Redditが英国ICOから1600万ポンドの罰金、子どものデータ保護違反で

Redditが子どものデータプライバシー違反で1600万ポンドの罰金を科される

英国情報コミッショナー事務局（ICO）は、Redditに対して子どものデータ保護法違反により1600万ポンド（約2000万ドル）の罰金を科しました。これは、**英国一般データ保護規則（GDPR）および年齢に応じた設計コード（子ども向けコード）**に基づく最大級の制裁の一つです。

違反の主な詳細

ICOの調査により、Redditがプラットフォーム上で子どもの個人データを保護するための適切なセーフガードを実施していなかったことが判明しました。具体的には、同社は以下の点で不備がありました：

• ユーザーの年齢確認が不十分であり、未成年者が保護措置なしに個人情報にアクセス・共有できる状態だった。
• 未成年ユーザーに対するより厳格なデフォルトプライバシー設定を適用せず、データ収集、ターゲティング広告、不適切な行為のリスクにさらしていた。
• デジタルサービスが子どもにアクセスされる可能性がある場合、そのプライバシーと安全を設計段階で優先することを義務付ける子ども向けコードに準拠していなかった。

この罰金は、子どものデータ保護を怠る組織に対するICOのゼロトレランスアプローチを反映しており、プラットフォームはリスクを積極的に評価し、年齢に応じたセーフガードを実装する必要があることを強調しています。

影響と業界の反応

この制裁は、ソーシャルメディアプラットフォームやオンラインフォーラムに対し、英国GDPRおよび子ども向けコードの下での義務について警鐘を鳴らすものです。ICOは、子どものデータ保護を引き続き最優先の執行項目としており、他の大手テック企業に対しても同様の調査が進行中です。

Redditは罰金に対して公式に異議を唱えていませんが、ポリシーの見直しを行い、規制当局の期待に沿うよう努めていると述べています。この事例は、特にプライバシー法が厳格な地域において、プラットフォームが未成年者のデータをどのように扱うかに対する規制当局の監視が強化されていることを浮き彫りにしています。

セキュリティ・コンプライアンスチーム向けの推奨事項

セキュリティ専門家およびコンプライアンス担当者は、同様の罰金を回避するために以下のベストプラクティスに留意すべきです：

• 未成年者が保護措置を回避できないよう、強固な年齢確認メカニズム（例：AIによるチェック、書類検証）を実装する。
• 18歳未満のユーザーに対して、デフォルトで高いプライバシー設定を適用し、データ共有やターゲティング広告を制限する。
• GDPR、子ども向けコード、およびその他の地域プライバシー法への準拠を確保するため、定期的な監査を実施する。
• 未成年ユーザーに関連するリスク（グルーミングや不正なデータ収集など）を特定・軽減するため、モデレーションチームを訓練する。
• 規制当局と積極的に連携し、執行措置が発生する前にコンプライアンスの取り組みを示し、潜在的なギャップに対処する。

Redditの罰金は、子どものデータ保護を優先しないことによる法的・評判上のリスクを浮き彫りにし、デジタルサービスにおけるプライバシー・バイ・デザインの原則の必要性を再確認させるものです。