進化する子供のプライバシー法──遵守するための実践的戦略

Practical Strategies for Compliance to Adhere to Evolving Children's Privacy Laws
IAPP Asia 2025: Privacy Forum + AI Governance Global 現地レポート[Vol.7]　

この記事は、IAPP Asia 2025: Privacy Forum + AI Governance Globalにおける講演内容をもとに、AIによる自動音声認識および自動翻訳技術を用いて作成されたものです。その性質上、実際の講演内容と異なる表現や解釈が含まれる可能性があり、一部の情報が省略または不正確である場合があります。

転載：IAPP Global Privacy Summit 2025

本セッションには、ソニー･インタラクティブエンタテインメント、シンガポールの元データ保護当局者、子供のオンライン安全を推進する専門家が登壇。オーストラリアやインドネシアなどで急速に変化する子供のプライバシー規制に対し、企業が直面する課題と実践的な対応策について議論しました。

グローバル企業が取り組むべき年齢確認技術の導入、各国の法制度の違い、「プライバシー･バイ･デザイン」の原則、そしてコンプライアンスを超えて企業文化として子供の保護を根付かせる重要性など、多角的な視点から活発な議論が交わされました。

◆ この記事でわかること
===
・オーストラリアやインドネシアを例に、国によって子供のプライバシー規制が急速に進化･多様化しており、企業は各国の法制度への対応が求められている。
・企業は、年齢確認技術の導入や、開発初期からプライバシー保護を組み込む「プライバシー･バイ･デザイン」といった具体的な対策を講じる必要がある。
・法を遵守するだけでなく、子供のプライバシー保護を「企業文化」として根付かせ、長期的な指針として取り組むことが重要である。
===

登壇者

Wijaya Abori, AIGP, CIPP/A, CIPP/E, CIPM, CIPT, FIP, Group Data Protection Officer, OCBC Bank
データ保護とプライバシーの分野で卓越した専門家。シンガポールで最も長い歴史を持ち、東南アジアで第2位の金融サービスグル​​ープであり、世界で最も高い評価を得ている銀行の一つであるOCBC銀行のデータ保護オフィスの責任者として、豊富な経験と専門知識を活かしている。
データ保護におけるキャリアは、シンガポール個人情報保護委員会(PDPC)の調査チームを設立･指揮し、シンガポールの情報環境全体にわたるポリシーとガイドラインの策定と実施に貢献したことから始まった。
PDPCでの勤務経験を活かし、ドイツ銀行の地域データ保護責任者(RPO)を務めた。データ保護規制と業界標準に関する豊富な知識を活かし、アジアの複数の管轄区域にわたる銀行のデータ保護プログラムを構築した。複雑な越境データ転送を巧みに処理する彼の能力は、当時施行されたばかりのGDPRへのコンプライアンス確保に重要な役割を果たした。
その後、テクノロジー業界に転身し、Grabのデータ保護オフィスを設立･指揮した。この役職において、彼はデータ保護オフィスを率い、顧客データを保護しつつビジネスイノベーションを可能にする包括的なフレームワークの開発と実装を主導した。
規制関連業務に関する幅広い経験、テクノロジー分野におけるリーダーシップ経験、そして金融業界における専門知識を活かし、現在、OCBCのデータ保護オフィスを率い、複雑なデータ保護環境を巧みに乗り切り、銀行の顧客、パートナー、そしてステークホルダーとの信頼関係を構築している。

Joshua Kow, AIGP, CIPP/A, CIPP/E, CIPM, FIP, Corporate Counsel, Privacy & Data, Sony Interactive Entertainment
ソニー・インタラクティブエンタテインメント(SIE)のプライバシー＆データ担当コーポレートカウンセル。グローバルプライバシープログラムのアジア太平洋地域担当責任者およびシンガポールDPOとして、PlayStation事業に適用されるアジア太平洋地域のプライバシー、データ保護、ネットワーク管理、データセキュリティ、通信の秘密に関する法規制全般について助言を行い、データ主導のビジネスイノベーションを促進しながら、何百万人ものゲーマーを保護するソリューションの設計･実装に携わってる。
SIE入社前は、Metaでアジア太平洋地域プライバシー担当主任カウンセルを務め、ASEAN地域のデータ保護法への組織全体のコンプライアンスと、WhatsAppのアジア太平洋地域における製品プライバシーに関するコンサルティングに注力していた。
『Privacy and Personal Data Protection Law in Asia』（Bloomsbury Publishing、第1版、2024年）のシンガポール章の共著者であり、シンガポール個人データ保護委員会(PDP)の年次報告書「PDP Digest」にも頻繁に寄稿している。シンガポール弁護士会の登録資格を持ち、ISC2認定情報システムセキュリティ専門家(CISSP)の資格も保有している。

