TikTokによる児童の個人情報違法収集事件－米国連邦政府による提訴　|ニッセイ基礎研究所

4｜被告は自社内のシステムから児童の一般のアカウントと情報を削除せず
(1) 総論：被告は、一般のアカウントおよび情報削除の目的で、1) テクノロジーの活用、2) ユーザーレポート、3) 人間による監視によって、児童のアカウントを特定しようとしている。しかし、被告は自社のプロセスと方針には欠陥があり、児童のアカウントであると特定できたとしても、アカウントと取得した情報を削除しなかった。

(2) キーワードマッチング：2020年頃から被告はキーワードマッチングを使用して、削除すべき児童のアカウントの特定を行ってきた。これはたとえばアカウントのプロファイルに4年生や9歳などの児童と思しき用語がある場合に、レビュー実施と場合によってアカウント削除がなされるものである。しかし、このキーワードマッチングは酷く欠陥のあるものだった。

キーワードマッチングでフラグのついたアカウントは人間の検証者(moderators)による検証が行われるが、この場合も「自分は13歳未満である」ことをはっきり認める表現があることがアカウント削除の条件となっている。初期のキーワードマッチングの削除基準はより厳格なものとなっており、投稿された動画に何が映っていようが、13歳未満であることを表示しない限り削除されない方針になっていた。この方針は検証者の裁量で緩める（＝削除する）ことはできなかった。

さらに被告は検証者に対して、検証を行うための十分な時間を与えなかった。TikTokは数千万の月間アクティブユーザーがいる一方で、検証者チームには2ダース(24人)以下しか配属されていなかった。2019年以降のある時期についていえば、検証者は1アカウントについて平均5秒から7秒しか使うことができなかった。そのため、現時点でもキーワードマッチングで13歳未満の児童の有効なアカウントを探すことは容易でかつその数も多い。中には数百のフォロワーがいたり、数千の「いいね」がついたりするアカウントもある。

このように児童のアカウントを削除しないということで、児童に広告を見せ、広告から収入を得ること、そしてTikTokを通じて大人が児童と直接やり取りをする機会を提供している。

(3) 動画検証対象（Video Moderation Queues）となったアカウント：被告に対して、児童のアカウントとして注目されることとなるのは、視聴者が投稿者の投稿映像を規約違反であると報告した場合である。

この場合、動画は内容検証者が検証し、規約違反であるかどうか判断するが、その際に明らかに13歳未満であると判明した場合は、そのアカウントに13歳未満であることのラベリングをする。ただ、内容検証者に動画削除権限はあるが、アカウント削除権限がないので、13歳未満のアカウント削除権限を有する検証者チームへ回送する。

しかし、この仕組みは遅くとも2022年10月まではうまくいっていなかった。アカウントは回送されず、アカウントは削除されてこなかった。記録も十分になされていなかったが、限られた記録によっても数百万ものアカウントに疑義があることが明らかになっている。

(4) 品質保証評価で特定されたアカウント：被告は上記で内容検証者が検証した動画について、アカウント内容の品質保証評価を実施している。遅くとも2022年9月までは、内容検証者が誤って13歳未満のアカウントとフラグを立てなかったアカウントについて、被告が13歳未満であると品質保証評価手続を通じて特定した場合であっても、被告はアカウントを削除してこなかった。

(5) 検証者が13歳未満のアカウントとして停止すべきと表示したアカウント：アカウントが被告の厳格な基準を満たして13歳未満のアカウントであり、削除されるべきとされた場合でも、被告が多くのアカウントを削除しなかった。このように削除されるべきアカウントが残っていることは社内チャットでも確認されている。

被告は2019年のMusical.lyへの恒久的差止で求められた記録をほとんど残していないが、残されていた数少ない記録であって、かつ短期間に限っても少なくとも数百のアカウントが削除されていないことがわかる。

(6) 削除されたアカウントの情報保管：被告は、アカウントが13歳未満の児童のものとして削除された後も長期間にわたって情報を保管している。たとえばアプリの活動履歴は18カ月保管している。さらに被告はアカウントが削除された後も児童の情報を多くのデータベースに保管している。被告はどの情報がどこになぜ保管されるかについて文書化していないので、児童の情報の所在やなぜ削除されていないのか説明できない。

さらに児童のアカウントが削除されたとしても、児童のアカウントに投稿された動画が他の人のアカウントの映像に挿入されている場合、児童のアカウントが削除された後も児童の動画は削除されていない。

また、被告が児童のアカウントを削除したとしても、児童が他のアカウントの映像にコメントを残している場合にも、そのコメントは削除されない。

5｜被告の違反は大規模
(1) 数百万の児童に影響：被告の内部分析者によるとTikTokの米国ユーザーのうち数百万は13歳未満である。TikTokと第三者機関の調査でも米国および米国以外においても、児童のTikTok利用は普通のことであり、その多くが一般のアカウントを保有している。実際、オランダ、アイルランド、英国では被告が許可されていない児童の情報を収集したとして罰金を科している。

たとえば2020年1月にはTikTokの検証者は、児童のアカウントにおいて明確に13歳未満であることを児童が認めない限り、被告が児童のアカウントであるとわかっていても削除しないことを認識していた。2020年7月のチャットには、被告の従業員は各々1分間の確認で児童であると特定した膨大なプロファイルを社内に回覧し、「これは信じがたいほどの問題で、直ちに対応する必要がある」と記載していた。被告は児童であることを判別し、削除することを可能にする別のシステムを有しているが、これは広告対象を判別することなどのみに利用されている。

