FTCによるとマイクロソフトは、米国の児童オンラインプライバシー保護法(COPPA)に違反したという。この法律は、企業が13歳未満の個人情報を収集する場合、それを保護者に通知して同意を得るとともに、不要になった場合にデータを削除することを義務付けている。しかし、同社のXboxサービスは、保護者の同意を得ずに、登録を行った子どもたちから氏名やメールアドレス、生年月日などの個人情報を収集していた。
マイクロソフトはさらに、2021年後半までの間、13歳未満のユーザーに電話番号を含む追加の個人情報の提供を求め、サービス契約と広告ポリシーに同意するように求めていたという。
FTC消費者保護局の上級弁護士、レズリー・フェアは、「マイクロソフトは、子供がすでに提供した以上の個人情報を収集することを保護者に伝えていなかった」と述べている。
FTCが指摘したもう一つの問題は、マイクロソフトが子供たちの情報を収集し、共有し、使用することを保護者に伝えたのみで、詳細については同社のプライバシーステートメントを参照し、自分で調べさせようとした点だ。FTCは、マイクロソフトはその場で自社の慣行を説明すべきだったと述べている。
マイクロソフトは今回の和解に際し、子供のデータを共有するサードパーティのゲームパブリッシャーにもCOPPAの保護を拡大するよう命じられた。FTCはさらに、他の個人データと一緒に収集される子供の画像から生成されたアバターや、生体情報、健康情報がCOPPAの保護対象に含まれると述べている。
FTC消費者保護局のサミュエル・レビン局長は、「我々の新たな命令案は、親たちが子供のプライバシーを守ることを容易にし、マイクロソフトが子供について収集し保持できる情報を制限するものだ。また、今回の措置により、子供のアバターや生体情報、健康情報がCOPPAの対象外ではないことも明確にした」と述べている。
今回の和解の影響は、他の企業にも及ぶはずだ。FTCは、COPPAの適用対象がウェブサイトやアプリだけではなく、Xboxなどのオンラインサービスにも及ぶことを明確にした。
「そのデータが、自社で収集したものであれ、外部から受け取ったものであれ、13歳未満の子どもから収集したデータを扱う場合は、COPPAのルールに従う必要がある」と、FTCの弁護士のフェアは述べている。
(forbes.com 原文)
