2025年6月、テキサス州知事グレッグ・アボットは、アプリストアに対しユーザーの年齢確認と、18歳未満のユーザーがアプリをダウンロードする際の保護者の同意取得を義務付ける法案に署名した。この法案の主要な支持企業の一社が、FacebookおよびInstagramを運営するMeta社である。Meta社にはこの法案に対し、多額の資金を投じ、強力なロビー活動を展開してきた事実がある。一見すると、高額なコンプライアンス費用を伴う法案をMeta社がこれほど支持しているのは奇妙に思えるかもしれない。しかし、テキサス州の法案やそれに類似する法案が現実世界でどのように機能するかをよく見てみると（ヒント：子供、親、アプリ開発者にとって最善の利益となるわけではない）、Meta社の真の動機が明らかになる。Meta社がこの「テキサス・ロデオ」つまり、テキサス州で派手に行っているロビー活動を世界規模で展開しようとしている今、世界中の政策立案者たちは注意を払うべきである。 年齢確認をアプリストアに押し付けようとしたことのテキサス州議員の意図は、小規模アプリの開発者が独自のコンプライアンスシステムを構築する費用を負担しなくて済むようにすることであった可能性が高い。ところが皮肉なことに、このテキサス州の法案が実際に施行されれば、まさにその負担を開発者に課す内容となっている。この法案をめぐる主張はアプリストアの義務に焦点を当てているが、その文面は、対象ユーザーを問わず、テキサス州の人々にアプリを提供するすべての企業に、連邦児童オンラインプライバシー保護法（COPPA）に抵触する厳格で費用のかかるコンプライアンス体制の下で直接的な義務を課すものである。多くのアプリ開発者は、知らないうちにすぐに連邦法に違反することになるだろう。 1998年に制定された「児童オンラインプライバシー保護法（COPPA）」[1]は、1) 13歳未満の子供を対象とする、あるいは 2) 一般向けであっても13歳未満の子供から個人情報を収集・使用・開示していることに対する実際の認識がある商業的なウェブサイトおよびオンラインサービス（モバイルアプリを含む）に対し、児童のプライバシーを保護するための厳格な要件を課すものである。COPPAの適応対象となると、運営会社は、子供のデータを収集および処理する際に身元を確認できる保護者の同意（VPC）を得る仕組みを提供すること、保護者が子供のデータにアクセスしたりデータを削除したりするための手段を設けること、第三者へのデータ共有を制限すること、そしてデータ保持およびデータセキュリティに関する追加の要件に準拠することなど、複数の要件に準拠する必要がある。 COPPAが施行されて以来、一般ユーザー向けのウェブサイトやサービス（POSシステム、機械工のCNC計算機、農業アプリ、税金申告アプリなど）の大半は、子供にサービスを提供することを意図しておらず、未成年者ユーザーについての実際の認識がなかったため、COPPAに準拠するための手順やシステムを構築していなかった。テキサス州の年齢確認法案はこの制度を覆すものである。この法案は、アプリストアに対し、各アプリのダウンロード時に保護者の同意を得るシステムを開発し、承認後に各アプリに通知または「フラグ（通知）」を送信することを義務付けている。もしユーザーが13歳未満である場合、その情報を示す「フラグ（通知）」がアプリに送られると、そのアプリは「このユーザーが13歳未満である」と認識していることになり、COPPAにおける「実際の認識（actual knowledge）」があると見なされる。ユーザーがダウンロードを開始すると、アプリは必然的にIPアドレスやデバイスIDなど未成年者のデータを収集し始めるが、これらのデータはCOPPAでは個人を特定できる情報とみなされる。アプリが、VPCを確実に取得する独自の手段など、COPPAに準拠するための手順をまだ導入していなかった場合、直ちに連邦法に違反することになる。この結果、アプリ開発者全体に対し700億ドルのコンプライアンスコストが課されることになると見積もる人もいる。 では、これほど高額な料金や新たな賠償責任リスクがあるにもかかわらず、なぜMeta社はアプリストアに年齢確認を義務付ける法律の施行にこれほど熱心に取り組んでいるのだろうか？それは、一般的なアプリ開発者とは異なり、Meta社にとっては年齢確認を設けない方がさらに悪い結末となる可能性があるからである。要するに、COPPAに規定されている「実際の認識」という概念が問題なのだ。大多数のアプリはユーザーに関するデータをほとんど収集していないため、特定のユーザーが13歳未満であるかどうかについて、実際の認識を持つ状況には程遠いのである。しかし、Meta社は、FacebookやInstagramのプラットフォームのユーザーについて、名前、誕生日、写真など、膨大な量のデータを保有している。Meta社がこのすべてのデータをどのように使用しているかを連邦捜査官が詳しく調査し、同社が自社のプラットフォームを利用する何百万人もの子供たちについて「実際の認識」があると最終的に判断した場合、同社はCOPPAに基づき、数百億ドルという一度限りの罰金を科せられる可能性があるのである。こうしたリスクを考慮すると、Meta社が年齢確認の責任をアプリストアに移し、アプリのエコシステムの他の部分に与える損害をまったく考慮せず、「実際の認識」がある例に関してはフラグに基づいて行動するというはるかに単純な体制で新たに始めようとするのは、自明の理である。 Meta社はテキサス州での成功を受け、アプリストアでの年齢確認を米国法にするための取り組みをすでに強化している。2025年5月、マイク・リー上院議員（ユタ州共和党）およびジョン・ジェームズ下院議員（ミシガン州共和党）は、アプリストアにユーザーの年齢を確認し、18歳未満のユーザーの場合は保護者の同意を得ることを求めるアプリストア責任法（ASAA）を提出した。しかも、この動きはそれだけに留まらない。Meta社が違反する恐れのある子供のデータに関する法律を持つ管轄区域は、決して米国だけではないからだ。 例えば日本では、個人情報保護委員会が、自国のプライバシー法である個人情報保護法の改正手続きを開始した。検討中の改正事項には、子供のデータに対する重要で新しい具体的な保護と、新たな行政罰金制度を含む執行の強化などがある。[2]したがって、Meta社は、米国連邦レベルで行っているように、日本でもテキサス州の戦略を実行しようとしている。つまり、責任をアプリストアに転嫁し、「私たちは他の企業と同様に年齢確認フラグに基づいて行動しているだけです」とお手上げ状態のように言えるようにするのである。 おそらくこの話の最も驚くべき点は、これまで、これらの法案が子供たちのプライバシーと安全に対する解決策であるとMeta社が断言しているのを見て、議員たちが同社の言葉をそのまま信じてきたことだ。結局のところ、Meta社は、未成年者と子供に適さない露骨な会話を交わすようなAI搭載チャットボットの利用を、若者の心理を悪用して促進したり、子どもや10代の若者をプラットフォームに勧誘するなど、子どもの安全よりもエンゲージメントと成長を優先してきた長い実績がある。 Meta社がテキサス州で行った年齢確認に関する派手なロビー活動を世界規模で展開する上で、日本やその他の国の政策立案者らがその見せかけの政治的演出に惑わされないよう強く求める。Meta社は、アプリストアで年齢確認をすることにより、子供たちがオンラインで直面するすべての脅威を回避できると主張しているが、これは見せかけだけで実態が伴わないものである。 [1]連邦取引委員会、COPPAへの準拠について：よくある質問、www.ftc.gov、https://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions [2] https://iapp.org/news/a/japan-s-dpa-publishes-interim-summary-of-amendments-to-data-protection-regulations

No mês passado, o governador do Texas, Greg Abbott, sancionou uma lei que exigirá que as lojas de aplicativos verifiquem a idade de seus usuários [...]