論文 子どもの個人情報の処理にかかる 同意 のあり方 Consent for Processing of Children s Personal Data * 松前恵環 要 今日 子どもによるスマートフォンの利用の拡大や スマート トイ の普及等により 子どもの個人情報を巡り様々なリスクが生じている

1　はじめに

　今日、子ども¹によるスマートフォンの利用の拡 大や、「スマート・トイ」と呼ばれるネット接続型玩 具の普及等により、子どもに関する様々な個人情報 の処理が行われるようになる中、子どものプライバ シーや個人情報を保護することは喫緊の課題となっ ている。個人情報保護法制において、個人情報の処 理行為の適法化根拠として重要な役割を担っている のは情報主体の「同意」であるが、子どもは一般に

同意能力を欠くか不十分であると解されていること から、子どもの個人情報の処理にかかる「同意」の あり方が問題となる。近時、この問題については国 際的に議論が活発化しており、例えば EU では、先 般施行された所謂「一般データ保護規則」（GDPR）² において、子どもの個人情報の処理について親権者 等の同意を求める新たな規定が設けられた。米国で も、「1998 年子どもオンラインプライバシー保護法」

（COPPA）³で、子どもからの個人情報の収集等にか

子どもの個人情報の処理にかかる「同意」のあり方

Consent for Processing of Children’s Personal Data

松前　恵環

* Satowa MATSUMAE

要　　　旨

　今日、子どもによるスマートフォンの利用の拡大や「スマート・トイ」の普及等により、子ど もの個人情報を巡り様々なリスクが生じている。個人情報保護法制において、個人情報を保護す るために重要な役割を果たしているのは、情報主体の「同意」であるが、子どもは一般に同意能 力を欠くか不十分であると解されており、子どもの個人情報の処理にかかる「同意」のあり方が 問題となる。米国の COPPA 及び EU の GDPR では、同意能力を付与する子どもの年齢を定め、

それ以下の子どもの個人情報の処理については親権者等の同意取得が義務付けられており、近時、

規制が強化される傾向がある。日本でも、同意能力を認める子どもの年齢に関する規範的な検討と、

子どもの年齢確認や親権者等の同意取得を行うための方法に関する実際的な検討を進めるべきで ある。

ABSTRACT

　Today, increasing children’s use of smart phones and the development of ‘smart toys’ has led to an increase in various risks to children’s personal data. The data subject’s consent plays an important role in protecting personal data under the current data protection law. However, children’s ability to consent to the processing of their personal data is generally considered to be insufficient. Therefore, it is necessary to consider how to obtain the consent to the processing of children’s personal data. US COPPA and EU GDPR set the age threshold from which children are treated as legally competent to consent and require parental consent with respect to children under that age. It is necessary for Japan to examine the appropriate age threshold from a normative perspective. Moreover, the appropriate mechanisms for age verification and obtaining parental consent should be examined from a practical perspective.

論 ^文

かる親権者等の同意に関する定めが置かれている が、近年、連邦取引委員会（Federal Trade Com- mission : FTC）の法執行が強化される傾向が見ら れる。

　日本でも、「個人情報の保護に関する法律」⁴（以 下、「個人情報保護法」という。）の 2015 年の改正に 伴って公表された「個人情報の保護に関する法律に ついてのガイドライン（通則編）」⁵（以下、「通則ガ イドライン」という。）が、子どもの個人情報の処 理にかかる「同意」のあり方に言及しており、具体 的な対応を進める必要性が高まっているが、未だ十 分な議論がなされていないのが現状である⁶。 　そこで本稿では、子どもの個人情報の処理にかか る「同意」について比較法的検討を行い、今後の検 討課題と検討の方向性を示すこととしたい。まず 2 では、子どもの個人情報の処理が孕むリスクを整理 した上で、子どもの個人情報の処理にかかる「同意」

のあり方を考える際に検討すべき主要な課題を提示 する。次に 3 では、この問題について議論の蓄積が ある米国、及び、新たな規定について現在議論が進 行中である EU の法制度や議論動向から示唆を得る ため、米国の COPPA と EU の GDPR の比較法的検 討を行う。これを踏まえ 4 では、今後の検討の方向 性を提示する。

2　子どもの個人情報の処理を巡るリスクと「同 意」

2-1　子どもの個人情報の処理を巡るリスク

　今日、情報技術やサービスの進展に伴って、大量 かつ多様な子どもの個人情報が、収集、利用される ようになっている。まず、ウェブ上では、子どもが スマートフォンやタブレットなどのデバイスを通じ て、検索エンジン、オンラインストア、ソーシャル・

ネットワーキング・サービス（Social Networking  Services : SNS）等を利用することにより、様々な 行動履歴が収集され得る⁷。また、スマートフォン などのアプリの利用に伴い、家族や友人とのやり取 り、日々のスケジュールや活動記録、自身の思想や ニュースの閲覧その他の習慣、運動や健康に関する 情報、娯楽に関する好みといった個人情報が処理さ れる可能性も指摘されている⁸。

　また、近時は、微細なコンピュータが現実空間の

「モノ」に埋め込まれ、それらがインターネットに 接続されるようになる「モノのインターネット」

（Internet of Things : IoT）の進展により、現実空間 での個人情報の収集も増えている。とりわけその危 険性が指摘されているのは、会話が可能な人形やぬ いぐるみなどのネット接続型玩具（connected toys）、

所謂スマート・トイである。こうした玩具には、セ ンサー、マイク、カメラ、データ記憶装置に加えて、

音声認識機能や GPS 等の機能も組み込まれており、

会話の記録、過去及び現在の位置といった、場合に よってはセンシティブとなり得る子どもの個人情報 が気付かないうちに収集され、子どものプライバ シーや安全への脅威となることが懸念されている⁹。 　こうして収集された大量の個人情報が、様々に

「利用」されることに伴うリスクもある¹⁰。まず、こ うしたビッグデータを解析することにより詳細な個 人像を描き出すというプロファイリングは、かかる データに基づく自動的な意思決定も含めて問題視さ れており、とりわけ子どもの場合は、将来にわたっ て影響を受ける危険性がある。また、大量に収集さ れた個人情報、及びそれを基に作成されたプロファ イルはしばしば子どもをターゲットとした広告に用 いられるが、子どもへのターゲティング広告は、子 どもの価値観や、子どもと家族との関係等に悪影響 を及ぼし得ることも懸念されている¹¹。

　更に、こうした情報は所謂データ・ブローカーに よりリスト化され広く販売されることも多く、子ど もの個人情報が、ID 窃盗を含む犯罪に利用される おそれも指摘されている¹²。

