TikTok、子どもアカウントをめぐるEUデータ法違反で3億4500万ユーロの制裁金
(theguardian.com)- アイルランドのデータ保護委員会(DPC)は、TikTokの子どもアカウントの取り扱いがEU GDPRに違反したとして、3億4500万ユーロの制裁金を科した
- 13〜17歳のアカウントが登録時にデフォルトで公開設定になっていたこと、子どもユーザーに十分に透明性のある情報が提供されていなかったことが主な争点
- 「family pairing」は、アカウントを管理する成人が実際の親または保護者かどうかを確認しておらず、16歳以上ユーザーのダイレクトメッセージ設定まで開放できた
- DPCは、13歳未満のユーザーがプラットフォームに入り公開設定に置かれるリスクをTikTokが十分に考慮していなかったと判断したが、年齢確認方法そのものはGDPR違反とは見なさなかった
- TikTokは、調査対象は2020年7月31日〜12月31日の設定であり、2021年から13〜15歳のアカウントをデフォルトで非公開にするなど、問題はすでに修正済みだと反論した
3億4500万ユーロの制裁金の根拠
- TikTokは、子どもアカウントの取り扱いに関連してEUデータ保護法に違反したとして、3億4500万ユーロ、約2億9600万ポンドの制裁金を科された
- EU域内でTikTok規制を担当するアイルランドのデータ保護委員会(DPC)は、TikTokがGDPRの規則に複数回違反したと判断した
- 核心は、未成年ユーザーのコンテンツが公に露出しないよう十分に保護できていなかった点
デフォルト公開設定が生んだ露出リスク
- DPCは、13〜17歳のユーザーが登録時にアカウントをデフォルトで公開に設定するよう誘導されていたと見た
- 公開アカウントでは、誰でもアカウントのコンテンツを見たりコメントしたりできる
- この設定により、誰でも当該ユーザーが投稿したソーシャルメディア上のコンテンツを閲覧できたという判断
- TikTokの最低利用年齢は13歳
- 13歳未満のユーザーがプラットフォームにアクセスした際に公開設定に置かれるリスクも十分に考慮されていなかったと指摘された
透明性不足とfamily pairingの問題
- 子どもユーザーに透明性のある情報を十分に提供していなかった点もGDPR違反に含まれる
- 「family pairing」は成人が子どもアカウントの設定を管理できるようにするが、連携された成人が実際の親または保護者かどうかを確認していなかった
- この設定を通じて子どもアカウントにアクセスした成人は、16歳以上ユーザーのダイレクトメッセージ機能を有効化できた
Duet・Stitchと年齢確認の判断
- DuetとStitchは、ユーザーが他のTikTokユーザーとコンテンツを組み合わせられる機能
- DPCは、これらの機能が17歳未満のユーザーに対してデフォルトで有効になっていたと明らかにした
- ただしTikTokの年齢確認方法そのものについては、GDPR違反はないと見た
英国での制裁後に出た追加の規制圧力
- 今回の決定は、TikTokが2023年4月に英国のデータ規制当局から1270万ポンドの制裁金を科された後に出された
- 英国の規制当局は、TikTokが親の同意なしにプラットフォームを利用した13歳未満の子ども140万人のデータを違法に処理したと判断した
- 当時、情報コミッショナーはTikTokが誰がプラットフォームを利用しているか確認するために「ほとんど何もしていなかった」と見た
- TikTokは、今回の調査は2020年7月31日から12月31日までのプライバシー設定を対象にしたもので、提起された問題は解決済みだと述べた
- 2021年から、既存および新規の13〜15歳アカウントはデフォルトで非公開に設定されている
- 非公開アカウントでは、ユーザーが承認した人だけがコンテンツを閲覧できる
- TikTokは制裁金の水準と決定に同意しておらず、DPCの批判は3年前の機能と設定に集中していると反論した
- 調査開始前に、16歳未満のアカウントをデフォルトで非公開にする変更をすでに行っていたとの立場も示した
欧州データ保護会議の介入
- DPCは、決定の一部でEuropean Data Protection Boardによって立場が覆されたことを認めた
- その結果、ドイツの規制当局が提案した判断を含める必要があった
- その判断は、ユーザーを特定の行動や選択へ誘導する欺瞞的なWebサイト・アプリ設計であるダークパターンの使用が、個人データの公正な処理に関するGDPR条項に違反したという内容
1件のコメント
Hacker Newsのコメント
「ファミリーペアリング」機能で、子どもアカウントの設定を管理する大人が実際に親または保護者であるかを確認していなかったとのことだが、TikTokが親であることを正確にどう検証すべきなのか分からない
他のテック企業も親確認を求められているのだろうか? この理由で罰金を受けているのがTikTokだけのように見える
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
こういう判例に拍手していると、人気ウェブサイトを使うために政府発行IDとリモート認証が必要になる道に進みそうだ
90年代から、匿名インターネットとシグナル増幅がプラスの効果をもたらすという考えがあったが、だんだんそうではないことが明らかになってきている
匿名でセルフパブリッシングしたいならできるが、五大プラットフォームのどれかを使う権利まで保証されるわけではない
その結果として大手プラットフォームが分割されるなら、それもプラスの効果だと思う
最近TikTokを使い始めたが、ライブ配信はフォロワー1000人と18歳以上が必要と表示される一方で、実際には子どもたちがライブしているのをよく見かけた
なぜ自分たちのルールを執行しないのか不思議だった。配信者が多すぎるからかもしれないが、専任スタッフが1人いるだけでもライブ中のティーンや子どもは十分見つけられるはずだ
だから今回の判断は時宜にかなっている
ただ、13〜18歳がなぜ配信を禁じられなければならないのかは疑問だ。「隠れた変態」が理由なら、その論理はチャットの管理には当てはまらないのに、ここでだけ通用する理由がない。TikTokでは性的コンテンツは許可されておらず、ビキニ姿の女性は見えるかもしれないが、現実の公共ビーチでも、場合によってはトップレスさえ見かける。他にどんな理由があるのだろう?
