lie about their age in order to circumvent age gates.[171] Others expressed support for the current approach,[172] and some warned against specifying proscriptive methods for age screening, as it could prevent companies from innovating new methods.[173] | また、年齢制限を回避するために、児童が年齢について嘘をつくように仕向けられていると主張する意見もあり、年齢スクリーニングの有効性に疑問を呈する意見もあった[171]。また、現行のアプローチを支持する意見もあり[172]、年齢スクリーニングのための規定的な方法を特定することは、企業の新たな方法の革新を妨げる可能性があるとして、警告する意見もあった[173]。 |
| Through the 2013 Amendments, the Commission intended mixed audience sites and services to be a subset of the “child-directed” category of websites or online services to which COPPA applies. A website or online service falls under the mixed audience designation if it: (1) meets the Rule's multi-factor test for being child-directed; and (2) does not target children as its primary audience. Unlike other child-directed sites and services, mixed audience sites and services may collect age information and need only apply COPPA's protections to those users who identify as under 13. An operator falling under this mixed audience designation may not collect personal information from any visitor until it collects age information from the visitor. To the extent the visitor identifies themselves as under age 13, the operator must provide notice and obtain verifiable parental consent before collecting, using, and disclosing personal information from the visitor.[174] | 2013年の改正を通じて、委員会は、混合視聴者のサイトとサービスを、COPPAが適用されるウェブサイトまたはオンラインサービスの「Child-directed」カテゴリーのサブセットとすることを意図した。ウェブサイトまたはオンラインサービスは、(1)児童向けであることに関する規則の多要素テストを満たし、(2)児童を主な対象としていない場合、混合視聴者の指定に該当する。他の児童向けサイトやサービスとは異なり、混合視聴者向けサイトやサービスは年齢情報を収集することができ、13歳未満と識別される利用者にのみCOPPAの保護を適用する必要がある。この混合視聴者の指定に該当する運営者は、ビジターから年齢情報を収集するまで、いかなるビジターからも個人情報を収集することはできない。訪問者が13歳未満であることを特定できる範囲において、事業者は、訪問者から個人情報を収集、使用、開示する前に、通知を提供し、検証可能な親の同意を得なければならない[174]。 |
| To make its position clearer, the Commission proposes adding to the Rule a separate, stand-alone definition for “mixed audience website or online service.” This definition provides that a mixed audience site or service is one that meets the criteria of the Rule's multi-factor test but does not target children as the primary audience.[175] | 委員会は、その立場をより明確にするため、「視聴者が混在するウェブサイトまたはオンラインサービス」の独立した定義を規則に追加することを提案している。この定義では、混合視聴者のサイトまたはサービスとは、規則の多要素テストの基準を満たすが、主たる視聴者として児童を対象としていないサイトまたはサービスであると規定している[175]。 |
| The proposed definition also provides additional clarity on the means by which an operator of a mixed audience site or service can determine whether a user is a child. First, the Commission agrees with the comments that recommend it allow operators flexibility in determining whether a user is a child. To that end, the proposed definition allows operators to collect age information or use “another means that is reasonably calculated, in light of available technology, to determine whether the visitor is a child,” reflecting a standard used elsewhere in the Rule.[176] Although currently collecting age information may be the most practical means for determining that a user is a child, the proposed definition allows operators to innovate and develop additional mechanisms that do not rely on a user's self-declaration.[177] | 提案されている定義はまた、混合視聴者向けサイトまたはサービスの運営者が、利用者が児童であるかどうかを判断する手段をさらに明確にするものである。第一に、委員会は、利用者が児童であるかどうかを判断する際に、運営者が柔軟に対応できるようにすることを推奨する意見に同意する。そのため、提案されている定義では、運営者が年齢情報を収集するか、または「利用可能な技術に照らして、閲覧者が児童であるかどうかを判断するために合理的に計算される別の手段」を使用することを認めており、これは規則の他の箇所で使用されている標準[176]を反映している。現在、年齢情報を収集することは、利用者が児童であることを判断するための最も現実的な手段であるかもしれないが、提案されている定義では、運営者が革新し、利用者の自己申告に依存しない追加のメカニズムを開発することを認めている[177]。 |
| Additionally, consistent with long-standing staff guidance,[178] the proposed mixed audience definition specifically requires that the means used for determining whether a visitor is a child “be done in a neutral manner that does not default to a set age or encourage visitors to falsify age information.” This, for instance, would prevent operators from suggesting to users that certain features will not be available for users who identify as younger than 13. | さらに、長年にわたるスタッフのガイダンス[178]と一致するように、提案されている混合視聴者の定義は、訪問者が児童であるかどうかを判断するために使用される手段が、「設定された年齢をデフォルトとしたり、年齢情報を偽ったりすることを訪問者に促したりしない中立的な方法で行われる」ことを特に求めている。例えば、13歳未満と識別されたユーザーには特定の機能が利用できないことを運営者がユーザーに示唆することを防ぐことができる。 |
| To further clarify the obligations of an operator of a mixed audience site or service, the Commission also proposes amending paragraph (3) of the definition of “website or online service directed to children” by stating that such operators shall not be deemed directed to children with regard to any visitor not identified as under 13. | また、視聴者層が混在するサイトやサービスの運営者の義務をさらに明確にするため、委員会は、「児童向けウェブサイトまたはオンラインサービス」の定義の(3)項を改正し、13歳未満と識別されない訪問者については、児童向けとはみなされないとすることも提案している。 |
| B. Notice (16 CFR 312.4) | B. 通知(16 CFR 312.4) |
| The Commission proposes a number of modifications to the Rule's direct notice and online notice provisions. | 委員会は、同規則の直接通知およびオンライン通知の規定に対して、多くの修正を提案している。 |
| 1. Direct Notice to the Parent (Paragraph (b)) | 1. 親への直接通知(パラグラフ(b) |
| Section 312.4(b) requires operators to make reasonable efforts to ensure that parents receive direct notice of an operator's practices with respect to the collection, use, or disclosure of children's information. The Commission proposes adding references to “school” in § 312.4(b) to cover the situation in which an operator relies on authorization from a school to collect information from a child and provides the direct notice to the school rather than to the child's parent. As discussed in Part IV.C.3.a., the Commission is proposing to add an exception to the Rule's parental consent requirement where an operator, in limited contexts, obtains authorization from a school to collect a child's personal information. For purposes of authorization, “school” includes individual schools as well as local educational agencies and State educational agencies, as those terms are defined under Federal law.[179] | 312.4(b)項は、事業者に対して、児童情報の収集、使用、開示に関する事業者の慣行について、保護者が直接通知を受けられるよう合理的な努力をすることを求めている。委員会は、事業者が児童の情報を収集するために学校からの認可を信頼し、児童の親ではなく学校に直接通知を提供する状況をカバーするために、312.4条(b)に「学校」への参照を追加することを提案する。パートIV.C.3.a.で述べたように、委員会は、事業者が限られた状況において、児童の個人情報を収集するために学校から認可を得る場合、規則の保護者の同意要件に例外を追加することを提案している。認可の目的上、「学校」には、個々の学校だけでなく、連邦法で定義されているように、地域の教育機関および州の教育機関も含まれる[179]。 |
| Just as notice is necessary for a parent to provide informed and meaningful consent, a school must also obtain information about an operator's data collection and use practices before authorizing collection. Therefore, as part of the proposed school authorization exception, an operator must make reasonable efforts to ensure that the school receives the notice that the operator would otherwise provide to a child's parent. | 保護者が十分な情報を得た上で有意義な同意を提供するために通知が必要であるのと同様に、学校もまた、収集を認可する前に、事業者のデータ収集・利用慣行に関する情報を入手しなければならない。したがって、提案されている学校認可の例外の一部として、事業者は、事業者が児童の親に提供するはずの通知を学校が確実に受け取れるよう、合理的な努力を払わなければならない。 |
| 2. Content of the Direct Notice (Paragraph (c)) | 2. 直接通知の内容(パラグラフ(c) |
| Section 312.4(c) details the content of the direct notice required where an operator avails itself of one of the Rule's exceptions to prior parental consent set forth in § 312.5(c)(1)–(8). The Commission proposes several modifications to § 312.4(c). The first is to delete the reference to “parent” in the § 312.4(c) heading. This modification is to accommodate the proposed new § 312.4(c)(5), which specifies the content of the direct notice where an operator relies on school authorization to collect personal information. | 312.4(c)項では、312.5(c)(1)~(8)項に規定されている親の事前同意に関する規則の例外のいずれかを事業者が利用する場合に必要となる直接通知の内容について詳述している。委員会は、312.4条(c)にいくつかの修正を提案する。第一は、§312.4(c)の見出しにある「親」への言及を削除することである。この修正は、事業者が個人情報を収集するために学校の認可に頼る場合の直接通知の内容を規定する、提案されている新しい§312.4(c)(5)に対応するためである。 |
| Next, the Commission proposes modifying language in § 312.4(c)(1) and a number of its paragraphs. As currently drafted, this section sets forth the required content of direct notice when an operator collects personal information in order to initiate parental consent under the parental consent exception listed in § 312.5(c)(1). The Commission proposes revising the heading of § 312.4(c)(1) by adding the phrase “for purposes of obtaining consent, including . . .” after “[c]ontent of the direct notice to the parent” and before “under § 312.5(c)(1).” This change would clarify that this direct notice requirement applies to all instances in which the operator provides direct notice to a parent for the purposes of obtaining consent, including under § 312.5(c)(1). | 次に、委員会は、312.4条(c)(1)およびその段落の文言を修正することを提案する。現在ドラフトされているように、このセクションは、§312.5(c)(1)に記載されている保護者の同意の例外に基づき、保護者の同意を得るために事業者が個人情報を収集する場合に求められる直接通知の内容を定めている。委員会は、§312.4(c)(1)の見出しを修正し、「親への直接通知の内容」の後、「§312.5(c)(1)に基づく」の前に、「...を含む同意を得る目的で」という文言を追加することを提案する。この変更により、この直接通知の要件は、§312.5(c)(1)に基づく場合を含め、同意を得る目的で事業者が親に直接通知を行うすべての場合に適用されることが明確になる。 |
| In its current form, § 312.4(c)(1) presumes that an operator has collected a parent's online contact information and, potentially, the name of the child or parent. However, operators are free to use other means to initiate parental consent, including those that do not require collecting online contact information. For example, an operator could use an in-app pop-up message that directs the child to hand a device to the parent and then instructs a parent to call a toll-free number. The modification is intended to clarify that even where the operator does not collect personal information to initiate consent under § 312.5(c)(1), it still must provide the relevant aspects of the § 312.4(c)(1) direct notice to the parent. | 現行の形では、§312.4(c)(1)は、事業者が親のオンライン連絡先情報と、可能性として、児童または親の名前を収集したことを前提としている。しかし、事業者は、オンライン連絡先情報の収集を必要としないものを含め、保護者の同意を得るために他の手段を自由に使用することができる。例えば、親に端末を渡すよう児童に指示し、その後フリーダイヤルに電話するよう親に指示するアプリ内ポップアップメッセージを使用することができる。この変更は、事業者が§312.5(c)(1)に基づく同意を開始するために個人情報を収集しない場合でも、§312.4(c)(1)の関連する部分を親に直接通知しなければならないことを明確にすることを意図している。 |
| Because the Commission's proposed changes to § 312.4(c)(1) would expand the scope of when an operator must provide this direct notice, the Commission proposes modifications to indicate that §§ 312.4(c)(1)(i) and newly-numbered 312.4(c)(1)(vii) may not be applicable in all instances.[180] Additionally, because §§ 312.4(c)(1)(i) and newly-numbered 312.4(c)(1)(vii) apply to scenarios in which an operator is obtaining parental consent under the parental consent exception provided in § 312.5(c)(1), the Commission proposes making minor modifications to those sections to align language with that exception. Specifically, that exception permits operators to collect a child's name or online contact information prior to obtaining parental consent, and the proposed notice would require the operator to indicate when it has collected a child's name or online contact information. | 委員会が提案する§312.4(c)(1)の変更は、事業者がこの直接通知を提供しなければならない場合の範囲を拡大するため、委員会は、§312.4(c)(1)(i)および新たに番号付けされた312.4(c)(1)(vii)がすべての場合に適用されるとは限らないことを示す修正を提案する[180]。 4(c)(1)(i)および新たに番号付けされた312.4(c)(1)(vii)は、第312.5条(c)(1)に規定された親の同意の例外に基づき、事業者が親の同意を取得するシナリオに適用されるため、委員会は、その例外と文言を合わせるために、これらのセクションに若干の修正を加えることを提案する。具体的には、この例外は、事業者が保護者の同意を得る前に、児童の氏名またはオンライン連絡先情報を収集することを認めており、提案されている通知は、事業者が児童の氏名またはオンライン連絡先情報を収集した場合に、その旨を表示することを義務付けるものである。 |
| The Commission also proposes adding a new paragraph (iv) to require that operators sharing personal information with third parties identify the third parties as well as the purposes for such sharing, should the parent provide consent. This new paragraph (iv) will also require the operator to state that the parent can consent to the collection and use of the child's information without consenting to the disclosure of such information, except where such disclosure is integral to the nature of the website or online service.[181] For example, such disclosure could be integral if the website or online service is an online messaging forum through which children necessarily have to disclose their personal information, such as online contact information, to other users on that forum. The Commission believes that this information will enhance parents' ability to make an informed decision about whether to consent to the collection of their child's personal information. In order to minimize the burden on operators, and to maintain the goal of providing parents with a clear and concise direct notice, the proposed modification allows operators to disclose the categories of third parties with which the operator shares data rather than identifying each individual entity. The Commission welcomes further comment on whether information regarding the identities or categories of third parties with which an operator shares information is most appropriately placed in the direct notice to parents required under § 312.4(c) or in the online notice required under § 312.4(d). | また、委員会は、個人情報をサードパーティと共有する事業者に対し、保護者の同意がある場合には、当該サードパーティを特定するとともに、その目的を明示することを義務付けるため、新しいパラグラフ(iv)を追加することも提案している。この新しいパラグラフ(iv)はまた、ウェブサイトまたはオンラインサービスの性質上、開示が不可欠である場合を除き、親が当該情報の開示に同意することなく、児童の情報の収集および利用に同意できることを明記することを事業者に義務付ける[181]。例えば、ウェブサイトまたはオンラインサービスがオンラインのメッセージング・フォーラムであり、児童が必然的にオンライン連絡先情報などの個人情報をそのフォーラムの他のユーザーに開示しなければならない場合、このような開示は不可欠となり得る。委員会は、このような情報開示により、保護者が児童の個人情報の収集に同意するかどうかについて、十分な情報を得た上で判断する能力が高まると考えている。事業者の負担を最小限に抑え、明確かつ簡潔な直接通知を保護者に提供するという目標を維持するため、今回の修正案では、事業者が個々の事業体を特定するのではなく、データを共有するサードパーティーのカテゴリーを開示することを認めている。委員会は、事業者が情報を共有する第三者の身元またはカテゴリーに関する情報を、312.4条(c)に基づき義務付けられている保護者への直接通知に記載するのが最も適切か、または312.4条(d)に基づき義務付けられているオンライン通知に記載するのが最も適切かについて、さらなる意見を歓迎する。 |
| Additionally, the Commission proposes a number of clarifying changes. First, the Commission proposes clarifying that the information at issue in the first clause of § 312.4(c)(1)(ii) is “personal information.” [182] Second, in § 312.4(c)(1)(iii), the Commission proposes clarifying that the direct notice must include how the operator intends to use the personal information collected from the child. For example, to the extent an operator uses personal information collected from a child to encourage or prompt use of the operator's website or online service such as through a push notification, such use must be explicitly stated in the direct notice. Additionally, the Commission further proposes to change the current use of “or” to “and” to indicate that the operator must provide all information listed in § 312.4(c)(1)(iii). Lastly, the Commission also proposes removing the term “additional” from § 312.4(c)(1)(iii) because this paragraph no longer applies solely to instances in which the operator collects the parent's or child's name or online contact information. | さらに、委員会は、いくつかの明確な変更を提案している。第一に、委員会は、312.4条(c)(1)(ii)の最初の条項で問題となっている情報が「個人情報」であることを明確にすることを提案する。 [182] 第二に、§312.4(c)(1)(iii)において、委員会は、直接通知には、事業者が児童から収集した個人情報をどのように使用する予定であるかを含めなければならないことを明確にすることを提案する。例えば、事業者が、プッシュ通知などを通じて、事業者のウェブサイトまたはオンラインサービスの利用を奨励または促すために、児童から収集した個人情報を利用する場合、そのような利用は、直接通知に明示されなければならない。さらに、委員会は、事業者が312.4条(c)(1)(iii)に記載されているすべての情報を提供しなければならないことを示すために、現行の「または」を「および」に変更することを提案する。最後に、委員会は、事業者が親または子の氏名またはオンライン連絡先情報を収集する場合にのみこの段落が適用されなくなったため、§312.4(c)(1)(iii)から「追加」という用語を削除することも提案する。 |
| In addition to the proposed modifications to § 312.4(c)(1), the Commission proposes adding § 312.4(c)(5) to identify the content of the direct notice an operator must provide when seeking to obtain school authorization to collect personal information.[183] While tailored to the school context, the requirements in this new provision generally track the proposed modifications to § 312.4(c)(1).[184] | 312.4(c)(1)の修正案に加え、委員会は、個人情報を収集するために学校の認可を得ようとする場合に事業者が提供しなければならない直接通知の内容を特定するために、312.4(c)(5)を追加することを提案する[183]。この新しい規定の要件は、学校の状況に合わせたものではあるが、312.4(c)(1)の修正案に概ね沿ったものである[184]。 |
| 3. Notice on the Website or Online Service (Paragraph (d)) | 3. ウェブサイトまたはオンラインサービスにおける通知(パラグラフ(d) |
| The Commission proposes two additions to the Rule's online notice requirement. These additions pertain to an operator's use of the exception for prior parental consent set forth in § 312.5(c)(7) and the proposed exception set forth in new proposed § 312.5(c)(9).[185] The Commission also proposes certain modifications to the Rule's existing online notice requirements. | 委員会は、規則のオンライン通知要件に2つの追加を提案している。これらの追加は、第312.5条(c)(7)に規定されている事前の親の同意に関する例外と、新たに提案されている第312.5条(c)(9)に規定されている例外案の事業者の使用に関するものである[185]。また、委員会は、規則の既存のオンライン通知要件に一定の修正を提案する。 |
| First, the Commission proposes adding a new paragraph, § 312.4(d)(3), which would require operators that collect a persistent identifier under the support for the internal operations exception in § 312.5(c)(7) to specify the particular internal operation(s) for which the operator has collected the persistent identifier and describe the means it uses to ensure that it does not use or disclose the persistent identifier to contact a specific individual, including through behavioral advertising, to amass a profile on a specific individual, in connection with processes that encourage or prompt use of a website or online service, or for any other purpose, except as permitted by the support for the internal operations exception.[186] | まず、委員会は、312.4条(d)(3)という新たな段落を追加することを提案しており、この段落は、312.5条(c)(7)の内部運用のサポート例外の下で永続的識別子を収集する事業者に義務付けるものである。 5(c)(7)では、事業者が永続的識別子を収集した特定の内部運用を特定し、内部運用のサポート例外によって許可される場合を除き、行動広告を含む特定の個人への接触、特定の個人に関するプロファイルの蓄積、ウェブサイトまたはオンラインサービスの利用を奨励または促進するプロセスとの関連、またはその他の目的のために、永続的識別子を使用または開示しないことを保証するために使用する手段を記述することを求める[186]。 |
| Currently, an operator that collects a persistent identifier pursuant to § 312.5(c)(7) is not required to provide notice of the collection. The Commission finds merit in the concerns expressed by some commenters about a lack of transparency in how operators implement the support for the internal operations exception and the extent to which they comply with the exception's restrictions.[187] The Commission believes that the proposed disclosure requirements will provide additional clarity into the use of § 312.5(c)(7), will enhance operator accountability, and will function as an important tool for monitoring COPPA compliance. | 現在、§312.5(c)(7)に従って永続的識別子を収集する事業者は、収集の通知を行う必要はない。委員会は、事業者が内部運用の例外のサポートをどのように実施し、どの程度例外の制限を遵守しているのかについて透明性が欠如しているという、一部の意見者から表明された懸念にメリットを見出す[187]。委員会は、提案されている開示要件が、§312.5(c)(7)の使用にさらなる明確性を与え、事業者の説明責任を強化し、COPPA遵守を監視するための重要なツールとして機能すると考えている。 |
| Second, as discussed in Part IV.C.3.b., the Commission proposes a new parental consent exception, codifying its law enforcement policy statement regarding the collection of audio files.[188] Consistent with this codification, the Commission also proposes a new § 312.4(d)(4) requiring that an operator that collects audio files pursuant to the new § 312.5(c)(9) exception describe how the operator uses the audio files and to represent that it deletes such files immediately after responding to the request for which the files were collected. | 第2に、パートIV.C.3.b.で説明したように、委員会は、音声ファイルの収集に関する法執行政策声明を成文化した、新しい保護者の同意による例外を提案している[188]。この成文化に対応して、委員会は、新しい§312.4(d)(4)を提案し、新しい§312.5(c)(9)の例外に従って音声ファイルを収集する事業者に対して、事業者が音声ファイルをどのように使用するかを説明し、ファイルが収集された要求に対応した後、そのようなファイルを直ちに削除することを代表者に示すことを求めている。 |
| The Commission also proposes a number of other modifications to the Rule's online notice requirements. Specifically, the Commission proposes modifying § 312.4(d)(2) to require additional information regarding operators' disclosure practices and operators' retention policies.[189] As discussed earlier, the Commission believes that this information will enhance parents' ability to make an informed decision about whether to consent to the collection of their child's personal information. The Commission notes that the COPPA Rule's online notice provision requires that operators describe how they use personal information collected from children.[190] For example, to the extent an operator uses personal information collected from a child to encourage or prompt use of the operator's website or online service such as through a push notification, such use must be explicitly stated in the online notice. The Commission also proposes adding “if applicable” to current § 312.4(d)(3) (which would be redesignated as § 312.4(d)(5)) in order to acknowledge that there may be situations in which a parent cannot review or delete the child's personal information.[191] | 委員会はまた、規則のオンライン通知要件について、その他多くの修正を提案している。具体的には、委員会は、運営者の開示慣行および運営者の保持方針に関する追加情報を要求するために、312.4条(d)(2)を修正することを提案している[189]。先に述べたように、委員会は、この情報により、保護者が児童の個人情報の収集に同意するかどうかについて、十分な情報を得た上で判断する能力が高まると考えている。委員会は、COPPA規則のオンライン通知規定が、事業者が児童から収集した個人情報をどのように利用するかを説明することを求めていることに留意する[190]。例えば、事業者がプッシュ通知などを通じて、事業者のウェブサイトまたはオンラインサービスの利用を奨励または促すために児童から収集した個人情報を利用する場合、そのような利用はオンライン通知に明示されなければならない。また、委員会は、親が児童の個人情報を確認または削除できない場合があることを認めるため、現行の312.4条(d)(3)(312.4条(d)(5)として再指定される)に「該当する場合」を追加することを提案している[191]。 |
| Lastly, the Commission proposes to delete the reference to “parent” in the § 312.4(d) introductory text. This proposal is to align with the Commission's new proposed direct notice requirement to accommodate the proposed new school authorization exception found in § 312.5(c)(10). | 最後に、委員会は、§312.4(d)の序文における「親」への言及を削除することを提案する。この提案は、§312.5(c)(10)にある学校認可の例外案に対応するために、委員会が新たに提案する直接通知要件と整合させるためである。 |
| 4. Additional Notice on the Website or Online Service Where an Operator Has Collected Personal Information Under § 312.5(c)(10) (New Paragraph § 312.4(e)) | 4. 事業者が312.5条(c)(10)に基づき個人情報を収集したウェブサイトまたはオンラインサービスにおける追加通知(新段落312.4条(e) |
| The Commission also proposes adding a separate online notice provision applicable to operators that obtain school authorization to collect personal information from children pursuant to the proposed exception set forth in § 312.5(c)(10). These disclosures are in addition to the requirements of § 312.4(d). The Commission believes these proposed disclosures will convey important information to parents regarding the limitations on an operator's use and disclosure of personal information collected under the school authorization exception, and the school's ability to review that information and request the deletion of such information.[192] | また、委員会は、312.5条(c)(10)に規定される例外案に従って、児童から個人情報を収集する認可を学校から得ている事業者に適用されるオンライン上の通知規定を別途追加することを提案する。これらの開示は、312.4条(d)の要件に追加されるものである。委員会は、これらの開示案が、学校認可の例外の下で収集された個人情報の事業者による使用と開示の制限、およびその情報を確認し、そのような情報の削除を要求する学校の能力に関する重要な情報を保護者に伝えると考える[192]。 |