2-2　子どもの個人情報の処理にかかる「同意」の意 義と検討課題

　子どもの個人情報の処理が孕むこれらのリスクに 対応するための鍵となるのが、情報主体の「同意」

である。個人情報保護法制では、個人情報の処理に ついて情報主体の「同意」を求めることで、情報主 体の自己情報に対するコントロールを確保し、プラ イバシーをはじめとする個人の権利利益を保護しよ うとしており、「同意」は現代の個人情報保護法制に おいて中心的な役割を担っている¹³。一般に個人情 報保護法制における「同意」は、個人情報の処理行 為の適法化根拠としての法的機能を有するものと解 され、日本の個人情報保護法では、個人情報の目的 外利用（16 条）、要配慮個人情報の取得（17 条 2 項）、

個人データの第三者提供（23 条 1 項）、外国にある 第三者への個人データの提供（24 条）といった行

為について、本人の「同意」が要求されている¹⁴。 　もっとも、かかる「同意」に関しては、情報主体が 子どもである場合に特別の配慮が必要となる。すな わち、同意をなすためには、同意の対象に関する十 分な知識や理解に基づき、任意に同意を行うことが 必要と解され、そのためには一定程度の「成熟性」が 必要となるが¹⁵、一般に、子どもは発達途上にあり 判断能力が未成熟であるが故にその同意能力を限定 的に解されることが多く、この場合、親権者等が子 どもに代わって同意を行うことが通例である¹⁶。個 人情報保護法制上の「同意」についても、同意をなす 主体の同意能力が必要と解されるが、例えば子ども が先に挙げたプロファイリングなどのリスクについ て適切に判断することは容易ではなく、その同意能 力は限定的に解さざるを得ない。それ故、こうした 子どもの個人情報を保護するという観点から、子ど もの個人情報の処理については親権者等の同意を要 求することが一般的になっている¹⁷。日本でも、「通 則ガイドライン」が、同意の主体に関して、「同意し たことによって生ずる結果について、未成年者、成 年被後見人、被保佐人及び被補助人が判断できる能 力を有していないなどの場合は、親権者や法定代理 人等から同意を得る必要がある」と規定している¹⁸。 　このように、日本でも子どもの個人情報の処理に ついて親権者等の同意が求められるようになった が、子どもの個人情報の処理にかかる「同意」のあ り方について今後議論を発展させていくためには、

とりわけ以下の二点についてより具体的な検討を進 める必要がある。

　第一は、個人情報の処理にかかる同意能力を認め る年齢を何歳と定めるべきかという規範的な課題で ある。前記「通則ガイドライン」における「未成年 者」の年齢に関して、個人情報保護委員会は、「一 般的には 12 歳から 15 歳までの年齢以下の子どもに ついて、法定代理人等から同意を得る必要があると 考えられ」るとし、「法定代理人等から同意を得る 必要がある子どもの具体的な年齢は、対象となる個 人情報の項目や事業の性質等によって、個別具体的 に判断されるべき」との見解を示している¹⁹。しか し、同意能力が認められないとされる「12 歳から 15 歳」以下という年齢の根拠や、実際に如何なる 場合に何歳の子どもに同意能力を認めるのかは、必 ずしも明確ではない。そもそも、子どもはその未成 熟性故に「保護」の対象となると同時に、「権利の自

律的行使の主体」でもあると解されており²⁰、こう した子どもという存在の固有性を考慮して、具体的 に何歳の子どもに同意能力を付与するのかを規範的 に決することが必要となる。

　第二は、子どもの年齢確認や親権者等の同意の取 得を具体的に如何なる方法で行うのかという実際的 な課題である。「通則ガイドライン」はこの点を明 らかにしていないが、制度を運用していく際には、

有効な同意を確保するという観点から、問題となる 個人情報の情報主体たる子どもの年齢確認や、子ど もの個人情報の処理にかかる親権者等の同意取得を 行うための具体的な方法が重要な課題となり得る。

　3 では、これらの課題、すなわち、同意能力を認 める年齢と、子どもの年齢確認及び親権者等からの 同意取得の方法に焦点を当てて、米国の COPPA 及 び EU の GDPR の現状と議論動向を明らかにする。

3　米国及び EU の法制度に関する比較法的検討 3-1　米国 COPPA における子どもの個人情報の処理

にかかる「同意」

　米国では、子どもを対象とした不正なマーケティ ング等から子どもの個人情報を保護するための法律 として、COPPA が制定されている²¹。COPPA は、

FTC に対して、13 歳未満の子ども²²から個人情報 を収集している子ども向けのウェブサイト若しくは オンラインサービス²³の運営者、又は、13 歳未満の 子どもから個人情報を収集していることを実際に認 識しているウェブサイト若しくはオンラインサービ スの運営者に、以下の対応を行うことを要求する規 則の制定を求めている²⁴。これには、①個人情報の 処理に関する「通知」のウェブサイトへの掲示²⁵、

②13 歳未満の子どもからの個人情報の収集等に関 する「証明可能な親権者²⁶の同意」（verifiable pa- rental consent）の取得²⁷、③親権者への、子どもか ら収集した個人情報の内容の確認、及び、当該情報 の将来の利用や保管の拒否のための機会の提供²⁸、

④個人情報を提供させるように子どもを動機づける ことの禁止²⁹、⑤子どもから収集した個人情報のセ キュリティの確保³⁰が含まれる。これに基づき FTC は、「子どものオンラインプライバシーの保護に関 する規則」³¹（以下、「COPPA 規則」という。）を制 定している。

　ここでは、先に提示した検討課題、すなわち、同 意能力を認める年齢と、子どもの年齢確認及び親の

同意取得の方法に直接に関連する、上記の②に関す る規定に注目する。まず、COPPA は同意能力を認 める年齢として一定の年齢を規定するものではない が、前述のように、COPPA の適用対象は 13 歳未 満の子どもの個人情報を収集している又はその認識 のあるウェブサイト又はオンラインサービスとされ ていることから、13 歳以上の子どもに同意能力が 認められていると解される。この背景には、米国で は伝統的に、12 歳以下の子どもは事業者の行き過 ぎたマーケティングに対して特に脆弱であると考え られてきたという事情や³²、子どもに対する広告規 制において 1970 年から米国及び諸外国で用いられ てきた経験則等の存在が指摘されている³³。 　もっとも、この年齢区分については制定当初か ら、13 歳以上の子どもに比して 13 歳未満の子ども だけが特に未成熟であると言えるだけの合理的な理 由はないにもかかわらず、後者からの個人情報の収 集等についてのみ保護するという点で極めて限定的 な規制であるという批判がなされてきている³⁴。ま た、そもそも COPPA における子どもの年齢は、そ の草案では 18 歳未満、法案の提出時点で 16 歳未満 とされていたものが、最終的に 13 歳未満と定めら れたという経緯があり³⁵、こうした年齢引き下げの 背景には、電子商取引市場への子どものアクセスが 減少することを懸念する産業界等の抵抗があったこ とが指摘されている³⁶。更に最近では、13 歳以上の 子どもについても、リスクのある行動を自制するた めの認知的機能が未熟であることや、例えばオンラ イン・コミュニティ等への参加に関する仲間内での 圧力に対して脆弱であること等から、特別の保護が 必要であるという指摘もなされている³⁷。こうした 背景から、近時、COPPAの13歳という法定年齢を 引き上げようとする動きも見られる³⁸。