Timothy Ma, CIPP/E, CIPM, Chief Legal and Privacy Officer, k-ID
k-IDの創設メンバー。k-IDの法務および規制部門を率い、開発者が複雑なグローバル環境をより容易にナビゲートできるようにすることで、年齢に適したオンライン体験へのアクセスを民主化するというk-IDの使命を支えている。
子供のオンラインセーフティに情熱を注ぎ、国際フォーラムで積極的に活動し、青少年にとって安全で安心なデジタル空間の推進を目的としてk-IDを共同設立した。米国の大手法律事務所やTencentで活躍してきた輝かしい経歴は、プライバシー権、倫理的なビジネス、若いインターネットユーザーの保護、そして法とテクノロジーの分野における他の人々への刺激に対する彼のコミットメントを際立たせている。
k-ID設立以前、テンセントで昇進し、国際プライバシーおよびデータ保護の責任者に就任した。
彼は、データプライバシーポリシーの策定と、国際的なサービスの完全性と合法性の維持において重要な役割を果たしてきた。彼と彼のチームは、Legal 500、Financial Times、Asian Legal Businessといった著名な業界団体から表彰されており、彼のリーダーシップの下での多大な貢献が認められている。

Claire Tan Chu Wen, AIGP, CIPP/E, CIPM, FIP, Senior Privacy Counsel, Asia-Pacific Privacy Lead, Lenovo
複雑なプライバシーおよびデータ保護問題に関してグローバル企業に約10年の経験を持つ、経験豊富なデータプライバシー弁護士。
現在、レノボでシニアプライバシーカウンセル、アジア太平洋地域プライバシーリード、そしてシンガポールDPOを務め、世界有数のテクノロジー企業であるレノボにおいて、戦略的なエンドツーエンドのデータプライバシーイニシアチブとコンプライアンスを推進している。アジア太平洋地域をサポートする彼女は、レノボ内の様々な事業部門と緊密に連携し、プライバシーバイデザインを組み込み、規制リスクを管理し、同地域の多様な市場におけるコンプライアンス遵守型イノベーションを推進している。
以前、OCBC銀行、Allianz SE、foodpandaでグループおよび地域プライバシーカウンセルの役職を務めていた。金融、保険、テクノロジーの各分野での経験を持つクレアは、アジア太平洋地域の複雑な規制環境を乗り切りながら、データプライバシーのコンプライアンスとリスク管理において実践的かつ部門横断的な視点を提供している。
IAPPのイベントやデータプライバシーに関するカンファレンスで定期的に講演を行い、データプライバシーを誰もがよりアクセスしやすく、より積極的に活用できるものにすることに情熱を注いでいる。LinkedInで「The Privacy Posse」というプライバシー関連グループを運営しており、知識の共有を促進し、データプライバシー専門家を目指す人々がメンターシップやディスカッションを通じて経験豊富なDPOや専門家と交流できる場を提供している。
イングランドおよびウェールズの高等裁判所の事務弁護士、およびシンガポール最高裁判所の弁護士兼事務弁護士として認可されている。

はじめに

Claire: 本日は進化し続ける子供のプライバシー法についてお話しします。

少し自己紹介をさせていただきます。私はテクノロジー分野の弁護士としてキャリアをスタートし、シンガポールと英国で実務を経験しました。現在はOCBCやAllianzでプライバシー顧問を務めています。

個人的な話を少ししますが、私はTikTokもスマートフォンもない時代に生まれ育ちました。当時は、インターネット接続が切れないことを祈りながら、ダイヤルアップ接続を待っていたものです。私の最初のデジタル体験は、母が買ってくれた「たまごっち」でした。それが死んでしまうと、自分も死んでしまうかのように感じたものです。しかし現代に目を向けると、子供時代は全く新しいものになり、常にデータを収集される可能性があります。

