英国 ICO 金融サービスにおける子どものデータについてのレビュー報告書 (2025.04.01)

こんにちは、丸山満彦です。

英国のICOが、金融サービスにおいて子どものデータが適切に利活用されているのかを確認した結果を公表していますね...

ちなみに英国GDPRの子どものデータ保護については、

UK GDPRの前文38で触れられていて、

(38) Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of personal data with regard to children when using services offered directly to a child. The consent of the holder of parental responsibility should not be necessary in the context of preventive or counselling services offered directly to a child.

(38) 子どもは、個人データの処理に関連するリスク、結果、保護措置、およびその権利に関 する認識が低い可能性があるため、個人データに関して特別な保護を受ける価値がある。このような特別な保護は、特に、マーケティング、人格またはユーザー・プロフィールの作成を目的とした子どもの個人データの使用、および子どもに直接提供されるサービスを利用する際の子どもに関する個人データの収集に適用されるべきである。子どもに直接提供される予防サービスやカウンセリング・サービスにおいては、親権者の同意は必要ないものとする。

 

第8条で具体的な規制がありますね...

Article 8 Conditions applicable to child's consent in relation to information society services	第8条 情報社会サービスに関する子どもの同意に適用される条件
1.Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least [F113 years old]. Where the child is below the age [F2of 13 years], such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.	1.第6条(1)の(a)項が適用される場合、子どもに直接情報社会サービスを提供することに関し、子どものパーソナルデータの処理は、子どもが少なくとも[F113歳]である場合に合法的であるものとする。子どもが13歳未満である場合、当該処理は、子どもに対する親権者の同意がある場合、またはその範囲においてのみ合法的であるものとする。
2.The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.	2.管理者は、このような場合、利用可能な技術を考慮し、同意が児童の親権者によってなされたこと、または承認されたことを確認するために合理的な努力をするものとする。
3.Paragraph 1 shall not affect the general contract law as it operates in domestic lawsuch as the rules on the validity, formation or effect of a contract in relation to a child.	3.第1項は、子どもに関する契約の妥当性確認、成立、効力に関する規則など、一般契約法（国内法で適用される）に影響を与えないものとする。
4.In paragraph 1, the reference to information society services does not include preventive or counselling services.	4.第1項において、情報社会サービスへの言及は、予防サービスまたはカウンセリングサービスを含まない。］

 

また、ガイドラインでも規定されています...

