「Children's Online Privacy Protection Act of 1998」レポート
このレポートには、サイトで見つかった Children's Online Privacy Protection Act (COPPA) の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。注: このレポートで報告される問題の多くは、HIPAA レポートの問題と類似しています。両方のレポートが ダッシュボードに追加されると、問題の数が膨れ上がってしまいます。このような状況にならないようにするためには、レポートごとにタブを作成するか、ダッシュボードにどちらか一方のレポートだけを追加するという方法を取れます。
問題点
COPPA Act では、13 歳未満の子供から個人情報をオンラインで収集したり使用したりすることを 防ぐための規則を公布し、これを推し進めるため、米連邦取引委員会が必要 です。この主な目的は、子供の個人情報をオンラインで収集することについて、保護者の承認の下で行わなければならないということです。
一般的に、COPPA は、個人情報を収集する 13 歳未満の子供向けの Web サイトの運営者にのみ該当すると思われている点で誤解されています。こういった Web サイトでは、漫画やキャラクターを売り物にしたり、子供向け商品の販売を促進したり、子供のモデルを使用したり、子供っぽいフォントや色を使用したり、ゲームを提供したりします。COPPA は、13 歳未満の子供であると知りながら個人情報を収集する「一般」向け Web サイトにも当てはまるという点がさらに重要です。すべての Web サイトの運営者が、サイトが COPPA の範囲内にあるかどうか判断するために、そのプロパティーを評価することが重要です。
この法律は、次のサイト運営者に 当てはまります。
- 子供から個人情報を収集する 13 歳未満の子供向け商用 Web サイトまたはオンライン・サービス
- 13 歳未満の子供であることを知りながら個人情報を収集する一般向けサイト
- 別に子供用領域があり、子供から個人情報を収集する一般向けサイト
外国人の管理する Web サイトは、これが米国内の子供向け であったり、米国内の子供から意図的に情報を収集する場合は、COPPA に従わなければ なりません。
COPPA 要件
米連邦取引委員会は、該当する Web サイトの 運営者に関する COPPA 要件を次のようにまとめています。
- Web サイトのホーム・ページにプライバシー・ポリシーを掲載し、 個人情報が収集されるすべてのページから、プライバシー・ポリシーへリンクできるようにする。
- 保護者向けにサイトの情報収集方法に関する通知を掲載し、 子供から個人情報を収集する前に親の同意を得る。
- 保護者に対し、子供の個人情報が第三者への開示が可能かどうか 選択肢を設ける。
- 保護者に対し、子供の個人情報へのアクセス権限と、 個人情報の削除および今後の収集と情報の使用のオプトアウトの機会を与える。
- ゲーム、コンテスト、その他の活動への子供の参加について、 活動に参加するために当然必要な情報以上に子供の個人情報を開示するように 条件を設定しない。
- 子供たちから収集する個人情報の機密性、セキュリティーおよび保全性を 維持する。
COPPA 準拠のベスト・プラクティス
- COPPA 要件の詳しい知識を取得します。要件についての理解が深まれば、要件に合致する方針を作成することがさらに容易になります。
- COPPA の方針を決定します。Web サイトに対する COPPA の適用度を決定し、コンプライアンスの方針を作成します。例えば、Web サイトが基本的に成人向けである場合、年齢や誕生日を確認せずに子供から個人情報を意図的に収集しないようにすることが賢明です。
- ポリシーと規格を作成します。プライバシー通知を作成し、データ収集の原則を確立し、年齢制限と保護者の同意に関して適した方式の規格を決定します。
- 既存の Web サイトを評価し、修正します。個人情報を収集しているすべてのフォームを識別し、確認します。年齢が不要な場合、年齢を収集しないのが理屈に合っています。年齢が必要な場合、適切な年齢制限と保護者の同意の仕組みを実装する必要があります。
- 新しい Web サイトに対処します。すべての Web サイト関係者 (第三者を含む) に対して研修を用意し、Web サイトのデザインおよびコンテンツの作成ビジネス・プロセスに規格を構築して、コンプライアンスのチェックを QA プロセスに組み込みます。
- 保護プログラムおよびセーフ・ハーバーについて考慮します。TRUSTe などの客観性のある第三者組織により 運営されている FTC 承認の COPPA セーフ・ハーバー・プログラムへの加入で、 有用な実装ガイドが提供され、第一級の防御として作用します。
- 進行中のモニタリングを管理します。次の点を守り、進行中のモニタリング・プロセスを実装します。
- 新規 Web サイトは確立済みの COPPA 規格に準拠する
- 新規 Web サイトの関係者は適切な研修を受ける
- 既存の Web サイトを変更しても COPPA への不順守を作成しない