今日の製品は、子供たちのデータを追跡し、特定のターゲット広告などに利用することができます。製品が子供向けであると示すことは、法的にも規制の観点からも重要です。これらは、子供たちを助けようと努力する中で、多くの人々が直面する共通の課題です。もし私たちが、見知らぬ人に子供のプライバシーに関する情報を渡さないのであれば、なぜテクノロジーにはそれを許してしまうのでしょうか。

この問いに答えるため、3名の素晴らしい専門家をお招きしました。

まず、Joshuaとは、実は私たちがまだ子供だった頃に出会いました。彼がソニー･エンターテイメントのプライバシー･データ担当の法務顧問という、多くの人が羨むような仕事に就いているのは素晴らしいことです。APECのネットワーク管理、データセキュリティ、通信の秘密に関する法律などのツールについて助言しています。

次に、Wijayaです。彼は実は私の元上司で、シンガポールで個人情報保護委員会(PDPC)のチームを立ち上げ、ガイドラインの策定と実施を主導しました。その後、地域のデータ保護責任者として活躍しました。

そして最後に、Timothyです。子供のデータ保護に関して、彼を知らない人はいません。彼は安全でセキュアなデジタル環境を推進するため、k-IDを共同設立しました。現在はk-IDの責任者として、オンラインでの年齢確認へのアクセスを民主化し、ユーザーが安全にデジタル世界をナビゲートできるよう尽力しています。

専門家が語る「子供のプライバシー」の定義

Claire: それでは、最初の質問から始めましょう。「子供のプライバシー」とは何を意味するのか、お尋ねしても良いですか？

Joshua: はい、もちろんです。皆さん、こんにちは。本日ここでディスカッションができることを大変嬉しく思います。

私たちは、プレイヤーが文字を読んだり、入力したり、あるいは複雑なインターフェースを操作したりできない可能性があることを認識しており、彼らが多様な方法でゲームをプレイし、対話していることを理解しています。エンターテインメント･ソフトウェア協会がアメリカの子供76人に行った調査では、ホリデーシーズン前にビデオゲームについて尋ねたところ、多くの子供がPS5をプレイしていることがわかりました。

私自身の観点から言えば、子供のプライバシーとは、私たちの製品の保存や利用に関わる広範なプライバシー法を考慮に入れることを意味します。この包括的な考え方は単純に聞こえるかもしれませんが、実際には非常に複雑です。

例えば、「子供」とは一体何を指すのでしょうか？法律によって定義は異なります。私たちは、ユーザーが本当に子供であることを、どれだけ確実に確認できるでしょうか？年齢を「保証する」とはどういう意味で、それで十分なのでしょうか？ネットワークのセキュリティ対策に関わらず、私たちには保護のラインが必要です。子供のプライバシーとは、これらの困難な問いに取り組むことを意味します。

Wijaya: 私たちはグローバルに事業を展開しており、それは素晴らしいことですが、同時に課題も伴います。近代化に向けて、私たちは教育、子育て、リソースなど、エンドツーエンドの分野を構築し、年齢に応じた適切な体験がどのようなものかを示していきます。

各国の規制動向：オーストラリアとインドネシアの事例

Claire: お二人とも、ありがとうございました。子供のプライバシーの定義について理解が深まったところで、次に進みましょう。組織はどのような特定の側面に注目すべきでしょうか？Timothyからお願いします。

Timothy: オーストラリアの法律についてお話します。オーストラリアは、より先進的なアプローチを取っており、独自のソーシャルメディア資産と広範な規制を構築しています。法的根拠は「オンライン安全法改正法（ソーシャルメディア法）」です。これにより、世界で最も厳しいソーシャルメディア規制の一つが作られました。

本質的に、オーストラリアでは16歳未満の者はソーシャルメディアアカウントを作成できなくなります。罰則は最大4万ドルに達する可能性があります。この法律には既得権を保護する条項はなく、全てのプラットフォームが直ちに準拠する必要があります。法律は特定のプラットフォーム名を挙げていませんが、Facebook、TikTok、Snapchat、Reddit、そしてゲームプラットフォームなどが対象になると理解されています。