| C. Parental Consent (16 CFR 312.5) | C. 保護者の同意(16 CFR 312.5) |
| The verifiable parental consent requirement, in combination with the notice provisions, is a fundamental component of the COPPA Rule's ability to protect children's privacy. The Rule requires operators to obtain verifiable parental consent before they collect, use, or disclose a child's personal information.[193] Operators must make “reasonable efforts to obtain verifiable parental consent” and any parental consent method “must be reasonably calculated, in light of available technology, to ensure that the person providing consent is the child's parent.” [194] Although the Rule sets forth a non-exhaustive list of methods that the Commission has recognized as meeting this standard, the Commission encourages operators to develop their own consent mechanisms provided they meet the “reasonably calculated standard” required by § 312.5(b)(1). In addition to the enumerated consent mechanisms listed in § 312.5(b)(2), § 312.5(c) provides several exceptions pursuant to which an operator may collect limited personal information without first obtaining parental consent and, in some cases, without providing notice. | 確認可能な保護者の同意要件は、通知規定と組み合わせて、COPPA規則が児童のプライバシーを保護する能力の基本的な要素である。同規則は、事業者が児童の個人情報を収集、使用、開示する前に、確認可能な親の同意を得ることを求めている[193]。事業者は「確認可能な親の同意を得るための合理的な努力」をしなければならず、親の同意の方法は「利用可能な技術に照らして、同意を提供する人が児童の親であることを確実にするために合理的に計算されたものでなければならない」[194]。 [194] 規則は、委員会がこの標準を満たすと認めた方法の非網羅的リストを定めているが、委員会は、第312.5条(b)(1)が要求する「合理的に計算された標準」を満たすことを条件に、事業者が独自の同意メカニズムを開発することを奨励している。312.5条(b)(2)に列挙された同意の仕組みに加えて、312.5条(c)は、事業者が最初に保護者の同意を得ることなく、場合によっては通知を提供することなく、限定的な個人情報を収集できるいくつかの例外を規定している。 |
| The Commission requested comment in its 2019 Rule Review Initiation on the efficacy of the Rule's consent requirements, including whether the Commission should add to the list of approved methods and whether there are ways to encourage the development of new consent methods. The Commission also requested comment on whether the Commission should consider additional exceptions to the consent requirement, including with respect to the collection of audio files containing a child's voice and in the educational context where a school authorizes the operator to collect personal information. | 委員会は、2019年規則見直し開始において、承認された方法のリストに追加すべきかどうか、新たな同意方法の開発を奨励する方法があるかどうかなど、規則の同意要件の有効性について意見を求めた。また、委員会は、児童の声を含む音声ファイルの収集や、学校が個人情報の収集を事業者に認可している教育的な状況など、同意要件に対する追加の例外を検討すべきかどうかについても意見を求めた。 |
| The Commission proposes modifying the Rule's consent requirements in a number of ways. First, the Commission proposes requiring the operator to obtain separate verifiable parental consent before disclosing personal information collected from a child. The Commission also proposes modifying the consent method set forth in § 312.5(b)(2)(ii) and incorporating into the Rule two previously approved consent mechanisms submitted through the § 312.12(a) voluntary process. Lastly, the Commission proposes modifying the parental consent exceptions set forth in § 312.5(c)(4), (6), and (7) and adding exceptions for where an operator relies on school authorization and for the collection of audio files that contain a child's voice. | 委員会は、規則の同意要件をいくつかの方法で修正することを提案する。第一に、委員会は、児童から収集した個人情報を開示する前に、事業者が検証可能な保護者の同意を別途得ることを義務付けることを提案する。また、委員会は、312.5条(b)(2)(ii)に規定されている同意方法を修正し、312.12条(a)の任意プロセスを通じて提出された、以前に承認された2つの同意メカニズムを規則に組み込むことを提案する。最後に、委員会は、312.5条(c)(4)、(6)および(7)に規定されている保護者の同意の例外を修正し、事業者が学校の認可に頼る場合、および児童の声を含む音声ファイルの収集に関する例外を追加することを提案する。 |
| 1. General Requirements (Paragraph (a)) | 1. 一般要件(パラグラフ(a) |
| Section 312.5(a)(1) provides that an operator must obtain verifiable parental consent before collecting, using, or disclosing personal information from a child. While the Commission does not propose modifications to this paragraph, it seeks to make a clarification. This requirement applies to any feature on a website or online service through which an operator collects personal information from a child. For example, if an operator institutes a feature that prompts or enables a child to communicate with a chatbot or other similar computer program that simulates conversation, the operator must obtain verifiable parental consent before collecting any personal information from a child through that feature. While the Commission is not proposing modifications to this paragraph, it welcomes comment on it. | 第312.5条(a)(1)では、事業者は、児童の個人情報を収集、使用、開示する前に、確認可能な保護者の同意を得なければならないと規定している。委員会は、この段落の修正を提案するものではないが、明確化を求めている。この要件は、ウェブサイトまたはオンラインサービスにおいて、運営者が児童から個人情報を収集するあらゆる機能に適用される。例えば、運営者が、チャットボットまたは会話をシミュレートする他の類似のコンピューター・プログラムとのコミュニケーションを児童に促したり、可能にしたりする機能を機構に組み込む場合、運営者は、その機能を通じて児童から個人情報を収集する前に、確認可能な保護者の同意を得なければならない。委員会は、この段落の修正を提案するものではないが、この段落に関する意見を歓迎する。 |
| Section 312.5(a)(2) currently states that “[a]n operator must give the parent the option to consent to the collection and use of the child's information without consenting to disclosure of his or her personal information to third parties.” The Commission proposes bolstering this requirement by adding that operators must obtain separate verifiable parental consent for disclosures of a child's personal information, unless such disclosures are integral to the nature of the website or online service.[195] Under the proposed language, operators required to obtain separate verifiable parental consent for disclosures may not condition access to the website or online service on such consent. | 312.5条(a)(2)は現在、「事業者は、児童の個人情報をサードパーティに開示することに同意することなく、児童の情報の収集と利用に同意する選択肢を親に与えなければならない」と定めている。委員会は、この要件を強化するため、ウェブサイトやオンラインサービスの性質上、児童の個人情報の開示が不可欠である場合を除き、事業者は、児童の個人情報の開示について、検証可能な親の同意を別途得なければならない[195]と追加することを提案している。提案されている文言では、開示について検証可能な親の同意を別途得る必要がある事業者は、そのような同意をウェブサイトやオンラインサービスへのアクセスの条件にしてはならない。 |
| In the preamble of the 1999 initial COPPA Rule, the Commission noted that “disclosures to third parties are among the most sensitive and potentially risky uses of children's personal information. This is especially true in light of the fact that children lose even the protections of [COPPA] once their information is disclosed to third parties.” [196] The Commission remains concerned about the disclosure of personal information collected from children. Indeed, one commenter noted that “[c]hildren today face surveillance unlike any other generation—their every movement online and off can be tracked by potentially dozens of different companies and organizations.” [197] | 1999年に制定されたCOPPA規則の前文で、委員会は「サードパーティへの開示は、児童の個人情報の用途の中でも最もデリケートで、潜在的にリスクの高いものである。これは、児童たちの情報が第三者に開示されると、(COPPAの)保護さえも失うという事実に照らして、特に真実である。 [196] 委員会は、児童から収集した個人情報の開示について、依然として懸念を抱いている。実際、ある意見提供者は、「今日の児童たちは、他の世代とは異なり、オンライン上でもオフラインでも、その一挙手一投足が監視されている。 児童たちのあらゆる行動は、何十もの異なる企業や組織によって追跡される可能性がある」と述べている。 [197] |
| The Commission believes that information sharing is a pervasive practice. Therefore, the Commission finds it appropriate to provide parents with greater control over the disclosure of their children's information by clarifying that § 312.5(a)(2) requires operators to obtain separate verifiable parental consent for disclosures. This includes disclosure of persistent identifiers for targeted advertising purposes, as well as disclosure of other personal information for marketing or other purposes. The Commission did not seek comment on this particular aspect of the Rule's verifiable parental consent requirements in the 2019 Rule Review Initiation and welcomes comment on this proposed modification. | 委員会は、情報共有は広く浸透している慣行であると考えている。したがって、委員会は、§312.5(a)(2)が、開示について検証可能な親の同意を別途得ることを事業者に義務付けることを明確にすることにより、児童の情報の開示について、より大きなコントロールを親に与えることが適切であると考える。これには、ターゲット広告目的の永続的識別情報の開示や、マーケティングまたはその他の目的のためのその他の個人情報の開示が含まれる。委員会は、2019年規則見直し開始において、規則の検証可能な保護者の同意要件のこの特定の側面に関する意見を求めておらず、この修正案に関する意見を歓迎する。 |
| 2. Methods for Verifiable Parental Consent (Paragraph (b)) | 2. 確認可能な親の同意の方法(パラグラフ(b) |
| The Commission received numerous comments related to the methods by which operators can obtain parental consent. Many commenters criticized particular approved parental consent methods. Some characterized the methods as outdated or counterintuitive.[198] Others complained that the methods failed to serve unbanked or low-income families who may lack access to the means to provide consent, such as a credit card.[199] Some commenters suggested that the use of credit card data and government-issued IDs are too privacy-invasive,[200] while one advocate claimed that the current methods are better indicators of adulthood than parenthood.[201] | 委員会は、事業者が親の同意を得るための方法について、多数の意見を受け取った。多くの意見者は、承認された特定の親権者の同意方法を批判した。中には、その方法が時代遅れであるとか、直感に反しているといった意見もあった[198]。また、その方法は、クレジットカードのような同意を提供する手段を利用できない可能性のある、銀行口座を持たない家庭や低所得の家庭にサービスを提供できていないと不満を述べる者もいた[199]。また、クレジットカードのデータや政府発行のIDの使用はプライバシーに侵しすぎるという意見もあり[200]、一方で、現在の方法は親であることよりも成人であることの指標として優れていると主張する擁護者もいた[201]。 |
| Commenters also expressed concern that the current methods include too much friction, resulting in significant drop-off during the consent process. Commenters noted that this friction discourages operators from creating services that target children or creates an incentive to limit their collection of personal information to avoid triggering COPPA.[202] Consistent with this view, the Network Advertising Initiative stated that “[r]ecognizing that verifiable parental consent mechanisms are challenging and expensive to implement, and result in considerable drop-off, the practical reality is that most ad-tech companies simply seek to avoid advertising to children altogether.” [203] Other commenters warned that cumbersome consent methods can drive children to general audience sites, which may have fewer digital safety and privacy protections in place.[204] | 意見提出者はまた、現行の方法は摩擦が多すぎるため、同意のプロセス中に著しい脱落が生じるという懸念を表明した。このような摩擦は、事業者が児童をターゲットにしたサービスを作る意欲を削いだり、COPPAのトリガーを回避するために個人情報の収集を制限するインセンティブを生み出すと意見した[202]。この見解と一致するように、Network Advertising Initiativeは、「検証可能な保護者の同意メカニズムは、実装が困難でコストがかかり、かなりのドロップオフをもたらすことを認識し、現実的な現実は、ほとんどのアドテク企業が児童への広告を完全に避けようとするだけである」と述べた。 [203]他の意見提出者は、煩雑な同意方法は、デジタル・セーフティとプライバシー保護がより少ない可能性のある一般視聴者向けサイトに児童を誘導する可能性があると警告している[204]。 |
| Some commenters suggested modifying existing consent methods or adding new ones. For example, several recommended that the Commission eliminate the need for a monetary transaction when an operator obtains consent through a credit or debit card or an online payment system where the system provides notification of transactions that do not involve a charge.[205] Some recommended modifying the Rule to allow for the use of text messages to obtain consent. Those commenters noted that text messages are a common alternative to email for verification purposes and argued that text message-based consent is no weaker than consent initiated through the collection of an email address.[206] | 既存の同意方法を修正したり、新しい同意方法を追加したりすることを提案する意見もあった。たとえば、事業者がクレジットカードやデビットカード、またはシステムが課金を伴わない取引の通知を提供するオンライン決済システムを通じて同意を取得する場合、金銭的な取引の必要性を排除するよう委員会に提案する意見もあった[205]。また、同意を取得するためにテキストメッセージを使用できるように規則を修正するよう提案する意見もあった。これらの意見提出者は、テキスト・メッセージは検証目的の電子メールに代わる一般的な手段であると指摘し、テキスト・メッセージに基づく同意は、電子メールアドレスの収集を通じて開始される同意より弱いものではないと主張した[206]。 |
| Other commenters called for the Commission to add to the list of approved consent methods. They recommended allowing the use of fingerprint or facial recognition technologies that already exist in parents' mobile devices,[207] voice recognition technology currently used in the online banking context,[208] and a variety of other technologies and tools.[209] | 他の意見提出者は、委員会が承認された同意方法のリストに追加することを求めた。彼らは、保護者の携帯端末に既に存在する指紋や顔認識技術[207]、オンラインバンキングの文脈で現在使用されている音声認識技術[208]、その他様々な技術やツールの使用を認めることを推奨した[209]。 |
| Several commenters recommended that the Commission encourage platforms to participate in the parental consent process.[210] One suggested that platforms could provide notifications to the consenting parent about the intended collection, use, or disclosure of the child's personal information.[211] Another suggested that parents would be more likely to engage with platforms than to provide consent on a service-by-service basis.[212] | 何人かの意見提出者は、委員会がプラットフォームに対して、親の同意プロセスへの参加を奨励することを推奨した[210]。ある者は、児童の個人情報の収集、使用、開示の意図について、同意した親にプロバイダが通知を提供することを提案した[211]。また、別の者は、サービスごとに同意を提供するよりも、保護者がプラットフォームと関わる可能性の方が高いだろうと提案した[212]。 |
| Commenters also recommended different procedural steps the Commission could undertake. These include such things as the Commission using its authority to conduct studies on the costs and benefits of different consent methods,[213] streamlining the Rule's current 120-day comment period on applications for new parental consent methods,[214] and convening stakeholder meetings to explore effective solutions.[215] | 意見提出者はまた、委員会が行うことができるさまざまな手続き上のステップを推奨した。これらには、委員会がその認可を利用してさまざまな同意方法のコストと便益に関する調査を実施すること[213]、新たな保護者の同意方法の申請に関する規則の現行の120日間の意見期間を合理化すること[214]、効果的な解決策を検討するための関係者会議を開催すること[215]などが含まれる。 |
| After reviewing these comments, the Commission continues to believe that the Rule's current approach to verifiable parental consent is appropriate and sound. With respect to the more general concerns that COPPA's consent methods create “friction,” the Commission stresses that COPPA requires a balance between facilitating consent mechanisms that are not prohibitively difficult for operators or parents, while also ensuring that it is a parent granting informed consent, rather than a child circumventing the process. In response to commenters indicating that this friction has discouraged operators from creating services or caused operators to change their practices, the Commission welcomes the development of methods that prove less cumbersome for operators while still meeting COPPA's statutory requirements. | これらの意見を検討した結果、委員会は、検証可能な保護者の同意に対する規則の現在のアプローチは適切かつ健全であると引き続き考えている。COPPAの同意方法が「摩擦」を生むという、より一般的な懸念に関して、委員会は、COPPAが、事業者や親にとって法外に困難ではない同意の仕組みを促進する一方で、児童がプロセスを回避するのではなく、親が十分な情報を得た上で同意を与えることを保証することの間でバランスをとることを求めていることを強調する。このような摩擦が事業者のサービス創作意欲を削いだり、事業者の慣行を変更させたりしているとの意見に対し、委員会は、COPPAの法定要件を満たしつつも、事業者にとって煩雑でないことを証明する方法の開発を歓迎する。 |
| As to the more specific criticisms of the approved consent mechanisms set forth in the Rule, the Commission notes that operators are not obligated to use any of those methods.[216] Rather, operators are free to develop and use any method that meets the standard contained in § 312.5(b)(1) and to tailor their approach to their own individual situation. | 規則で承認された同意の仕組みに対するより具体的な批判については、委員会は、事業者がこれらの方法のいずれかを使用する義務はないことに留意する[216]。むしろ、事業者は、312.5条(b)(1)に含まれる標準を満たす方法を自由に開発し使用することができ、また、個々の状況に合わせてアプローチを調整することができる。 |
| While it is possible that some of the suggested methods could meet the § 312.5(b)(1) requirement, the Commission does not believe the comments contain sufficient detail or context for it to propose adding these additional consent methods at this time. The Commission welcomes further explanation detailing the necessity and practicality of any recommended new consent method, including how it would satisfy the Rule's requirements. This could come in the form of additional comments or through the voluntary approval process provided in § 312.12(a) of the Rule. | 提案された方法の一部が§312.5(b)(1)の要件を満たす可能性はあるが、委員会は、現時点でこれらの同意方法の追加を提案するのに十分な詳細や背景が、意見には含まれていないと考えている。委員会は、推奨される新たな同意方法の必要性と実用性について、それがどのように規則の要件を満たすかを含め、さらなる説明を歓迎する。これは、追加意見の形で、または規則第312.12条(a)に規定されている任意承認プロセスを通じて行うことができる。 |
| At the same time, the Commission agrees that platforms could play an important role in the consent process, and the Commission has long recognized the potential of a platform-based common consent mechanism.[217] The Commission would also welcome further information on the role that platforms could play in facilitating the obtaining of parental consent. In particular, the Commission would be interested in any potential benefits platform-based consent mechanisms would create for operators and parents and what specific steps the Commission could take to encourage development of such mechanisms. | 同時に、委員会は、プラットフォームが同意プロセスにおいて重要な役割を果たし得ることに同意しており、委員会は、以前からプラットフォームを基盤とした共通の同意メカニズムの可能性を認識している[217]。また、委員会は、保護者の同意の取得を促進する上でプラットフォームが果たしうる役割について、さらなる情報を歓迎する。特に、プラットフォームベースの同意メカニズムが事業者と保護者にもたらす潜在的なメリットや、そのようなメカニズムの開発を奨励するために委員会が取り得る具体的な措置について、委員会は関心を抱いている。 |
| The Commission also agrees with the recommendation that it modify the Rule to eliminate the monetary transaction requirement when an operator obtains consent through a parent's use of a credit card, debit card, or an online payment system. As one commenter noted, many of these payment mechanisms provide a means for the account holder to receive notification of every transaction, even those that cost no money, such as a free mobile app download.[218] In addition, many operators offer their apps or other online services at no charge. Requiring such operators to charge the parent a fee when seeking consent undercuts their ability to offer the service at no cost. Further, the Commission understands that some consumers might be hesitant to complete consent processes when they will incur even a nominal monetary charge. | また、委員会は、事業者がクレジットカード、デビットカード、オンライン決済システムを利用して親の同意を得る場合、金銭的な取引要件を撤廃するよう規則を修正するという勧告にも同意する。ある意見提供者が指摘したように、これらの支払メカニズムの多くは、無料のモバイルアプリのダウンロードのような金銭のかからないものであっても、アカウント保有者がすべての取引の通知を受け取る手段を提供している[218]。そのような事業者が同意を求める際に親に手数料を請求することは、無料でサービスを提供する能力を損なうことになる。さらに、わずかな金額であっても手数料が発生するとなれば、同意手続きを行うことをためらう消費者がいることも、委員会は理解している。 |
| In proposing this modification, the Commission notes that it had previously determined that a monetary transaction was necessary for this form of consent.[219] At that time, the Commission reasoned that requiring a monetary transaction would increase the method's reliability because the parent would receive a record of the transaction. This would provide the parent notice of purported consent, which, if improperly given, the parent could then withdraw. Because § 312.5(b)(2)(ii), as proposed to be modified, would still require notice of a discrete transaction, even where there is no monetary charge, the Commission believes this indicia of reliability is preserved. Where a payment system cannot provide notice absent a monetary charge, an operator will not be able to obtain consent through this method. | この変更を提案するにあたり、委員会は、以前、この形式の同意には金銭取引が必要であると決定していたことを指摘している[219]。当時、委員会は、金銭的な取引が必要であれば、親が取引の記録を受け取ることになるため、この方法の信頼性が高まると考えていた。これによって、親は、不適切な同意がなされた場合、それを撤回することができる。修正提案された312.5条(b)(2)(ii)は、金銭的請求がない場合でも、個別の取引に関する通知を要求しているため、委員会は、この信頼性の指標は維持されると考えている。支払システムが、金銭的請求がない場合に通知を提供できない場合、事業者はこの方法で同意を得ることはできない。 |
| The Commission also agrees with the recommendation to modify the Rule to allow the use of text messages to obtain consent. As discussed in Part IV.A.1., the Commission believes this is achieved through its proposed modification to the “online contact information” definition.[220] Therefore, the Commission does not propose modifying § 312.5(b)(2)(ii) to address this recommendation. | 委員会はまた、同意の取得にテキストメッセージを使用できるように規則を修正するという勧告にも同意する。パートIV.A.1.で説明したように、委員会は、「オンライン連絡先情報」の定義の修正案により、これが達成されると考えている[220]。したがって、委員会は、この勧告に対応するために、312.5条(b)(2)(ii)の修正を提案しない。 |
| In addition to the modification to § 312.5(b)(2)(ii), the Commission also proposes adding two parental consent methods to § 312.5(b). These methods are knowledge-based authentication and the use of facial recognition technology. The Commission approved both methods pursuant to the § 312.12(a) process created from the 2013 Amendments.[221] | 312.5条(b)(2)(ii)の修正に加えて、委員会は、312.5条(b)に2つの親権者の同意方法を追加することも提案する。これらの方法は、知識ベース認証と顔認識技術の使用である。委員会は、2013年改正から創設された312.12条(a)のプロセスに従って、両方の方法を承認した[221]。 |
| 3. Exceptions to Prior Parental Consent (Paragraph (c)) | 3. 親の事前同意の例外(第(c)項) |
| The Commission also received numerous comments regarding possible additional exceptions to the Rule's parental consent requirement. The majority of the commenters addressing this issue focused on whether the Commission should allow schools to authorize data collection, use, and disclosure in certain circumstances rather than requiring ed tech operators to obtain parental consent. A smaller number of commenters addressed whether the Commission should codify in the Rule its existing enforcement policy statement regarding the collection of audio files. In addition, several commenters recommended that the Commission expand the Rule's current one-time use exception. | 委員会はまた、規則の親権者の同意要件に対する追加的な例外の可能性について、多数の意見を受け取った。この問題を取り上げた意見提出者の大半は、エドテック事業者に保護者の同意を得ることを義務付けるのではなく、特定の状況において学校がデータの収集、使用、開示を認可することを委員会が認めるべきかどうかに焦点を当てたものであった。少数の意見提出者は、委員会が音声ファイルの収集に関する既存の施行方針声明を規則に成文化すべきかどうかを取り上げた。さらに、何人かの意見提出者は、委員会に対し、同規則の現行の1回限りの使用の例外を拡大するよう勧告した。 |
| The Commission proposes creating exceptions for where an operator relies on school authorization and for the collection of audio files that contain a child's voice. The Commission also proposes a modification to § 312.5(c)(7), which relates to the support for the internal operations exception, to align with proposed new requirements.[222] Additionally, Commission proposes a modification to § 312.5(c)(4) to exclude from this exception the use of push notifications to encourage or prompt use of a website or online service. Finally, the Commission proposes technical modifications to § 312.5(c)(6). At this time, the Commission does not propose expanding the Rule's current one-time use exception. | 委員会は、事業者が学校の認可に頼る場合、および児童の声を含む音声ファイルの収集に関する例外を設けることを提案している。また、委員会は、提案されている新しい要件に合わせるため、内部業務のサポート例外に関連する312.5条(c)(7)の修正を提案する[222]。さらに、委員会は、ウェブサイトまたはオンラインサービスの利用を奨励または促すためのプッシュ通知の使用をこの例外から除外するため、312.5条(c)(4)の修正を提案する。最後に、委員会は、312.5条(c)(6)の技術的修正を提案する。現時点では、委員会は、現行の規則の1回限りの使用の例外を拡大することを提案しない。 |
| a. School Authorization Exception | a. 学校認可の例外 |
