中小企業は注意してください:あなたが13歳未満の子供から情報を収集するウェブサイト、オンラインサービスまたはモバイルアプリを運営するならば、あなたが子供のオンライン保護プライバシー法(COPPA)に従わないならば、あなたは多額の罰金に対して責任があるかもしれません)
COPPAとは
一言で言えば、COPPAは、ウェブサイト運営者が、13歳未満の子供からの明示的な保護者の許可なしに個人情報を収集することを禁じています。
$config[code] not found個人情報には、名前や住所のような単純なもの、あるいは地理的位置の識別子、写真、音声ファイルなど、さらに複雑な識別子が含まれます。このようなファイルには子供の声が含まれます。
COPPAは、Facebookや他の多くの人気Webサイトが13歳未満のユーザーを許可しない主な理由です。
熟練したWebサイト運営者でさえも、法律の間違った側にいることに気付き、連邦取引委員会によって責任を負わされています。
例えば、オンラインレビューサイトYelpは2014年に民事罰金45万ドルを支払うことに同意したが、モバイルゲーム開発者TinyCoは30万ドルの罰金を支払った。 FTCによると、裁判所は違反当事者に違反ごとに40,654ドルもの罰金を科すことができます。
1998年に議会で制定されたこの法律は、どのウェブサイト運営者がプライバシーポリシーに含めるべきか、保護者からの同意を求める時期と方法、運営者が子供のプライバシーと安全をオンラインで保護するために何をすべきかを明記しています。
また、マーケティングは13歳未満の子供に制限されています。
FTCのWebサイトによると、「COPPAの主な目的は、子供がオンラインで収集する情報を保護することです。このルールは、インターネットの動的な性質を考慮しながら、13歳未満の子供を保護するように設計されています。
本規則は、13歳未満の子供向けの商業用Webサイトおよびオンラインサービス(モバイルアプリを含む)の運営者、および収集していることを実際に知っている一般のオーディエンスWebサイトまたはオンラインサービスの運営者に適用されます。 13歳未満の子供の個人情報を使用または開示すること。」
2013年にFTCが採用した新しいガイドラインの下では、法律は、訪問者から個人情報を収集する「子供向けサイト」(プラグインや広告ネットワークなど)の第三者にも適用されます。
改正規則の下では、「個人情報」には以下が含まれます。
- 名前と苗字
- 番地や市や町の名前など、自宅またはその他の物理的な住所
- オンライン連絡先情報
- オンライン連絡先情報として機能する画面またはユーザー名。
- 電話番号
- 社会保障番号
- 時間の経過とともに、さまざまなWebサイトまたはオンラインサービスでユーザーを識別するために使用できる永続的な識別子
- 写真、ビデオ、またはオーディオファイル。ファイルには子供の画像または音声が含まれます。
- 街路名および街または町の名前を識別するのに十分な地理的位置情報
- オペレータが子供からオンラインで収集し、上記の識別子と組み合わせる、子供またはその子供の両親に関する情報
この法律を遵守する必要があるかどうか、またはどのようなステップを踏む必要があるかどうか、どのようにしてわかりますか。
FTCのビジネスセンターの「子供のプライバシー」セクションには、この問題に関する情報が掲載されています。
1つの選択肢は、COPPAセーフハーバープログラムに相談することです。これにより、業界団体やその他の団体がFTC承認の自主規制ガイドラインを提出したり、弁護士に相談することができます。
FTCはまた、あらゆる事業に対して「6段階のコンプライアンス計画」を推奨しています。
ステップ1:あなたの会社が13歳未満の子供から個人情報を収集するウェブサイトまたはオンラインサービスであるかどうかを判断する
COPPAは、Webサイトやその他のオンラインサービスを運営するすべての人には適用されません。 COPPAは、13歳未満の子供から個人情報を収集するWebサイトおよびオンラインサービスの運営者に適用されます。
次のいずれかに該当する場合は、COPPAを順守する必要があります。
- あなたのウェブサイトまたはオンラインサービスは13歳未満の子供を対象としており、あなたはそれらから個人情報を収集します。
- あなたのウェブサイトまたはオンラインサービスは13歳未満の子供たちに向けられています、そしてあなたは他人が彼らから個人情報を集めることを可能にします。
- あなたのウェブサイトまたはオンラインサービスは一般の人々を対象としていますが、あなたはあなたが13歳未満の子供から個人情報を集めるという実際の知識を持っています。
- たとえば、あなたの会社は広告ネットワークやプラグインを運営しており、13歳未満の子供向けのWebサイトまたはサービスのユーザーから個人情報を収集するという実際の知識を持っています。
ステップ2:COPPAに準拠したプライバシーポリシーを掲載する
13歳未満の子供からオンラインで収集された個人情報の取り扱い方法を明確かつ包括的に説明しなければなりません。通知には、あなたの行動だけでなく、あなたのサイトやサービスで個人情報を収集する他の人の行動、たとえばプラグインや広告ネットワークなども記述しなければなりません。
また、個人情報を収集するすべての事業者のリスト、個人情報の説明とその使用方法、および保護者の権利の説明も含める必要があります。
ステップ3:子供から個人情報を収集する前に直接親に通知する
通知は明確で読みやすいはずです。無関係な、または紛らわしい情報を含めないでください。通知は両親に伝えなければなりません:
- 彼らの同意を得る目的であなたが彼らのオンライン連絡先情報を収集したこと
- 子供から個人情報を収集したい
- 情報の収集、使用、開示には彼らの同意が必要であること
- あなたが収集したい特定の個人情報とそれがどのように他人に開示される可能性があるか
- あなたのオンラインプライバシーポリシーへのリンク
- 親がどのように彼らの同意を与えることができるか
- 親が妥当な時間内に同意しない場合、あなたはあなたの記録から親のオンライン連絡先情報を削除するでしょう。
ステップ4:子供から情報を集める前に両親の検証可能な同意を得る
許容される方法は、親を持つことです。
- 同意書に署名して、ファックス、郵便、または電子スキャンで送付してください。
- クレジットカード、デビットカード、または他のオンライン支払いシステムを使用して、取引ごとに通知を口座名義人に提供します。
- 訓練を受けた要員が配置したフリーダイヤル番号に電話をかける
- ビデオ会議を介して訓練を受けた担当者に接続する
- 検証プロセスが終了したときにレコードからIDを削除する限り、データベースに対して確認する政府発行のIDのコピーを提供してください。
ステップ5:子供から収集した情報に関する保護者の継続的な権利を尊重する
親が尋ねるならば、あなたはしなければなりません:
- 子供から収集した個人情報を確認する方法をそれらに与える
- 同意を取り消し、子供からの個人情報のさらなる使用または収集を拒否する方法をそれらに与える。
- 子供の個人情報を削除します。
ステップ6:子供の個人情報のセキュリティを保護するために合理的な手順を実行する
Shutterstockを介してタブレットの写真を使用して子
もっと:
