1――はじめに
2024年8月2日、米国政府(消費者保護局)はByteDance及びTikTok等を被告として、未成年者の違法な情報収集等の恒久的な差止、民事賠償金の支払等を求めて、カリフォルニア州中央地区の連邦地裁に提訴を行った。
案件を簡単にまとめると、(1)被告らは13歳未満の児童であることを知りながら、親の認知も同意も得ず、TikTokのアカウントを作成および利用させ、これら児童から多くの個人情報を収集した、(2)児童の親から、その児童のアカウントおよび個人情報の削除の要請を受けながら、要請に応じなかったというものである。このような行為は連邦法であるChildren’s Online Privacy Protection Act of 1998(COPPA)およびChildren’s Online Privacy Protection Rule(COPPA Rule)に違反する。
さらに、TikTokが買収した米国企業が、同様の行為により2019年に受けた恒久的差止命令にも違反したことを内容とする訴訟(以下、本訴訟)である。本稿は本訴訟について解説を行い、日本法の下ではどう解されるのかを検討するものである。
なお、被告となっている会社はTikTok Inc. TikTok U.S. Data Security Inc. ByteDance Ltd. ByteDance Inc. TikTok Pte. Ltd. TikTok Ltd.の7社であるが、本稿ではまとめて被告と表記する。
2――若干の前提
2――若干の前提
1|Musical.lyに対する恒久的差止
後に被告に買収されることになるMusical.lyはビデオ配信を主体とし、数百万の米国児童をユーザーとするプラットフォームであった。Musical.lyは2019年2月にCOPPA Rule違反行為があるとして、本訴訟と同じカリフォルニア州中央地区連邦地裁に米国政府より提訴された。2019年3月に地裁はMusical.lyに対し、恒久的差止と570万ドルの民事制裁金支払いを命じた。恒久的差止の内容は、(1)13歳未満の児童の情報を破棄すること、(2)年齢不詳のアカウントを削除すること、および(3)COPPA Ruleの遵守を求めた。
ところで被告は2019年頃より多大な広告費を用いてTikTokを宣伝し、また、iPhone端末及びAndroid端末よりアプリのダウンロードを可能にした。そして2019年4月(=上記差止の翌月)にMusical.lyを買収し、TikTokに一本化した。
2|TikTokの現状
TikTokはユーザーが短い動画を創作し、アップロードし、シェアすることのできるプラットフォームである。TikTokのアプリのダウンロードは無料である。TikTokは広告と電子商取引による販売(e-commerce)が主な収益源である。
TikTokは「For You」というfeed
1を表示する。これは被告が運営するアルゴリズムによって、個人ごとにその人の興味により動画を選択し、推奨し、再生するものである。
2024年現在、児童や十代の若者を含む1億7千万以上のTikTokユーザーが米国に存在する。2022年時点で十代の3分の2がTikTokを利用すると報告され、そのうち61%が13歳または14歳であった。2023年後半では十代の約半数がTikTokを一日数回利用すると報告されている。
1 ユーザーに表示されるお勧め動画の表示される画面のこと
3――被告の違法行為
3――被告の違法行為
1|総論
被告はCOPPAおよびCOPPA Ruleについて以下の点で違反した。
(1) 児童であることを知りながら、最初に親に通知し、検証できる親の同意を得ることせず、児童にアカウントを作らせ、児童からの個人情報を収集した。
(2) 親が児童のアカウントと情報を削除するように求めた要求に従うことをしなかった。
(3) 被告が児童であると認識したユーザーのアカウントと情報を削除しなかった。
2|親の同意なしのアカウント作成・情報収集
(1) 総論:遅くとも2019年3月までには、被告はアカウント作成時に13歳未満と申告したか、あるいは被告の経験上13歳未満とみられる若いユーザー向けに「Kids Mode」の提供を開始している。
しかし、被告は13歳未満と知りながら、親への事前通知および検証できる同意なしに、一般のアカウント(=13歳以上が利用できるアカウント。以下、単にアカウントという場合は一般のアカウントを指す)を作成させ、多くの個人情報を取得していた。またKids Modeにおいても親への通知および同意なしに、いくつかの個人情報をCOPPA Ruleに反する方式で取得していた。
(2) Age Gateの抜け穴:遅くとも2019年3月までには、消費者がTikTokアカウントを作ろうとした場合、原則として誕生年月日を入力するプラットフォームであるAge Gateをクリアすることを被告は要求することとしている。13歳以上であることが入力された場合には、ユーザーネーム、Emailアドレス、電話番号を入力することが求められる。そして一般のTikTokアカウントを作ることができ、TikTokのサービス(他のユーザーへのメッセージ送信を含む)を受けることができる。
一般のアカウントを作成した場合、被告は様々な情報、すなわち氏名、年齢、Emailアドレス、電話番号、使用機器の固有識別子(persistent identifier。IPアドレス
2など)、SNSのアカウント情報、プロフィール写真、ユーザーの姿の移った写真、動画、ユーザーの声の入ったオーディオファイルなどを収集する。
遅くとも2019年3月から、13歳未満であるためKids Modeを利用する場合は、ユーザーネーム(本名を含まない)とパスワードのみが求められる。Kids Modeアカウント作成にあたっては、親への通知と同意取得は行われない。Kids Modeでは動画視聴ができるだけで、その他の機能は使うことができない。
しかし、Kids Modeにはさまざまな欠陥がある。それは以下の通りである。
1) 遅くとも2020年後半までは、いったん、13歳未満と申告したユーザーが、再度13歳以上であるとして一般のアカウント作成を行おうとする場合に、被告はユーザーが13歳未満であることを知りながら、アカウントの作成を許可してきた。