| In response to the Commission's initial proposed COPPA Rule in 1999, stakeholders expressed concern about how the Rule would apply to the use of websites and online services in schools. Some of these commenters claimed that requiring parental consent to collect students' information could interfere with classroom activities.[223] In response, the Commission noted in the final Rule's preamble “that the Rule does not preclude schools from acting as intermediaries between operators and parents in the notice and consent process, or from serving as the parents' agent in the process.” [224] It further stated, “where an operator is authorized by a school to collect personal information from children, after providing notice to the school of the operator's collection, use, and disclosure practices, the operator can presume that the school's authorization is based on the school's having obtained the parent's consent.” [225] Since that time, Commission staff has provided additional guidance on this issue through its “Complying with COPPA: Frequently Asked Questions” document (“COPPA FAQs”), which specifies that an operator may rely on school consent when it collects a child's personal information provided the operator uses the information for an educational purpose and for “no other commercial purpose.” [226] The Commission has since issued a policy statement on COPPA's application to ed tech providers, similarly noting that operators of ed tech that collect personal information pursuant to school authorization are prohibited from using such information for any commercial purpose, including marketing, advertising, or other commercial purposes unrelated to the provision of the school-requested online service.[227] | 1999年に委員会が最初に提案したCOPPA規則に対して、関係者は、この規則が学校でのウェブサイトやオンラインサービスの利用にどのように適用されるかについて懸念を表明した。このような意見の中には、生徒の情報を収集するために保護者の同意を必要とすることは、授業の妨げになると主張するものもあった[223]。これに対し、委員会は最終規則の前文で、「この規則は、通知と同意のプロセスにおいて、学校が事業者と保護者の仲介役を務めること、またはそのプロセスにおいて保護者の代理人を務めることを妨げるものではない」と述べている[224]。 [224]さらに、「事業者が、事業者の収集、利用、開示の慣行について学校に通知した後、学校から児童から個人情報を収集する認可を受けた場合、事業者は、学校の認可が、学校が親の同意を得たことに基づいていると推定することができる」と述べている。 [225]それ以来、委員会のスタッフは、"Complying with COPPA: 同文書では、事業者が児童の個人情報を収集する場合、その情報を教育目的に使用し、「その他の商業目的には使用しない」ことを条件に、学校の同意に頼ることができると明記している。 [226]。その後、委員会は、教育技術プロバイダへのCOPPAの適用に関する政策声明を発表し、同様に、学校の認可に従って個人情報を収集する教育技術プロバイダは、マーケティング、広告、または学校が要求するオンラインサービスの提供とは無関係なその他の商業目的を含む、いかなる商業目的にもかかる情報を使用することを禁じられていると指摘している[227]。 |
| In recent years there has been a significant expansion of ed tech used in both classrooms and in the home.[228] This expansion, in the form of students' increased access to school-issued computers and online learning curricula, raised questions about ed tech providers' compliance with the Rule as well as calls for additional guidance on how COPPA applies in the school context. Stakeholders also questioned how COPPA obligations relate to those operators subject to FERPA, the federal law that protects the privacy of “education records,” and its implementing regulations.[229] | 近年、教室と家庭の両方で使用されるEd Techが大幅に拡大している[228]。この拡大は、生徒が学校支給のコンピュータやオンライン学習カリキュラムにアクセスする機会を増やすという形で、Ed Techプロバイダの規則遵守について疑問を呈し、COPPAが学校の文脈でどのように適用されるかについての追加ガイダンスを求める声を上げた。関係者はまた、COPPAの義務が、「教育記録」のプライバシーを保護する連邦法であるFERPAとその施行規則の対象となる事業者にどのように関係するのかについても疑問を呈した[229]。 |
| In 2017, the FTC and the Department of Education hosted a workshop on student privacy and ed tech to explore these questions.[230] Through the discussions at the workshop, the Commission gathered information that helped inform the questions posed in the 2019 Rule Review Initiation regarding the application of the COPPA Rule to the education context. The Commission asked whether it should modify the Rule to add an exception to the parental consent requirement where the school provides authorization and, if so, whether the exception should mirror the requirements of FERPA's “school official exception.” [231] The Commission also asked for comment on various aspects of a school authorization exception, including how student data could be used, who at the school should be able to provide consent, and notice to parents.[232] | 2017年、FTCと教育省は、このような疑問を探るために、学生のプライバシーとEd Techに関するワークショップを開催した[230]。ワークショップでの議論を通じて、委員会は、教育文脈へのCOPPA規則の適用に関して、2019年の規則見直し開始で提起された質問に役立つ情報を収集した。委員会は、学校が認可を提供する場合、保護者の同意要件に例外を追加するために規則を修正すべきかどうか、もしそうであれば、その例外はFERPAの「学校関係者の例外」の要件を反映すべきかどうかを尋ねた。 [231]また、委員会は、生徒データの利用方法、学校の誰が同意を提供できるか、保護者への通知など、学校による認可の例外の様々な側面について意見を求めた[232]。 |
| i. Whether To Include a School Authorization Exception in the Rule | i. 学校認可の例外を規則に含めるかどうか |
| Numerous commenters representing industry and schools, along with some consumer groups, expressed support for codifying a school authorization exception in the Rule so long as such exception is consistent with FERPA and its implementing regulations. That is, where there is a legitimate educational interest to collect the child's data, the school maintains direct control of the data, and the operator uses the data only as permitted by the school and complies with disclosure limits.[233] | 業界および学校を代表する多数の意見者および一部の消費者団体は、FERPAおよびその施行規則に沿った例外である限り、学校認可の例外を規則に成文化することを支持すると表明した。すなわち、児童のデータを収集する正当な教育的利益があり、学校がデータの直接管理者を維持し、事業者が学校によって許可された場合にのみデータを使用し、開示制限を遵守する場合である[233]。 |
| In supporting such an exception, several of these commenters raised concerns that requiring schools to obtain consent from parents would be burdensome and costly for schools.[234] These commenters claimed that the burden would include obtaining parental consent as well as providing curriculum to students whose parents did not consent to the use of the ed tech program.[235] | このような例外を支持する中で、これらの意見のうちの何人かは、保護者の同意を得ることを学校に義務付けることは、学校にとって負担とコストがかかるという懸念を提起した[234]。これらの意見提出者は、その負担には、保護者の同意を得ることと、保護者がEDプログラムの使用に同意していない生徒にカリキュラムをプロバイダとして提供することが含まれると主張した[235]。 |
| Commenters also raised concerns about requiring ed tech providers to obtain verifiable parental consent from parents. For example, commenters expressed concern that requiring operators to obtain parental consent would require operators to collect additional personal information from parents, much of which is not necessary to provide the educational service, which contradicts data minimization principles.[236] One commenter argued that requiring parents to consent would lead to “consent fatigue,” [237] while another commenter explained that operators often do not have a direct touchpoint with parents that could facilitate the consent process.[238] | また、意見提出者は、プロバイダが保護者から確認可能な保護者の同意を得ることを義務付けることについても懸念を示した。例えば、意見提出者は、保護者の同意を得ることをプロバイダに義務付けることは、教育サービスを提供するために必要でない多くの個人情報を保護者から追加で収集することになり、データ最小化の原則に反すると懸念を表明した[236]。ある意見提出者は、保護者の同意を義務付けることは「同意疲れ」[237]につながると主張し、別の意見提出者は、同意のプロセスを促進できるような保護者との直接的な接点を持っていないことが多いと説明した[238]。 |
| The Illinois Council of School Attorneys argued that schools are often in a better position than parents to evaluate ed tech products.[239] They also pointed to privacy protections in the FERPA school official exception including the requirement that the school maintain direct control of the data and the operator use the data for only limited, authorized purposes.[240] Finally, in supporting a school authorization exception, some commenters stated that numerous operators have built up their consent process in reliance on the Commission's existing guidance indicating that COPPA permits schools to provide consent for educational purposes.[241] | Illinois Council of School Attorneys(イリノイ州学校弁護士協議会)は、学校は保護者よりもエドテック製品を評価しやすい立場にあることが多いと主張した[239]。また、学校がデータを直接管理し、事業者が限定された認可された目的のみにデータを使用するという要件を含む、FERPAの学校関係者例外におけるプライバシー保護を指摘した[240]。最後に、学校認可例外を支持する意見者の中には、COPPAが教育目的のために学校に同意を提供することを認めていることを示す委員会の既存のガイダンスに依拠して、多くの事業者が同意プロセスを構築していると述べた者もいた[241]。 |
| However, not all commenters supported a school authorization exception, with several consumer groups, parent organizations, and government representatives raising various concerns.[242] For example, a coalition of consumer groups argued that a COPPA exception aligned with FERPA would not adequately protect children because FERPA fails to provide a clear standard for when a party has a “legitimate educational interest” as required by the school official exception. The coalition also claimed that schools fail to adequately inform parents about the use of FERPA's school official exception and that most schools are ill-equipped to properly vet the privacy and security practices of ed tech services.[243] Another advocacy organization cited statistics purportedly showing that schools do not comply with the school official exception.[244] | しかし、すべての意見提出者が学校認可例外を支持したわけではなく、いくつかの消費者団体、保護者団体、政府代表者がさまざまな懸念を表明した[242]。 たとえば、消費者団体の連合は、FERPAが学校関係者例外で必要とされる「正当な教育的利益」を当事者が有する場合の明確な標準を提供していないため、FERPAに沿ったCOPPA例外では児童を適切に保護できないと主張した。同連合はまた、学校はFERPAの学校関係者例外の使用について保護者に十分な情報を提供しておらず、ほとんどの学校はエドテック・サービスのプライバシーとセキュリティの実践を適切に審査する能力を備えていないと主張している[243]。別の擁護団体は、学校が学校関係者例外を遵守していないことを示すとされる統計を引用している[244]。 |
| A number of individual parents also opposed the exception. These individuals emphasized that parents should retain the ability afforded to them under COPPA to provide consent to collect, use, and share their children's data.[245] One parent noted that over 400 ed tech providers had access to her child's data, and that she is unable to understand what information was shared with each provider.[246] These parents noted that school districts should not be able to provide consent to ed tech providers on their behalf,[247] and further noted that including such an exception would weaken COPPA rather than strengthen it.[248] | また、多くの保護者個人も例外に反対した。これらの個人は、COPPAの下で保護者に与えられている、児童のデータを収集、使用、共有することに同意を提供する能力を保持すべきだと強調した[245]。ある保護者は、400以上の教育技術プロバイダが自分の児童のデータにアクセスし、各プロバイダとどのような情報が共有されたのか理解できないと指摘した[246]。これらの保護者は、学区が自分たちに代わってエドテックプロバイダに同意を提供すべきではないと指摘し[247]、さらにそのような例外を含めることはCOPPAを強化するどころか弱めることになると指摘した[248]。 |
| Another concern raised was that such an exception could ultimately swallow the Rule.[249] For instance, in a joint comment of multiple State Attorneys General, the Attorneys General cited the incredible growth in ed tech and noted the technologies are not cabined to the classroom but are often encouraged to be used by students at home, and sometimes for non-educational purposes. The Attorneys General argued that, because the use of ed tech is often mandatory for students, an exception to COPPA's parental consent requirement would force parents to choose between education and their children's online privacy.[250] | 例えば、複数の州の検事総長の共同意見において、検事総長はエドテックの驚異的な成長を挙げ、その技術は教室に限定されるものではなく、しばしば生徒が家庭で、時には教育以外の目的で使用することが奨励されていると指摘した[249]。検事総長は、Ed Techの使用は生徒にとって必須であることが多いため、COPPAの保護者の同意要件の例外は、保護者に教育と児童のオンラインプライバシーのどちらかを選択することを強いることになると主張した[250]。 |
| While opposing a school authorization exception, the Parent Coalition for Student Privacy argued that if the Commission decides to create one, its applicability should be limited in scope. Specifically, the Coalition argued that schools should not be able to consent to the collection of particularly sensitive data, such as medical or geolocation information.[251] | Parent Coalition for Student Privacyは、学校認可の例外に反対する一方で、委員会が例外を設けることを決定した場合、その適用範囲は限定されるべきであると主張した。具体的には、同連合は、医療情報や地理位置情報のような特にセンシティブなデータの収集に学校が同意できるようにすべきではないと主張した[251]。 |
| After careful consideration of the comments, the Commission proposes codifying in the Rule its long-standing guidance that schools, State educational agencies, and local educational agencies may authorize the collection of personal information from students younger than 13 in very limited circumstances; specifically, where the data is used for a school-authorized education purpose and no other commercial purpose.[252] | 意見を慎重に検討した結果、委員会は、学校、州教育機関、および地方教育機関が13歳未満の生徒の個人情報の収集を認可できるのは、非常に限定された状況においてであり、具体的には、そのデータが学校によって認可された教育目的のために使用され、それ以外の商業的な目的がない場合である、という長年のガイダンスを規則に成文化することを提案している[252]。 |
| When a child goes to school, schools have the ability to act in loco parentis under certain circumstances. This is particularly the case when schools are selecting the means through which the schools and school districts can achieve their educational purposes, such as when deciding which educational technologies to use in their classrooms. The Commission finds compelling the concern that requiring parental consent in the educational context would impose an undue burden on ed tech providers and educators alike. As an initial matter, many ed tech providers have relied upon and structured their consent mechanisms based on the Commission's existing guidance. Requiring providers to reconfigure their systems to obtain parental consent directly from parents would undoubtedly create logistical problems that could increase costs and potentially dissuade some ed tech providers from offering their services to schools.[253] | 児童が学校に通う場合、一定の状況下では、学校は親代わりとして行動することができる。特に、学校と学区が教育目的を達成するための手段を学校が選択する場合、例えば、教室で使用する教育技術を決定する場合などである。委員会は、教育的文脈で保護者の同意を義務付けることは、エドテックのプロバイダや教育者に過度の負担を課すことになるという懸念に説得力を見出す。まず第一に、多くの教育技術プロバイダは、委員会の「保護者の同意」に基づき、同意の仕組みを構築している。 の仕組みを構築してきた。保護者から直接保護者の同意を得るためにプロバイダにシステムの再設定を要求することは、間違いなく物流上の問題を引き起こし、コストを増加させ、一部のエドテック・プロバイダーが学校へのサービス提供を思いとどまる可能性がある[253]。 |
| The need for parental consent is also likely to interfere with educators' curriculum decisions. As a practical matter, obtaining consent from the parents of every student in a class often will be challenging, in many cases for reasons unrelated to privacy concerns. In situations where some number of parents in a class decline to consent to their children's use of ed tech, schools would face the prospect of foregoing particular services for the entire class or developing a separate mechanism for those students whose parents do not consent. Because the proposed school authorization exception restricts an operator's use of children's data to a school-authorized education purpose and precludes use for commercial purposes such as targeted advertising, it may ultimately be more privacy-protective than requiring ed tech providers to obtain consent from parents. | また、保護者の同意の必要性は、教育者のカリキュラム決定の妨げになる可能性も高い。現実的な問題として、クラスの生徒全員の保護者から同意を得ることは、多くの場合、プライバシーの問題とは無関係な理由で、困難であることが多い。クラス内の何人かの保護者が、児童たちのEDテック利用への同意を拒否した場合、学校は、クラス全体に対する特定のサービスを見送るか、保護者が同意しない生徒のために別の仕組みを開発することになる。学校認可例外案は、事業者による児童のデータ利用を学校が認可した教育目的に限定し、ターゲット広告のような商業目的での利用を排除しているため、結局のところ、EDテックプロバイダに保護者からの同意を求めるよりもプライバシー保護につながる可能性がある。 |
| Finally, the proposed school authorization exception requires that the ed tech provider and the school have in place a written agreement setting forth the exception's requirements.[254] This includes identifying who from the school may provide consent and attesting that such individual has the authority to provide consent; the limitations on the use and disclosure of student data; the school's control over the use, disclosure, and maintenance of the data; and the operator's data retention policy. Accordingly, the proposed exception incorporates the privacy protections contained in the FERPA school official exception. This exception also builds on FERPA's protections by incorporating the Commission's existing prohibition on the use of student data for non-educational commercial purposes. | 最後に、提案されている学校認可の例外は、ITプロバイダと学校が、例外の要件を定めた書面による合意をすることを求めている[254]。これには、学校の誰が同意を提供できるかを特定し、その個人が同意を提供する権限を有することを証明すること、生徒データの使用と開示の制限、データの使用、開示、保守に対する学校の管理、事業者のデータ保持方針が含まれる。従って、この例外案は、FERPAの学校関係者の例外に含まれるプライバシー保護を組み込んでいる。また、この例外は、教育目的以外の商業目的での学生データの使用に関する委員会の既存の禁止事項を取り入れることにより、FERPAの保護を強化するものである。 |
| ii. Permitted Use of Data Collected Through the School Authorization Exception | ii. 学校認可の例外を通じて収集されたデータの許可された使用 |
| Existing staff guidance indicates that, where the school authorizes data collection, an operator may only use children's data for an educational purpose and for no other commercial purpose.[255] However, there has been confusion around the parameters of what constitutes an “educational purpose” as opposed to a “commercial purpose.” [256] Many of the commenters that support a school authorization exception to parental consent called on the Commission to clarify the permissible uses of data collected under such an exception.[257] In an effort to seek further clarity, commenters suggested specific uses that the Commission should explicitly allow or exclude under the exception.[258] | 既存の職員ガイダンスによると、学校がデータ収集を認可している場合、事業者は児童のデータを教育目的のみに使用することができ、それ以外の商業目的には使用できない[255]。しかし、何が「営利目的」ではなく「教育目的」を構成するのかというパラメータについては混乱がある。 [256] 保護者の同意に対する学校認可の例外を支持する意見提出者の多くは、そのような例外の下で収集されたデータの許容される用途を明確にするよう委員会に求めた[257]。さらなる明確化を求める努力として、意見提出者は、委員会が例外の下で明示的に許可または除外すべき具体的な用途を提案した[258]。 |
| Among these commenters, there was general agreement that the exception should not permit ed tech providers to use student data for marketing purposes, such as serving personalized advertisements.[259] The comments reflected less consensus on the question of whether to allow operators to engage in product improvement or development. Some commenters favored allowing product improvement or development under limited circumstances. For example, Lego recommended that the exception allow operators to use aggregated or anonymized data to improve existing products or develop new products that would benefit students.[260] The 5Rights Foundation similarly noted that, if the Commission were to allow operators to use student data to improve products, the student information must be “de-identified and de-identifiable,” cannot be shared with third parties, and must be limited to use for improving educational products only.[261] | これらの意見提出者の間では、個別化された広告の配信など、マーケティング目的で生徒データを利用することを教育機関プロバイダが例外的に認めるべきでないという点で、概ね意見が一致していた[259]。一部の意見提出者は、限定された状況下での製品の改良または開発を認めることに賛成した。例えば、レゴ社は、既存の製品を改善したり、学生のためになる新製品を開発したりするために、事業者が集計または匿名化されたデータを使用することを例外的に認めることを推奨した[260]。5Rights Foundationも同様に、委員会が製品を改善するために事業者が学生データを使用することを認める場合、学生情報は「非識別および非特定」でなければならず、サードパーティと共有することはできず、教育製品の改善のみに使用するよう制限されなければならないと指摘した[261]。 |
| In contrast, some commenters strongly opposed allowing product improvement absent verifiable parental consent. For example, EPIC argued that product improvement would allow ed tech vendors “to create virtual laboratories in schools to study child behavior and further develop commercial products for profit, unbeknownst to parents.” [262] Others raised similar objections,[263] including parents who stated that the Commission should prohibit the use of student data to improve or develop new products or services.[264] | 対照的に、保護者の同意が確認できない場合、製品の改善を許可することに強く反対する意見もあった。例えば、EPICは、製品改善によって、「保護者に知られることなく、児童の行動を研究し、利益を得るために商業製品をさらに開発するためのバーチャルな研究室を学校に作ることができる」と主張した。 [262] その他にも、同様の反対意見[263]を挙げる保護者がおり、その中には、委員会は、新製品や新サービスを改善したり開発したりするために、生徒のデータを使用することを禁止すべきだと述べる保護者もいた[264]。 |
| In discussing the appropriate use of student data, several commenters suggested that the Commission adopt an approach similar to the treatment of activities that fall under the COPPA Rule's definition of “support for the internal operations of the website or online service.” This approach would allow ed tech providers to use student data for “analytics, content personalization, and product development, maintenance, and improvement uses that benefit students and schools” but not for activities such as personalized marketing.[265] | 生徒データの適切な使用について議論する中で、複数の意見提出者は、COPPA規則の "ウェブサイトまたはオンラインサービスの内部運営のサポート "の定義に該当する活動の扱いと同様のアプローチを委員会が採用することを提案した。このアプローチでは、ITプロバイダが「分析、コンテンツのパーソナライゼーション、生徒や学校に利益をもたらす製品開発、保守、改善」のために生徒データを使用することは認めるが、パーソナライズされたマーケティングのような活動には使用しないことになる[265]。 |
| The Commission believes that it should tailor the proposed school exception narrowly while ensuring its practicality for schools and operators. The Commission agrees with the commenters asserting that the use or disclosure of student data for marketing purposes should fall outside the school authorization exception. Indeed, this view is consistent with staff's guidance that schools can consent to the collection of student data for educational purposes but not for other commercial purposes, such as marketing and advertising.[266] | 委員会は、学校と事業者にとっての実用性を確保しつつ、提案されている学校の例外を狭く調整すべきであると考えている。委員会は、マーケティング目的での学生データの使用や開示は、学校認可の例外から外れるべきであると主張する意見に同意する。実際、この見解は、学校は教育目的の生徒データ収集には同意できるが、マーケティングや広告などの他の商業目的には同意できないというスタッフのガイダンスと一致している[266]。 |
| The Commission also agrees with those commenters recommending that the school authorization exception should allow operators to engage in limited product improvement and development, provided certain safeguards are in place. The Commission believes that allowing providers to make ongoing improvements to the educational services the school has authorized benefits students and educators, and that user data may be necessary to identify and remedy a problem or “bug” in a product or service. Therefore, in contrast to general marketing, product improvement and development can be viewed as part of providing an educational purpose rather than engaging in an unrelated commercial practice. | 委員会はまた、学校認可の例外は、一定の保護措置が講じられることを条件に、事業者が限定的な製品改善・開発に従事することを認めるべきであるという意見に同意する。委員会は、プロバイダが、学校が認可した教育サービスに対して継続的な改善を行うことを認めることは、生徒と教育者にとって有益であり、また、ユーザーデータは、製品やサービスの問題や「バグ」を特定し、改善するために必要であると考える。したがって、一般的なマーケティングとは対照的に、製品の改善と開発は、無関係な商業行為に従事するのではなく、教育目的の提供の一部とみなすことができる。 |
| That said, the Commission is mindful of the concerns that allowing such uses, particularly product development, could open the door to ed tech providers exploiting the exception. To address these concerns, the Commission proposes that the Rule's definition of a “school-authorized education purpose” include product improvement and development (as well as other uses related to the operation of the product, including maintaining, supporting, or diagnosing the service), provided the use is directly related to the service the school authorized. This would permit operators to improve the service, for example by fixing bugs or adding new features, or develop a new version of the service. An operator may not use the information it collected from one educational service to develop or improve a different service. | とはいえ、委員会は、このような利用、特に製品開発を認めると、ITプロバイダが例外を悪用する可能性があるという懸念に留意している。こうした懸念に対処するため、委員会は、規則における「学校が認可した教育目的」の定義に、学校が認可したサービスに直接関連する使用であれば、製品の改良・開発(サービスの保守、サポート、診断など、製品の運用に関連するその他の使用も含む)を含めることを提案している。この場合、運営者は、例えばバグの修正や新機能の追加など、サービスの改善や新バージョンの開発を行うことができる。事業者は、ある教育サービスから収集した情報を、別のサービスの開発や改善に使用することはできない。 |