　次に、子どもの年齢確認、及び親権者等の同意取 得の方法について見る。まず子どもの年齢確認につ いては、COPPA 上、事業者に年齢確認義務はない が、一般向けのサイトやサービスにおいて、子ども の利用を制限するために利用者の年齢確認を行うこ とは認められている³⁹。この場合の方法について、

FTC は、年齢詐称を防ぐために「中立的な方法」

で確認することを求めており、例えば、利用者が生 年月日を直接入力するフォームや、子どもがウェブ のバックボタンを用いて異なる年齢を入力すること を防ぐためのクッキーを利用する等の方法を用いる

ことを推奨している⁴⁰。

　一方、親権者等の同意について、COPPA 規則は、

運営者に、13 歳未満の子どもからの個人情報の収 集、利用、又は開示に先立ち、「証明可能な親権者 の同意」を取得することを求めており⁴¹、運営者は、

同意をなす者が子どもの親権者であることを担保で きるように、利用可能な技術を考慮して「証明可能 な親権者の同意」を得るための「合理的な努力」を なすべきであると規定する⁴²。COPPA 規則では、

この要求を満たす具体的な方法が列挙されている点 が特徴的であり⁴³、これには、（ i ）親権者が署名し、

郵便、ファクシミリ、又は電子スキャンにより運営 者に送付する「同意フォーム」を提供する方法、（ii）

金銭的な取引と関連して、親権者に、クレジット・

カード、デビット・カード、その他の個別の取引に 関して口座名義人に対する通知がなされるオンライ ン支払システムの利用を要求する方法、（iii）親権者 に、専門スタッフが対応する通話無料の窓口に電話 をかけてもらう方法、（iv）親権者に、テレビ電話を 通じて専門スタッフに連絡してもらう方法、（v）親 権者の身元を、その情報が含まれるデータベースと 政府が発行する身分証明書とを照合することで確認 する方法⁴⁴、（vi）子どもの個人情報を提供していな い場合に、同意をなした者が親権者であることを確 認するための追加的措置⁴⁵を講じた上で、e メール で同意を取得する方法、の 6 つが含まれる⁴⁶。（vi）

は、親権者の同意を取得することの現実的な困難を 考慮してFTCが採用してきた「スライド制」（sliding  scale）アプローチ──つまり、サイトやサービス の運営者が、子どもから収集した情報を公衆や第三 者に提供する場合には、「証明可能な親権者の同意」

を取得するにあたり、より信頼性の高い方法を用い る一方で、収集した情報を提供せず内部のみで利用 する場合には、e メールを基本とした方法を認める というアプローチ──の一環であり⁴⁷、問題となる 個人情報の処理行為が含むリスクに応じた柔軟な対 応を可能にするものと言える。

　なお、COPPA では、FTC の認証を受けた民間 の自主規制ガイドラインを遵守している場合には COPPA 規則の要求事項を満たすものと見做される

「セーフ・ハーバー」の仕組みが認められており⁴⁸、 親権者等の同意に関しても、「セーフ・ハーバー」認 証において認められたものであれば、ここに列挙さ れていない方法を用いることが許容されている⁴⁹。

　親権者等の同意に関して COPPA 及び COPPA 規 則が定めるこうした仕組みに対しては、現実的に機 能し難いという点が批判されてきている。最大の問 題の一つは、COPPA が課す様々な義務を回避する ために、多くのサイトやサービスが年齢制限を設け て 13 歳未満の子どもの利用を禁じているが、そう した制限を回避するために子どもが虚偽の年齢を入 力したり、親権者等の同意を得たように偽ったりす る場合があるという点である⁵⁰。この場合、子ども は COPPA の保護を享受できない。また、仮に子ど もが親権者等に同意を求めたとしても、これは親権 者等にとって極めて面倒で負担の大きい手続である ことから、その実効性を疑問視する見解もある⁵¹。 　こうした問題に対応するため、近時、FTC は COPPA に関する法執行を強化しつつある。そもそ も COPPA 規則に違反する行為は、FTC 法 5 条が 定める「不公正若しくは欺瞞的な行為又は慣行」⁵² として、COPPA の執行権限を有する FTC による 法執行の対象となるが⁵³、「証明可能な親権者の同 意」との関係で注目される最近の事案は、ネット接 続型玩具に関する VTech 事件である。本件では、

3-9 歳の子ども向けのネット接続機能を有する学習 デバイスを販売する VTech が、COPPA 規則が義 務付ける親権者への十分な通知とその証明可能な同 意の取得を行わずに、子どもから個人情報を収集す る等していたことが、FTC法5条が定める「欺瞞的」

な行為又は慣行にあたるとされた⁵⁴。Vtech は、

「キッド・コネクト」と呼ばれるアプリを通じて子 どもの個人情報を収集しており、アプリの利用に際 しては、親権者が、e メールアドレス、ユーザネー ム及びパスワード、プロフィール写真等を提供して アカウントを作成することが求められていたもの の、作成者が子どもではなく親権者であることを証 明できるような措置を講じていなかったことが問題 とされている⁵⁵。

3-2　EU の GDPR における子どもの個人情報の処理 にかかる「同意」⁵⁶

　これに対し、GDPR では、EU 基本権憲章 8 条に 明記された「個人データの保護」を受ける権利⁵⁷を 保障するために様々な措置が講じられているが、特 に子どもについては、その未成熟性故に個人データ の保護に関して「特別の保護」が図られている⁵⁸。 子どもの個人情報の処理にかかる「同意」に関する

GDPR 8 条もそのための新たな規定であり、個人情 報の処理にかかる同意能力を認める年齢を定めると ともに、当該年齢以下の子どもの個人情報の処理に ついては、親権者等の同意を求める規定がおかれて いる。同条違反の行為には、GDPR 83 条 4 項に基 づき、制裁金として、1,000 万ユーロ以下、又は、

事業の場合には前会計年度の全世界総売上高の 2%

の、いずれか高い金額が科される。

　まず、同意能力を付与する年齢について見ると、

GDPR 8 条 1 項は、「6 条 1 項（a）の同意が、子ど も向けの情報社会サービス⁵⁹の提供に関連して適 用される場合には、子どもの個人データの処理は、

子どもが少なくとも 16 歳である場合に限り適法で ある」とし、「子どもが 16 歳未満である場合には、

当該処理は、同意が親権者によって付与されたもの であるか、又は、親権者によって許可されたもので ある場合に限り、及び、その限度でのみ、適法とな る」と定めている⁶⁰。もっとも、同条同項は、つい で「かかる目的を達成するために加盟国は、13 歳 未満でない限り、法でより低い年齢を定めることが できる」として、13 歳以上であれば 16 歳よりも低 い年齢を定めることを認めている。

