■ ケータイIDに添えて年齢情報も送信されるようになる?
4月9日、「利用者視点を踏まえた(略)諸問題に関する研究会」の第二次提言案が公表された。
この提言案には重要な論点が複数含まれている。特に、今このタイミングで一般市民が広く察知して議論を深めておく必要性が高いと私が思うのは、「I CGMに関する検討について」の「2.青少年保護に向けた取組強化について」の「利用者年齢認証の確実化」の部分。
ここに書かれている文章はクネクネクネクネして文章の論理構造を把握しづらいものになっているので、以下に階層的箇条書きでまとめてみる。(脚註は私によるツッコミ。今時間がないので後日追加する予定。)
年齢認証の確実化を巡る課題
- 趣旨:SNSなど(以下「CGM」という)の年齢で機能に制限を設けているケータイ向けのサービスについて、「悪意のある成年が青少年と偽り、又は青少年が成年と偽ることにより機能制限等を免れるといった年齢詐称に伴う弊害が指摘されており、年齢認証の確実化に向けた取組の強化が求められている。」
- 誰が年齢認証を担うか
- 基本的にはCGM運営者自らが行うのが望ましい。
- 既に大手CGM事業者による自主的取組みの例もある。
- しかし、CGM事業者による方法では、オンラインで年齢確認をすることになるので、対面ではないから、詐称の可能性が高いという指摘がある。
- でも、オンラインサービスであっても、対面確認や書面確認も可能だとの指摘もあるのだから、引き続きそれを追求していくべきところ。
- しかし、商取引等の契約を伴わない一般のコミュニケーションの場において、対面確認等を求めるというのは「有効かつ妥当か」という課題が指摘されている。
- 青少年のCGMの実態として複数のCGMを連携して使うのが主流だから、1つのサイトで年齢認証を行うことが「どれほど有効か」とする課題も指摘されている。
- オンラインで年齢認証する方法は主に、クレジットカードや運転免許証を用いたもので、これは成年であることの確認であって、その方法が青少年向けCGMに適用できるかどうか。そもそも「青少年オンラインコミュニケーションをどのように位置づけるか」、「バランスの取れた検討が求められる。」
- CGM運営者による年齢認証だけでは、厳格な年齢認証を行うサイトとそうでないサイトとの間で利便性に差が生じて、青少年が前者を避けるようになるだろうから、認証を行わないサイトが潜在化して、CGM運営者の自主的取組みの促進が阻害されるおそれがある。
- したがって、自主的取組みの推奨が前提であるけども、実効性の高い年齢認証の実現のため、「インターネット回線契約を締結する携帯電話事業者等について検討することが有益」。
- 誰が年齢認証されるのか
- CGM運営者が認証するときは、当該サイトの閲覧者。通信回線契約提供者が認証するときは、インターネット接続の利用者。
- インターネットに関係した青少年の福祉犯被害の多くが携帯電話等からのアクセスと指摘されている(出典:警察庁統計)ことから、「少なくとも現時点における検討としては、まずは携帯電話等の利用者を対象とすることを検討」
- 既存の取組み
- 2009年6月以降、大手SNS運営3社が、年齢認証の確実化として、フィルタリングを実装した携帯端末からのアクセスを認識して、当該利用者を18歳未満とみなして機能制限する「フィルタリング連動型年齢認証」を実施している。
- しかし、この方法では、現状で携帯電話フィルタリングの普及率が十分に高くない(特に高校生)ことから、確実性が十分でない。
- 特に、フィルタイリングを実装していない利用者ほど、インターネット上の違法・有害情報への危機対応能力や問題意識が低いと予想されることから、この方法では、保護の必要性が高い利用者層を除外してしまう。
- また、携帯電話フィルタリングは、法人契約でも実装することがあるし、青少年だった者が成年になっても継続利用することがあるので、「青少年以外からの利用に対して必要以上の制限となりかねない。」
- フィルタリング実装の有無では18歳未満か否かしか判別できない。CGM運営者側は、より細かい年齢設定に基づく機能制限を行おうとしており、これでは足りないとの指摘もある。
- しかし、実際にどの程度の年齢情報が必要かはサイトごとに異なり一概に不足とはいえない。
- また、今後、年齢層別のフィルタリングが普及すれば、それを活用できる余地がある。
- この方法では、成年が青少年のふりをする目的で、フィルタリングを実装するという詐称方法があり、この詐称を判別できない。
- しかしそれを言うなら、悪意ある成年による詐称リスクは、この方法に限らず存在するとの指摘も可能。
- いずれにせよ、CGM運営者が自ら年齢認証の確実化に向けて強化することが推進されるべき。
- しかし、フィルタリングの普及によって青少年に配慮していないCGMサイトが閲覧不可になっていくであろうから、フィルタリングの普及に伴って本認証システムの意義は薄まっていくと予想される。
- 一方、フィルタリングでも閲覧可能なサイト(第三者機関認定サイトなど)においては、「フィルタリングの有無より粒度の小さい年齢情報が求められるともいえよう。」