| The Commission believes that limiting product improvement and development in this way will allow ed tech providers to provide better services while helping to safeguard against the use of student data for non-educational purposes. We also believe that this proposed approach is consistent with the requirement under FERPA's school official exception that a school have a “legitimate educational interest” to share personal information without parental consent. | 委員会は、このように製品の改善や開発を制限することで、教育以外の目的で生徒のデータが使用されないよう保護しつつ、教育技術プロバイダがより良いサービスを提供できるようになると考えている。また、この提案された方法は、FERPAの学校関係者例外規定が定める、保護者の同意なしに個人情報を共有するための「正当な教育的利益」を学校が有するという要件とも一致すると考える。 |
| The Commission does not agree with the commenters that recommended aligning the permissible uses of data collected under the school authorization exception with the Rule's support for the internal operations exception. The two exceptions serve different purposes, and the activities within the support for the internal operations definition are generally unnecessary for and unrelated to the provision of an educational purpose.[267] | 委員会は、学校認可例外の下で収集されたデータの許容される用途を、規則による内部業務例外のサポートと整合させることを推奨した意見提供者の意見には同意しない。この2つの例外は異なる目的を果たすものであり、一般規定における内部業務の支援は、一般的に教育目的の提供には不要であり、教育目的の提供とは無関係である[267]。 |
| As an additional protection, the proposed school authorization exception would require operators to have a written agreement with the school setting forth the exception's requirements. This written agreement must specify that the ed tech provider's use and disclosure of the data collected under the exception is limited to a school-authorized education purpose as defined in the Rule and for no other purpose. As an extra safeguard to help ensure that ed tech providers are using student data appropriately and to align the exception with FERPA, the required written agreement must specify that the school will have direct control over the provider's use, disclosure, and maintenance of the personal information under the exception. The agreement must also include the operator's data retention policy with respect to personal information collected from children under the school authorization exception. | 追加的な保護として、提案されている学校認可の例外は、事業者が学校と例外の要件を定めた書面による合意を結ぶことを義務付けるものである。この書面による合意は、例外の下で収集されたデータのプロバイダによる使用と開示が、規則で定義された学校認可の教育目的に限定され、それ以外の目的には使用されないことを明記しなければならない。EDテックプロバイダーが生徒データを適切に使用していることを確認し、例外をFERPAと整合させるための特別な保護措置として、要求される書面による合意には、学校がプロバイダーによる例外の下での個人情報の使用、開示、保守を直接管理することを明記しなければならない。合意書には、学校認可の例外の下で児童から収集された個人情報に関する事業者のデータ保持方針も含まれなければならない。 |
| iii. Who at the school should provide authorization? | iii. 学校の誰が認可を行うべきか? |
| In response to the question of who should be able to provide authorization for data collection under the school authorization exception, a wide variety of commenters, including industry, FTC-approved COPPA Safe Harbor programs, school personnel, and the Oregon Attorney General, called for flexibility.[268] For example, while the Illinois Council of School Attorneys recommended against specifying who can provide authorization, it stated that if the Commission decides to do so, it should use general, flexible terminology such as “employees designated by the school's administration or governing board” to describe individuals who may provide authorization.[269] The Oregon Attorney General called for flexibility and urged the Commission to be mindful that schools and districts obtain and implement ed tech in different ways.[270] Another commenter, kidSAFE, recommended the Commission permit consent from an adult outside the school environment, including coaches or tutors.[271] | 学校による認可の例外に基づくデータ収集について、誰が認可を提供できるかという質問に対しては、業界、FTCが承認したCOPPAセーフハーバープログラム、学校関係者、オレゴン州検事総長など、さまざまな意見提出者が柔軟性を求めた[268]。例えば、イリノイ州学校弁護士協議会は、認可を提供できる者を特定することに反対するよう勧告したが、委員会がそれを決定する場合は、認可を提供できる個人を表すために、「学校の管理または運営委員会が指定した従業員」など、一般的で柔軟な用語を使用すべきであると述べた[269]。 [269] オレゴン州司法長官は、柔軟性を求め、学校や地区がさまざまな方法でエドテックを入手し、実施していることに留意するよう委員会に求めた[270] 。別の意見提出者であるkidSAFEは、コーチや家庭教師など、学校環境外の成人の同意を認めるよう委員会に提言した[271]。 |
| Other commenters supported a more prescriptive approach,[272] with some recommending that the Rule not allow teachers to provide consent.[273] One commenter stated that few teachers are in a position to evaluate which ed tech services are trustworthy, adding that allowing individual teachers to make these decisions prevents school administrators from knowing what products are being used in the classroom.[274] Another recommended requiring that, if schools are allowed to provide consent on behalf of parents, the school or district must have clear and uniform policies for adopting ed tech led by a team of qualified education research, curriculum, and privacy, and technology experts.[275] Similarly, Lego recommended that only duly authorized individuals, such as IT administrators, data protection officers, or chief IT officers, provide consent through a contract with the ed tech provider.[276] | 他の意見提出者は、より規定的なアプローチを支持しており[272]、規則が教師による同意の提供を認めないことを推奨する意見もあった[273]。ある意見提出者は、どのエドテック・サービスが信頼できるかを評価できる立場にある教師はほとんどいないと述べ、教師個人にこれらの決定をさせることは、学校管理者が教室でどのような製品が使用されているかを知ることを妨げると付け加えた[274]。また、学校が保護者に代わって同意を提供することを認める場合、学校または地区は、資格を有する教育研究チームによって主導されるエドテックの採用に関する明確で統一された方針を持たなければならないことを要求することを提言した[274]、 275]。同様に、レゴ社は、IT管理者、データ防御責任者、IT最高責任者など、正式に認可された個人のみが、エドテック・プロバイダとの契約を通じて同意を提供することを推奨している[276]。 |
| Because the Commission believes it is important to accommodate the different ways schools obtain and implement ed tech, the Commission agrees with the commenters that called for flexibility rather than a “one size fits all” approach. At the same time, the Commission recognizes the need for measures to prevent the situation in which a school is unaware of the ed tech services their teachers have consented to on an ad hoc basis. Indeed, staff guidance has previously recommended that consent for ed tech to collect personal information comes from the schools or school districts rather than from individual teachers.[277] To balance the need for flexibility with the need for oversight and accountability, the Commission proposes that the written agreement between the ed tech provider and the school, which the new § 312.5(c)(10) exception would require, identify the name and title of the person providing consent and specify that the school has authorized the person to provide such consent. | 委員会は、学校がさまざまな方法で教育技術を入手し、導入することに対応することが重要であると考えているため、「一律」ではなく、柔軟性を求める意見に同意する。同時に委員会は、教師がその場限りで同意したエドテックサービスを学校が知らないという事態を防ぐ措置の必要性も認識している。実際、職員のガイダンスでは、エドテックによる個人情報収集の同意は、教師個人からではなく、学校または学区から得ることを以前から推奨している[277]。柔軟性の必要性と監視および説明責任の必要性のバランスを取るために、委員会は、新しい§312.5(c)(10)の例外規定が要求する、エドテックプロバイダと学校との間の書面による合意には、同意を提供する人の名前と役職を明記し、学校がそのような同意を提供することをその人に認可したことを明記することを提案している。 |
| iv. Notice to Parents | iv. 保護者への通知 |
| Many of the commenters supporting a school consent exception recommended that parents receive notice of the ed tech providers the school authorized to collect children's data.[278] Some commenters suggested that the notice to parents come from schools, recommending that the notice be similar to the FERPA annual notification requirement [279] or that schools make information about ed tech providers' information practices available to parents in a public place such as the school district's website.[280] | 学校による同意の例外を支持する意見提出者の多くは、学校が児童のデータ収集を認可したエドテック・プロバイダについて保護者が通知を受けることを推奨していた[278]。保護者への通知を学校から行うことを提案する意見もあり、その通知はFERPAの年次通知要件と同様のものにすること[279]、あるいは学校が学区のウェブサイトなど公共の場でエドテック・プロバイダの情報慣行に関する情報を保護者に公開することを推奨している[280]。 |
| Other commenters raised concerns about the Commission imposing obligations on schools through the Rule. For example, the Oregon Attorney General expressed concern that allowing an operator to shift notice obligations to schools would potentially shield operators from liability.[281] Instead, the Oregon Attorney General recommended that the Commission require the operator to “provide notice of its information practices in a manner that is easily accessible to all parents . . . and to inform the school on where parents may find such notice of information practices.” [282] Similarly, the Parent Coalition for Student Privacy recommended that, if the Commission creates an exception for school authorization, it require ed tech providers to dedicate space on their website for notices about the exception and explain how the data will be strictly used for educational purposes and state which third parties can access the data.[283] | 他の意見提出者は、委員会が規則を通じて学校に義務を課すことについて懸念を示している。例えば、オレゴン州司法長官は、プロバイダが通知義務を学校に転嫁することを認めると、プロバイダが法的責任を免れる可能性があるとの懸念を表明した[281]。その代わりに、オレゴン州司法長官は、委員会がプロバイダに対して、「すべての保護者が容易にアクセスできる方法で、その情報慣行に関する通知を提供すること、および保護者がそのような情報慣行に関する通知をどこで見つけることができるかを学校に知らせること」を求めるよう勧告した[282]。 [282] 同様に、生徒のプライバシーのための保護者連合(Parent Coalition for Student Privacy)は、委員会が学校認可の例外を設ける場合、エドテック・プロバイダに対し、そのウェブサイトに例外に関する通知のためのスペースを確保し、データが教育目的のためにどのように厳密に使用されるかを説明し、どのサードパーティがデータにアクセスできるかを明記するよう求めることを提言した[283]。 |
| The Commission agrees that notice is an important aspect of the proposed school authorization exception. At the same time the Commission agrees with commenters who raised concerns about imposing burdens on schools that may not have sufficient resources to undertake an additional administrative responsibility.[284] To promote transparency without burdening schools, the Commission proposes requiring operators to provide notice. Namely, the Commission's proposed addition of § 312.4(e), discussed earlier in Part IV.B.4., would require an operator that collects personal information from a child under the school authorization exception to include an additional notice on its website or online service noting that: (1) the operator has obtained authorization from a school to collect a child's personal information; (2) that the operator will use and disclose the information for a school-authorized education purpose and no other purpose; and (3) that the school may review information collected from a child and request deletion of such information.[285] | 委員会は、通知が学校認可の例外案の重要な側面であることに同意する。同時に、委員会は、新たな管理責任を負うだけの十分な資源を持たない学校に負担を課すことに懸念を示した意見[284]に同意する。学校に負担をかけずに透明性を促進するために、委員会は、プロバイダに通知を提供することを義務付けることを提案する。すなわち、第IV.B.4.で前述した、委員会が提案する第312.4条(e)の追加により、学校認可の例外の下で児童から個人情報を収集する事業者は、そのウェブサイトまたはオンラインサービスに、以下のことを明記した追加の通知を含めることが義務付けられる: (1)事業者は、児童の個人情報を収集する認可を学校から得ていること、(2)事業者は、学校で認可された教育目的のために情報を使用し、開示するのであって、それ以外の目的には使用しないこと、(3)学校は、児童から収集した情報を確認し、当該情報の削除を要求できること[285]。 |
| b. Audio File Exception | b. 音声ファイルの例外 |
| In 2013, the Commission expanded the Rule's definition of “personal information” to include “[a] photograph, video, or audio file where such file contains a child's image or voice.” [286] Since that time there has been a dramatic increase in the popularity of internet-connected “home assistants” and other devices that are voice activated and controlled. This led to inquiries from stakeholders about the Rule's applicability to the collection of audio files containing a child's voice where an operator converts the audio to text and then deletes the audio file. While the Commission determined that the Rule applies to such collection, it recognized the value of using verbal commands to perform search and other functions on internet-connected devices, especially for children who have not yet learned to write or those with disabilities. Accordingly, in 2017, the Commission issued an enforcement policy statement indicating that it would not take action against an operator who, without obtaining parental consent, collects a child's voice recording, provided the operator only uses the audio file as a replacement for written words, such as to effectuate an instruction or request, and the operator retains the recording only for a brief period.[287] | 2013年、委員会は、規則の「個人情報」の定義を拡大し、「写真、ビデオ、または音声ファイルであって、当該ファイルに児童の画像または音声が含まれているもの」を含めることとした[286]。 [286]それ以来、インターネットに接続された「ホームアシスタント」や、音声で起動・制御されるその他の機器の人気が飛躍的に高まっている。このため、オペレーターが音声をテキストに変換し、その後音声ファイルを削除するような、児童の声を含む音声ファイルの収集に対する規則の適用性について、関係者から問い合わせがあった。委員会は、このような収集にも同規則が適用されると判断する一方で、インターネットに接続された機器で検索やその他の機能を実行する際に、特に文字をまだ学んでいない児童や障害のある児童にとって、口頭での命令を使用することの価値を認識した。したがって、2017年、委員会は、保護者の同意を得ることなく、児童の音声記録を収集するプロバイダに対して措置を講じないことを示す執行方針声明を発表した。 |
| In the 2019 Rule Review Initiation, the Commission asked whether it should modify the Rule to include a parental consent exception based on the enforcement policy statement. The Commission also asked whether such an exception should allow an operator to use de-identified audio files for product improvement and, if so, how long an operator could retain such data. Additionally, the Commission asked whether de-identification of audio files is effective at preventing re-identification. | 2019年規則見直しの開始において、委員会は、施行方針声明に基づく親の同意の例外を含めるよう規則を修正すべきかどうかを尋ねている。委員会はまた、このような例外は、事業者が製品改善のために識別解除された音声ファイルを使用することを認めるべきかどうか、認めるとすれば、事業者はそのようなデータをどのくらいの期間保持できるかについても質問した。さらに、委員会は、音声ファイルの非識別化が再識別化の防止に有効であるかどうかについても質問した。 |
| The vast majority of commenters that addressed the issue recommended the Commission modify the Rule to include a parental consent exception for audio files based on the existing enforcement policy statement.[288] Some of these commenters supported the narrow confines of the current enforcement statement, which requires the collected audio file to serve solely as a replacement for written words and be maintained only until completion of that purpose.[289] A number of other commenters, however, recommended that the Commission adopt a more expansive audio exception. For example, Google noted that many voice actions for internet-connected devices are not a replacement for written words. Because of this, Google recommended that the Commission include an expanded exception that “covers voice data used to perform a task or engage with a device, as well as to replace written words.” [290] Others made similar recommendations.[291] | この問題を取り上げた意見提出者の大多数は、委員会に対し、既存の施行方針声明に基づき、音声ファイルに保護者の同意の例外を含めるよう規則を修正することを推奨した[288]。これらの意見提出者の中には、収集された音声ファイルが文字による代替としての役割のみを果たし、その目的が完了するまで保持されることを要求する、現行の施行方針の狭い範囲を支持する者もいた[289]。しかし、他の多くの意見提出者は、委員会がより広範な音声例外を採用することを推奨した。例えば、グーグルは、インターネットに接続された機器の音声アクションの多くは、書き言葉の代わりにはならないと指摘した。このため、グーグルは、「タスクの実行やデバイスとの連携に使用される音声データだけでなく、書き言葉の代わりにも使用される音声データも対象とする」拡大例外を委員会に含めるよう勧告した。 [290]。他の企業も同様の勧告を行っている[291]。 |
| Several commenters argued that where an operator de-identifies the audio file, the exception should allow it to engage in product improvement as well as internal operations such as improving functionality and personalization.[292] Only a few of these commenters discussed the means by which an operator could effectively de-identify audio files. One suggested using the approach set forth in a White House draft privacy law, which would require the operator to alter the data to prevent it from being linked to a specific individual, to commit not to re-identify the data, and to require third-party recipients to similarly commit not to re-identify the data.[293] Another commenter suggested the operator could de-link the audio file from a user's account or device identifier.[294] | 複数の意見提出者は、事業者が音声ファイルを識別解除する場合、例外は、機能改善やパーソナライゼーションなどの内部業務だけでなく、製品改善にも従事することを認めるべきであると主張した[292]。これらの意見提出者のうち、事業者が音声ファイルを効果的に識別解除できる手段について議論した者はわずかであった。そのうちの一人は、ホワイトハウスのプライバシー法の草案に示されているアプローチを使用することを提案した。この草案では、事業者は、特定の個人にリンクされないようにデータを変更すること、データを再識別しないことを約束すること、およびサードパーティの取得者にも同様にデータを再識別しないことを約束することを要求する[293]。 |
| The Commission received a small number of comments that opposed adding a consent exception for audio files to the Rule. Arguing against an exception, a group of State Attorneys General characterized recordings of children's voices as biometric data and stated that, as such, they are “individually-identifying and immutable.” [295] These commenters also questioned whether operators could effectively and consistently de-identify audio files, pointing to numerous instances in which anonymized data had been re-identified.[296] A coalition of consumer groups argued that the Commission's existing enforcement statement, as structured, effectively protects children's privacy and there is no need to amend the Rule to add an exception.[297] The commenters also stated that if the Commission does add an exception to the Rule, the exception should not permit operators to retain or use collected audio files for product improvement even if the files are de-identified.[298] | 委員会は、音声ファイルに関する同意の例外を規則に追加することに反対する少数の意見を受け取った。例外に反対する州検事総長のグループは、児童の声の録音を生体データとみなし、そのようなデータは「個人を識別し、不変である」と述べた [295] 。 これらの意見提出者はまた、匿名化されたデータが再識別された数多くの事例を指摘し、事業者が効果的かつ一貫して音声ファイルの識別を解除できるかどうかについても疑問を呈した[296]。消費者団体の連合は、委員会の現行の執行声明は、構造上、児童のプライバシーを効果的に保護しており、例外を追加するために規則を改正する必要はないと主張した[297]。また、意見提出者は、委員会が規則に例外を追加する場合、その例外は、ファイルが識別解除されたとしても、収集した音声ファイルを製品改善のために保持または使用することを事業者に許可すべきではないと述べている[298]。 |
| Based on the comments overall, the Commission proposes codifying the audio file enforcement statement as an exception to the Rule's parental consent requirement, with one modification. The Commission believes the calls to expand the exception to also include audio files used to perform a task or to engage with a device have merit. Limiting the proposed exception to circumstances in which the voice data replaces written words would be overly restrictive and unnecessarily prevent its application to a variety of internet-connected services that do not involve written commands. Further, because the proposed exception requires the operator to delete the collected audio file as soon as the command or engagement is completed, this expansion will not create additional risk to children's privacy. Additionally, to the extent an operator collects personal information beyond the audio file—such as a transcript of the audio file in combination with other personal information—the operator could not utilize the audio file exception and would have to afford COPPA's protections to that information. | 全体的な意見に基づき、委員会は、1つの修正を加えた上で、音声ファイル施行声明を規則の保護者の同意要件の例外として成文化することを提案する。委員会は、タスクの実行またはデバイスとの連携に使用される音声ファイルも例外に含めるよう求める意見にはメリットがあると考えている。提案されている例外規定を、音声データが文字に置き換わる状況に限定することは、過度に制限的であり、文字による命令を伴わないさまざまなインターネット接続サービスへの適用を不必要に妨げることになる。さらに、提案されている例外は、コマンドまたはエンゲージメントが完了次第、収集された音声ファイルを削除することをオペレータに要求しているため、この拡張は、児童のプライバシーに新たなリスクを生じさせることはない。さらに、事業者が音声ファイル以外の個人情報、例えば音声ファイルのトランスクリプトと他の個人情報を組み合わせて収集する場合、事業者は音声ファイルの例外を利用できず、その情報に対してCOPPAの保護を与えなければならない。 |
| The Commission, however, does not agree that the exception should allow operators to retain the audio files or to use them for other purposes such as product improvement and internal operations, even if the operator has taken steps to de-identify the data. The Commission agrees that a recording of a child's voice is particularly sensitive given that, like other biometric data, it is personal and unique. Consequently, the privacy risk created by such data potentially falling into the wrong hands and being re-identified exceeds the benefit of allowing broader use. This is especially the case where parents are not provided direct notice or provided the opportunity to consent to such practices. | しかし委員会は、たとえ事業者がデータの識別を解除する措置を講じたとしても、例外的に事業者が音声ファイルを保持したり、製品の改善や内部業務など他の目的に使用したりすることを認めるべきだということには同意しない。委員会は、児童の声の録音が、他の生体データと同様、個人的かつ固有のデータであることから、特にセンシティブであることに同意する。したがって、そのようなデータが悪人の手に渡り、再識別される可能性によって生じるプライバシー・リスクは、より広範な利用を認めることの利点を上回る。これは特に、保護者に直接的な通知や、そのような行為に同意する機会が提供されない場合である。 |
| c. Other Exceptions | c. その他の例外 |
| The Commission also proposes adding language to the support for the internal operations exception, § 312.5(c)(7), to address the new online notice requirement the Commission proposes.[299] This proposal indicates that an operator that collects information under the support for the internal operations exception must provide information in its online notice regarding its use of the exception. The Commission also proposes technical fixes to § 312.5(c)(6) for clarity purposes. Namely, the Commission proposes changing § 312.5(c)(6)(i) from “protect the security or integrity of its website or online service” to “protect the security or integrity of the website or online service” (emphasis added). The Commission also proposes removing “be” in § 312.5(c)(6)(iv) to fix a typographical issue. | 委員会はまた、委員会が提案する新たなオンライン通知要件に対応するため、内部業務のサポート例外、§312.5(c)(7)に文言を追加することを提案する[299]。この提案は、内部業務のサポート例外の下で情報を収集するプロバイダは、例外の使用に関する情報をオンライン通知で提供しなければならないことを示すものである。また、委員会は、分かりやすくするために、§312.5(c)(6)の技術的修正も提案している。すなわち、委員会は、312.5条(c)(6)(i)を「ウェブサイトまたはオンラインサービスのセキュリティまたは完全性を保護する」から「ウェブサイトまたはオンラインサービスのセキュリティまたは完全性を保護する」に変更することを提案する(強調)。また、委員会は、誤字の問題を修正するため、312.5条(c)(6)(iv)の「be」を削除することも提案する。 |
| In addition, the Commission proposes to modify § 312.5(c)(4) to prohibit operators from utilizing this exception to encourage or prompt use of a website or online service. This proposed addition prohibits operators from using online contact information to optimize user attention or maximize user engagement with the website or online service, including by sending push notifications, without first obtaining verifiable parental consent.[300] | さらに、委員会は、事業者がウェブサイトまたはオンラインサービスの利用を奨励または促すためにこの例外を利用することを禁止するために、312.5条(c)(4)を修正することを提案する。この追加案では、事業者が、検証可能な保護者の同意を最初に得ることなく、プッシュ通知の送信を含め、オンライン連絡先情報を使用して、ユーザーの関心を最適化したり、ウェブサイトまたはオンラインサービスへのユーザーの関与を最大化したりすることを禁止している[300]。 |
| Additionally, several commenters recommended that the Commission expand the Rule's current one-time use exception, § 312.5(c)(3).[301] Specifically, multiple commenters noted that the Commission should expand the types of information collected under this exception to include telephone numbers.[302] A commenter also requested the Commission expand this exception to permit multiple contacts with a child without providing notice and an opportunity to opt out, as required by the multiple contact exception.[303] | さらに、複数の意見提出者は、委員会に対し、規則の現行の1回限りの使用の例外である§312.5(c)(3)を拡大するよう勧告した[301]。具体的には、複数の意見提出者は、委員会はこの例外の下で収集される情報の種類を拡大し、電話番号を含めるべきであると指摘した[302]。また、ある意見提出者は、委員会に対し、この例外を拡大し、複数回の接触の例外で要求されているように、通知とオプトアウトの機会を提供することなく、児童との複数回の接触を許可するよう要求した[303]。 |