　こうした 13-16 歳以上という幅のある年齢基準は、

GDPR の制定過程において言わば妥協案として形成 されたものであることが指摘されている。すなわ ち、GDPR の草案では、個人情報の処理について親 権者等の同意が必要とされるのは、「子どもの権利 条約」⁶¹ 1 条が定める子どもの年齢と同様の 18 歳未 満の子どもであるとされていたが、産業界の反対に より 13 歳未満に引き下げられ、その後一旦 16 歳未 満にまで引き上げられたものの、再び産業界及び子 どもの権利保護団体の抵抗にあい、最終的には折衷 案として幅のある年齢基準が採用されたという経緯 がある⁶²。こうした年齢基準を巡る紆余曲折は先に 見た COPPA と共通するものであるが、かかる経緯 に関しては、年齢基準に関する影響評価や子どもの 実態調査等に基づかずに年齢が定められたという批 判がなされている⁶³。

　2019 年に公表された I. ミルカイトと E. リーフェ ンスの調査によれば、GDPR 施行後の EU では、英 国を含む 9 ヶ国が 13 歳、イタリア、スペインを含む 6ヶ国が 14 歳、フランスを含む 3ヶ国が 15 歳、ドイ ツを含む 10 ヶ国が 16 歳を、それぞれ同意能力を認 める年齢として定めて（あるいは検討を進めて）い

るとされる⁶⁴。こうした違いは、子どもが成熟する年 齢が各国で異なるという理由によるものではなく、

子どもの成熟性に関する各国の歴史的・文化的な考 え方の違いに起因するものと言われているが⁶⁵、こ のように異なる年齢を定め得る余地を残したことに 対しては、国際的なサービスを提供する事業者に大 きな負担が生じ得るという批判もある⁶⁶。

　次に、子どもの年齢確認及び親権者等の同意取得 の方法について見ると、まず GDPR は子どもの年齢 確認義務を定めていないが、「EU 個人データ保護 指令 29 条作業部会」（以下、「29 条作業部会」とい う。）が公表したガイドラインは、仮に有効な同意を 行うための法定年齢に達していない子どもが同意を なした場合には、かかる同意に基づく個人データの 処理は違法となるため、年齢確認を行うことは「暗 に要求されている」とする⁶⁷。また、年齢確認の方 法は、問題となる個人データ処理のリスクを考慮し て決めるべきであるとされ、例えば、低リスクの場 合には、サービスへの新規加入者に対して、生まれ た年の開示又は法定年齢に達していることを宣明す る書類への記入を求める等の方法も適切であるとし ている⁶⁸。

　また、子どもが法定年齢に達しない場合に必要とさ れる親権者等の同意の取得方法に関しては、COPPA と同様に、GDPR 8 条 2 項が、データ管理者は、同 意が親権者により付与又は許可されたものであるこ とを証明するために、利用可能な技術を考慮して

「合理的な努力」をなすべきであると規定している。

その具体的な方法については COPPA 規則とは異な り規定されていないが、29 条作業部会のガイドライ ンは、親権者の同意の証明に関しては、利用可能な 技術のみならず、問題となる個人データの処理が含 むリスクを考慮して行うべきであるとする⁶⁹。同ガ イドラインは、例えば、低リスクの場合には e メー ルで同意を取得することで足りるが、高リスクの場 合には、情報を検証できるようにより多くの証拠を 得ることが適切であるとしている。また、信頼でき る第三者による証明サービスの利用も考え得るとさ れている⁷⁰。親権者等の同意に関してリスクに応じ た柔軟なアプローチを推奨している点は、米国の COPPA 規則と共通するものと言えよう。

　なお、GDPR の前文 38 項では、例えばオンライン チャットで提供される児童保護サービス等の子ども 向けの相談サービスの利用については、事業者は親

権者等の同意を取得する義務はないとされている⁷¹。 　こうした子どもの年齢確認及び親権者等の同意の 取得方法については、COPPA と同様に、様々な実 務上の懸念が示されている。まず、子どもの年齢確 認については、例えば SNS 等では自己申告制が採 られている場合も多く、自身の年齢を偽る子どもも 多いため、結果として子どもが保護されないおそれ が指摘されている⁷²。また、親権者等が十分な「デ ジタル・リテラシー」を有していない可能性や、プ ライバシー・ポリシーを読み、理解することの困難 等に鑑みると、親権者等の同意の有効性に疑義が生 じることに加え、子どもが親権者等の同意があるよ うに偽る可能性を前提とすると、親権者等が同意し たことの証明は極めて困難であることも、危惧され ている⁷³。

4　子どもの個人情報の処理にかかる「同意」の あり方―今後の検討の方向性

4-1　同意能力を認める年齢のあり方

　では、こうした米国及び EU の法制度の現状を踏 まえ、子どもの個人情報の処理にかかる「同意」の あり方について、今後、どのような方向で検討を進 めていくべきか。まず、同意能力を認める年齢のあ り方について検討する。そもそも同意能力を認める 年齢の定め方としては、COPPA 及び GDPR のよう に、ある一定の年齢で一律に線引きを行うアプロー チと、日本の「通則ガイドライン」のように、同意の 対象によって個別に判断するアプローチとが考え得 る。この点、収集される個人情報の種類や利用目的 等によって、個人情報の処理が孕むリスクは異なり 得ることに鑑みれば、日本のように、親権者等の同意 が必要となる年齢について一定の幅を持たせつつ、

同意の対象に応じて同意能力の有無を判断するとい う考え方は、基本的に適切であると考えられる。

　もっとも、「通則ガイドライン」のように、同意 能力を認めない年齢を 12-15 歳以下とすること、つ まり同意能力を認める年齢を 13-16 歳以上とするこ との妥当性については、なお検討の余地があろう。

13-16 歳以上という年齢は、COPPA の 13 歳、及び、

GDPR の 13-16 歳という年齢に合致するものであっ て国際的な整合性という観点からは一定の合理性を 認め得るが、3 で明らかにしたように、同意能力を 認める年齢は、「子ども」やその成熟性に関する各 国の歴史的・文化的な見方に密接に関わるものであ

り、日本でもこの点を踏まえて検討することが必要 である。

　日本の「子ども」に関する法定年齢は、先般引き 下げられた民法の成年年齢としての 18 歳、少年法 における「少年」の 20 歳、青少年保護のための諸 法における「青少年」や「児童」の 18 歳、民法上 の身分行為を単独で行い得る年齢としての 15 歳等、

様々であるが、個人情報の処理にかかる同意能力に 関しては、これまで民間の自主規制において、「民法 上単独で養子縁組などの身分行為を行うことができ る年齢」や、「義務教育の修了年齢」などに照らし、

15 歳を目安にしてきたという経緯がある⁷⁴。ただ、

そもそも法律上の年齢区分は、各々の法律の目的な いし趣旨に照らして個別に判断されるべきであり

75、個人情報保護法制における同意能力を付与する 年齢は、あくまでも、個人情報の処理の内容や結果 を理解し判断できる能力を基準に決するべきであろ う。従って、まずは、個人情報の利用やプライバシー の保護等に関する子どもの知識、理解、判断力等に 関する調査を行い、個人情報の処理に関する子ども の能力の実態を把握する必要があり、かかる実態に 即して、同意能力を認める年齢を定めることが求め られる。