良いスタートではあるが、EUデータ法が国際企業だけでなく欧州企業にも大規模に執行され始めるのか気になる
EU企業はGDPR以前からデータ保護をより慎重に扱い、真剣に取り組む傾向があるため、重大な違反者を見つけること自体がまれでもある
少なくとも自分がEUのサービスを相手にするときは、プライバシーポリシーはA4数枚に収まり、重要な内容が最初にあり、理解しやすく書かれている。銀行でさえ何を収集しているかを隠さず、なぜ収集するのかを説明している
一方、外国企業は理解困難なほど膨大なプライバシーポリシーに固執し、それで法の抜け道を探ろうとする傾向がある。たとえばGoogleのプライバシーページは、「Googleがあなたに関する情報を収集する可能性があります」という文言を繰り返す巨大な1ページに近く、データが何に使われるのかが不明確で、詳細説明を別ページに大きく依存している。平均的な人ならその時点でもう流れを見失っている可能性が高い
結局のところ、外国企業は法律を破っても逃げ切れると考え、データがどう使われるのか追跡しにくくしている。欧州企業は概して実際に法律を守っているので、主要な判例が外国の巨大テック企業を相手に出てくるのだ
ただし主に、欧州企業は多国籍企業よりはるかに深刻に受け止めていた。時には行き過ぎるほどで、最近は少し落ち着いたが、コンプライアンスのために必要だと誤信して、データ関連のばかげた方針を強制する会社をたまに見かけた
逆に欧州企業は普通もっと小さいので罰金も低く、だから見出しになりにくい。欧州企業への罰金が今もあるのにあまり聞かない理由はそれだ。正直、私たちはたいてい超大型の制裁金しか耳にしない
単一国家の判断としては、かなり大きな罰金だ。年間売上の約2.6%、つまり10日分程度だ
わざとX CorpではなくTwitterと言っているのは、Muskが悪名高い判断で、Twitter Irelandでコンプライアンス業務を担っていた人たちを全員解雇したからだ。要件の中には、すべての機能リリースをアイルランドのチームにレビューさせ、EUデータ法違反がないようにすることもあったようだが、Muskは買収後に導入した変更のどれについてもそうしなかった
いったいいつになったら、部屋の中のCEOたちは「ww xなんてyの売上から見れば端金にすぎない」みたいなことを言うのをやめるのか? 3億4500万ユーロが木に生るとでも思ってるのか?
罰金に加えて、数か月間ペナルティボックスに入れるべきだ。一定期間その管轄で営業できないようにする形で
禁止の代わりの初動の罰金としては良い出発点で、私がずっと求めてきたやり方でもある
ユーザーのプライバシー侵害を繰り返すなら、罰金は数十億ドル規模まで引き上げるべきだ。Facebookでも前例があった
大企業がこうしたことをしても逃げ切れる言い訳はなく、数億人以上のユーザーを持つすべてのソーシャルメディア企業がTikTokのようにユーザーのプライバシーを侵害したなら罰金を受けるべきだ。もはや例外や言い訳があってはならない
結局、TikTokも自分たちのユーザーのプライバシーを台無しにするときはMetaと変わらない
全体規模から見れば大金ではないように思える。比較的重い罰金でもよかったはずだが、細部をすべて把握していないのかもしれない
法廷闘争が終わるころには、もっとずっと小さい金額に減額される可能性も高そうだ
その金はどこへ行くんだ?
答えを知らないなら、作り話を事実のように語るべきではない