| As explained earlier in the discussion regarding the definition of “online contact information,” the Commission proposes modifying this definition to include a mobile telephone number, provided the operator uses it only to send a text message and not for voice communication, unless and until the operator has obtained the parent's verifiable parental consent.[304] The Commission believes that the proposed revision to the definition of “online contact information” addresses commenters' recommendations to permit the use of mobile telephone numbers to contact children under the one-time use exception. However, the Commission stresses that under the proposed definition of “online contact information,” operators using a child's mobile telephone number under this exception may only text the child and may not call the child. | 先に「オンライン連絡先情報」の定義に関する議論で説明したように、委員会は、事業者が親の確認可能な親権者の同意を得ない限り、また得るまでは、事業者がテキストメッセージの送信にのみ使用し、音声通信には使用しないという条件で、携帯電話番号を含めるようにこの定義を修正することを提案する[304]。 委員会は、「オンライン連絡先情報」の定義の修正案が、1回限りの使用の例外の下で、携帯電話番号を使用して児童に連絡することを認めるという意見提出者の提案に対応するものであると考えている。しかし、委員会は、提案されている「オンライン連絡先情報」の定義の下では、この例外の下で児童の携帯電話番号を使用する事業者は、児童にテキストを送信することのみが可能であり、児童に電話をかけることはできないと強調している。 |
| Further, the Commission is not persuaded by commenters suggesting that it should expand this exception to permit multiple contacts with a child without offering parents notice and the opportunity to opt out. The COPPA statute envisioned the scenario in which an operator would have to contact a child more than once to respond to a specific request, and Congress included notice and opt-out requirements in association with such scenario.[305] This scenario was codified in the COPPA Rule under the multiple contact exception, § 312.5(c)(4). Commenters' recommendation essentially asks the Commission to remove the multiple contact exception's notice and consent requirements. However, the Commission believes these elements are required by the COPPA statute, and therefore it does not propose such modifications. | さらに、委員会は、この例外を拡大し、保護者への通知やオプトアウトの機会を提供することなく、児童との複数回の接触を認めるべきだという意見には説得力がない。COPPA法は、特定の要求に対応するために事業者が児童に複数回接触しなければならないシナリオを想定しており、議会はそのようなシナリオに関連して通知とオプトアウトの要件を盛り込んだ[305]。このシナリオは、COPPA規則において複数回接触例外§312.5(c)(4)の下で成文化された。意見提出者の提案は、基本的に、委員会に対し、複数接触例外の通知と同意の要件を削除するよう求めている。しかし、委員会は、これらの要素がCOPPAの法令で求められていると考えているため、そのような修正を提案しない。 |
| D. Right To Review Personal Information Provided by a Child (16 CFR 312.6) | D. 児童がプロバイダから提供された個人情報を確認する権利(16 CFR 312.6) |
| The Commission proposes a new paragraph related to the Commission's proposed school authorization exception.[306] Specifically, the Commission proposes requiring operators utilizing such exception to provide schools with the rights operators currently provide parents under § 312.6(a), namely the right to review personal information collected from a child, refuse to permit operators' further use or future online collection of personal information, and to direct operators to delete such information. Under this proposal, operators utilizing the school authorization exception would not be required to provide such rights to parents for information collected under the exception. | 委員会は、委員会が提案する学校認可の例外に関連する新しいパラグラフを提案する[306]。具体的には、委員会は、この例外を利用する事業者に対して、事業者が現在312.6条(a)に基づいて保護者に提供している権利、すなわち、児童から収集した個人情報を確認する権利、事業者による個人情報のさらなる使用または今後のオンライン収集を拒否する権利、および事業者にそのような情報の削除を指示する権利を学校に提供することを義務付けることを提案する。本提案では、学校認可の例外を利用する事業者は、例外の下で収集された情報について、保護者にそのような権利を提供する必要はない。 |
| Requiring operators to fulfill requests, such as deletion requests, from each parent could result in schools having to provide different services to different children or forego particular services for the entire class based on the request of an individual parent. To reduce this burden, the Commission proposes this modification. The Commission also proposes deleting the reference to “parent” in the § 312.6 heading to account for this modification. | 保護者一人一人からの削除要求などの要求に対応することを事業者に義務づけると、個々の保護者の要求に基づいて、学校が児童ごとに異なるサービスを提供したり、クラス全体の特定のサービスを見送ったりしなければならなくなる可能性がある。このような負担を軽減するため、委員会はこの変更を提案する。また、委員会は、この修正を考慮し、312.6条の見出しにある「保護者」への言及を削除することも提案する。 |
| E. Prohibition Against Conditioning a Child's Participation on Collection of Personal Information (16 CFR 312.7) | E. 個人情報の収集に児童の参加を条件付けることの禁止(16 CFR 312.7) |
| Section 312.7 of the Rule provides that an operator is prohibited from conditioning a child's participation in a game, the offering of a prize, or another activity on the child's disclosing more personal information than is reasonably necessary to participate in such activity. | 規則第312.7条は、プロバイダが、ゲーム、賞品の提供、またはその他の活動への児童の参加を、当該活動への参加に合理的に必要な以上の個人情報の開示を条件とすることを禁止している。 |
| The Commission notes that this provision serves as an outright prohibition on collecting more personal information than is reasonably necessary for a child to participate in a game, offering of a prize, or another activity. Therefore, operators may not collect more information than is reasonably necessary for such participation, even if the operator obtains consent for the collection of information that goes beyond what is reasonably necessary. | 委員会は、この規定が、ゲーム、賞品の提供、またはその他の活動に参加するために児童が合理的に必要とする以上の個人情報を収集することを全面的に禁止するものであることに留意する。したがって、事業者は、たとえ事業者が合理的に必要な範囲を超える情報の収集について同意を得たとしても、そのような参加に合理的に必要な範囲を超える情報を収集してはならない。 |
| With respect to the scope of § 312.7, the Commission is considering adding new language to address the meaning of “activity,” as that term is used in § 312.7. Specifically, the Commission is considering including language in § 312.7 to provide that an “activity” means “any activity offered by a website or online service, whether that activity is a subset or component of the website or online service or is the entirety of the website or online service.” It welcomes comment on whether this language is consistent with the COPPA statute's text and purpose, and it also welcomes comment on whether this change is necessary given the breadth of the plain meaning of the term “activity.” | 312.7条の適用範囲に関して、委員会は、312.7条で使用されている「活動」の意味に対処するために、新たな文言を追加することを検討している。具体的には、委員会は、312.7条に「活動」とは「ウェブサイトまたはオンラインサービスによって提供されるあらゆる活動であり、その活動がウェブサイトまたはオンラインサービスのサブセットまたは構成要素であるか、ウェブサイトまたはオンラインサービスの全体であるかを問わない」と規定する文言を含めることを検討している。この文言がCOPPA法の条文と趣旨に合致しているかどうか、また "活動 "という用語の平易な意味の広さを考慮した場合、この変更が必要かどうかについての意見を歓迎する。 |
| F. Confidentiality, Security, and Integrity of Personal Information Collected From Children (16 CFR 312.8) | F. 児童から収集した個人情報の機密性、安全性、完全性(16 CFR 312.8) |
| Section 312.8 of the Rule provides: | 規則第312.8条は次のようにプロバイダを規定している: |
| The operator must establish and maintain reasonable procedures to protect the confidentiality, security, and integrity of personal information from children. The operator must also take reasonable steps to release children's personal information only to service providers and third parties who are capable of maintaining the confidentiality, security, and integrity of such information, and who provide assurances that they will maintain the information in such a manner. | 事業者は、児童からの個人情報の機密性、安全性、および完全性を保護するための合理的な手順を確立し、維持しなければならない。また、事業者は、児童の個人情報を、当該情報の機密性、安全性、完全性を維持する能力を有し、当該情報をそのように維持する保証を提供するサービスプロバイダーおよびサードパーティにのみ開示するための合理的な措置を講じなければならない。 |
| In the 2019 Rule Review Initiation, the Commission asked whether operators have implemented sufficient safeguards to protect the personal information they collect from children. The Commission also asked whether the requirements of § 312.8 are adequate and whether the Rule should include more specific data security requirements. | 2019年規則見直し開始において、委員会は、事業者が児童から収集した個人情報を保護するために十分な保護措置を講じているかどうかを尋ねた。また、委員会は、312.8条の要件が適切かどうか、規則により具体的なデータセキュリティ要件を含めるべきかどうかについても質問した。 |
| Many commenters asked the Commission to clarify or strengthen operators' obligations under this section. For example, a coalition of consumer groups criticized the Commission for not promulgating clear data security regulations as directed by the COPPA statute.[307] These commenters recommended that the Commission elaborate on the meaning of “reasonable procedures to protect the confidentiality, security, and integrity” of children's information.[308] Similarly, an FTC-approved COPPA Safe Harbor program recommended that the Commission provide detailed guidance about minimum standards for what constitutes “reasonable procedures,” to help guide operators and FTC-approved COPPA Safe Harbor programs tasked with ensuring that companies are compliant with the Rule.[309] | 多くの意見提出者は、本条項における事業者の義務を明確化または強化するよう委員会に求めた。例えば、消費者団体の連合は、委員会がCOPPA法の指示通りに明確なデータセキュリティ規制を公布していないと批判した[307]。これらの意見提出者は、委員会に対し、児童の情報の「機密性、安全性、完全性を保護するための合理的な手順」の意味を詳しく説明するよう勧告した[308]。 [308] 同様に、FTC承認のCOPPAセーフハーバー・プログラムは、企業が規則を遵守していることを確認することを任務とする事業者およびFTC承認のCOPPAセーフハーバー・プログラムの指針となるよう、「合理的な手続き」を構成するものの最低標準について詳細なガイダンスを提供するよう委員会に勧告した[309]。 |
| Some commenters argued that recent data breaches in all industries demonstrate the need for stricter data security requirements for children's personal information.[310] Other commenters expressed a more narrow concern that the evolving online landscape in schools, combined with an increase in data breaches and ransomware attacks, suggests the need for stricter data security requirements for children's personal information generally.[311] In contrast, a small number of commenters opined that operators are adequately protecting children's personal information. For example, the Internet Association stated that the increase in well-publicized breaches has heightened operators' awareness of their obligations and encouraged them to safeguard personal data.[312] | 一部の意見者は、あらゆる業界における最近のデータ漏えい事件は、児童の個人情報に対するより厳格なデータセキュリティ要件の必要性を示していると主張した[310]。他の意見者は、データ漏えいやランサムウェア攻撃の増加と相まって、学校におけるオンラインの状況が進化していることから、一般的に児童の個人情報に対するより厳格なデータセキュリティ要件の必要性が示唆されるという、より狭い範囲の懸念を表明した[311]。対照的に、少数の意見者は、事業者が児童の個人情報を適切に保護していると意見した。例えば、インターネット協会は、よく報道される個人データ漏えいの増加により、事業者の義務に対する意識が高まり、個人データを保護するよう促されたと述べている[312]。 |
| Commenters on both sides—those who believe operators are adequately protecting children's personal information and those who believe operators need to do more—recommended against adding prescriptive data security requirements or risk management controls in the Rule. These commenters expressed concern that such measures could become quickly outdated. For example, the Internet Association and The Toy Association expressed concerns that specific, detailed security requirements and risk management controls might prevent operators from keeping pace with evolving technology and security threats.[313] The internet Association opined that the Rule's flexibility permits operators to develop privacy and security risk management frameworks that are tailored to their activities and users, and that also keep pace with technology, evolving security threats, and varying security risks.[314] FTC-approved COPPA Safe Harbor program kidSAFE and a technology trade association recommended that the Commission keep the “broad and flexible” standard in § 312.8 for similar reasons.[315] A group of State Attorneys General also supported a flexible approach.[316] These commenters urged the Commission to proceed cautiously and make clear that any additional data security requirements within the Rule are simply illustrative examples of what constitutes “reasonable procedures” rather than an exhaustive list.[317] Such an approach, they argued, would encourage operators to consistently monitor and update security protocols that evolve with “rapid advances in technology and the enterprising nature of cybercriminals.” [318] | 事業者が児童の個人情報を適切に保護していると考える意見と、もっと保護する必要があると考える意見の双方から、規則に規定的なデータセキュリティ要件やリスクマネジメントを追加することに反対する意見が出された。これらの意見者は、そのような対策がすぐに時代遅れになることを懸念している。例えば、インターネット協会(Internet Association)と玩具協会(The Toy Association)は、具体的で詳細なセキュリティ要件やリスクマネジメント管理によって、事業者が進化する技術やセキュリティ脅威に対応できなくなるのではないかという懸念を表明した[313]。インターネット協会は、同規則の柔軟性により、事業者はその活動や利用者に合わせたプライバシー及びセキュリティリスク・マネジメントの枠組みを構築することができ、また技術や進化するセキュリティ脅威、様々なセキュリティリスクに対応することができるとの見解を示した[314]。FTCが承認したCOPPAセーフハーバープログラムのkidSAFEと技術業界団体は、同様の理由から、委員会が§312.8の「広範かつ柔軟な」標準を維持するよう勧告した[315]。州検事総長のグループも柔軟なアプローチを支持した[316]。これらの意見提出者は、委員会に対し、規則内で追加されるデータセキュリティ要件は、網羅的なリストではなく、「合理的な手続き」を構成するものの単なる例示であることを明確にし、慎重に進めるよう求めた[317]。このようなアプローチは、「テクノロジーの急速な進歩とサイバー犯罪者のエンタープライズな性質」によって進化するセキュリティ・プロトコルを一貫して監視し、更新することを事業者に促すものである、と彼らは主張した。 [318] |
| kidSAFE also encouraged the Commission to consider the varying levels of resources and bargaining power that different operators hold. kidSAFE claimed that smaller companies often lack the resources to invest in their own data security measures or the bargaining power to obtain security assurances from the third-party service providers they use.[319] An individual commenter expressed similar concerns that additional data security requirements might further burden small businesses, which already may not be in a position to determine whether service providers are capable of the Rule's existing security requirements.[320] | kidSAFEはまた、事業者によって保有するリソースや交渉力のレベルが異なることを考慮するよう委員会に促した。kidSAFEは、中小企業には独自のデータセキュリティ対策に投資するリソースや、利用しているサードパーティ・サービス・プロバイダからセキュリティ保証を得る交渉力がないことが多いと主張した[319]。個人の意見提出者も、データセキュリティ要件の追加により、サービス・プロバイダが規則の既存のセキュリティ要件を満たしているかどうかを判断する立場にすでにない中小企業に、さらに負担がかかる可能性があると同様の懸念を表明した[320]。 |
| In enacting COPPA, Congress recognized the need for heightened protections for children's personal information, and the Commission has long recognized a similar need.[321] The Commission agrees that the proliferation of data breaches in all industries, including schools, supports strong and effective data security requirements, especially for particularly sensitive information like children's data. The Commission also agrees that operators would benefit from additional clarity and detail regarding the Rule's security requirements set forth in § 312.8. | COPPAの制定において、議会は児童の個人情報に対する保護を強化する必要性を認識し、委員会も同様の必要性を長い間認識してきた[321]。委員会は、学校を含むあらゆる業界でデータ漏洩が多発していることが、特に児童のデータのような特にセンシティブな情報に対して、強力かつ効果的なデータセキュリティ要件を支持することに同意する。委員会はまた、312.8条に規定されている規則のセキュリティ要件について、さらに明確かつ詳細にすることが事業者にとって有益であることにも同意する。 |
| For these reasons, the Commission proposes modifications to the Rule's security requirements. Specifically, the Commission proposes to split the operator's requirements in § 312.8 into discrete paragraphs and provide further guidance as to steps operators can take to comply with each requirement. The second paragraph will provide more guidance on the “reasonable procedures” that an operator must establish and maintain under newly-numbered § 312.8(a) to protect the confidentiality, security, and integrity of personal information from children. The third paragraph will address the “reasonable steps” an operator should take to release children's personal information only to those capable of protecting such and who provide written assurances to protect the information. | このような理由から、委員会は規則のセキュリティ要件の修正を提案する。具体的には、委員会は、312.8条の事業者の要件を個別の段落に分割し、各要件を遵守するために事業者が講じることができる手順について、さらなるガイダンスを提供することを提案する。第2段落では、児童からの個人情報の機密性、安全性、および完全性を保護するために、新たに番号付けされた第312.8条(a)に基づき、事業者が確立および維持しなければならない「合理的な手続き」に関するガイダンスを提供する。第3段落では、事業者が児童の個人情報を、当該情報を保護する能力があり、かつ当該情報を保護する旨の書面による保証を提供した者のみに開示するために取るべき「合理的な手順」を取り上げる。 |
| First, the Commission proposes modifying § 312.8 to specify that operators must, at minimum, establish, implement, and maintain a written comprehensive security program that contains safeguards that are appropriate to the sensitivity of children's information and to the operator's size, complexity, and nature and scope of activities. This requirement is modeled on the Commission's original Safeguards Rule implemented under the Gramm-Leach-Bliley Act (“GLBA”), which provides heightened protections for financial institutions' customer data.[322] | まず、委員会は、第312.8条を修正し、事業者は少なくとも、児童情報の機密性、事業者の規模、複雑性、活動の性質および範囲に適した保護措置を含む、書面による包括的セキュリティプログラムを策定、実施、維持しなければならないことを明記することを提案する。この要件は、金融機関の顧客データに対する保護を強化するグラム・リーチ・ブライリー法(「GLBA」)の下で実施された、委員会独自のセーフガード規則をモデルとしている[322]。 |
| To provide additional guidance, the proposed § 312.8 security program must contain a number of specific elements including designating an employee to coordinate the information security program; identifying and, at least annually, performing additional assessments to identify risks to the confidentiality, security, and integrity of personal information collected from children; designing, implementing, and maintaining safeguards to control any identified risks, as well as testing and monitoring the effectiveness of such safeguards; and, at least annually, evaluating and modifying the information security program. | さらなるガイダンスを提供するため、提案されている§312.8セキュリティ・プログラムには、情報セキュリティ・プログラムを調整する従業員を指名すること、児童から収集した個人情報の機密性、安全性、完全性に対するリスクを特定し、少なくとも年1回、追加評価を実施すること、特定されたリスクを制御するための保護措置を設計、実施、維持するとともに、かかる保護措置の有効性をテストし、監視すること、少なくとも年1回、情報セキュリティ・プログラムを評価し、修正することを含む、多くの具体的な要素が含まれていなければならない。 |
| The Commission believes that these modifications are appropriate for several reasons. First, this approach provides additional guidance to operators and FTC-approved COPPA Safe Harbor programs, while also maintaining the Rule's flexibility by allowing for technological advancements and taking into account an operator's size, complexity, and the nature and scope of its activities. It is also consistent with prior Commission COPPA and data security decisions and guidance.[323] | 委員会は、このような修正はいくつかの理由から適切であると考えている。第一に、このアプローチは、事業者およびFTCが承認したCOPPAセーフハーバー・プログラムにさらなるガイダンスを提供すると同時に、技術の進歩を許容し、事業者の規模、複雑さ、およびその活動の性質と範囲を考慮することによって、規則の柔軟性を維持する。また、委員会の過去のCOPPAおよびデータセキュリティに関する決定および指針とも整合している[323]。 |
| In addition to the proposed written data security program, the Commission also proposes adding language to § 312.8 to clarify that operators that release personal information to third parties or other operators must obtain written assurances that the recipients will employ reasonable measures to maintain the confidentiality, security, and integrity of the information. In 2013, when the Commission amended § 312.8 to require operators to “take reasonable steps to release children's personal information only to service providers and third parties who are capable of maintaining the confidentiality, security and integrity of such information, and who provide assurances that they will maintain the information in such a manner,” the Commission envisioned that operators would obtain assurances “by contract or otherwise.” [324] The Commission based this requirement on a similar obligation of financial institutions under the GLBA, which requires entities to “requir[e] your service providers by contract to implement and maintain such safeguards” (emphasis added).[325] While the Commission expanded on the GLBA's provision to allow operators to obtain assurances by contract “or otherwise,” the Commission did not intend to allow operators to rely on verbal assurances alone. Rather, the Commission envisioned other written assurances for which there is tangible evidence, such as a written email or a service provider's written terms and conditions. | 提案されている書面によるデータセキュリティプログラムに加えて、委員会は、個人情報をサードパーティまたは他の事業者に公開する事業者は、取得者が情報の機密性、安全性、および完全性を維持するための合理的な手段を採用するという書面による保証を取得しなければならないことを明確にするために、312.8条に文言を追加することも提案している。2013年、委員会は第312.8条を改正し、事業者に「児童の個人情報を、そのような情報の機密性、安全性、完全性を維持する能力があり、そのような方法で情報を維持するという保証を提供するサービスプロバイダーおよびサードパーティにのみ開示するための合理的な措置を講じる」ことを義務付けた際、委員会は事業者が「契約またはその他の方法で」保証を得ることを想定していた。 [324] 委員会は、GLBAの下での金融機関の同様の義務に基づき、事業体に対して「契約によって、そのような保護措置を実施し、維持することをプロバイダに要求する」(強調)ことを求めている[325]。委員会は、GLBAの規定を拡大し、事業者が「契約またはその他の方法」によって保証を得ることを認めたが、委員会は、事業者が口頭による保証だけに頼ることを認めるつもりはなかった。むしろ、委員会は、書面による電子メールやプロバイダの書面による契約条件など、目に見える証拠がある他の書面による保証を想定していた。 |
| Accordingly, the Commission proposes inserting “written” to clarify that the assurances operators must obtain from other operators, service providers, and third parties to whom the operator releases children's personal information, or who collect such on the operator's behalf, must be in writing. As similarly noted in the Rule review that led to the 2013 Amendments,[326] this provision is intended to address security issues surrounding business-to-business releases of data. The Commission did not seek specific comment on this aspect of the Rule's security requirements and therefore welcomes comment on this proposed modification. | したがって、委員会は、事業者が他の事業者、サービスプロバイダー、および事業者が児童の個人情報を提供する、あるいは事業者に代わって児童の個人情報を収集するサードパーティから取得しなければならない保証は、書面によるものでなければならないことを明確にするために、「書面による」を挿入することを提案する。2013年の改正につながった規則の見直し[326]で同様に指摘されたように、この規定は、企業間のデータ公開にまつわるセキュリティ問題に対処することを意図している。委員会は、規則のセキュリティ要件のこの側面に関する具体的な意見を求めていないため、この修正案に関する意見を歓迎する。 |
| G. Data Retention and Deletion Requirements (16 CFR 312.10) | G. データ保持および削除要件(16 CFR 312.10) |
| Section 312.10 of the Rule currently states that “an operator of a website or online service shall retain personal information collected online from a child for only as long as is reasonably necessary to fulfill the purpose for which the information was collected.” This section further states that “the operator must delete such information using reasonable measures to protect against unauthorized access to, or use of, the information in connection with its deletion.” | 現在、同規則の312.10項では、「ウェブサイトまたはオンラインサービスの運営者は、児童からオンラインで収集した個人情報を、その情報を収集した目的を果たすために合理的に必要な期間のみ保持しなければならない」と定めている。この条項はさらに、"運営者は、その削除に関連して、情報への不正アクセスや情報の利用から保護するための合理的な手段を用いて、そのような情報を削除しなければならない "と定めている。 |
| In 2013, the Commission amended the Rule to add the data retention and deletion requirements of § 312.10 pursuant to its 15 U.S.C. 6502(b)(1)(D) authority to establish regulations requiring operators to establish and maintain reasonable procedures to protect the confidentiality, security, and integrity of personal information collected from children. At that time, the Commission explained that timely deletion of data is an integral part of a reasonable data security strategy, referencing the Institute for Public Representation's comment that without such “operators have no incentive to eliminate children's personal information and may retain it indefinitely.” [327] The Commission, however, rejected requests to specify a finite timeframe in which companies must delete data, instead deciding to choose “the phrases `for only as long as is reasonably necessary' and `reasonable measures' to avoid the very rigidity about which commenters opposing this provision complain.” [328] | 2013年、委員会は規則を改正し、15 U.S.C. 6502(b)(1)(D)の認可に基づき、児童から収集した個人情報の機密性、セキュリティ、完全性を保護するための合理的な手順を確立し、維持することを事業者に義務付ける規則を制定するため、312.10条のデータ保持および削除要件を追加した。その際、委員会は、データを適時に削除することは、合理的なデータセキュリティ戦略の不可欠な要素であると説明し、そのようなことがなければ、「事業者は、児童の個人情報を削除するインセンティブがなく、無期限に保持する可能性がある」というInstitute for Public Representationの意見を参照した。 [327] しかしながら、委員会は、企業がデータを削除しなければならない期限を指定する要求を拒否し、代わりに「合理的に必要な期間のみ」と「合理的な措置」という表現を選択することで、この規定に反対する意見者が不満としている厳格さを回避することにした。 [328] |