では、どうやって子供が16歳以上であることを確認するのでしょうか？法律に基づき、プラットフォームは16歳以上であることを確認するために「合理的な措置」を講じる必要があります。オーストラリア政府は年齢保証技術のトライアルを実施し、顔による年齢推定、ID認証、分析などを含む53の組織が参加しました。

新しいアプローチの第二の柱は、「子供のオンラインプライバシーコード」の策定です。2024年のプライバシー法改正に基づき、政府は包括的な子供向けオンラインプライバシーコードを策定することが義務付けられました。これには3段階の協議プロセスがあり、子供、保護者、児童福祉団体との直接協議、業界関係者との継続的な協議、そして一般からの意見公募が含まれます。

この法律の適用範囲は非常に広く、ソーシャルメディア、金融、クラウドストレージプラットフォームなど、あらゆるオンラインサービスに適用されます。組織が取るべき対策としては、まずオーストラリアの基準に照らした法的レビューとリスク評価が挙げられます。次に、リスクレベルに応じた年齢確認方法を設定･実施することが求められます。そして最後に、子供中心の実践を継続的に教育し、発展させていく必要があります。

次にインドネシアについてですが、インドネシア政府は、アジアで最も詳細な児童保護の枠組みの一つである規則を発行しました。この法律がユニークなのは、電子サービス事業者がユーザーを3歳未満、5歳、6～9歳、12歳、13～15歳、16～18歳といった年齢層に分類することを義務付けている点です。そして、年齢層ごとに異なるレベルの保護を提供する必要があります。

コンプライアンスには2年間の移行期間が設けられています。組織にとってこれは何を意味するのでしょうか？まず、自己評価を実施し、当局に提出する必要があります。次に、私たちのようなベンダーと協力して、堅牢な年齢確認・プライバシー機能を開発することです。そして最後に、製品が提供する様々な機能を見直し、どの機能をデフォルトでオフにし、どの機能をオンにする必要があるかを検討しなければなりません。

Joshua: 政策に携わる人々にとって、これは非常にエキサイティングな分野です。ビデオゲーム業界は規制を受けており、多くのゲームはレーティングに基づいています。私たちは業界の多くの企業と同様に、この問題に細心の注意を払っています。これには、エンジニアリングのリソースを割り当てることや、エンジニアリングチームと協力して作業を進めることが含まれます。

企業が直面する課題と実践的アプローチ

Claire: 詳細な情報を提供いただきありがとうございます。それでは次の質問に移ります。主要な機会はどこにあり、国家はどのようにスタートを切るべきでしょうか。

Joshua: 私たちが実施したことの本質は、年齢保証プログラムを導入したことです。これには、ベンダーの評価、彼らの技術がどのように私たちを支援できるかの評価、そして最も重要なこととして、彼らが生み出す実践が含まれます。最終的に私たちが決定したのは、一つの方法に固執するのではなく、プレイヤーがモバイル番号チェックなど複数の選択肢から選べるようにすることでした。このパイロットプログラムは、長期的な技術開発にも貢献するでしょう。

Timothy: k-IDでは、200以上の法域における法的プライバシーとオンラインの安全性に関する調査を行っています。現在、49カ国が何らかの形で年齢保証を義務付けていますが、そのアプローチは様々です。単にプライバシー法に委ねている国もあれば、明確な義務的要件を設けている国もあります。

問題は、それらの国でどのような年齢保証措置が許容されるかという点です。米国やシンガポールのような国もあれば、インドネシアのように独自の年齢保証要素がある国もあります。グローバルな製品を発売する場合、各法域の法的関係を理解し、コストを交渉し、調査を行う必要があります。

運用上の現実として、年齢確認やプライバシー遵守の義務付けは、ユーザーエンゲージメントの低下につながる可能性があります。企業は、その影響をいかに軽減するかを考えなければなりません。

