TikTokによる児童の個人情報違法収集事件－米国連邦政府による提訴

保険研究部取締役研究理事兼ヘルスケアリサーチセンター長松澤登

5――日本法の下での検討

1｜個人情報の取得
(1) 日本の個人情報保護法では、一般的な個人情報と要配慮個人情報⁵とで取得の要件が異なる。一般的な個人情報（住所、氏名など）については「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、または公表しなければならない」（個人情報の保護に関する法律（以下、法）21条1項）とだけされている。そして個人情報とは「当該情報に含まれる氏名、生年月日（中略）により特定の個人を識別することができるもの」と定義されている(法2条1項1号)。

この点、Kids Mode（上述3　2｜(1)参照）は、ユーザーネーム、パスワード、誕生年月日および固有識別子だけを収集する⁶ものである。日本ではこれだけの情報では特定個人を識別できないため、収集する情報は個人情報ではないと解される。

ただし、訴状では、米国では固有識別子を取得する行為について親の同意が必要であり、これを得ていないのは違法であるとしている。他方、日本では固有識別子は個人情報に該当しない⁷。固有識別子はEUや米国では個人情報とするのが一般であるが、日本では異なる整理となっている。日本においては固有識別子が個人情報にあたらない以上、Kids Modeおいて、親の同意がなかった点については違法性がないと解される⁸。

⁵ 要配慮個人情報には本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に留意を要するものとして政令に定める記述等が含まれている個人情報を言う(法2条3項)。
⁶ 映像の閲覧しかできないので、その他の個人情報は被告に提供されない。
⁷ 固有識別子（クッキーやIPアドレスなど）は法2条7項で個人関連情報とされ、個人情報には該当しないとされている。ただ、個人関連情報が第三者に提供した時点で個人情報になる場合は、その第三者が本人から同意を取得しておく必要がある（法31条1項）。
⁸ なお、被告は日本の法の下では個人情報とされていない児童の情報を第三者に提供しているが、第三者で個人情報とならない（注7参照）限り、個人情報保護法の問題とはならない。

(2) 他方、被告においては年齢判別のルールが緩く、児童が一般のアカウントを作成することが容易であったとのことである。この場合、児童を特定できる多くの個人情報を被告に提供することになるのに加え、動画の投稿やメッセージのやり取りも可能になる。そうすると要配慮個人情報に該当する情報を被告が取得する可能性があり、この場合、事前の本人同意が必要である(法20条2項)。そしてここでの本人同意に関して、一般的に12歳から15歳以下の児童について、子ではなく親の同意が必要と考えられている⁹。

ただ、児童には一般のアカウントを作成することは、そもそも被告のルール上できないことになっている。つまり親の同意の有無は問題とならない。一般のアカウントで求められる各種の児童の個人情報は不正に取得されたものと言わざるを得ず、「個人情報取扱事業者は、偽りその他の不正の手段により個人情報を取得してはならない」（法20条1項）に該当する。

⁹ 個人情報保護委員会HP　https://www.ppc.go.jp/all_faq_index/faq1-q1-62/　参照。

2｜個人情報の利用停止・削除
法は「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが(中略)第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去を請求することができる」(法35条1項)とする。

上述の通り、そもそも作成することが禁止されている一般のアカウントを作成し、要配慮個人情報を含む個人情報を収集することはいずれも不正の手段により個人情報を収集したこととなり、法35条1項に該当する。

したがって、一般のアカウントを作成した児童の親は、被告の保有個人データの利用停止または消去を請求することができる。そしてこの請求がなされた場合には、「個人情報取扱事業者は、前項（＝35条1項）の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止または消去を行わなければならない」(35条2項)とされている。親は親権を有し、本人の法定代理人なので、被告は本人申出と同様のものとして利用停止または消去に応じなければならない。またアカウントの削除も個人データの新規取得を防ぐため、当然削除に応じなければならない。

結論として、今回の米国の訴訟の事案が訴状通りであれば、一般のアカウントについて、児童が作成したとして個人情報の消去請求やアカウントの削除請求があったにもかかわらず、被告が消去・削除しないのは、日本でも個人情報保護法違反として是正されるべきものということができる¹⁰。

¹⁰ 被告が是正しないときは、個人情報保護委員会が勧告・措置命令を出すことができる(法148条)。措置命令に違反した場合は違反者を一年以下の懲役又は百万円以下の罰金に処する(法178条)ことができる。また両罰規定もあり法人に1億円以下の罰金が科せられる(法184条)。

6――おわりに

上記5の日本法での検討は、いったん利用規約の存在を除外して検討した。ただ、オンラインのサービスを利用する場合においては、利用規約に同意しなければならないことが一般的である。そうするとKids Modeにおいても一般のアカウントにおいても利用約款への同意が必要となることとなり、この場合は、個人情報の有無にかかわらず契約として合意が行われることになる。

契約への同意ということであれば、未成年者の行為は取消すことができる（民法5条2項）。また、未成年者のうち、特に年齢の若い児童(一般に7歳から10歳までといわれる)は意思能力がないため、契約締結能力がなく、Kids Modeにおいて、そもそも契約は無効である（民法3条の2）。そうすると情報の取得や利用にかかわる部分も無効である。契約が無効のとき、個人情報にあたらない情報の提供をどう考えるかだが、契約がない場合における個人情報に該当しない情報提供を禁止・制限する法令がない以上、違法とは解されないものと思われる。なお、一般のアカウントはそもそも児童が作成できない規約のため、個人情報の収集や第三者提供は個人情報保護法違反である。

本項はネットサービスと個人情報という題材を取り扱った。日本ではネットサービス中毒のような問題に焦点が当たるが、個人情報について議論はあまりなされていないように感じる。今回の訴訟をきっかけに議論が盛んになることを期待する。

日付	タイトル	執筆者	媒体
2025/04/28	欧州委、AppleとMetaに制裁金－Digital Market Act違反で	松澤登	研究員の眼
2025/04/18	資金決済法の改正案－デジタルマネーの流通促進と規制強化	松澤登	基礎研レポート
2025/04/16	公取委、Googleに排除命令－その努力と限界	松澤登	研究員の眼
2025/04/11	AlphabetにDMA違反暫定見解－日本のスマホ競争促進法への影響	松澤登	研究員の眼

日付

タイトル

執筆者

媒体

2025/04/28

欧州委、AppleとMetaに制裁金－Digital Market Act違反で

松澤登

研究員の眼

2025/04/18

資金決済法の改正案－デジタルマネーの流通促進と規制強化

松澤登

基礎研レポート