| Although the Commission did not specifically seek comment on data deletion in its 2019 Rule Review Initiation, many of the commenters that recommended the Commission provide more guidance on the § 312.8 requirements also suggested that the Commission clarify operators' obligations under § 312.10. These commenters expressed concern that, without specific time limits on data retention, operators could read the Rule to allow indefinite retention of children's personal information. For example, a group of State Attorneys General asked the Commission to modify the Rule to require operators or others maintaining children's data to serve contextual ads to delete such information immediately at the end of a user's session.[329] Many consumer groups and individual commenters also opined that an increase in school data breaches and ransomware attacks indicates a need for stronger data deletion requirements within the Rule generally.[330] A few commenters asked specifically for data retention limits for personal information stored within the education system or by ed tech providers.[331] Similarly, a non-profit privacy organization requested that the Commission make it clear that operators cannot retain student data indefinitely.[332] | 委員会は、2019年規則見直し開始においてデータ削除に関する意見を特に求めてはいなかったが、委員会が312.8条の要件についてより多くの指針を提供するよう勧告した意見提出者の多くは、委員会が312.10条に基づく事業者の義務を明確にすることも提案した。これらの意見提出者は、データ保持に具体的な期限を設けなければ、事業者がこの規則を読んで、児童の個人情報を無期限に保持することが可能になるとの懸念を表明した。たとえば、州検事総長のグループは、コンテクスト広告を提供するために児童のデータを保持する事業者またはその他の者に対して、ユーザーのセッションが終了した時点で当該情報を直ちに削除することを義務付けるよう、規則を修正するよう委員会に要請した[329]。また、多くの消費者団体や個人の意見提出者は、学校でのデータ漏洩やランサムウェア攻撃の増加は、一般的に規則におけるデータ削除要件の強化の必要性を示しているとの見解を示している[330]。少数の意見提出者は、教育システム内または教育技術プロバイダによって保存された個人情報のデータ保持制限を特に求めていた[331]。同様に、ある非営利のプライバシー団体は、委員会に対し、事業者が生徒のデータを無期限に保持することはできないことを明確にするよう要請した[332]。 |
| Section 312.10 prohibits operators from retaining children's personal information indefinitely. The Commission framed the prohibition on data retention to permit enough flexibility to allow operators to retain data only for specified, necessary business needs. | 第312.10条は、事業者が児童の個人情報を無期限に保持することを禁止している。委員会は、事業者が特定された必要な業務上の必要性のためにのみデータを保持できるよう、十分な柔軟性を持たせるためにデータ保持の禁止を規定した。 |
| Given the misunderstanding identified by the consumer groups, the Commission now proposes to modify this section to state more explicitly operators' duties with regard to the retention of personal information collected from children. Specifically, the Commission proposes clarifying that operators may retain personal information for only as long as is reasonably necessary for the specific purpose for which it was collected, and not for any secondary purpose. For example, if an operator collects an email address from a child for account creation purposes, the operator could not then use that email address for marketing purposes without first obtaining verifiable parental consent to use that information for that specific purpose. Additionally, the operator must delete the information when such information is no longer reasonably necessary for the purpose for which it was collected.[333] In any event, personal information collected from a child may not be retained indefinitely. | 消費者団体の指摘した誤解を考慮し、委員会は現在、このセクションを修正し、児童から収集した個人情報の保持に関する事業者の義務をより明確に規定することを提案している。具体的には、委員会は、事業者が個人情報を保持できるのは、それが収集された特定の目的のために合理的に必要な期間のみであり、二次的な目的のためには保持できないことを明確にすることを提案する。例えば、ある事業者がアカウント作成目的で児童から電子メールアドレスを収集した場合、その事業者は、その特定の目的のために情報を使用することについて、検証可能な保護者の同意を最初に得ることなく、その電子メールアドレスをマーケティング目的で使用することはできない。さらに、事業者は、そのような情報が収集された目的のために合理的に必要でなくなった場合、その情報を削除しなければならない[333]。いずれにせよ、児童から収集した個人情報を無期限に保持することはできない。 |
| The Commission also proposes requiring an operator to, at least, establish and maintain a written data retention policy specifying its business need for retaining children's personal information and its timeframe for deleting it, precluding indefinite retention. | また、委員会は、事業者に対して、少なくとも、児童の個人情報を保持する業務上の必要性と、その情報を削除する期限を明記した書面によるデータ保持方針を定め、維持することを義務付け、無期限の保持を排除することを提案している。 |
| These proposed modifications are intended to reinforce section 312.7's data minimization requirements, which prohibit an operator from conditioning a child's participation in a game, the offering of a prize, or another activity on the child's disclosing more personal information than is reasonably necessary to participate in such activity.[334] Namely, these proposed modifications require that an operator must have a specific business need for retaining information collected from children, and may retain such information for only so long as is reasonably necessary for the specific purpose for which it was collected, and not for any secondary purpose. The modifications also preclude operators from retaining such information indefinitely. The Commission welcomes comment on its proposed modification to this section. | これらの修正案は、第312.7条のデータ最小化要件を強化することを意図している。この要件は、ゲーム、賞品の提供、またはその他の活動への児童の参加を条件として、当該活動への参加に合理的に必要な以上の個人情報を児童が開示することを事業者が禁止するものである[334]。すなわち、これらの修正案は、事業者が児童から収集した情報を保持する特定の業務上の必要性を持たなければならないこと、およびそのような情報を、それが収集された特定の目的のために合理的に必要な期間のみ保持することができ、二次的な目的のために保持することはできないことを求めている。また、この修正は、事業者がこのような情報を無期限に保持することを妨げるものでもある。委員会は、本項の修正案について意見を歓迎する。 |
| H. Safe Harbor (16 CFR 312.11) | H. セーフハーバー(16 CFR 312.11) |
| The 2019 Rule Review Initiation posed a number of questions related to the Rule's safe harbor program provision, including: whether it has been effective in enhancing compliance with the Rule; whether the Commission should modify the criteria currently enumerated in § 312.11(b) for approval of FTC-approved COPPA Safe Harbor programs; whether the Commission should clarify or modify § 312.11(g) with respect to the Commission's discretion to initiate an investigation or bring an enforcement action against an operator participating in an FTC-approved COPPA Safe Harbor program; whether the Commission should consider changes to the safe harbor monitoring process, including to promote greater transparency; and whether the Rule should include factors for the Commission to consider in revoking approval for an FTC-approved COPPA Safe Harbor program. | 2019年規則見直し開始では、規則のセーフハーバープログラム規定に関連する多くの質問が投げかけられたが、これには、規則の遵守を強化する上で効果的であったかどうか、FTCが承認したCOPPAセーフハーバープログラムの承認について、委員会は現在312.11条(b)に列挙されている基準を修正すべきかどうか、委員会は312.11条(g)を明確化または修正すべきかどうかなどが含まれる。 11(g)に、FTCが承認したCOPPAセーフハーバープログラムに参加している事業者に対して調査を開始したり、強制措置を講じたりする委員会の裁量を明確化または修正すべきかどうか、委員会は、透明性の向上を促進することを含め、セーフハーバー監視プロセスの変更を検討すべきかどうか、規則には、委員会がFTCが承認したCOPPAセーフハーバープログラムの承認を取り消す際に考慮すべき要素を含めるべきかどうか。 |
| A number of commenters expressed support for the Rule's safe harbor program.[335] At the same time, however, multiple commenters recommended that the Commission enhance oversight of, and transparency regarding, the safe harbor program by modifying the criteria for the Commission's approval of FTC-approved COPPA Safe Harbor programs' guidelines and the Rule's requirements for FTC-approved COPPA Safe Harbor programs to submit reports to the Commission and retain records.[336] While the Commission continues to believe that FTC-approved COPPA Safe Harbor programs serve an important function in helping companies comply with COPPA, it finds merit in the recommendations for enhanced oversight and transparency. Accordingly, the Commission proposes revisions to § 312.11 of the Rule as set forth in this part of the preamble, which it believes will further strengthen the COPPA Rule's safe harbor program. | 多くの意見提出者は、規則のセーフハーバープログラムへの支持を表明した[335]。しかし同時に、複数の意見提出者は、FTCが承認したCOPPAセーフハーバープログラムのガイドラインを委員会が承認するための基準や、FTCが承認したCOPPAセーフハーバープログラムが委員会に報告書を提出し、記録を保持するための規則の要件を修正することによって、セーフハーバープログラムに関する監視と透明性を強化することを委員会に提案した[336]。委員会は、FTCが承認したCOPPAセーフハーバープログラムが、企業のCOPPA遵守を支援する上で重要な機能を果たすと引き続き考えているが、監視と透明性の強化に関する提言にメリットを見出している。したがって、委員会は、COPPA規則のセーフハーバープログラムをさらに強化することができると考え、前文のこの部分に記載されているように、規則第312.11条の改定を提案する。 |
| 1. Criteria for Approval of Self-Regulatory Program Guidelines (§ 312.11(b)) | 1. 自主規制プログラムガイドラインの承認基準(§312.11(b) |
| Paragraph 312.11(b) of the Rule requires that FTC-approved COPPA Safe Harbor programs demonstrate that they meet certain performance standards, specifically: (1) requirements to ensure operators subject to the self-regulatory program guidelines (“subject operators”) provide substantially the same or greater protections for children as those contained in §§ 312.2 through 312.8 and 312.10; (2) an effective, mandatory mechanism for the independent assessment of subject operators' compliance with the FTC-approved COPPA Safe Harbor program's guidelines; and (3) disciplinary actions for subject operators' non-compliance with self-regulatory program guidelines. | 規則第312.11条(b)は、FTCが承認したCOPPAセーフハーバープログラムが一定の標準を満たしていることを証明することを特に次のように求めている: (1) 自己規制プログラムガイドラインの対象となるプロバイダ(「対象事業者」)が、第312.2条~第312.8条および第312.10条に含まれるものと実質的に同等以上の保護を児童に提供することを保証するための要件; (2) 対象事業者がFTC承認のCOPPAセーフハーバープログラムのガイドラインを遵守しているかどうかを独自に評価するための、効果的で義務的な仕組み。(3) 対象事業者が自主規制プログラムのガイドラインを遵守していない場合の懲戒処分。 |
| Several commenters recommended that the Commission provide additional clarity regarding the criteria the Commission applies when determining whether to approve an FTC-approved COPPA Safe Harbor program's self-regulatory guidelines. One FTC-approved COPPA Safe Harbor program suggested that the Commission consider publishing a standard set of program requirements, assessment questionnaires, and technical tests for all FTC-approved COPPA Safe Harbor programs to utilize with their subject operators.[337] Another recommended that the FTC consider enumerating minimum operating standards for FTC-approved COPPA Safe Harbor programs, including how often they monitor subject operators' sites and communicate with subject operators.[338] Another commenter recommended that the Commission should require FTC-approved COPPA Safe Harbor programs to apply a duty of care to promote principles behind COPPA when they conduct safe harbor program audits and certifications.[339] | 複数のプロバイダは、FTCが承認したCOPPAセーフハーバープログラムの自主規制ガイドラインを承認するかどうかを決定する際に、委員会が適用する基準をさらに明確にすることを推奨した。あるFTC承認COPPAセーフハーバー・プログラムは、すべてのFTC承認COPPAセーフハーバー・プログラムが対象事業者と利用するためのプログラム要件、評価アンケート、および技術テストの標準セットを公表することを検討するよう、委員会に提案した。 [337]また別の意見者は、FTCが承認したCOPPAセーフハーバープログラムについて、対象事業者のサイトを監視する頻度や対象事業者とのコミュニケーションの頻度など、最低限の運営基準を列挙することを検討すべきであると提言した[338]。さらに別の意見者は、FTCが承認したCOPPAセーフハーバープログラムがセーフハーバープログラムの監査と認証を行う際には、COPPAの背景にある原則を促進するための注意義務を適用するよう求めるべきであると提言した[339]。 |
| The Commission finds merit in the overall call for additional clarity regarding its criteria for approving FTC-approved COPPA Safe Harbor programs' self-regulatory guidelines. As discussed previously, the Commission proposes changes to the Rule's security requirements.[340] These proposed modifications provide additional guidance on the “reasonable procedures” that an operator must establish and maintain to protect the confidentiality, security, and integrity of personal information from children. FTC-approved COPPA Safe Harbor programs can utilize that guidance in determining whether subject operators meet the Rule's § 312.8 requirements. | 委員会は、FTCが承認したCOPPAセーフハーバープログラムの自主規制ガイドラインを承認する基準について、さらに明確にすることを求める全体的な要求にメリットを見出す。先に述べたように、委員会は規則のセキュリティ要件[340]の変更を提案している。これらの修正案は、事業者が児童の個人情報の機密性、安全性、完全性を保護するために確立し、維持しなければならない「合理的な手順」に関する追加ガイダンスを提供するものである。FTCが承認したCOPPAセーフハーバープログラムは、対象事業者が規則の§312.8要件を満たしているかどうかを判断する際に、当該指針を利用することができる。 |
| Further, in parallel with the proposed changes to § 312.8 discussed in Part IV.F., the Commission proposes to revise § 312.11(b)(2) to state explicitly that an FTC-approved COPPA Safe Harbor program's assessments of subject operators must include comprehensive reviews of both the subject operators' privacy and security policies, practices, and representations. The Commission does not propose any revisions to § 312.11(b)(1). | さらに、パートIV.F.で述べた§312.8の変更案と並行して、委員会は、§312.11(b)(2)を改訂し、FTC承認COPPAセーフハーバープログラムによる対象事業者の評価には、対象事業者のプライバシーおよびセキュリティの方針、慣行、および表明の両方の包括的なレビューが含まれなければならないことを明示することを提案する。委員会は、312.11条(b)(1)の改訂を提案しない。 |
| 2. Reporting and Recordkeeping Requirements (§ 312.11(d) and § 312.11(f)) | 2. 報告および記録の要件(§312.11(d)および§312.11(f) |
| Section 312.11(d) of the Rule sets forth requirements for FTC-approved COPPA Safe Harbor programs to, among other things, submit annual reports to the Commission and maintain for not less than three years, and make available to the Commission upon request, consumer complaints alleging that subject operators violated an FTC-approved COPPA Safe Harbor program's guidelines, records of disciplinary actions taken against subject operators, and results of the FTC-approved COPPA Safe Harbor program's § 312.11(b)(2) assessments. | 規則第312.11条(d)は、FTC承認COPPAセーフハーバープログラムに対して、特に、年次報告書を委員会に提出し、対象事業者がFTC承認COPPAセーフハーバープログラムのガイドラインに違反したと主張する消費者からの苦情、対象事業者に対する懲戒処分の記録、およびFTC承認COPPAセーフハーバープログラムの第312.11条(b)(2)評価の結果を3年以上維持し、要求に応じて委員会が入手できるようにする要件を定めている。 |
| Several commenters recommended that the Commission modify the reporting and recordkeeping requirements in order to strengthen the Commission's oversight of FTC-approved COPPA Safe Harbor programs and to make that oversight more transparent. One commenter recommended that the Commission require FTC-approved COPPA Safe Harbor programs to submit more detailed and frequent reports.[341] Another suggested that the Rule should require such programs to demonstrate on a periodic basis that they are regularly assessing and updating their programs to comply with COPPA.[342] | 複数の意見者は、FTCが承認したCOPPAセーフハーバープログラムに対する委員会の監視を強化し、その監視の透明性を高めるために、委員会が報告および記録の要件を修正することを推奨した。ある意見提出者は、FTCが承認したCOPPAセーフハーバープログラムに対し、より詳細かつ頻繁な報告書の提出を求めるよう委員会に提案した[341]。また別の意見提出者は、このようなプログラムに対し、COPPAに準拠するよう定期的に評価し、プログラムを更新していることを定期的に証明するよう規則に求めるべきであると提案した[342]。 |
| The Commission agrees with commenters' general recommendation to enhance FTC-approved COPPA Safe Harbor programs' reporting requirements in order to strengthen oversight. Accordingly, the Commission proposes revising § 312.11(d)(1) to require the following additions to the FTC-approved COPPA Safe Harbor programs' annual reports. | 委員会は、監視を強化するために、FTCが承認したCOPPAセーフハーバープログラムの報告要件を強化するという意見提出者の一般的な提案に同意する。したがって、委員会は、§312.11(d)(1)を改訂し、FTC承認COPPAセーフハーバープログラムの年次報告書に以下の追加を義務付けることを提案する。 |
| First, the Commission proposes requiring FTC-approved COPPA Safe Harbor programs to identify each subject operator and all approved websites or online services in the program, as well as all subject operators that have left the program.[343] The proposed revision further requires an FTC-approved COPPA Safe Harbor program to provide: a narrative description of the program's business model, including whether it provides additional services to subject operators, such as training; copies of each consumer complaint related to each subject operator's violation of an FTC-approved COPPA Safe Harbor program's guidelines; and a description of the process for determining whether a subject operator is subject to discipline (in addition to the existing requirement to describe any disciplinary action that the FTC-approved COPPA Safe Harbor program took against any subject operator). These proposed changes will enhance the Commission's ability to oversee FTC-approved COPPA Safe Harbor programs. | まず、委員会は、FTCが承認したCOPPAセーフハーバー・プログラムに対し、各対象事業者、プログラム内で承認されたすべてのウェブサイトまたはオンラインサービス、およびプログラムから離脱したすべての対象事業者を特定することを義務付けることを提案している[343]。本改訂案はさらに、FTCが承認したCOPPAセーフハーバープログラムに対し、以下を提供することを求めている:対象事業者にトレーニングなどの追加サービスを提供しているかどうかを含む、プログラムのビジネスモデルの説明; FTC承認COPPAセーフハーバー・プログラムのガイドラインに対する各対象事業者の違反に関連する各消費者からの苦情のコピー、および対象事業者が懲戒処分の対象となるかどうかを決定するプロセスの説明(FTC承認COPPAセーフハーバー・プログラムが対象事業者に対して行った懲戒処分の説明という従来の要件に加えて)。これらの変更案は、FTC承認のCOPPAセーフハーバープログラムを監督する委員会の能力を強化するものである。 |
| Additionally, one FTC-approved COPPA Safe Harbor program recommended that the Commission consider conducting audits of each FTC-approved COPPA Safe Harbor program and publishing an audit checklist after completing each audit.[344] Relatedly, another commenter suggested that the Rule should require FTC-approved COPPA Safe Harbor programs to demonstrate on a periodic basis that they are regularly assessing and updating their programs to comply with COPPA.[345] | さらに、あるFTC承認COPPAセーフハーバープログラムは、委員会が各FTC承認COPPAセーフハーバープログラムの監査を実施し、各監査終了後に監査チェックリストを公表することを検討するよう提言した[344]。これに関連して、別の意見提供者は、FTC承認COPPAセーフハーバープログラムがCOPPAを遵守するためにプログラムを定期的に評価し、更新していることを定期的に証明するよう規則に義務付けるべきであると提言した[345]。 |
| The Commission agrees that, in addition to its current oversight of FTC-approved COPPA Safe Harbor programs, including review of the FTC-approved COPPA Safe Harbor programs' annual reports discussed in this part of the preamble, regular audits of FTC-approved COPPA Safe Harbor programs' technological capabilities and mechanisms for assessing subject operators' fitness for maintaining membership could further strengthen oversight. To that end, the Commission proposes to add a new § 312.11(f) requiring FTC-approved COPPA Safe Harbor programs to submit triennial reports that provide details about those issues.[346] | 委員会は、この前文で説明したFTC承認COPPAセーフハーバープログラムの年次報告書のレビューなど、FTC承認COPPAセーフハーバープログラムに対する現在の監視に加え、FTC承認COPPAセーフハーバープログラムの技術的能力および対象事業者の会員資格維持の適性を評価する仕組みを定期的に監査することで、監視をさらに強化できることに同意する。そのため、委員会は、FTCが承認したCOPPAセーフハーバープログラムに、これらの問題の詳細を提供する3年ごとの報告書の提出を義務付ける新しい§312.11(f)を追加することを提案する[346]。 |
| In terms of transparency, several commenters recommended that the Commission require programs to publish lists of their certified members.[347] One FTC-approved COPPA Safe Harbor program, however, posited that public disclosure of membership lists would lead to the “poaching” of safe harbor members and recommended that the Rule require safe harbors instead to provide service-level certification information to the FTC confidentially.[348] Another disagreed that public disclosure of membership lists would lead to the stealing of members, stating that it has always publicly disclosed the products it has certified.[349] A coalition of consumer groups supported greater transparency and argued that FTC-approved COPPA Safe Harbor programs' current practices with respect to whether and where subject operators display membership seals makes it difficult for parents and others to determine whether websites or online services are participants of an FTC-approved COPPA Safe Harbor program.[350] | 透明性の観点から、複数の意見提出者は、委員会が認定会員のリストを公表するようプログラムに義務付けることを推奨した[347]。しかし、あるFTC承認のCOPPAセーフハーバー・プログラムは、会員リストの公開はセーフハーバー会員の「密猟」につながるとし、代わりにサービスレベル認証情報を内密にFTCに提供するようセーフハーバーに義務付けることを規則に提案した[348]。 別の加盟国は、会員リストの公開が会員の窃盗につながることに反対し、自社が認証した製品は常に公開していると述べた[349]。消費者団体の連合は透明性の向上を支持し、FTCが承認したCOPPAセーフハーバープログラムが、対象事業者が会員シールを表示するかどうか、またどこに表示するかに関して現在行っていることは、保護者などがウェブサイトやオンラインサービスがFTCが承認したCOPPAセーフハーバープログラムの参加者であるかどうかを判断することを困難にしていると主張した[350]。 |
| The Commission proposes requiring that FTC-approved COPPA Safe Harbor programs publish lists of their subject operators. While the Commission understands certain commenters' concerns that the publication of such a list could result in the loss of subject operators to other FTC-approved COPPA Safe Harbor programs, the Commission believes that such concerns are outweighed by the benefits created by increasing transparency around FTC-approved COPPA Safe Harbor programs. Therefore, the Commission proposes adding this requirement as new paragraph § 312.11(d)(4). | 委員会は、FTC承認のCOPPAセーフハーバープログラムが、その対象事業者のリストを公表することを義務付けることを提案する。委員会は、このようなリストの公開により、対象事業者が他のFTC承認COPPAセーフハーバープログラムに流出する可能性があるという特定の意見提出者の懸念を理解しているが、委員会は、FTC承認COPPAセーフハーバープログラムの透明性を高めることによってもたらされる利益に比べれば、そのような懸念は凌駕されると考えている。したがって、委員会は、この要件を新しい段落§312.11(d)(4)として追加することを提案する。 |
| 3. Revocation of Approval of Self-Regulatory Program Guidelines (Current § 312.11(f), Proposed To Be Renumbered as § 312.11(g)) | 3. 自主規制プログラムガイドラインの承認の取り消し(現行§312.11(f)、§312.11(g)への改称提案) |
| Current § 312.11(f), which the Commission proposes to renumber as § 312.11(g) in light of the new proposed § 312.11(f), reserves the Commission's right to revoke the approval of any FTC-approved COPPA Safe Harbor program whose guidelines or implementation of guidelines do not meet the requirements set forth in the Rule. In addition, current § 312.11(f) requires FTC-approved COPPA Safe Harbor programs that the Commission had approved before the Commission amended the Rule in 2013 to submit by March 1, 2013 proposed modifications to bring their guidelines into compliance with the 2013 Rule amendments. | 現行§312.11(f)は、新たに提案された§312.11(f)に照らして、§312.11(g)に改名することを提案しているが、ガイドラインまたはガイドラインの実施が規則に規定された要件を満たしていないFTC承認COPPAセーフハーバープログラムの承認を取り消す権利を委員会に留保している。さらに、現行の§312.11(f)は、2013年に委員会が規則を改正する前に委員会が承認したFTC承認COPPAセーフハーバープログラムに対し、2013年3月1日までにガイドラインを2013年の規則改正に準拠させるための修正案を提出するよう求めている。 |
| Because the March 1, 2013 deadline has passed and is no longer relevant, the Commission proposes to strike from renumbered § 312.11(g) the requirement that FTC-approved COPPA Safe Harbor programs submit proposed modifications to their guidelines. If the Commission proceeds to modify the Rule as discussed in this notice, the Commission will provide an appropriate deadline for safe harbor programs to submit proposed modifications to bring their guidelines into compliance with such amendments. | 2013年3月1日の期限は過ぎ、もはや関連性がないため、委員会は、FTCが承認したCOPPAセーフハーバープログラムがガイドラインの修正案を提出するという要件を、変更後の§312.11(g)から削除することを提案する。委員会が本通知で議論されているように規則の修正を進める場合、委員会は、セーフハーバープログラムがガイドラインを当該修正に準拠させるための修正案を提出するための適切な期限を設ける。 |
| I. Voluntary Commission Approval Processes (16 CFR 312.12) | I. 自主的な委員会の承認プロセス(16 CFR 312.12) |
| The Commission also proposes making a few technical edits in § 312.12(b) to ensure that each reference to the support for the internal operations of the website or online service is consistent with the COPPA statute's use of the phrase “support for the internal operations of the [website] or online service.” [351] | 委員会はまた、ウェブサイトまたはオンラインサービスの内部運営のサポートに関する各参照が、COPPA法令が使用する"[ウェブサイト]またはオンラインサービスの内部運営のサポート "という表現と一致するように、312.12条(b)に技術的な編集を加えることを提案する。 [351] |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.01.19 米国 FTCのブログ プライバシー関連(DNA、データブローカー、子供のプライバシー)