Children's information	子どもの情報
How to protect children's information, the Age Appropriate Design Code and resources for online service providers.	子どもの情報を保護する方法、「年齢に応じた適切なデザイン規範」、オンラインサービスプロバイダ向けのリソース。
The guidance on this page is suitable for organisations of all sizes and from all sectors. Small businesses can also use the resources on our small business web hub.	このページのガイダンスは、あらゆる規模、あらゆる分野の組織に適している。中小企業は、中小企業ウェブハブのリソースも利用できる。
Brief guidance	簡単なガイダンス
Using children's information: a guide	子どもの情報の利用：ガイド
Marketing to children, automated decision making and profiling, sharing children's information and children's data protection rights.	子どもへのマーケティング、自動意思決定とプロファイリング、子どもの情報の共有、子どものデータ保護の権利。
Detailed guidance	詳細ガイダンス
Children's code: guidance and resources	子ども向けコード：ガイダンスとリソース
Read the Age Appropriate Design Code for providers of online services that are likely to be accessed by children in full (such as apps, online games, and web and social media sites). Includes guidance and resources about the 15 standards, frequently asked questions, DPIAs and resources for designers.	子どもがアクセスする可能性のあるオンラインサービス（アプリ、オンラインゲーム、ウェブやソーシャルメディアサイトなど）のプロバイダ向けの「年齢に応じた適切なデザインコード」を全文読む。15の標準、よくある質問、DPIA、デザイナー向けリソースに関するガイダンスとリソースを含む。
Children and the UK GDPR	子どもと英国GDPR
Information society services (online service) offered to children, marketing to children, automated decisions about children, sharing children's data, and children's data protection rights.	子どもに提供される情報社会サービス（オンラインサービス）、子どもへのマーケティング、子どもに関する自動化された決定、子どものデータの共有、子どものデータ保護権。
Resources	リソース
Lesson plans and resources for schools and teachers	学校と教師のためのレッスンプランとリソース
We have produced school resources for teachers to use when discussing privacy issues and the value of personal information. The lesson plans cover what counts as personal information, why it is valuable and how to keep it safe when using social media.	プライバシー問題と個人情報の価値について話し合う際に教師が使用できる学校用リソースを作成した。授業計画では、何が個人情報としてカウントされるのか、なぜ個人情報は価値があるのか、ソーシャルメディアを使用する際に個人情報を安全に保つにはどうすればよいのかについて取り上げている。
Designing products that protect privacy	プライバシーを保護する製品を設計する
Privacy in the product lifecycle and designing online services for children.	製品のライフサイクルにおけるプライバシーと、子どものためのオンラインサービスの設計。
The guidance on this page is for people designing digital products and services that involve processing personal information.	このページのガイダンスは、個人情報の処理を伴うデジタル製品やサービスを設計する人のためのものである。
Getting started	はじめに
How to think about privacy in product design	製品設計におけるプライバシーの考え方
Practical tools and guidance to design for privacy at all stages of the product design process, including kick-off, research, design, development, launch, and post-launch phases.	製品設計プロセスのすべての段階（キックオフ、調査、設計、開発、発売、発売後の段階を含む）においてプライバシーを設計するための実用的なツールとガイダンス。
In detail	詳細
Designing for children	子供のためのデザイン
Guidance and resources for designing online services likely to be accessed by children and applying the standards of the children's code in practice.	子どもがアクセスする可能性のあるオンラインサービスを設計し、子ども向けコードの標準を実際に適用するためのガイダンスとリソース。
Data protection by design and default	設計とデフォルトによるデータ保護
The UK GDPR requires you to integrate data protection concerns into every aspect of your processing activities.	英国GDPRは、データ保護への配慮を処理活動のあらゆる側面に統合することを求めている。
Resources	リソース
Conference recordings - Privacy seriously? 2023	カンファレンスの記録 - プライバシーを真剣に考える？2023
Design and product leaders revealed how they put privacy at the heart of responsible innovation. Watch recordings of talks titled - 'Privacy is a product issue', 'Privacy in the real world of tech', 'Ditching deceptive design', and 'Designing for safety'.	デザインと製品のリーダーが、責任あるイノベーションの中心にプライバシーを据える方法を明らかにした。プライバシーは製品の問題である」、「技術の現実世界におけるプライバシー」、「欺瞞的なデザインを捨てる」、「安全のためのデザイン」と題された講演の録画を見る。
Practical tool - Age-appropriate mindsets Miro template	実践的ツール - 年齢に応じたマインドセット Miroテンプレート
Practical tool - Data privacy moments Miro template	実践的ツール - データ・プライバシーの瞬間 Miroテンプレート

 

日本では、個人情報保護法の改正の検討事項として子供の個人情報についての規制を検討していますが、世界の趨勢をみるとやはりその観点は早期に決着すべき点ですよね...特に、産業界、教育業界等の中に反対意見があるようにも思わないですし...（一般的に規制が過剰になれば産業が萎縮するという懸念は共通的にあるようですが、それは白黒がはっきりとつくようにすれば解決する話で、子供の個人情報の保護の強化自体を反対するわけではないと思っています...）

さて英国では、2022年に2025年までの３年間のICOの行動指針となる「ICO25」を公表しています...2022/10-2023/10の行動計画の中に「国民、特に脆弱な集団を保護し、力を与える」があり、「最も脆弱な人々の保護」として、「子どものプライバシー」を守るための行動が記載されています...

ICOは、ICO25の戦略的計画の一環として、ICO保証（Assurance）部門は金融事業者の

1. 子どものデータの使用
2. AIと自動意思決定の利用

についての状況の確認を行ったようです。これからの法整備及びその後のガイドライン等の整備の際に参考になる情報かと思いました...

確認事項と確認結果...