2) 遅くとも2022年5月までは、被告はInstagramやGoogleアカウントを用いて一般のTikTokアカウントにログインさせることを許してきた。InstagramやGoogleアカウントでは年齢を確認していない。このようなアカウントは被告では「年齢不詳」アカウントと分類していた。
これら被告従業員がいうところの「抜け穴」をふさぐため、被告は、遅くとも2022年までにすべてのユーザーにAge Gateを通過するよう要求するようになった。
2 IPアドレスは使用機器のインターネット上の住所のようなものである。
(3) Kids Modeの問題点:Kids Modeにおいては、ユーザーネーム、パスワードおよび誕生年月日を被告が収集するが、それに追加して固有識別子を親への通知、親の同意なしに収集していた。COPPA Ruleでは個人が識別できる情報を収集せず、かつオンラインサービスの内部運営を支援するための目的のためだけであれば、児童の親の同意は不要である。しかし、被告による児童の固有識別子を取得する行為はCOPPA Ruleに違反する
3。
遅くとも2020年の中盤までは、Kids Modeの情報を親の同意なしに、オンラインサービスの内部運営支援以外で第三者と共有していた。たとえばFacebookと、またAppFlyerというマーケティング分析会社と共有し、利用が減少し、または利用しなくなったKids Modeユーザーにより多くの利用を促進することを目的として情報共有を行った。これはCOPPA Rule違反である。
また、アプリ内に問題報告(Report a Problem)機能があるが、報告を行う場合にはEmailアドレス
4を入力しなければならない。2019年2月から2022年7月までに被告は30万以上のEmailアドレスを含む問題報告を収集した。
3 この点は日本との相違点である。後述。
4 Emailアドレスには往々にして、本名が用いられ、個人を識別できる情報に該当することが多い。
3|親からの一般のアカウントおよび情報削除要求を拒否
(1) 総論:2019年以降、被告は数百万に上る児童に対し、一般のTikTokアカウントの作成を許可してきた。これらアカウントの多くは親の承諾なしに作成されてきたが、しばしば、これは親の知るところとなり、これらの親はアカウントおよび情報の削除を求めてきた。
しかしながら多くの場合で被告は親のそのような要求をする権利を妨害し、要求に従うことを拒否してきた。
(2) 親からの要求への不合理な対応プロセスの維持:被告は親が削除要求を提出するための簡単なプロセスを作ろうとしてこなかった。たとえば被告の用意したユーザーの親に対するオンラインガイダンス資料には「削除」という言葉が出てこない。親は子のアカウントおよび情報の削除要請をする方法を理解するために複雑なプロセスの中を渡り歩く必要がある。
親が削除要求をするためには、被告がその方法をはっきりと説明していないなかで、複数のページをスクロールし、一連のリンクとメニューをクリックする必要がある。そのうえでテキストボックスのなかで自分は親であり、子のアカウントと情報を削除することを求めることを説明しなければならない。
仮に親が子のアカウントと情報を削除することの要求を提出することに成功したとしても、被告はしばしば要求を尊重しない。被告のスタッフはアカウントをレビューして13歳未満である客観的な指標の有無を確認する。被告の方針では13歳未満とのアカウントと判断され、削除されるのは、レビューされた投稿内容に明確に13歳未満であることを認めた表現がある場合に限ることとされている。
このような厳格な(=削除基準に該当するハードルが高い)基準に満たなかった場合、つい最近までの被告の方針では、既にすべての情報を提供しているにもかかわらず、親に対して、親子関係であることの確認と要求内容(nature of request)を記載するフォームに署名することを求めていた。この被告からの要求にこたえないと、子の一般のアカウントは削除されなかった。
(3) 親からの削除要求への不対応:上記(2)の親からの要求手続に関して欠陥があると被告は認識していた。さらには、被告は多くのケースで親からの削除要求にまったく対応してこなかった。2020年12月下旬において被告には数千の過去の削除要求のメールが滞留していた。過去の事例を見るとそれまでに1700の削除要求があったにもかかわらず、2021年11月1日時点で500(30%)が削除されていなかった。つまりオンラインのプロセスを完了し、フォームに署名したにもかかわらず、引き続き被告は子のアカウントと情報を削除していなかった。
またたとえ、アカウントの削除が行われたとしても、被告は同一のデバイス等から同一人と考えられる子からのアカウント再作成についてつい最近まで阻止することをしていなかった。
保険研究部
取締役 研究理事 兼 ヘルスケアリサーチセンター長
松澤 登(まつざわ のぼる)
研究領域:保険
研究・専門分野
保険業法・保険法|企業法務
【職歴】
1985年 日本生命保険相互会社入社
2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
2015年4月 生活研究部部長兼システム部長
2018年4月 取締役保険研究部研究理事
2021年4月 常務取締役保険研究部研究理事
2025年4月より現職
【加入団体等】
東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
東京大学経済学部非常勤講師(2022年度・2023年度)
大阪経済大学非常勤講師(2018年度~2022年度)
金融審議会専門委員(2004年7月~2008年7月)
日本保険学会理事、生命保険経営学会常務理事 等
【著書】
『はじめて学ぶ少額短期保険』
出版社:保険毎日新聞社
発行年月:2024年02月
『Q&Aで読み解く保険業法』
出版社:保険毎日新聞社
発行年月:2022年07月
『はじめて学ぶ生命保険』
出版社:保険毎日新聞社
発行年月:2021年05月
レポートについてお問い合わせ
(取材・講演依頼)