VI. ペーパーワーク削減法の部分...是非、日本でも参考に...
| VI. Paperwork Reduction Act | VI. ペーパーワーク削減法 |
| The Paperwork Reduction Act (“PRA”), 44 U.S.C. chapter 35, requires federal agencies to seek and obtain approval from the Office of Management and Budget (“OMB”) before undertaking a collection of information directed to ten or more persons.[352] Under the PRA, a rule creates a “collection of information” when ten or more persons are asked to report, provide, disclose, or record information in response to “identical questions.” [353] The existing COPPA Rule contains recordkeeping, disclosure, and reporting requirements that constitute “information collection requirements” as defined by 5 CFR 1320.3(c) under the OMB regulations that implement the PRA. OMB has approved the Rule's existing information collection requirements through March 31, 2025 (OMB Control No. 3084–0117). | ペーパーワーク削減法(「PRA」)、合衆国法典第44編第35章は、連邦政府機関に対し、10人以上を対象とする情報収集を実施する前に、行政管理予算局(「OMB」)の承認を求め、承認を得ることを義務付けている[352]。PRAの下では、10人以上の者が "同一の質問 "に対して情報の報告、提供、開示、記録を求められた場合、規則は "情報の収集 "を作成する。 [353] 既存のCOPPA規則には、PRAを実施するOMB規則の5 CFR 1320.3(c)で定義される「情報収集要件」に該当する記録、開示、報告要件が含まれている。OMBは規則の既存の情報収集要件を2025年3月31日まで承認している(OMB管理番号3084-0117)。 |
| The proposed amendments to the COPPA Rule would amend the definition of “website or online service directed to children,” potentially increasing the number of operators subject to the Rule, albeit likely not to a significant degree. The proposed Rule would also increase disclosure obligations for operators and FTC-approved COPPA Safe Harbor programs, and FTC-approved COPPA Safe Harbor programs would also face additional reporting obligations under the proposed Rule. Commission staff does not believe that the proposed Rule would increase operators' recordkeeping obligations. | COPPA規則の改正案では、「児童に向けたウェブサイトまたはオンラインサービス」の定義が改正され、規則の対象となる事業者の数は、それほど多くないと思われるが、増加する可能性がある。また、同規則案では、事業者およびFTCが承認したCOPPAセーフハーバー・プログラムに対する開示義務も増加し、FTCが承認したCOPPAセーフハーバー・プログラムも、同規則案の下で追加の報告義務を負うことになる。また、FTCが承認したCOPPAセーフハーバー・プログラムは、提案された規則のもとで、さらなる報告義務を負うことになる。 |
| The Commission invites comments on: (1) whether the proposed collection of information is necessary for the proper performance of the functions of the FTC, including whether the information will have practical utility; (2) the accuracy of the FTC's estimate of the burden of the proposed collection of information; (3) ways to enhance the quality, utility, and clarity of the information to be collected; and (4) ways to minimize the burden of collecting information on those who respond. Written comments and recommendations for the proposed information collection should also be sent within 30 days of publication of this document to https://www.reginfo.gov/public/do/PRAMain. Find this particular information collection by selecting “Currently under Review—Open for Public Comments” or by using the search function. The reginfo.gov web link is a United States Government website produced by OMB and the General Services Administration. Under PRA requirements, OMB's Office of Information and Regulatory Affairs reviews federal information collections. | 委員会は、以下について意見を求める: (1)提案されている情報収集が、実用的な有用性を持つかどうかを含め、FTCの機能を適切に果たすために必要かどうか、(2)提案されている情報収集の負担に関するFTCの見積もりの正確さ、(3)収集される情報の質、有用性、明確性を高める方法、(4)対応する人々の情報収集の負担を最小限に抑える方法。提案されている情報収集に対する意見書および提案も、この文書の発行から30日以内に、https://www.reginfo.gov/public/do/PRAMain。この特定の情報収集は、"Currently under Review-Open for Public Comments "を選択するか、検索機能を使って見つけることができる。reginfo.govウェブリンクは、OMBとGeneral Services Administrationによって作成された米国政府のウェブサイトである。PRAの要件に基づき、OMBの情報規制局が連邦情報収集の審査を行っている。 |
| Estimated Additional Annual Hours Burden | 年間追加時間負担の見積もり |
| A. Number of Respondents | A. 対応者の数 |
| As noted in the Regulatory Flexibility section of this NPRM, Commission staff estimates that there are currently approximately 5,710 operators subject to the Rule. Commission staff believes that the changes that are most likely to affect the number of operators subject to the Rule are the Commission's proposed changes to the Rule's definition of “website or online service directed to children.” Of most relevance to this discussion, the Commission proposes to modify paragraph 2 of this definition to account for third parties with actual knowledge that they collect children's information from users of a child-directed site or service, even if such third parties do not collect the information directly from such users. While Commission staff contemplates that this modification could increase the number of operators subject to the Rule's requirements, staff does not have sufficient evidence to estimate the amount of increase, and therefore the Commission welcomes comment on this issue. Commission staff does not expect that the other proposed modifications to this definition, such as the additional exemplar factors the Commission will consider in determining whether a site or service is child-directed, will alter the number of operators subject to the Rule. | 本NPRMの規制の柔軟性の項で述べたように、委員会スタッフは、現在、本規則の対象となる事業者は約5,710社であると推定している。委員会スタッフは、規則の対象となる事業者の数に最も影響を与える可能性が高い変更は、委員会が提案する「児童を対象とするウェブサイトまたはオンラインサービス」の定義の変更であると考えている。この議論に最も関連性があるのは、委員会は、この定義の第2項を修正し、児童向けサイトまたはサービスの利用者から児童の情報を収集していることを実際に知っているサードパーティを考慮することを提案していることである。委員会のスタッフは、この修正により、規則の要件に従う事業者の数が増加する可能性があると想定しているが、スタッフはその増加額を見積もる十分な証拠を持ち合わせていないため、委員会はこの問題に関する意見を歓迎する。委員会のスタッフは、サイトまたはサービスが児童向けかどうかを判断する際に委員会が考慮する追加的な模範的要素など、この定義に対するその他の修正案が、規則の対象となる事業者の数を変えるとは考えていない。 |
| Commission staff does not believe that other proposed modifications to the Rule's definitions will affect the number of operators subject to the Rule. For example, Commission staff does not expect that the Commission's proposed addition of “biometric identifiers” to the Rule's definition of “personal information” will significantly alter the number of operators subject to the Rule. Commission staff believes that all or nearly all operators of websites or online services that collect “biometric identifiers” from children are already subject to the Rule. | 委員会のスタッフは、規則の定義に対するその他の修正案が、規則の対象となる事業者の数に影響を与えるとは考えていない。例えば、委員会が提案した「バイオメトリック識別情報」の規則の「個人を特定できる情報」の定義への追加により、規則の対象となる事業者の数が大きく変わるとは、委員会スタッフは考えていない。委員会のスタッフは、児童から「バイオメトリック識別子」を収集するウェブサイトまたはオンラインサービスの運営者のすべてまたはほぼすべてが、すでに規則の対象になっていると考えている。 |
| In total, to the extent that any of the Commission's proposed revisions to the Rule's definitions might result in minor additional numbers of operators being subject to the Rule, Commission staff believes that any such increase will be offset by other operators of websites or online services adjusting their information collection practices so that they will not be subject to the Rule. | 全体として、委員会が提案した規則の定義の改訂により、規則の対象となる事業者の数がわずかに増加する可能性があるとしても、委員会のスタッフは、そのような増加は、他のウェブサイトまたはオンラインサービスの事業者が規則の対象とならないように情報収集の慣行を調整することにより相殺されると考えている。 |
| For this burden analysis, Commission staff retains its recently published estimate of 280 new operators per year.[354] Commission staff also retains its estimate that no more than one additional FTC-approved COPPA Safe Harbor program applicant is likely to submit a request within the next three years of PRA clearance. | この負担分析において、委員会スタッフは、最近公表した年間280の新規事業者[354]という推定を維持している。 また、委員会スタッフは、PRAクリアランスから今後3年以内に、FTCが承認したCOPPAセーフハーバープログラムの申請者がさらに1社以上申請を提出する可能性はないという推定も維持している。 |
| B. Recordkeeping Hours | B. 記録時間 |
| While the proposed Rule requires operators to establish, implement, and maintain a written comprehensive security program and data retention policy, such requirements do not constitute a “collection of information” under the PRA. Namely, under the proposed Rule, each operator's security program and the safeguards instituted under such program will vary according to the operator's size and complexity, the nature and scope of its activities, and the sensitivity of the information involved. Similarly, the instituted data retention policy will differ depending on the operator's business practices. Thus, although each operator must summarize its compliance efforts in one or more written documents, the discretionary balancing of factors and circumstances that the proposed Rule allows does not require entities to answer “identical questions” and therefore does not trigger the PRA's requirements. | 本規則案では、事業者に対し、書面による包括的セキュリティプログラムおよびデータ保持方針の策定、実施、維持を義務付けているが、かかる要件は、PRAに基づく「情報の収集」には該当しない。すなわち、提案されている規則のもとでは、各事業者のセキュリティ・プログラムおよびそのようなプログラムのもとで制定される保護措置は、事業者の規模や複雑さ、その機構の性質や範囲、関連する情報の機密性によって異なる。同様に、制定されたデータ保持方針も、事業者の事業慣行によって異なる。従って、各事業者はそのコンプライアンスへの取り組みを1つ以上の文書にまとめなければならないが、規則案が許容する要因や状況の裁量的なバランスは、事業体に対して「同一の質問」に答えることを要求するものではなく、従ってPRAの要求事項を誘発するものではない。 |
| Separately, the proposed Rule imposes minimal recordkeeping requirements for FTC-approved COPPA Safe Harbor programs. However, FTC staff understands that most of the records listed in the COPPA Rule's safe harbor recordkeeping provisions consist of documentation that covered entities retain in the ordinary course of business irrespective of the COPPA Rule. OMB excludes from the definition of PRA burden, among other things, recordkeeping requirements that customarily would be undertaken independently in the normal course of business.[355] In staff's view, any incremental burden posed by the proposed Rule—such as that to include additional content in annual reports, submit a report to the Commission every three years detailing technological capabilities and mechanisms, and publicly post membership lists—would be marginal. | これとは別に、本規則案は、FTCが承認したCOPPAセーフハーバー・プログラムに対して最小限の記録保持要件を課している。しかし、FTCスタッフは、COPPA規則のセーフハーバー記録保持規定に記載されている記録のほとんどは、対象事業体がCOPPA規則とは関係なく通常の業務で保持する文書で構成されていると理解している。OMBはPRA負担の定義から、特に、通常の業務過程で独自に実施されることが通例である記録管理要件を除外している[355]。スタッフの見解では、年次報告書に追加的な内容を含めること、3年ごとに技術的能力と仕組みを詳述した報告書を委員会に提出すること、会員リストを公に掲載することなど、規則案がもたらす負担の増加はわずかなものである。 |
| C. Disclosure Hours | C. 開示時間 |
| 1. New Operators' Disclosure Burden | 1. 新規事業者の情報開示負担 |
| FTC staff estimates that the Rule affects approximately 280 new operators per year.[356] Staff maintains its longstanding estimate that new operators of websites and online services will require, on average, approximately 60 hours to draft a privacy policy, design mechanisms to provide the required online privacy notice and, where applicable, the direct notice to parents.[357] In addition, the proposed Rule includes a new requirement that operators establish, implement, maintain, and disclose a data retention policy. Staff estimates it will require, on average, approximately 10 hours to meet the data retention policy requirement. In combining these figures, Commission staff estimates that these disclosure requirements will require 70 hours of burden per operator. This yields an estimated annual hours burden of 19,600 hours (280 respondents × 70 hours). | FTCスタッフは、本規則が年間約280の新規事業者に影響を及ぼすと見積もっている[356]。 スタッフは、ウェブサイトおよびオンラインサービスの新規事業者がプライバシー・ポリシーを起草し、要求されるオンライン・プライバシー通知を提供するための仕組みを設計し、該当する場合には保護者に直接通知するために、平均で約60時間を要するという長年の見積もりを維持している[357]。さらに、本規則案には、事業者がデータ保持ポリシーを確立し、実施し、維持し、開示するという新たな要件が含まれている。スタッフは、データ保持方針の要件を満たすために平均で約10時間を要すると見積もっている。これらの数値を合わせると、委員会のスタッフは、これらの開示要件に1事業者あたり70時間の負担が必要になると見積もっている。この結果、年間負担時間は19,600時間(回答者280人×70時間)と見積もられる。 |
| 2. Existing Operators' Disclosure Burden | 2. 既存事業者の開示負担 |
| The proposed Rule imposes various new disclosure requirements on operators. Specifically, the proposed amendments require operators to update existing disclosures, namely to update the direct and online notices with additional information about the operators' information practices. Additionally, some operators may have to provide disclosures that were not previously required under the Rule. For operators utilizing the support for the internal operations exception, 16 CFR 312.5(c)(7), the proposed Rule will now require such operators to provide an online notice. Similarly, the proposed Rule will require operators utilizing the proposed school authorization exception, which is newly numbered as 16 CFR 312.5(c)(10), to provide an online notice, a direct notice to the school, and enter into a written agreement with the school. Additionally, the proposed Rule requires operators to disclose a data retention policy. | 本規則案は、事業者に対して様々な開示要件を新たに課している。具体的には、本改正案は、事業者に対して、既存の情報開示を更新すること、すなわち、事業者の情報慣行に関する追加情報を記載したダイレクトおよびオンライン通知を更新することを求めている。さらに、一部の事業者は、規則のもとで以前は要求されていなかった開示を提供しなければならない可能性がある。内部業務例外(16 CFR 312.5(c)(7))のサポートを利用する事業者については、提案された規則により、そのような事業者はオンライン通知を提供することが義務付けられる。同様に、本規則案は、16 CFR 312.5(c)(10)として新たに番号付けされた学校認可例外案を利用する事業者に対して、オンライン通知、学校への直接通知、および学校との書面による合意の締結を義務付ける。さらに、本規則案では、事業者に対してデータ保持方針の開示を義務付けている。 |
| Commission staff believes that an existing operator's time to make these changes to its online and direct notices would be no more than that estimated for a new entrant to craft an online notice and direct notice for the first time, i.e., 60 hours. Regarding the written agreement, FTC staff understands that many ed tech operators enter into standard contracts with schools, school districts, and other education organizations across the country, and this requirement is not intended to interfere with such contractual arrangements. Therefore, this agreement likely consists of documentation that covered entities retain in the ordinary course of business irrespective of the COPPA Rule. As noted above, OMB excludes from the definition of PRA burden, among other things, recordkeeping requirements that customarily would be undertaken independently in the normal course of business.[358] Additionally, as discussed previously, Commission staff believes the time necessary to develop, draft, and publish a data retention policy is approximately 10 hours. Therefore, these disclosure requirements will amount to approximately 70 hours of burden. Annualized over three years of PRA clearance, this amounts to approximately 23 hours (70 hours ÷ 3 years) per operator each year. Aggregated for the 5,710 existing operators, the annualized disclosure burden for these requirements would be approximately 131,330 hours per year (5,710 respondents × 23 hours). | FTCスタッフは、既存事業者がオンラインおよびダイレクト通知に変更を加える時間は、新規参入事業者が初めてオンラインおよびダイレクト通知を作成するのに要する時間と同程度、すなわち60時間以内であると考えている。書面による合意について、FTCスタッフは、多くのEDテック事業者が全国の学校、学区、その他の教育機関と標準的な契約を結んでいることを理解しており、この要件はそのような契約上の取り決めを妨げることを意図していない。したがって、この契約書は、COPPA規則とは関係なく、対象事業体が通常の業務過程で保持する文書で構成されている可能性が高い。前述したように、OMBは、特に、通常の業務過程で独自に実施されることが通例である記録保持要件をPRA負担の定義から除外している[358]。さらに、前述したように、委員会スタッフは、データ保持方針の策定、ドラフト、公表に必要な時間は約10時間であると考えている。したがって、これらの開示要件は約70時間の負担となる。PRAクリアランスの3年間で年換算すると、事業者1社あたり毎年約23時間(70時間÷3年)となる。既存の事業者5,710名を合計すると、これらの要求事項の年間開示負担は、年間約131,330時間(5,710名×23時間)となる。 |
| The proposed Rule will also require each FTC-approved COPPA Safe Harbor program to provide a list of all current subject operators on each of the FTC-approved COPPA Safe Harbor program's websites and online services, and the proposed Rule further requires that such list be updated every six months thereafter. Because FTC-approved COPPA Safe Harbor programs likely already keep up-to-date lists of their subject operators, Commission staff does not anticipate this requirement will significantly burden FTC-approved COPPA Safe Harbor programs. To account for time necessary to prepare the list for publication and to ensure that the list is updated every 6 months, Commission staff estimates 10 hours per year. Aggregated for one new FTC-approved COPPA Safe Harbor program and six existing FTC-approved COPPA Safe Harbor programs, this amounts to an estimated cumulative disclosure burden of 70 hours per year (7 respondents × 10 hours). | また、本規則案では、各FTC承認COPPAセーフハーバー・プログラムに対し、FTC承認COPPAセーフハーバー・プログラムの各ウェブサイトおよびオンラインサービス上で、現在の対象事業者全員のリストを提供することを義務付け、さらに本規則案では、当該リストをその後6カ月ごとに更新することを義務付けている。FTCが承認したCOPPAセーフハーバープログラムは、すでに最新の対象事業者リストを作成している可能性が高いため、委員会スタッフは、この要件がFTCが承認したCOPPAセーフハーバープログラムに大きな負担をかけるとは考えていない。リストの公開準備と6カ月ごとの更新に必要な時間を考慮すると、委員会スタッフは年間10時間を見込んでいる。新規のFTC承認COPPAセーフハーバープログラム1件と既存のFTC承認COPPAセーフハーバープログラム6件を合計すると、年間の累積開示負担は70時間(7人の回答者×10時間)と見積もられる。 |
| D. Reporting Hours | D. 報告時間 |
| The proposed amendments will require FTC-approved COPPA Safe Harbor programs to include additional content in their annual reports. The proposed amendments will also require each FTC-approved COPPA Safe Harbor program to submit a report to the Commission every three years detailing the program's technological capabilities and mechanisms for assessing subject operators' fitness for membership in the program. | 今回の改正案では、FTCが承認したCOPPAセーフハーバープログラムに対し、年次報告書に追加内容を含めることが求められる。また、今回の改正案では、FTCが承認したCOPPAセーフハーバープログラムは、3年ごとに、プログラムの技術的能力と対象事業者のプログラム加入への適合性を評価する仕組みについて詳述した報告書を委員会に提出することが義務付けられる。 |
| The burden of conducting subject operator audits and preparing the annual reports likely varies by FTC-approved COPPA Safe Harbor program, depending on the number of subject operators. Commission staff estimates that the additional reporting requirements for the annual report will require approximately 50 hours per program per year. Aggregated for one new FTC-approved COPPA Safe Harbor program (50 hours) and six existing (300 hours) FTC-approved COPPA Safe Harbor programs, this amounts to an estimated cumulative reporting burden of 350 hours per year (7 respondents × 50 hours). | 対象事業者の監査を実施し、年次報告書を作成する負担は、対象事業者の数によって、FTC承認のCOPPAセーフハーバープログラムによって異なると思われる。委員会スタッフは、年次報告書の追加報告要件により、1プログラムあたり年間約50時間を要すると見積もっている。新規のFTC承認COPPAセーフハーバープログラム1件(50時間)と既存のFTC承認COPPAセーフハーバープログラム6件(300時間)を合計すると、累積報告負担は年間350時間(7件×50時間)と見積もられる。 |
| Regarding the reports that the proposed Rule will require FTC-approved Safe Harbor programs to submit to the Commission every three years, § 312.11(c)(1) of the Rule already requires FTC-approved COPPA Safe Harbor programs to include similar information in their initial application to the Commission. Specifically, § 312.11(c)(1) requires that the application address FTC-approved COPPA Safe Harbor programs' business models and the technological capabilities and mechanisms they will use for initial and continuing assessment of operators' fitness for membership in their programs. Consequently, the three-year reports should merely require reviewing and potentially updating an already-existing report. Staff estimates that reviewing and updating existing information to comply with proposed § 312.11(f) will require approximately 10 hours per FTC-approved COPPA Safe Harbor program. Divided over the three-year period, FTC staff estimates that annualized burden attributable to this requirement would be approximately 3.33 hours per year (10 hours ÷ 3 years) per FTC-approved COPPA Safe Harbor program, which staff will round up to 4 hours per year per FTC-approved COPPA Safe Harbor program. Given that several FTC-approved COPPA Safe Harbor programs are already available to website and online service operators, FTC staff anticipates that no more than one additional FTC-approved COPPA Safe Harbor program applicant is likely to submit a request within the next three years of PRA clearance. Aggregated for one new FTC-approved COPPA Safe Harbor program and six existing FTC-approved COPPA Safe Harbor programs, this amounts to an estimated cumulative reporting burden of 28 hours per year (7 respondents × 4 hours). | 規則案がFTC承認セーフハーバープログラムに3年ごとに委員会に提出するよう求める報告書については、規則第312.11条(c)(1)がすでにFTC承認COPPAセーフハーバープログラムに、委員会への最初の申請時に同様の情報を含めるよう求めている。具体的には、§312.11(c)(1)は、FTCが承認したCOPPAセーフハーバープログラムのビジネスモデル、事業者のプログラム会員としての適性を初期および継続的に評価するために使用する技術的能力と仕組みについて申請書に記載することを求めている。従って、3年間の報告書は、単に既存の報告書を見直し、更新する必要がある。スタッフは、提案された§312.11(f)に準拠するための既存情報の見直しと更新には、FTCが承認したCOPPAセーフハーバープログラム1件あたり約10時間が必要になると見積もっている。FTCスタッフは、この要件に起因する年間負担を3年間で割ると、FTC承認COPPAセーフハーバー・プログラム1件当たり年間約3.33時間(10時間÷3年間)になると見積もっており、FTC承認COPPAセーフハーバー・プログラム1件当たり年間4時間に四捨五入する。いくつかのFTC承認COPPAセーフハーバープログラムがすでにウェブサイトやオンラインサービス運営者に提供されていることを考慮すると、FTCスタッフは、PRAクリアランスから今後3年以内にFTC承認COPPAセーフハーバープログラム申請者がさらに1件以上申請することはないと予想している。新規のFTC承認COPPAセーフハーバープログラム1件と既存のFTC承認COPPAセーフハーバープログラム6件を合計すると、年間の累積報告負担は28時間(回答者7人×4時間)と見積もられる。 |
| E. Labor Costs | E. 人件費 |
| 1. Disclosure | 1. 情報開示 |
| a. New Operators | a. 新規オペレーター |
| As previously noted, Commission staff estimates a total annual burden of 19,600 hours (280 respondents × 70 hours). Consistent with its past estimates and based on its 2013 rulemaking record,[359] FTC staff estimates that the time spent on compliance for new operators covered by the COPPA Rule would be apportioned five to one between legal (outside counsel lawyers or similar professionals) and technical ( e.g., computer programmers, software developers, and information security analysts) personnel. Therefore, Commission staff estimates that approximately 16,333 of the estimated 19,600 hours required will be completed by legal staff. | 前述のとおり、FTCスタッフは年間総負担時間を19,600時間(回答者280人×70時間)と見積もっている。FTCスタッフは、過去の見積もりと同様、2013年の規則制定記録[359]に基づき、COPPA規則の対象となる新規事業者のコンプライアンスに費やす時間は、法務担当者(外部の弁護士または同様の専門家)と技術担当者(コンピュータプログラマー、ソフトウェア開発者、情報セキュリティアナリストなど)の間で5対1に配分されると見積もっている。したがって、委員会スタッフは、必要とされる推定19,600時間のうち、約16,333時間が法務担当者によって完了されると推定している。 |
| Regarding legal personnel, Commission staff anticipates that the workload among law firm partners and associates for assisting with COPPA compliance would be distributed among attorneys at varying levels of seniority. Assuming two-thirds of such work is done by junior associates at a rate of approximately $300 per hour, and one-third by senior partners at approximately $600 per hour, the weighted average of outside counsel costs would be approximately $400 per hour.[360] | 法務担当者について、委員会スタッフは、法律事務所のパートナーおよびアソシエイトの間で、COPPA遵守を支援するための作業負荷が、さまざまなレベルの年功序列の弁護士に分散されると予想している。このような業務の3分の2を1時間当たり約300ドルの若手アソシエイトが行い、3分の1を1時間当たり約600ドルのシニアパートナーが行うと仮定すると、外部弁護士の費用の加重平均は1時間当たり約400ドルとなる[360]。 |
| FTC staff anticipates that computer programmers responsible for posting privacy policies and implementing direct notices and parental consent mechanisms would account for the remaining approximately 3,267 hours. FTC staff estimates an hourly wage of $57 (rounded to the nearest dollar) for technical assistance, based on Bureau of Labor Statistics (“BLS”) data.[361] Accordingly, associated annual labor costs would be $6,719,419 [(16,333 hours × $400/hour) + (3,267 hours × $57/hour)] for the estimated 280 new operators. | FTCスタッフは、プライバシー・ポリシーの掲示、直接通知および親の同意の仕組みの実装を担当するコンピューター・プログラマーが残りの約3,267時間を占めると予想している。FTCスタッフは、労働統計局(「BLS」)のデータに基づき、技術支援のための時給を57ドル(1ドル未満を四捨五入)と見積もっている[361]。したがって、関連する年間人件費は、推定される280人の新規オペレーターの場合、671万9419ドル[(16,333時間×時給400ドル)+(3,267時間×時給57ドル)]となる。 |
| b. Existing Operators | b. 既存のオペレーター |
| As previously discussed, Commission staff estimates that the annualized disclosure burden for these requirements for the 5,710 existing operators would be 131,330 hours per year. Thus, apportioned five to one, this amounts to 109,442 hours of legal and 21,888 hours of technical assistance. Applying hourly rates of $400 and $57, respectively, for these personnel categories, associated labor costs would total approximately $45,024,416 ($43,776,800 + $1,247,616). | 前述したように、委員会スタッフは、5,710人の既存オペレーターに対するこれらの要求事項の開示負担を年換算すると、年間131,330時間になると見積もっている。従って、これを5対1に配分すると、法務に109,442時間、技術支援に21,888時間となる。これらのカテゴリーにそれぞれ400ドルと57ドルの時給を適用すると、関連する人件費は約45,024,416ドル(43,776,800ドル+1,247,616ドル)となる。 |
| As noted, Commission staff estimates a cumulative disclosure burden of 10 hours per year for FTC-approved COPPA Safe Harbor programs. Aggregated for one new FTC-approved COPPA Safe Harbor program and six existing FTC-approved COPPA Safe Harbor programs, this amounts to an estimated cumulative reporting burden of 70 hours per year (7 respondents × 10 hours). | 前述のとおり、委員会スタッフは、FTCが承認したCOPPAセーフハーバープログラムの累積開示負担を年間10時間と見積もっている。新規のFTC承認COPPAセーフハーバープログラム1件と既存のFTC承認COPPAセーフハーバープログラム6件を合計すると、累積報告負担は年間70時間(7人の回答者×10時間)と推定される。 |
| Industry sources have advised that the labor to comply with requirements from FTC-approved COPPA Safe Harbor programs would be attributable to the efforts of in-house lawyers. To determine in-house legal costs, FTC staff applied an approximate average between the BLS reported mean hourly wage for lawyers ($78.74),[362] and estimated in-house hourly attorney rates ($300) that are likely to reflect the costs associated with the proposed Rule's safe harbor requirements. This yields an approximate hourly rate of $190. Applying this hourly labor cost estimate to the hours burden associated with the cumulative disclosure burden for FTC-approved COPPA Safe Harbor programs yields an estimated annual burden of $13,300 (70 hours × $190). | 業界関係者は、FTCが承認したCOPPAセーフハーバープログラムの要件に準拠するための労力は、社内弁護士の努力に起因すると助言している。FTCスタッフは、社内弁護士のコストを決定するために、BLSが報告した弁護士の平均時給(78.74ドル)[362]と、規則案のセーフハーバー要件に関連するコストを反映すると思われる社内弁護士の推定時給(300ドル)の間のおおよその平均を適用した。これにより、おおよその時給は190ドルとなる。この時間当たりの人件費の見積もりを、FTCが承認したCOPPAセーフハーバープログラムの累積開示負担に関連する時間負担に適用すると、年間負担の見積もりは$13,300(70時間×$190)となる。 |
| 2. Reporting | 2. 報告 |
| As previously noted, Commission staff estimates an estimated cumulative reporting burden of 378 hours per year for FTC-approved COPPA Safe Harbor programs. The approximate hourly rate for labor to comply with requirements from FTC-approved COPPA Safe Harbor programs is $190, as previously calculated. Applying this hourly labor cost estimate to the hours burden associated with the cumulative reporting burden for FTC-approved COPPA Safe Harbor programs yields an estimated annual labor cost burden of $71,820 (378 hours × $190). | 前述のとおり、委員会スタッフは、FTCが承認したCOPPAセーフハーバープログラムの累積報告負担を年間378時間と見積もっている。FTCが承認したCOPPAセーフハーバープログラムの要件に準拠するためのおおよその時間給は、先に計算したように190ドルである。この時間当たりの人件費見積もりを、FTC承認COPPAセーフハーバープログラムの累積報告負担に関連する時間負担に適用すると、推定年間人件費負担は$71,820(378時間×$190)となる。 |
| F. Non-Labor/Capital Costs | F. 人件費以外の費用 |
| Because both operators and FTC-approved COPPA Safe Harbor programs will already be equipped with the computer equipment and software necessary to comply with the Rule's notice requirements, the proposed Rule should not impose any additional capital or other non-labor costs. | 運営者とFTC承認COPPAセーフハーバープログラムの両方は、規則の通知要件に準拠するために必要なコンピュータ機器とソフトウェアをすでに備えているため、本規則案は、資本コストまたはその他の人件費以外のコストを追加で課すべきでない。 |
・VII. 規制柔軟性法... 零細企業に重大な影響を与えないことについての説明...