- 「したがって、本取組みは、フィルタリング普及の過渡期の取組みとして位置づけ、より確実な年齢認証の実現に向けた関係者による取組みの強化が望まれる。」
- 新たな取り組みの方向性
- 「CGM運営者のみによる認証に一定の限界があることを踏まえ」、「携帯電話事業者等も含めた関係主体の協調による新たな取組みの検討の必要性が指摘されている。」
- 携帯電話事業者のなかには、自主的取組みとして利用者年齢情報を取得しているところもあり、そこで得られた情報は、サイト利用者が登録する情報に比較して、「真正性が高いと想定されている。」
- 「こうしたことから、CGM運営者のみによる情報取得に対する補完的役割として、携帯電話事業者等が取得した比較的真正性の高いと想定される年齢情報をCGM運営者が活用する方策について検討することが求められている。」
携帯電話事業者とCGM運営者の協調による年齢認証の課題
- 年齢情報と個人情報保護法との関係を整理し、個人情報の取得・活用に伴う関係法令を遵守しつつ実施されることが望ましい。
- 利用者年齢情報の位置づけ
- 携帯電話事業者等においては、利用者や保護者に対して、青少年利用者の生年月日又は実年齢の申告を求めることが想定され、この場合、年齢情報は利用者の氏名等との照合により特定の個人を識別し得る属性情報となるため、個人情報として個人情報保護法の関連規定の規律が及ぶ。
- 他方、CGM運営者では、生年月日や実年齢、年齢層等の年齢情報を特定の個人が識別可能な形で提供される場合には当該情報は個人情報となるが、特定の個人が識別できない形(例:携帯電話サービスの契約者固有IDとは関連付けられているが、氏名等との結合が不可能なもの)により提供される場合(例えば、CGMサイトにアクセスした携帯端末の契約者固有IDに基づいて、CGM運営者が携帯電話事業者に対して行う照会に対して年齢情報が提供される場合)にはその限りではない」(個人情報には該当しないため、個人情報保護法の関連法規の規律が及ばない)。
- 「ただし、単独では特定の個人を識別できなくても、他の情報と容易に照合することにより個人を識別可能な場合については個人情報保護法の適用を受けるため、CGM運営者が自ら管理する利用者情報(例:会員氏名)と関連づけることが可能である場合、当該情報には容易照合性が認められると考えられる。」
- 年齢情報の粒度(実年齢か、18歳未満か否かといったきめの細かさの程度)によって、その情報の法的位置づけが変わるかというと、個人情報保護法上は個人情報識別性の有無に影響しないため関係がない。
- が、プライバシー保護やセキュリティ確保の関連からは、必要以上の情報のやりとりが行われることは望ましくない。
- 携帯電話事業者等による年齢情報の取得時
- 情報の利用目的について顧客に十分な説明を行うことが必要。
- 青少年の利用者や保護者は、自らが提供する年齢情報がどこに提供されるのか、「的確に把握・管理していくことが望ましい」。
- しかし、年齢情報の提供先であるCGM運営者の適格性について個別に判断することは困難。
- しかも、提供先の範囲は「不断に変わり得る」
- よって、「実運用上は携帯電話事業者等による管理に委ねられる部分が多くなる」
- したがって、提供先主体の選定基準(適格性の判断基準)は「なるべく明確かつ透明であることが望ましい」
- 例えば、顧客からの照会に対して、携帯電話事業者は、利用者年齢情報の提供先CGM運営者の名称を開示する等の取組みが考えられる。
- 個人情報保護法では同意取得が求められるが、事前通知を要件としてオプトアウトの手続きもあるが、2つの理由からオプトインによる取得が望ましい。
- 年齢情報の取得時に利用者と接触するのだから、そのときに同意を得るのが合理的だから。
- 利用者視点を踏まえればオプトインの方がより丁寧な対応だから。
- 具体的な対応としては次。
- 新規契約や機種変更など、青少年又は保護者が来店するときには、年齢情報について説明して第三者提供に同意を得ることが考えられる。
- 他方、一部携帯電話事業者に見られる、既に年齢情報を登録済みの利用者に対しては、第三者提供の同意を得る必要があり、SMSでの案内や、請求書同封物を通じた案内など何らかの手法が必要。(未成年による同意の効力についての脚註あり)
- 携帯電話事業者等からCGM運営者への年齢情報提供時
- 年齢情報の提供先の選定基準(適格性の判断基準)が明確かつ透明となっていることが望ましい。
- 加えて、現にどのような主体に提供されているか、そしてその主体による適切な取扱いが確保されていることについて、利用者が容易に知り得る状態にあることが期待される。
- 「提供時の仕様が決定される際には、セキュリティ確保の観点から、専門家による点検や確認といったプロセスを踏まえる等、年齢情報の適切な取扱いが行われるよう、あらかじめ検討に必要かつ十分な準備期間を置くことが求められる。」
- 提供する年齢情報をどの程度の粒度とするかが問題となる。