　また、こうした「保護」の観点とともに必要なの は、先述した「自律」の観点である。子どもの個人 情報の処理に親権者等の同意を求めることは、親権 者等が子どもの私的領域に立ち入ることを帰結する ため、とりわけ、子どもの親権者等との関係でのプ ライバシー、自己決定権が問題となり得る⁷⁶。子ど もの自己決定権に関しては、医療、学校、家族にお ける自己決定権や、性行為に関する自己決定権等に 関して議論の蓄積があるが⁷⁷、これらの議論も参照 しつつ、個人情報に関する子どもの自己決定、自己 情報のコントロールのあり方を考察していく必要が ある。

　こうした様々な要素を考慮する必要に照らせば、

現時点で具体的な年齢を導出することは難しいが、

少なくとも、同意能力を認める年齢を 13 歳以上と 定めるのは「保護」の観点から妥当とは言い難いよ うに思われる。そもそも個人情報の処理に関する

「同意」を巡ってはその処理の将来的なリスクも含 めて理解し判断することは大人であっても容易では ないことが指摘されており⁷⁸、2 で明らかにした近 時の個人情報の収集の実態やそのプロファイリング

目的等での利用が含む将来のリスク等に鑑みると、

13 歳の子どもが個人情報の処理の可否について判 断するのは困難と解される⁷⁹。また、3 で述べた通 り、COPPA の 13 歳という法定年齢について様々 な批判がなされていることには、十分留意すべきで あろう。

4-2　子どもの年齢確認と親権者等の同意取得のあり方 　3 で明らかにしたように、子どもの年齢確認と親 権者等の同意取得の方法に関しては、米国及び EU いずれにおいてもその実際上の困難が指摘されてい た。まず、子どもの年齢確認は、子どもが年齢を詐 称して保護を回避する場合もあって必ずしも容易で はないが、他方で、年齢確認を厳格にすることは、

インターネット利用における匿名性を損ないかねな いという問題も指摘されている⁸⁰。

　また、親権者等の同意についても、3 で明らかに した通り、子どもが親権者等の同意があるように偽 る可能性が指摘されており、対面での確認が望めな いオンラインサービスに関しては、同意を行った者 が真に親権者等であるかどうかを確認することは極 めて難しい。日本でも、とりわけアプリやオンライ ンゲーム等の利用について、子どもではなく親権者 等が同意しているかどうかを事業者が厳密に確認す ることは困難であるという指摘がある⁸¹。また、同 意を行う親権者等の個人情報の処理に関する知識や 理解が必ずしも十分ではないという問題や、親権者 等の負担の大きさから、その実効性に疑義を呈する 見解も見られた。

　こうした課題に対する一つの解決方法となり得る のは、技術的な措置の拡充である。子どもの年齢確 認の方法には、一般に、ユーザが自身で年齢を提示 する自己申告モデル、Facebook 等で用いられてい るピアレビュー・モデル、ユーザのプロフィールの 分析に基づく自動判定モデル、ID カードや生体認 証等を用いたオフライン認証モデルなどがあるとさ れるが、有効な年齢確認のためにはこうした新たな 技術の利用促進が重要である⁸²。親権者等の証明可 能な同意についても、有効かつ負担の少ない同意の 証明を可能にする技術の開発は、親権者等の支援に もつながる⁸³。例えば FTC は、COPPA 規則の遵守 に関する指針の 2017 年の改訂版⁸⁴において、親権 者等の同意を取得するための新たな方法として、本 人しか知らない情報に基づくナレッジ・ベースの認

証方法、及び、親権者が提出した運転免許証その他 の写真付身分証と、親権者の写真とを顔認証技術を 用いて照合する方法、を挙げている。

　もっともこうした技術的措置をもってしても全て の問題が解決される訳ではないことに照らせば⁸⁵、 柔軟なアプローチを採用しておくことは不可欠であ る。この点、FTC は、3 で検討した VTech 事件に おいて、「証明可能な親権者の同意」の要件を厳格 に判断しており、また、スマート・トイが含むリス クに鑑みて、事業者に対してより厳格な「証明可能 な親権者の同意」を求めるべきとする見解も見られ る⁸⁶。しかし、親権者等の同意についてより厳格な 証明を行うことは、親権者等のより積極的な関与、

ひいては負担を必要とすることに鑑みれば、厳格な 証明の要求は必ずしも問題解決につながらないおそ れもある。かかる点に照らせば、COPPA 規則に関 して FTC が採用してきた「スライド制」アプロー チや EU の GDPR に関する 29 条作業部会の見解の ように、問題となる個人情報の処理が含むリスク等 に応じて様々な方法を使い分けることを可能にす る、柔軟なアプローチを採用しておくことが重要で あろう。

　加えて、代替的な方策の検討も必要である。そも そも、子どもの個人情報の保護について親権者等の 同意に依拠することについては、上記の親権者等の 負担や実効性の問題に加え、親権者等との関係での 子どものプライバシー、更には子どもの表現の自由 や情報へのアクセスの自由等が侵害されるおそれも 指摘されている⁸⁷。GDPR の前文 38 項では、とりわ け、マーケティングやプロファイリング目的での子 どものデータの利用に関して特別の保護が必要であ るとしており、こうしたリスクの高い処理行為自体 を制限することも、今後、視野に入れていく必要が あろう⁸⁸。

5　むすびにかえて

　本稿では、子どもの個人情報の処理にかかる「同 意」のあり方に焦点を当てて考察を加えたが、子ど もの個人情報の保護を強化する国際的潮流の中、日 本では未だ議論されていない、規制対象とする事業 者の範囲の問題を含め、取り組むべき課題は多い。

近時、日本では民法の成年年齢や少年法の適用年齢 などの文脈で子どもの保護を巡る議論が活発化して いるが、現代社会において極めて重要な意義を有す

る個人情報の保護という文脈においても、子どもの 保護という観点から議論を発展させていくことが求 められる。

※本研究は、JSPS 基盤研究（C）18K01390 の助成を 受けたものである。

注1　 日本の法制度では、子どもや若者の年齢区分に関 して、「未成年」、「少年」、「児童」、「青少年」な ど様々な概念が用いられており、その対象とする 年齢も異なる。近年は、これらを総称するものと して、「非大人」又は「対大人」としての「子ども」

という概念を用いる見解が見られる（例えば、山 口直也『子どもの法定年齢の比較法研究』（成文堂、

2017 年）2 頁や、横田光平『子ども法の基本構造』

（信山社、2010 年）1-8 頁を参照）。大人とは異な る保護を必要とする「子ども」について、法律上、

未だ明確な年齢区分や呼称が存在しないプライバ シー・個人情報の保護の文脈においては、こうし た「非大人」又は「対大人」としての存在を包括 的に捉えて検討対象とすることが適切であると考 えられるため、本稿では「子ども」という概念を 用いる。

2　 Regulation (EU) 2016/679 of the European Parlia- ment and of the Council of 27 April 2016 on the  protection of natural persons with regard to the  processing  of  personal  data  and  on  the  free  movement of such data, and repealing Directive  95/46/EC (General Data Protection Regulation),  2016 O.J. (L119) 1.