| VII. Regulatory Flexibility Act | VII. 規制柔軟性法 |
| The Regulatory Flexibility Act (“RFA”), as amended by the Small Business Regulatory Enforcement Fairness Act of 1996, requires an agency to either provide an Initial Regulatory Flexibility Analysis (“IRFA”) with a proposed rule, or certify that the proposed Rule will not have a significant impact on a substantial number of small entities.[363] | 1996年の中小企業規制執行公正法によって改正された規制柔軟性法(「RFA」)は、事業体に対して、規則案とともに初期規制柔軟性分析(「IRFA」)を提供するか、または規則案が相当数の小規模事業体に重大な影響を与えないことを証明することを義務付けている[363]。 |
| The Commission does not expect that the proposed Rule, if adopted, would have a significant impact on a substantial number of small entities. Among other things, as discussed further below, many of the proposed amendments reflect modest changes to the Rule, including to clarify definitions, increase content requirements for existing notices, increase specificity for existing security requirements, increase clarity on existing retention and deletion requirements, and increase specificity on certain reporting requirements. While the proposed amendments may require some entities to implement notices they were not required to provide before, obtain consent they previously were not required to obtain, and implement new retention policies, the Commission does not anticipate this will require significant additional costs to entities covered by the Rule. Instead, some of the proposed amendments, such as amendments to create exceptions for the Rule's verifiable parental consent requirements, may even reduce costs for many entities covered by the Rule. | 委員会は、本規則案が採択された場合、相当数の小規模事業体に重大な影響を及ぼすとは考えていない。とりわけ、以下でさらに議論するように、修正案の多くは、定義の明確化、既存の通知の内容要件の増加、既存のセキュリティ要件の具体性の増加、既存の保管および削除要件の明確性の増加、特定の報告要件の具体性の増加など、規則の小幅な変更を反映している。今回の改正案では、一部の事業体に対して、以前は提供する必要がなかった通知を実施したり、以前は取得する必要がなかった同意を取得したり、新たな保管方針を実施したりすることが求められる可能性があるが、委員会は、これにより規則の対象となる事業体に大幅な追加コストが必要になるとは予想していない。むしろ、規則の検証可能な親権者の同意要件に例外を設ける改正など、提案されている改正の中には、規則の対象となる多くの事業体にとってコスト削減につながるものさえある。 |
| Although the Commission certifies under the RFA that the proposed rule will not have a significant impact on a substantial number of small entities, and hereby provides notice of that certification to the Small Business Administration, the Commission has determined that it is appropriate to publish an IRFA in order to inquire into the impact of the proposed Rule on small entities. The Commission invites comment on the burden on any small entities that would be covered and has prepared the following analysis. | 委員会は、RFAに基づき、本規則案が相当数の小規模事業体に重大な影響を与えないことを証明し、ここにその旨を中小企業庁に通知するが、委員会は、本規則案が小規模事業体に与える影響を調査するため、IRFAを公表することが適切であると判断した。委員会は、対象となる小規模事業体の負担に関する意見を求め、以下の分析を作成した。 |
| A. Reasons for the Proposed Rule | A. 規則案の理由 |
| As discussed in Part I, the Commission commenced a review of the COPPA Rule on July 25, 2019, noting that questions had arisen about the Rule's application to the ed tech sector, voice-enabled connected devices, and general audience platforms that host third-party child-directed content. After review of the comments received, the Commission concludes that there is a need to update certain Rule provisions to account for changes in technology and online practices, and where appropriate, to clarify and streamline the Rule. Accordingly, the Commission proposes modifications to the Rule in the following areas: Scope of Regulations; Definitions; Notice; Parental Consent; Parental Right to Review; Confidentiality and Security of Children's Personal Information; Data Retention and Deletion; Safe Harbor Programs; and Voluntary Commission Approval Processes. | 第1部で述べたように、委員会は2019年7月25日にCOPPA規則の見直しを開始し、同規則のエッジテック分野、音声対応コネクテッドデバイス、サードパーティ児童向けコンテンツをホストする一般視聴者向けプラットフォームへの適用について疑問が生じていることを指摘した。寄せられた意見を検討した結果、委員会は、技術およびオンライン慣行の変化を考慮し、適切な場合には規則を明確化および合理化するために、一部の規則条項を更新する必要があると結論づけた。従って、委員会は、以下の分野における規則の修正を提案する: 規則の範囲、定義、通知、保護者の同意、保護者の審査権、児童個人情報の機密性とセキュリティ、データ保持と削除、セーフハーバー・プログラム、および自主的な委員会の承認プロセスである。 |
| B. Statement of Objectives and Legal Basis | B. 目的および法的根拠の記述 |
| The objectives of the Proposed Rule are to update the Rule to ensure that children's online privacy continues to be protected, as directed by Congress, even as new online technologies emerge and existing online technologies evolve, and to clarify existing obligations for operators under the Rule. The legal basis for the proposed Rule is the Children's Online Privacy Protection Act, 15 U.S.C. 6501 et seq. | 本規則案の目的は、新しいオンライン技術が出現し、既存のオンライン技術が進化しても、議会が指示したとおり、児童のオンラインプライバシーが引き続き保護されるよう、規則を更新すること、および規則に基づく事業者の既存の義務を明確にすることである。本規則案の法的根拠は、Children's Online Privacy Protection Act(15 U.S.C. 6501 et seq. |
| C. Description and Estimated Number of Small Entities to Which the Rule Will Apply | C. 規則が適用される小規模事業体の説明と推定数 |
| The COPPA Rule applies to operators of commercial websites or online services directed to children that collect personal information through such websites or online services, and operators of any commercial website or online service with actual knowledge that it is collecting personal information from children. The Rule also applies to operators of websites or online services that have actual knowledge that they are collecting personal information directly from users of another website or online service directed to children. | COPPA規則は、児童向けの商用ウェブサイトまたはオンラインサービスの運営者であって、当該ウェブサイトまたはオンラインサービスを通じて個人情報を収集する者、および児童から個人情報を収集していることを実際に知っている商用ウェブサイトまたはオンラインサービスの運営者に適用される。同規則はまた、児童向けの別のウェブサイトまたはオンラインサービスの利用者から直接個人情報を収集していることを実際に知っているウェブサイトまたはオンラインサービスの運営者にも適用される。 |
| The Commission staff is unaware of any empirical evidence concerning the number of operators subject to the Rule. However, based on the previous estimates [364] and the Commission's compliance monitoring efforts in the areas of children's privacy, Commission staff estimates that approximately 5,710 operators may be subject to the Rule's requirements, with approximately 280 new operators per year. | 委員会のスタッフは、同規則の対象となる事業者の数に関する実証的証拠を把握していない。しかし、これまでの推定値[364]および委員会の児童のプライバシー分野におけるコンプライアンス監視の取り組みに基づき、委員会のスタッフは、約5,710の事業者が規則の要件の対象となり、年間約280の事業者が新たに対象となると推定している。 |
| Under the Small Business Size Standards issued by the Small Business Administration, “web search portals and all other information services” qualify as small businesses if they have 1,000 or fewer employees.[365] Commission staff estimates that approximately 80% of operators potentially subject to the Rule qualify as small entities. The Commission staff bases this estimate on its experience in this area, which includes its law enforcement activities, oversight of FTC-approved COPPA Safe Harbor programs, conducting relevant workshops, and discussions with industry and privacy professionals. The Commission seeks comment and information with regard to the estimated number or nature of small business entities on which the proposed Rule would have a significant economic impact. | 中小企業庁が発行した中小企業規模基準では、「ウェブ検索ポータルおよびその他すべての情報サービス」は、従業員数が1,000人以下であれば中小企業に該当する[365]。委員会スタッフは、規則の対象となる可能性のある事業者の約80%が中小企業に該当すると推定している。委員会のスタッフは、法執行活動、FTCが承認したCOPPAセーフハーバー・プログラムの監督、関連ワークショップの実施、業界およびプライバシー専門家との協議など、この分野における経験に基づき、この推定を行っている。委員会は、本規則案が重大な経済的影響を及ぼすと推定される中小企業体の数または性質に関する意見および情報を求める。 |
| D. Projected Reporting, Recordkeeping, and Other Compliance Requirements | D. 報告、記録、およびその他の遵守要件の予測 |
| The proposed amended Rule would impose reporting, recordkeeping, and other compliance requirements within the meaning of the PRA, as set forth in Part VI of this NPRM. Therefore, the Commission is submitting the proposed requirements to OMB for review before issuing a final rule. | 本改正規則案は、本NPRMのパートVIに記載されているとおり、PRAの意味における報告、記録管理、その他の遵守要件を課すことになる。そのため、委員会は、最終規則を発行する前に、提案されている要件をOMBに提出し、審査を受けている。 |
| For example, while not constituting a “collection of information” under the PRA, the proposed Rule would require operators to establish, implement, and maintain a written comprehensive security program. The proposed Rule would also likely increase the disclosure requirements for covered operators, and it would likely increase the disclosure and reporting requirements for FTC-approved COPPA Safe Harbor programs. Specifically, the proposed amendments require operators to update existing disclosures with additional content requirements, namely to update the direct and online notices with additional information about the operators' information practices. Some operators may have to provide disclosures that were not previously required under the Rule. Additionally, the proposed Rule requires operators to disclose a data retention policy. | 例えば、PRAに基づく「情報収集」には当たらないが、本規則案は、事業者に対して、書面による包括的セキュリティ・プログラムの策定、実施、維持を義務付けるものである。また、本規則案では、対象となる事業者の開示要件が引き上げられる可能性が高く、FTCが承認したCOPPAセーフハーバープログラムの開示・報告要件も引き上げられる可能性が高い。具体的には、本改正案は、事業者に対し、追加的な内容要件、すなわち、事業者の情報慣行に関する追加的な情報を含む直接的およびオンライン通知を更新することにより、既存の開示を更新することを求めている。一部の事業者は、規則のもとで以前は要求されていなかった開示を提供しなければならない可能性がある。さらに、本規則案では、事業者に対してデータ保持方針の開示を義務付けている。 |
| The proposed Rule will also require each FTC-approved COPPA Safe Harbor program to provide a list of all current subject operators on each of the FTC-approved COPPA Safe Harbor program's websites and online services, and the proposed Rule further requires that such list be updated every six months thereafter. The proposed amendments will also require FTC-approved COPPA Safe Harbor programs to include additional content in their annual reports, and submit a new report to the Commission every three years detailing the program's technological capabilities and mechanisms for assessing subject operators' fitness for membership in the program. | また、本規則案では、FTCが承認したCOPPAセーフハーバー・プログラムの各ウェブサイトおよびオンラインサービスにおいて、現在の対象事業者全員のリストを提供することが義務付けられ、さらに本規則案では、当該リストをその後6カ月ごとに更新することが義務付けられる。また、本改正案では、FTCが承認したCOPPAセーフハーバープログラムに対し、年次報告書に追加内容を含めること、およびプログラムの技術的能力と対象事業者のプログラム加入への適合性を評価する仕組みについて詳述した新たな報告書を3年ごとに委員会に提出することを義務付ける。 |
| The estimated burden imposed by these proposed amendments is discussed in the PRA section of this document, and there should be no difference in that burden as applied to small businesses. While the Rule's compliance obligations apply equally to all entities subject to the Rule, it is unclear whether the economic burden on small entities will be the same as or greater than the burden on other entities. That determination would depend upon a particular entity's compliance costs, some of which may be largely fixed for all entities ( e.g., website programming) and others variable ( e.g., participation in an FTC-approved COPPA Safe Harbor program), and the entity's income or profit from operation of the website or online service itself ( e.g., membership fees) or related sources. As explained in the PRA section, in order to comply with the proposed Rule's requirements, website or online service operators will require the professional skills of legal (lawyers or similar professionals) and technical ( e.g., computer programmers, software developers, and information security analysts) personnel. | これらの改正案が課す負担の見積もりについては、本文書のPRAセクションで説明されており、中小企業に適用される負担に違いはないはずである。本規則の遵守義務は、本規則の対象となるすべての事業体に等しく適用されるが、小規模事業体に課される経済的負担が、他の事業体に課される負担と同じか、それよりも大きくなるかは不明である。その判断は、特定の事業体の遵守コスト(全事業体にとってほぼ固定的なもの(例:ウェブサイトのプログラミング)、変動的なもの(例:FTC承認のCOPPAセーフハーバープログラムへの参加))、ウェブサイトまたはオンラインサービス自体の運営(例:会費)または関連ソースからの事業体の収入または利益によって決まる。PRAの項で説明したとおり、本規則案の要件を遵守するために、ウェブサイトまたはオンラインサービスの運営者は、法務(弁護士または同様の専門家)および技術(コンピュータプログラマー、ソフトウェア開発者、情報セキュリティアナリストなど)の専門的スキルを必要とする。 |
| As explained in the PRA section, Commission staff estimates that there are approximately 5,710 websites or online services that qualify as operators under the proposed Rule, and that approximately 80% of such operators qualify as small entities under the SBA's Small Business Size standards. The Commission invites comment and information on these issues. | PRAの項で説明したように、委員会のスタッフは、提案されている規則の下で事業者に該当するウェブサイトまたはオンラインサービスは約5,710件あり、そのような事業者の約80%は、SBAの中小企業規模基準の下で小規模事業体に該当すると推定している。委員会は、これらの問題に関する意見および情報を募集する。 |
| E. Identification of Duplicative, Overlapping, or Conflicting Federal Rules | E. 重複、重複、または矛盾する連邦規則の特定 |
| The Commission has not identified any other federal statutes, rules, or policies that would duplicate, overlap, or conflict with the proposed Rule. While the proposed Rule includes amendments related to schools, the Commission believes it has drafted the proposed Rule to ensure it does not duplicate, overlap, or conflict with the Family Educational Rights and Privacy Act. The Commission invites comment and information on this issue. | 委員会は、本規則案と重複、重複、または矛盾するような他の連邦法、規則、または政策を確認していない。本規則案には学校に関する改正が含まれているが、委員会は、本規則案が家庭教育権およびプライバシー法と重複、重複、または矛盾しないようにドラフトしたと考えている。委員会は、この問題に関する意見および情報を求める。 |
| F. Discussion of Significant Alternatives | F. 重要な代替案の検討 |
| In drafting the proposed Rule, the Commission has made every effort to avoid unduly burdensome requirements for entities. The Commission believes that the proposed amendments are necessary to continue to protect children's online privacy in accordance with the purposes of COPPA. For each of the proposed amendments, the Commission has attempted to tailor the provision to any concerns evidenced by the record to date. On balance, the Commission believes that the benefits to children and their parents outweigh any potential increased costs of implementation to industry. | 規則案のドラフトにおいて、委員会は事業体にとって不当に負担となる要件を避けるためにあらゆる努力を払ってきた。委員会は、COPPAの目的に従って、児童のオンラインプライバシーを引き続き保護するために、改正案が必要であると考えている。改正案のそれぞれについて、委員会は、これまでの記録から証明されたあらゆる懸念事項に合わせて規定を調整することを試みた。バランスから見て、委員会は、児童とその親にとっての利益が、産業界が実施することで増加する可能性のあるコストを上回ると考えている。 |
| For example, some commenters called for the Commission to implement specific time limits on data retention, noting that operators could read the Rule as currently written to allow indefinite retention of personal information. Rather than impose specific limitations that would apply to operators that collect different types of personal information for varying types of activities, the Commission alternatively proposes to require operators to establish a written data retention policy that sets forth a timeframe for deletion and explicitly prohibits indefinite retention. | 例えば、一部の意見提出者は、委員会に対し、データ保持に具体的な期限を設けるよう求めたが、これは、事業者が個人情報の無期限保持を認めるような現在の規則を読む可能性があることを指摘したものであった。委員会は、さまざまな活動のためにさまざまな種類の個人情報を収集する事業者に適用されるような特定の制限を課すのではなく、事業者に対し、削除の期限を定め、無期限の保持を明確に禁止する、書面によるデータ保持方針の策定を義務付けることを代替案として提案している。 |
| Additionally, the Commission has taken care in developing the proposed amendments to set performance standards that will establish the objective results that must be achieved by regulated entities, but do not mandate a particular technology that must be employed in achieving these objectives. For example, the proposed Rule does not mandate the technology that must be used to establish, implement, and maintain the children's written information security program and related safeguards required under newly-numbered § 312.8(b). | さらに、委員会は、規制対象事業体が達成しなければならない客観的な結果を定めるパフォーマンス標準を設定するよう、改正案の作成において配慮しているが、これらの目的を達成するために採用しなければならない特定の技術を義務付けるものではない。例えば、本規則案は、新たに付された§312.8(b)の下で要求される、児童の書面による情報セキュリティプログラムおよび関連する保護措置を確立、実施、維持するために使用しなければならない技術を義務付けていない。 |
| The Commission seeks comments on ways in which the proposed Rule could be modified to reduce any costs or benefits for small entities. | 委員会は、小規模事業体にとっての費用または便益を削減するために、本規則案を修正する方法についての意見を求めている。 |
« 米国 FTCのブログ プライバシー関連(DNA、データブローカー、子供のプライバシー) | Main | 米国 上院国土安全保障・政府問題委員会 サイバー安全審査会の構造と能力を調査するための公聴会 »
Comments