被告はユーザーが児童かどうか判別する基準として、年齢と学年を使用している。多くの場合、児童は年齢を偽って一般のアカウントを作成する。学年についてはアルゴリズムで判別するのでより正確だが、被告は13歳未満と判定されないようにプログラムしているようだ。

(2) 被告は2019年の恒久的差止で要求された記録をとっていない：2019年の恒久的差止ではCOPPAを含む法の完全遵守を示すすべての必要な記録を取ることを求めている。しかし被告はこれを遵守していない。

被告はどの程度の数のアカウントが影響を受け、影響を受けたアカウントがどれで、どのような対応がなされたかを示す記録をしばしば保管していなかった。また、検証者によって児童のものと判明したことや、どのような対応がなされたか十分な記録を作成、保管していなかった。

さらに被告はFeishuという社内コミュニケーションシステムを保有しているが、Feishuはメッセージの跡を残さず、かつ簡単に削除できる‛recall’という機能を有している。この慣行を被告は遅くとも2023年5月まで変更しなかった。Feishuによって被告は役職員の対話を記録する信頼できる手段を欠いていた。

(3) FTCへの改善措置の虚偽報告：被告はFTC(Federal Trade Commission、連邦取引庁)に対して、2019年の恒久的差止により求められた児童の情報の削除を2020年5月24日に完了したと報告をしている。しかし、FTCのフォローアップ調査によって被告は2020年6月12日に完了報告は虚偽であったことを認めた。

4――該当法令と違反行為

ここでは主なCOPPAの条文と、訴状に記載されている被告の違反行為を列挙する。

(1) 312.3条（一般要件）
児童向けのウェブサイトまたはオンラインサービスの運営者、または児童から個人情報を収集または管理していることを実際に知っている運営者が、本編に規定される規則に違反する方法で児童から個人情報を収集することは、非合法とする。一般に、本編に基づき、事業者は以下を行わなければならない。

(a) ウェブサイトまたはオンラインサービスにおいて、児童からどのような情報を収集するか、そのような情報をどのように利用するか、およびそのような情報の開示慣行について告知する。
―（違反行為）被告のウェブサイトまたはオンラインサービスで、児童からどのような情報を収集するか、どのように利用するか、被告の開示慣行等を告知しなかった。

(b) 児童からの個人情報の収集、使用、および／または閉鎖の前に、検証可能な保護者の同意を得る。
―（違反行為）被告が児童から個人情報を収集し、利用し、開示する前に親からの同意を得ていなかった。

(c) 親が、子どもから収集した個人情報を確認し、それ以上の使用または維持を拒否するための合理的な手段を提供する。
―（違反行為）児童から収集した個人情報を、個人情報の収集が判明したとき以降も、利用または保有することの許可を親が拒絶するための合理的な手続を親に提供することをしなかった。

(2) 312.4条（通知の一般原則）

(a)省略

(b) 親への直接通知。事業者は、利用可能な技術を考慮し、児童の親が、児童の個人情報の収集、使用、開示に関する事業者の慣行について、親が以前に同意した収集、使用、開示の慣行の重大な変更の通知を含め、直接通知を受け取れるよう、合理的な努力を払わなければならない。
―（違反行為）児童からどの情報をオンラインで収集したか、どのように利用するか、情報の開示慣行その他法で求められる内容について親に直接通知する合理的な努力を払っていなかった。

(3) 312.5条（親の同意）

(a) 1)事業者は、児童からの個人情報の収集、利用または開示の前に、検証可能な保護者の同意を得ることが要求される。
―（違反行為）児童から個人情報を収集し、利用し、開示するよりも前に親の同意を取得していなかった。

(4) 312.6条（児童が提供した個人情報を確認する親の権利）

(a) 児童がウェブサイトやオンラインサービスに個人情報を提供した場合、、その親からの要求があれば、そのウェブサイトやオンラインサービスの運営者は、その親に以下を提供する必要がある。
1) 省略

2) 事業者による当該児童の個人情報の今後の利用または今後のオンライン収集を拒否し、当該児童の個人情報を削除するよう事業者に指示する機会
―（違反行為）児童から収集した個人情報を削除することを要求する機会を親に与えていなかった。また、児童から収集した情報を親からの要求に基づいて削除していなかった。

(5) 312.10条（データの保持および削除の要件）
ウェブサイトまたはオンラインサービスの運営者は、児童からオンライン上で収集した個人情報を、その情報が収集された目的を果たすために合理的に必要な期間のみ保有するものとする。
―（違反行為）個人情報が収集された目的を達成するために合理的に必要な期間を超えてオンラインで収集された児童の個人情報を保有していた。

以上の違法行為に鑑み、被告に対して、COPPA　Ruleの将来の違法行為を恒久的に差止める命令、および民事賠償金の支払いを米国政府は裁判所に請求した。

日付	タイトル	執筆者	媒体
2025/04/28	欧州委、AppleとMetaに制裁金－Digital Market Act違反で	松澤登	研究員の眼
2025/04/18	資金決済法の改正案－デジタルマネーの流通促進と規制強化	松澤登	基礎研レポート
2025/04/16	公取委、Googleに排除命令－その努力と限界	松澤登	研究員の眼
2025/04/11	AlphabetにDMA違反暫定見解－日本のスマホ競争促進法への影響	松澤登	研究員の眼

TikTokによる児童の個人情報違法収集事件－米国連邦政府による提訴 | ニッセイ基礎研究所