3　 Children’s Online Privacy Protection Act of 1998,  Pub. L. No. 105-277, 112 Stat. 2681.

4　 平成 15 年 5 月 30 日法律第 57 号。

5　 個人情報保護委員会「個人情報の保護に関する法 律についてのガイドライン（通則編）」（平成 28 年個人情報保護委員会告示第 6 号）（2016 年）[ 以 下、「通則ガイドライン」として引用 ]。

6　 森大樹編集代表/藤原総一郎・塚本宏達・鈴木明 美編著『日米欧 個人情報保護・データプロテク ションの国際実務』（別冊 NBL 162 号）（商事法務、

2017 年）［以下、『国際実務』として引用］ 182-183 頁は、個人情報の保護に関する実務上の留意点の 一つとして、未成年者等からの同意に言及してい る。また、子どもの個人情報の保護に関する文献 としては、例えば、入江晃史「オンライン上の児 童のプライバシー保護の在り方について：米国、

EU の動向を踏まえて」『情報通信政策レビュー』

6 号（2013 年）35 頁や、独立行政法人国民生活セ ンター「子どもの個人情報に係る消費者トラブル の現状と対応（概要）」（2005 年）等があるが、これ

らは「同意」に焦点を当てたものではない。なお、

日本ではこれまで個人情報保護法 17 条 1 項が定 める「適正な取得」との関係で子どもの判断能力 が問題とされてきた経緯はあるが、これは、前掲 注 5「通則ガイドライン」31 頁が言うように、あ くまで、「十分な判断能力を有していない子供」等 から、「取得状況から考えて関係のない家族の収 入事情などの家族の個人情報を、家族の同意なく 取得する場合」等が「不正の手段」に該当すると 解されるというものであり、子どもの個人情報に 関する同意の問題とは文脈を異にする。本稿では、

子どもから収集される家族の個人情報の問題は検 討対象から外し、主に子どもに関する個人情報の 問題について検討を加える。

7　 Simone van der Hof, I Agree… or Do I?: A Rights- Based Analysis of the Law on Children’s Consent in the Digital World, 34 Wis. Int’^l L.J. 409, 412- 413 (2016).

8　 Id.

9　 U.S. Federal Bureau of Investigation, Consumer Notice: Internet-Connected Toys Could Present Privacy and Contact Concerns for Children (2017).

See also Thomas H. Koenig, The Need to Reform Abusive Contracts for Internet Connected Toys, 52  Suffolk U. L. Rev. 187， 195 (2019).  例 え ば 玩 具 メーカーのマテル社が発売した会話機能を有する

「ハロー・バービー」は、音声情報を収集し、それ を研究開発の目的で第三者に提供していたことが 問題視されている。See John A. Rothchild, Against Notice and Choice: The Manifest Failure of the Proceduralist Paradigm to Protect Privacy Online (or Anywhere Else), 66 C^lev. S^t. L. R^ev. 559, 576  (2018).

10　Organisation for Economic Co-Operation and De- velopment, The Protection of Children Online, 35  (2012).

11　Angela J. Campbell, Rethinking Children’s Adver- tising Policies for the Digital Age, 29 Loy. Consumer  L. Rev. 1, 35-50 (2016).

12　See e.g., Comments of the Center for Digital De- mocracy and Campaign for a Commercial Free  Childhood, before the FTC hearings on Competi- tion and Consumer Protection in the 21st Century,  Hearing #12: The FTC’s Approach to Consumer  Privacy (Apr. 9-10, 2019) [hereinafter Comments]; 

OECD, supra note 10, at 37.

13　See e.g., Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, 126  Harv. L. Rev. 1880, 1889-1891 (2013). 個人情報保護 法制における「同意」については、拙稿「個人情 報保護法制における『同意』の意義と課題」『NBL』

1167 号 20 頁（2020 年）；拙稿「個人情報保護法制 における『通知・選択アプローチ』の意義と課題：

近時の議論動向の分析と IoT 環境に即したアプ ローチの考察─」『InfoCom REVIEW』72 号 30 頁

（2019 年）を参照。

14　前掲注 13 拙稿「個人情報保護法制における『同意』

の意義と課題」20-21 頁。

15　See D^eryck B^eyleveld & R^oger B^rownsword, C^onsent 

in the Law 12-13 (2007); John Kleinig, The Nature of Consent, in The Ethics of Consent 3, 5-6 ; 13-14  (Franklin G. Miller & Alan Wertheimer eds., 2010).

16　例えば医療における同意について、樋口範雄『親 子と法：日米比較の試み』（弘文堂、1988 年）155- 159 頁を参照。

17　後述 3 を参照。

18　前掲注 5「通則ガイドライン」24 頁。

19　個人情報保護委員会「『個人情報の保護に関する 法律についてのガイドライン』及び『個人データ の漏えい等の事案が発生した場合等の対応につい て』に関する Q&A」（2017 年 2 月 16 日）14 頁、

Q&A 1-58。

20　米沢広一「子どもの人権」『ジュリスト』1192 号

（2001 年）75 頁、77 頁。

21　144 Cong. Rec. S8242-83 (July 17, 1998).  な お、

COPPA の目的としては子どものプライバシーの 保護に加え、子どもの安全も掲げられている。

COPPA に関する邦語文献としては、前掲注 6 入 江「オンライン上の児童のプライバシー保護の在 り方について：米国、EU の動向を踏まえて」、前 掲注 6『国際実務』133-135 頁のほか、渥美坂井法 律事務所・外国法共同事業『諸外国の個人情報保 護制度に係る最新の動向に関する調査研究  報告 書』21-22 頁（2018 年）等を参照。

22　COPPA では、「子どもとは、13 歳未満の個人を 意味する。」と定義されている。15 U.S.C. §6501 (1).

23　COPPA では、「子ども向けのウェブサイト又はオ ンラインサービス」とは、「子どもを対象とした 商業的なウェブサイト若しくはオンラインサービ ス」又は「子どもを対象とした商業的なウェブサ イト若しくはオンラインサービスの一部」を意味 するとされる（15 U.S.C. §6501 (10).） 「子ども向け」

かどうかについては、その主題、外観、キャラク ターの利用、音楽、モデルの年齢等を考慮して判 断するものとされ（16 C.F.R. 312.2.）、「ウェブサイ ト又はオンラインサービス」には、ウェブサイト、

モバイル・アプリ、ネット接続可能なゲーム・プ ラットフォーム、広告ネットワーク、ネット接続 可能な位置基盤サービス等に加え、スマート・ト イその他の IoT デバイスも含まれるとされる。See U.S. Federal Trade Commission, Children’s Online

Privacy Protection Rule: A Six-Step Compliance Plan for Your Business (2017) [hereinafter FTC Compliance Plan].