未来を見据えて：企業文化としてのプライバシー

Claire: 時間の都合上、最後の質問に移りたいと思います。企業として、どのように子供のプライバシーを保護するべきと考えますか？

Timothy: 全体像を見ると、法的要件は様々ですが、いくつかの一般原則があります。まず、プライバシー･バイ･デザインです。プライバシー保護を製品開発の初期段階から組み込むべきです。

Joshua: 私たちは「ファミリーアカウント」という仕組みを導入しています。これにより、保護者は子供のアカウントの支出やプレイ時間を管理できます。保護者にとって使いやすいように設計されています。

Timothy: アプリストアがコンテンツを配信する場合でも、それで終わりではありません。データを収集し、保存し、利用し、機能をユーザーに提供しているのは誰か、ということを考える必要があります。それは必ずしもアプリストアだけではありません。もしアプリストアがユーザーの年齢を誤って伝えた場合、誰が責任を負うのでしょうか？

子供のデータは機密データです。安全な空間を作るためには、事業者、規制当局、保護者など、複数のステークホルダーがそれぞれの役割を果たす必要があります。

Joshua: 「子供を育てるには村が必要だ」と言うように、子供の権利を本当に確保するためには、多くの関係者の協力が必要です。

Claire: 将来の子供たちのために、私たちは何をすべきでしょうか。

Timothy: 企業は、顧客とどう関わるかを考えるべきです。子供向けの製品設計がいかにビジネスに利益をもたらすかを理解する必要があります。企業がアジアでのシェアを拡大しようとする動きが強まっているのは良い兆候です。

また、子供たちが非常に賢くなっていることも認識しなければなりません。彼らは特定のサービスやコンテンツにアクセスするために、年齢を偽る方法を知っています。

最後に、組織に一つだけ覚えておいてほしいのは、子供のプライバシーは「コンプライアンス」の問題ではなく、「企業文化」の一部であるべきだということです。

Joshua: 効果的なプライバシー機能が必要です。子供たちはますますコントロールを回避する方法を見つけています。単なる年齢確認以上のものが必要です。会社として、子供たちにどのような体験を提供したいのか。法律ができる前から、指針とベースラインを持つべきです。

Claire: 最後までお付き合いいただいた皆様に感謝申し上げます。ありがとうございました。

以上

===

◆ 関連記事
[Vol.1]世界のAI・プライバシー専門家が語る未来──IAPPアジア2025 開会セッション
[Vol.2]企業において実現するプライバシー対応の自動化──グローバル視点での実践と戦略
[Vol.3]グローバルプライバシーの実装――最前線からの教訓
[Vol.4]AIガバナンスとデータ保護の最前線──世界の専門家が語る規制とベストプラクティス
[Vol.5]AIにおけるプライバシー・バイ・デザインとデフォルト：プライバシー保護技術の役割
[Vol.6]AIにおけるデジタル信頼の構築──アジア太平洋の視点から
[Vol.7]進化する子供のプライバシー法──遵守するための実践的戦略←この記事
[Vol.8]AIは「死の谷」を越えられるか？歴史に学ぶ、次世代ガバナンス
[Vol.9]あなたのビジネスは大丈夫？アジアAI規制の最新マップ
[Vol.10]アジアにおけるグローバルプライバシー管理──中国･インド･東南アジア最新データ保護法マップ
[Vol.11]AI時代のリスクと機会──インシデントへの備えと対応
[Vol.12]AIガバナンス最前線──アジア各国の戦略
[Vol.13]自律型AIの台頭──プライバシーと次世代AIの緊張関係をどう乗り越えるか(前編）
[Vol.14]自律型AIの台頭──プライバシーと次世代AIの緊張関係をどう乗り越えるか(後編）

===

＜＜前へ：AIにおけるデジタル信頼の構築──アジア太平洋の視点から
＞＞次へ：AIは「死の谷」を越えられるか？歴史に学ぶ、次世代ガバナンス

===

IAPP公式サイト：https://iapp.org/conference/global-privacy-summit/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP　#プライバシーガバナンス　#データガバナンス　#データ保護　#子供のプライバシー　#年齢確認　#プライバシー・バイ・デザイン　#コンプライアンス　#ソーシャルメディア　#ビデオゲーム　#ユーザーエンゲージメント　#企業文化　#機密データ　#ファミリーアカウント　#保護者　#規制　#リスク評価