FTC から Ed Tech へ: 子供のプライバシーを保護するのはあなたの責任です

あなたの会社が教育テクノロジー ビジネスに携わっている場合でも、教育テクノロジーが使用されている学校に子供がいる場合でも、教育テクノロジーに関する FTC の政策声明と児童オンライン プライバシー保護法を読んでください。重要なポイント: 子どもたちは、学業をしたり、リモートで授業に出席したりするために、プライバシーの権利を放棄する必要はありません。そのため、企業は学習ツールを使用する条件として、子どもの包括的な監視に同意することを親や学校に要求することはできない。

22年間にわたり、 CUPルール は、デジタル世界で子供のプライバシーが確実に保護されるようにするための FTC の取り組みの中心となってきました。しかし、2 つの収束する展開は、FTC が今後どのように COPPA を執行し続けるのかを明確にする必要があることを示唆しています。

発展の 1 つは、個人情報の収集を収益化するテクノロジーの普及です。企業はターゲットをよりターゲットに近づけることができるため、子供たちのプロフィールを構築しているかどうかについて深刻な懸念が生じています。これは、2013 年に COPPA を修正し、「個人情報」の定義を拡大して、子供をターゲットにした広告に使用される永続的な識別子を含め、広告ネットワークなどの第三者に子供の情報の違法収集の責任を負わせる原動力の一部でした。

もう 1 つの大きな変化は、教育テクノロジーのデバイスとアプリの教室への導入です。これは、新型コロナウイルス感染症をきっかけとした遠隔授業への移行によって開発が加速されました。確かに、エドテックには学習を強化する可能性があるかもしれませんが、その代償はどれくらいなのでしょうか? FTCが懸念しているのは、エドテックが企業が教室や家庭で個人情報を収集する口実にならないことだ。保護者が、教育テクノロジー企業が収集している情報、それがどのように使用されるか、第三者とどの程度共有されるかについて懸念するのは当然です。さらに、多くの母親や父親は、エドテクノロジーによって子供たちが広告主の虜になってしまう可能性について悩んでいます。

通知と同意のシステムについてはどうですか?許可証は動物園への遠足には役立つかもしれませんが、この文脈では不適切であるように思えます。 COPPA の制定において、議会は FTC に通知と同意の手続きを管理する以上の権限を与えました。政策声明で明らかにされているように、 「欧州委員会の COPPA 当局は、子どものデータを収集、使用、保持する事業者の能力に対する意味のある実質的な制限と、そのデータを安全に保つための要件の施行を要求しています。委員会は、特に保護者が代替手段がないと感じる学校や学習環境において、これらの要件を完全に施行するつもりです。」

詳細についてはポリシーステートメントをお読みいただくことをお勧めしますが、業界関係者が聞いておくべき基本的なメッセージがあります。教育技術プロバイダーやその他の対象オンライン サービスによる COPPA 違反の可能性を調査する際、FTC は「COPPA ルールおよび法的文言の実質的な禁止事項と要件の全範囲の遵守を精査するつもりです。」 FTC は特に以下に焦点を当てます。

  • 強制徴収の禁止。 COPPA 対象企業は、参加するために合理的に必要とされる情報を超えて、子供の参加を条件としてはなりません。たとえば、エドテック企業が学生に電子メールを送信する必要がない場合、その企業は子供の電子メール アドレスを要求することはできません。
  • 使用禁止事項。 COPPA の対象となる企業は、子供から収集した個人情報の使用方法が厳しく制限されています。たとえば、学校の認可に従って個人情報を収集するエドテックの運営者は、要求されたオンライン教育サービスを提供する目的にのみ個人情報を使用することができます。政策声明では次のように述べられています。 これに関連して、エドテック企業は、マーケティング、広告、または学校から要求されたオンライン サービスの提供に関係のないその他の商業目的を含む、いかなる商業目的にもかかる情報を使用することを禁止されています。
  • 保持の禁止。 COPPA 対象企業は、子供から収集した個人情報を、収集目的を達成するために合理的に必要な期間を超えて保持することはできません。それは違反になります COPPA 規則のセクション 310.12
  • セキュリティ要件。 COPPA の対象となる企業は、子供の個人情報の機密性、セキュリティ、完全性を維持するための手順を確立する必要があります。データ侵害がなくても、これらの手順を実施していないと違反となります。 セクション 310.8

エドテック企業が、例えば契約条項や利用規約を通じて、コンプライアンスを学校管理者、保護者、その他の者に委ねることを考えている場合、ポリシーステートメントはそれが断固としたノーであることを明確にしています。強力なプライバシー保護を実装する責任はエドテック企業に直接あり、それは企業が逃れることのできない義務です。

政策声明は、エドテック企業が始めなければならないところから終わっている。「今後、委員会はこれらのサービスのプロバイダーを綿密に精査し、プロバイダーが子供のプライバシーに関する法的義務を履行していない場合には、ためらうことなく行動する。」

FTCの 子供のプライバシー このページには、以下を含むコンプライアンス リソースが提供されています。 COPPA への準拠: よくある質問