24　15 U.S.C. §6502 (b) (1).

25　15 U.S.C. §6502 (b) (1) (A) (i).

26　ここで言う「親権者」には法定後見人も含まれる とされる。15 U.S.C. §6501 (7).

27　15 U.S.C. §6502 (b) (1) (A) (ii).

28　15 U.S.C. §6502 (b) (1) (B).

29　15 U.S.C. §6502 (b) (1) (C).

30　15 U.S.C. §6502 (b) (1) (D).

31　16 C.F.R. 312.1 et seq. 

32　U.S. Federal Trade Commission, Privacy Online:

A Report to Congress, 42 (1998).

33　Julie Jargon, How 13 Became the Internet’s Age of Adulthood, The Wall Street Journal, June 18, 2019.

34　Anita Allen, Minor Distractions: Children, Privacy and E-Commerce, 38 Hous. L. Rev. 751, 758-761  (2001). FTC も、新しい技術やメディアを利用する 頻度が高い 13-19 歳の子どもも、自らの行動の結 果を十分に認識せずに個人情報を公開し、それに より ID 窃盗の被害や、将来、雇用などの場面で 不利益を被るおそれに晒される危険があることを 指摘している。U.S. Federal Trade Commission,  A Preliminary FTC Staff Report on Protecting Consumer Privacy in an Era of Rapid Change: A Proposed Framework for Businesses and Policymakers, 16 (2010).

35　See e.g.,  Chris  J.  Hoofnagle,  Federal  Trade  Commission: Privacy Law and Policy 199 (2016) ;  Jargon, supra note 33.

36　Jargon, supra note 33.

37　Comments, supra note 12, at 7-8.

38　例えば、「子ども追跡禁止法案」（Do Not Track  Kids  Act  of  2018,  S.  2932,  115th  Cong.  (2017- 2018).）では、COPPA が適用される子どもの年齢 を 13 歳未満から 15 歳未満に引き上げることが提 案されている。

39　そもそも COPPA では、13 歳未満の「子ども向け」

のウェブサイト又はオンラインサービスである場 合には、原則として全ての利用者を子どもとして 扱い、COPPA の保護対象とすることが求められ ている。もっとも、その主題や外観、音楽等の要 素によれば「子ども向け」と判断されるものの（前 掲注 23）、子どもを主要な対象としていないサイ ト又はサービスは、年齢情報を収集する前に利用 者から個人情報を収集せず、また、COPPA 規則 が定める通知及び親権者等の同意に関する規定を

遵守せずに 13 歳未満であると申告した利用者から の個人情報の収集、利用、又は開示を行わないと している場合には、「子ども向け」サイト又はサー ビスに該当しないとされており（16 C.F.R. 312.2.）、

かかる規定との関係で年齢確認及び年齢制限が行 われることはある。See U.S. Federal Trade Com- mission,  Complying with COPPA: Frequently Asked Questions, A-14 ; D-4 ; G.1 (2015).

40　Id. at G-3.

41　これには、親権者が以前に同意した個人情報の収 集、利用、又は開示に関する実質的な変更への同 意も含まれるとされる。16 C.F.R. 312.5 (a) (1). もっ とも、かかる義務には例外があり、親権者への通 知や親権者からの同意取得のために親権者又は子 どもの氏名やオンラインの連絡先を収集する場 合、子どもからの特別の要求に一回限りで直接応 えるために子どもからオンラインの連絡先を収集 する場合、子どもの安全を保護するために子ども 及び親権者の氏名及びオンラインでの連絡先を収 集する場合等には、同意は不要であると規定され ている。16 C.F.R. 312.5 (c).

42　16 C.F.R. 312.5 (b) (1).

43　16 C.F.R. 312.5 (b) (2).

44　この場合、運営者は、身元確認が完了したのち、

迅速に、親権者の身元に関する情報を記録から削 除することとされる。16 C.F.R. 312.5 (b) (2) (v).

45　かかる追加的措置には、親権者から同意を得た後 に親権者に対して確認の e メールを送付すること や、親権者から住所又は電話番号を入手し、文書 や電話で同意の確認を行うことが含まれるとされ る。16 C.F.R. 312.5 (b) (2) (vi).

46　なお、FTC は、COPPA 規則について策定したそ の遵守のための指針において、これらに加えて幾 つかの方法を列挙している。詳しくは、後述 4-2 を参照。

47　See U.S. Federal Trade Commission, FTC Retains Children’s Online Privacy Protection (COPPA) Rule Without Changes (2006) ; U.S. Federal Trade  Commission, FTC’s Revised COPPA Rule: Five Need-to Know Changes for Your Business (2012).

48　15 U.S.C. §6503 (a).

49　16 C.F.R. 312.5 (b) (3).

50　See e.g.,  Allen,  supra  note  34,  at  768.  See also  Janine Hiller et al, POCKET Protection, 45 A^m.  Bus. L.J. 417, 442 (2008) ; Lauren A. Matecki, Note  and  Comment,  Update: COPPA Is Ineffective Legislation! Next Steps for Protecting Youth Privacy Rights in the Social Networking Era,  5  Nw J. L. & Soc. Pol’^y 369, 382-383 (2010) ; Emily  DiRoma,  Student  Note,  Kids Say the Darndest

Things: Minors and the Internet, 2019 Cardozo L. 

Rev. de novo 43, 61 (2019) ; Shannon Finnegan,  How Facebook Beat the Children’s Online Privacy Protection Act: A Look into the Continued Ineffec- tiveness of COPPA and How to Hold Social Media Sites Accountable in the Future, 50 Seton Hall L. 

Rev. 827, 832-833 (2020).

51　See e.g., Allen, supra note 34, at 768-769 ; Hiller et  al, supra note 50, at 442-443 ; Hoofnagle, supra note  35, at 211.

52　15 U.S.C. §45 (a) (1).

53　15 U.S.C. §6502 (c), 15 U.S.C. §57a (d) (3).

54　Stipulated Order for Permanent Injunction and  Civil  Penalty  Judgement  at  8-10,  In re  VTech  Electronics Limited., File No. 162 3032, No. 1 : 18- cv-114 (F.T.C. Jan. 8, 2018).

55　Complaint, at 3-5, In re VTech Electronics Limited.,  File No. 162 3032, No. 1 : 18-cv-114 (F.T.C. Jan. 8,  2018).

56　GDPR に関する一般的な解説を含む邦語文献とし ては、前掲注 6『国際実務』のほか、石井夏生利

『EU データ保護法』（勁草書房、2020 年）、小向太 郎・石井夏生利『概説 GDPR』（NTT 出版、2019 年）、宮下紘『EU 一般データ保護規則』（勁草書房、

2018 年）、中崎尚『Q&A で学ぶ GDPR のリスク と対応策』（商事法務、2018 年）等を参照。GDPR における子どもの個人情報の処理にかかる「同意」

については、前掲宮下『EU 一般データ保護規則』

66-69 頁が詳しい解説を加えている。

57　Charter of Fundamental Rights of the European Union, 2010/C 083/02 of 30 March 2010, 2010 O.J. 

(C 83) 389, 393.