- 正確性や更新可能性の観点からは、生年月日が取得されることが望ましい。
- しかし、当該情報の必要性と、「個人情報(又はプライバシー)保護の要請のバランスを適切に確保する水準を見いだしていくことが求められる。」
- この点について、年齢情報が個人の属性に関する重要な情報であること、本取組みのそもそもの目的に照らし、青少年の福祉犯被害防止の観点から、CGM運営者の機能制限や注意喚起の取組みにとって必要最小限の粒度に留めることが必要と考えられる。
- 実現方法として、次などが考えられる。この方法について「容易に知ることのできる状態を確保することが望ましい。」
- 携帯電話事業者が、データベースを一定の年齢層に分類した上で、提供する。
- CGM運営者からの照会に対して、携帯電話事業者が一定の年齢層による回答をする。
- CGM運営者による年齢情報の活用時
- 利用する年齢情報が個人情報に該当する場合は、個人情報保護法の関連規定を遵守する必要性があるため、年齢情報の利用目的の明記やプライバシーポリシーの改訂が必要。
- 個人情報に該当しない場合であっても、「年齢情報は利用者にとってセンシティブな情報の一つでもあることから、個人情報の適正な取扱いを求める個人情報保護法に基本理念に基づき、適正な取扱いや利用者への周知について配慮することが求められる」
- 携帯電話事業者等とCGM運営者の役割分担
- 年齢情報の提供に際して、携帯電話事業者等とCGM運営者の間で締結される契約において、以下の項目について可能な限り明確化が図られる必要がある。
- 提供システムの構築等に伴うコスト負担
- 年齢情報の真正性に関する挙証責任の所在
- CGM運営者による年齢認証を補完する自主的取組みであり、利用者等に強制力を持つものではなく、任意の年齢情報の申告を求めるものであるから、完全な真正性を担保することは不可能であり、真正性について携帯電話事業者が挙証責任を負うことのないようにするべき。
- 個別サイトの顧客対応の所在
- 苦情対応は当該サイトにおいて処理することが望ましい。
- 年齢情報の利用目的、目的外利用の禁止
- 「個人情報取扱事業者として当然に遵守すべき義務であるものの、両者間においてあらかじめ禁止事項や利用目的等を明記することにより責任の所在や内容を明確化することも有効である。」
- 年齢情報の安全な管理
- 適格性判断基準の遵守
その他の課題
- 以下の課題がある。
- 確実性の向上
- 民間の自主的取組みとして実施される場合、年齢情報の真正性を完全に担保することは原理的に不可能であるが、確実性を少しでも高める観点から関係者が協力して漸進的な取組みを進めていくべき。年齢情報の任意申告要請に応じない青少年利用者への対策として、例えば以下など。
- 携帯電話事業者が、新規契約の店頭での説明で、機能制限を実装しないことによる福祉犯被害の危険性を説明することで、申告を促す方法。
- CGM運営者が、年齢情報を登録していない端末からのアクセスに対して、年齢情報を申告すべき旨を画面上で表示し、デフォルトで機能制限を行う等。
- 利用実態の把握
- 「親ケータイ」(家族名義の携帯電話が青少年によって使用されている携帯電話)の問題が指摘されており、実態把握が期待される。
- この取組みは、未成年が成年のふりをして利用することを制限するものであり、危機対応能力の低い青少年が被害に対する問題意識の欠如から成年のふりをすることに伴う被害を防止する上では有効な取組み。
- しかし、サイト上で「18歳未満であると詐称している利用者」が、年齢の認証の結果18歳以上と判別された場合に、CGM運営者としては、それが本人(18歳以上の詐称者)なのかその子供(18歳未満の正当な利用者)なのか判定することは非常に困難。
- これの問題は「親ケータイ」の実態把握が進むことで徐々に改善していくと期待される。
- しかし、「悪意ある成年が未成年のふりをして異性交際を誘引しようとする行為を有効に阻止できないとも指摘されており、何らかの方策の検討が求められている。」
と、以上の内容になっており、あちこちの誰かからいろいろな要求を出されて、けっきょく何も結論を出せていない状態になっているように見受けられる。
そもそも、「指摘されている」とか言いながら、出典を示しておらず、いったい誰がそのような要求をしているのかが明らかにされていない。この研究会は、親会は公開の場で行われている(傍聴が可能)が、それぞれのWG(ワーキンググループ)は非公開で行われており、密室でこのような文書が作成されているため、なぜこうなったのかが不明である。
私は、小さなIDプロバイダーが年齢情報を属性情報として提供するというのは、その事業者の自由(一定の秩序の下で)だと思うが、電気通信事業という社会のインフラであり、かつ寡占事業である、携帯電話事業において、このような重大な決定が、非公開の場で実質的に決められていくことに危機感を覚える。
ツッコミどころは多々あるので、パブリックコメントで意見を提出したい。
パブリックコメントの提出期限は、冒頭のリンク先にあるとおり、5月10日午後5時必着(郵送なら同日消印有効)とのこと。