	項目	確認事項	確認結果
1	ガバナンス	児童のデータ処理を管理するための措置。	ほとんどの組織は、子どもの情報の利用を管理するための方針を定めていた。 しかし、これらの方針が遵守されているかどうかの監視は限られていた。 ほぼすべての組織が職員にデータ保護に関する研修を実施しているが、児童情報の使用に関する具体的な研修を実施している組織は5分の1以下であった。
2	透明性	自分のデータが何に使用されるかを伝える、子どもたちに与えられた情報。	半数の組織のみが、年齢に応じたプライバシー情報を持っていると報告している。 しかし、私たちのレビューの結果、効果的な年齢相応のプライバシー情報を持っていると私たちが考えた数は、もっと少なかった。 子どもにとって適切なプライバシー情報の例には、年齢にふさわしい言葉や、組織がどのように情報を利用するかについての魅力的な説明が含まれていた。いくつかの団体のアプローチは、自らの透明性への責任を保護者に押し付けているように見える。 その結果、子どもたちが実際には理解していない利用規約やプライバシー情報に同意したと記録される大きなリスクがあった。 また、プライバシー情報のプロバイダは、多くの場合一度きりのものであり、子どもが年齢を重ね、理解が深まるにつれて見直されることはない。
3	情報の使用	どのような情報が、どのような目的で、どのような合法的根拠に基づいて処理されるか。	ほとんどの組織は、収集する子どものデータのカテゴリーを定期的に見直し、特に特別なカテゴリーのデータについては、必要なものに限定していることを確認している。 過剰なデータ収集や目的外利用を防ぐための効果的なデータ管理者は、観察されたすべての組織に存在した； しかし、一部のプロバイダは、最初に子どもの代理として親に同意を求めるが、この同意を見直すことを怠っていた。 このことは、子どもが大きくなり、自分自身で処理を理解する能力が高まるにつれて、最初の同意が無効となる可能性が高いことを意味する；
4	個人の権利	子ども、保護者またはその他のサードパーティから受け取ったかどうかにかかわらず、子どものデータに関する個人の権利がどのように取り扱われるか。	回答者は、英国のGDPRに規定されている個人の権利を、子どもたちによって、または子どもたちに代わって行使する要請は、頻繁ではなく、量も少ないと報告している。 しかし、プライバシー情報とその権利について子どもたちに説明する際に問題が見つかった結果、親の意向が不当に子どもの意向に優先することがしばしばある。 いくつかのケースでは、子どもやその親からの子ども情報の要求を受け入れるかどうかの決定が、子どもの能力のアセスメントではなく、あらかじめ決められた年齢制限を使って行われている；
5	年齢検証	児童を識別し、年齢を検証するために使用される方法。	子どもの年齢を確認するプロセスは、すべての組織でしっかりと行われていた。
6	更なる接触とマーケティング	子どもたちが自分のアカウントについてどのように接触され、他の製品やサービスについての情報を提供されるか。	多くの組織が事務的なコミュニケーションを提供していた。 ほぼすべての組織が、子どもへのマーケティングを防止する方針を掲げていた。 コミュニケーションが提供される際、親と子どもの区別は限定的で、単に連絡先がわかるかどうかで判断されることもあった。 このことは、コミュニケーションやマーケティングの要件が遵守されない高いリスクを生み出している。

 

 

● U.K. Information Commissoner's Office: ICO

・Action we've taken - Audits and overview reports 

・2025.04.01 Children’s data in financial services

Children’s data in financial services	金融サービスにおける子どものデータ
The Information Commissioner’s Office (ICO) has carried out a review into the gathering of children’s data from services supplying them with current accounts, savings accounts, trust accounts, ISAs and prepaid cards.	情報コミッショナー事務局（ICO）は、当座預金、普通預金、トラスト口座、ISA、プリペイドカードを提供するサービスから子どものデータを収集することについてレビューを実施した。
Details of the review findings have now been published and set out areas of good practice as well as where financial services organisations need to make improvements in areas such as governance, transparency and consent.	レビュー結果の詳細はこのたび公表され、金融サービス機関がガバナンス、透明性、同意などの分野で改善が必要な点だけでなく、優れた実践分野も示されている。

 

• Executive Summary
  • Introduction
  • Methodology`
  • Key Findings

• Detailed Findings
  • Governance
  • Transparency
  • Use of information
  • Data Protection Rights
  • Age verification
  • Contact (including marketing)
  • Best interest of the child
  • Acknowledgements
    
    

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.31 英国 ICO 匿名化ガイダンス (2025.03.28)

・2025.01.11 インド デジタル個人データ保護法 2023のガイドライン「デジタル個人データ保護ルール」案についてのパブコメ (2025.01.03)

・2024.08.07 TikTok 米国で親会社が児童プライバシー法違反で提訴され、欧州でデジタルサービス法遵守のためTikTok LiteリワードプログラムのEUからの恒久的撤退を約束

・2024.04.25 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.20 米国 FTC 児童オンラインプライバシー保護規則 の改正案の意見募集 (2024.01.11)

・2024.01.06 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

・2023.11.25 英国 データ保護とデジタル情報法政府案が下院で審議中

・2023.11.07 米国 ピュー研究所 米国民のプライバシー、AI等に対する意識調査 (2023.10.18)

・2023.08.23 インド デジタル個人データ保護法成立（2023年）(2023.08.11)

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制：利用者のインフォームド・コンセントをいかに確保するか