58　前文 38 項は、子どもは個人データの処理に関連 して懸念されるリスク、結果及び安全保護措置や、

自身の権利に関して十分に認識できないために、

「特別の保護」が必要であるとしている。

59　「情報社会サービス」とは、GDPR 4 条（25）が参照 する、「情報社会サービスに関する技術規則にお ける情報提供手続を定める欧州議会及び理事会の 指令」（Directive (EU) 2015/1535 of the European  parliament and of the Council of 9 September  2015 laying down a procedure for the provision  of information in the field of technical regulations  and of rules on Information Society services, 2015  O.J. (L241) 1.）1 条（1）（b）において、「電子的手段 によりかつ受領者の個別の要求に基づいて、遠距 離で提供されるサービスであり、通常は対価を得 て提供されるもの」を意味すると定義され、典型 例としては、オンラインの新聞等のオンライン情 報サービス、オンラインでの商品やサービスの販

売、オンラインでの娯楽サービス、及び、オンラ インソーシャルネットワークなどが挙げられてい る。See Daniel Rücker & Tobias Kugler eds., New  E^uropean G^eneral D^ata P^rotection R^egulation:  A Practitioner’^s Guide 97 (2017).

60　なお、子どもが法定年齢に達した後は、子どもは既 に親権者等によってなされた同意を撤回すること ができるとされる。See Article 29 Working Party,  Guidelines on Consent under Regulation 2016/679,  24-25 (2018) [hereinafter Art. 29 WP Guidelines].

61　United Nations Convention on the Rights of the  Child, Nov. 20, 1989, 1577 U.N.T.S. 3.

62　Karen McCullagh, The General Data Protection Regulation: A Partial Success for Children on Social Network Sites, in Data Protection, Privacy 

and E^uropean R^{egulation in the} D^igital A^ge 110,  122-124 (Tobias Bräutigam & Samuli Miettinen  eds, 2016). なお、マカラーは、13 歳という年齢設 定については、COPPA の影響があったことを指 摘している。

63　Id. at 124. See also Sonia Livingston, Children: A Special Case for Privacy?, 46 (2) Intermedia 18, 21  (2018).

64　Ingrida Milkaite and Eva Lievens, Status quo re- garding the child’s article 8 GDPR age of consent for data processing across the EU (2019).

65　McCullagh, supra note 62, at 124.

66　Milda  Macenaite  and Eleni  Kosta,  Consent for Processing Children’s Personal Data in the EU:

Following in US Footsteps,  26  Information  & 

Communications Technology Law 146, 167 (2017).

67　Art. 29 WP Guidelines, supra note 60, at 25.

68　Id.

69　Id. at 26.

70　Id.

71　Id. at 27.

72　Livingston, supra note 63, at 21-22.

73　Mc Cullagh, supra note 62, at 127-130.

74　一般社団法人日本インタラクティブ広告協会「プ ライバシーポリシーガイドライン」4 頁（2017 年）

は、個人情報保護法 17 条 1 項が定める「適正な 取得」との関連で、「15 歳未満の子供から親権者 の同意なく個人情報をみだりに取得しないように 留意する必要がある」とする。また、一般社団法 人日本マーケティング・リサーチ協会「マーケティ ング・リサーチ綱領 解説［第 2 版］」（2018 年）は、

「中学生以下」を「子供」として、「調査対象者が 中学生以下の子供の場合は、事前にその親または

親に代わる親権者等の同意を得なければならな い」としている。

75　米沢広一『憲法と教育 15 講［第 4 版］』（北樹出版、

2016 年）27 頁は、「必要とされる判断能力の程度は、

判断を求められている対象に応じて異なる」とし、

全ての場合に一律に境界線を引く必然性はないと する。

76　See e.g., Mario Viola de Azevedo Cunha, Innocenti  Discussion Paper 2017-03, Child Privacy in the Age of Web 2.0 and 3.0: Challenges and Opportu- nities for Privacy, 14-15 (2017) [hereinafter Innocenti Paper]; Van der Hof, supra note 7, at 438-441.

77　芹沢斉「子どもの自己決定権と保護」『岩波講座  現代の法 14 自己決定権と法』（岩波書店、1998 年）

147 頁、160-166 頁。

78　前掲注 13 拙稿「個人情報保護法制における『通知・

選択アプローチ』の意義と課題：近時の議論動向 の分析と IoT 環境に即したアプローチの考察─」

34 頁。

79　See  e.g.,  Innocenti Paper,  supra  note  76,  at  7; 

Heather  Osborn  Ng,  Targeting Bad Behavior:

Why Federal Regulators Must Treat Online Be- havioral Marketing as Spyware, 31 Hastings Comm. 

& E^nt. L.J. 369, 380-381 (2009).

80　See Macenaite & Kosta, supra note 66, at 179-180.

81　前掲注 6『国際実務』183 頁。

82　See Macenaite & Kosta, supra note 66, at 181-182.

83　See Hiller et al, supra note 50, at 443-444.

84　FTC Compliance Plan, supra note 23.

85　例えば、FTC はクッキーの利用を推奨していたが、

簡単に回避されてしまうおそれも指摘されてい る。See Hiller et al, supra note 50, at 443.  また、

先に挙げた年齢認証技術についても、いずれも課 題があることが指摘されている。See Macenaite 

& Kosta, supra note 66, at 181-182.

86　Eldar Haber, Toying with Privacy: Regulating the Internet of Toys, 80 Ohio. St. L.J. 399, 436 (2019).

87　Innocenti Paper, supra note 76, at 13-15.

88　子どもの個人情報のプロファイリング目的での利 用については、親権者の同意の有無に拘わらず規 制すべきと主張する論稿として、See e.g., Kathryn  C. Montgomery and Jeff Chester, Data Protection for Youth in the Digital Age: Developing a Rights- Based Global Framework, 1 E^ur. D^ata P^rot. L. 

Rev. 277, 290-291 (2015).  また、フーフナグルは、

親権者の同意に依拠するのではなく、データの収 集、広告、プロファイリングといったデータの商 業的な利用に制限をかけるのが最も効果的である

としている。See Hoofnagle, supra note 35, at 211.

松前　恵環^{（まつまえ　さとわ）}

駒澤大学グローバル・メディア・スタ ディーズ学部講師、東京大学大学院情 報学環客員研究員。

東京大学法学部卒業、同大学院情報学 環修士課程修了、同大学院情報学環博 士課程単位取得退学。東京大学大学院 情報学環助教、同先端科学技術研究セ ンター助教などを経て現職。

主著に、『情報ネットワークの法律実務』（第一法規、2017 年）

（共著）、『よくわかる社会情報学』（ミネルヴァ書房、2017 年）

（共著）、『プライバシー・個人情報保護の新課題』（商事法務、

2010 年）（共著）等がある。