WigginのIsabel Davies氏とPatrick Rennie氏が，情報コミッショナー事務局とゲームスタジオとの関わりから得られた重要な教訓を紹介する。


　Age Appropriate Design Code（一般にChildren's Codeと呼ばれる）は，「子供がアクセスする可能性のある」オンラインサービスに関する新しい原則を定めた，拘束力のある実践規範だ。

　この原則は，英国の一般データ保護規則（GDPR）に基づき，オンラインサービスを子どもにとってより安全なものにすることにとくに重点を置いている。我々は昨年，GamesIndustry.biz ACADEMYのためにクイックガイドを書いたので（関連英文記事），これを読んでもらえればスピードアップが図れるだろう。

　2021年9月2日に施行されて以来，英国のデータ保護当局（Information Commissioner's Office，ICO）は，ストリーミングプラットフォーム，ソーシャルメディアサービス，ビデオゲームを提供する企業をターゲットにしている。ICOは，ゲーム業界がChildren's Codeをどのように遵守しているかを把握するために，プラットフォーム，パブリッシャ，デベロッパなどのビデオゲーム企業に自主監査や包括的なアンケートを通じて関与している（詳細はICOのこちらの記事で確認できる）。

　また，この取り組みの少なくとも一部は，この業界をよりよく理解し，コンプライアンスに取り組むためのさまざまな方法を理解することであると思われる。以下，ICOとゲームスタジオとの関わりから，我々が得た重要な事柄をいくつか抽出した。

1. 年齢認証にはまだ多くの不確実性が存在する

　ICOの見解は，プレイヤーの年齢を理解することは，適切なプライバシー管理の実施など，Children's Codeの原則に準拠するために不可欠であるというものだ。また，Children's Codeでは，プレイヤーの年齢が不明な場合，子供がアクセスする可能性のあるゲームは，すべてのプレイヤーが子供であると仮定すべきであるとしている。

Wigginのインタラクティブエンターテイメントアソシエイト，Isabel Davies氏

　このアプローチは，GDPRの原則である「データの最小化」（製品やサービスの提供に必要なデータのみを収集すること）を中心にサービスを構築してきた多くのゲーム会社にとって課題となる。そのため，年齢確認のためにプレイヤーからより多くのデータを収集しようとする計画は，問題がないとは言えない。

　情報コミッショナーは，年齢確認に関する意見を発表する予定だ（10月以降予定）。この意見は，そのサービスがもたらすリスクに応じて，オンライン企業に期待されることをさらに明確にする可能性がある。

　年齢確認をめぐる議論は，Children's Codeだけでなく，オンライン安全法案（参考URL），デジタルIDフレームワーク（参考URL），Loot Boxに関する業界主導の保護（参考URL）など，他のイニシアチブにも影響を与えるため，規制当局は，ここで共通のアプローチをとる必要性を理解しているのだ。

2. 製品ごとのプライバシーポリシーの策定が望ましい

　ゲーム会社は，会社のWebサイト，ソーシャルメディア活動，すべてのゲームなど，事業全体のデータ処理活動をまとめた1つの「マスター」プライバシーポリシーを選択することがよくある。しかし，Children's Codeでは，「製品別」プライバシーポリシー（例：ゲームごとに1つのプライバシーポリシー），あるいは，特定の処理が特定の製品にのみ適用されることを明確に規定することが望まれるようになってきている。

3. 過度のスクリーンタイムへの対応

　過剰なスクリーンタイムの問題についても検討されている。ICOは，ゲーム会社がユーザーのスクリーンタイムを制限するよう主張するのではなく，定期的に休憩を取るようユーザーにメッセージを送るよう奨励している ― とくに若いプレイヤーについては。

　自然な休憩がないゲーム（MMOやサバイバルゲームなど）の場合，これはさらに重要になる。スクリーンタイムに関する保護者のコントロールも考慮すべきだ。ベストプラクティスは，ユーザー自身がスクリーンタイムの制限を適用できるようにすることだ。

4. DPIAは「生きた文書」でなければならない

　データ保護影響評価（DPIA）は，各ゲームについて，そのゲームがもたらすリスクを評価し，それに応じてリスクを軽減するために実施されるべきである。DPIAの基準（参考URL）は，リスクを測定するために期待される子どもへのさまざまな異なる害を定めている。

　後日，ゲームの特徴や機能に変更があった場合は，DPIAを再検討し，それに応じて調整する必要がある。ICOはまた，DPIAを定期的に見直し，最新の状態を維持するよう促している。

5.ナッジテクニックの二面性

　ナッジ（後押し）技術は，ここ数年で悪評を呼んでおり，児童規範の下では，子供の年齢に関係なく，ネガティブなナッジ技術（ゲームプレイの延長やゲーム内での繰り返し購入をユーザーに促すものなど）の使用には，ほとんど動きの取れる余地がない。ICOは，ゲームプレイとマネタイズのパターンをテストし，ネガティブナッジ技術が無意識に展開されていないことを確認するための評価を提案している。

Wigginのデータ保護ヘッド,Patrick Rennie氏

　一方，ゲーム会社は，これまで業界全体ではあまり使われていなかったようなポジティブなナッジの手法を導入することが推奨されている。これは，ユーザーに「前向きな」行動を促すナッジで，たとえば，サポートや福祉のリソースに誘導したり，プライバシーを最大限に配慮した設定から変更した場合の影響について知らせたりするものだ。

6. 子供とソーシャルメディア

　ほとんどのソーシャルメディアプラットフォームは，13歳以上のユーザーを対象としている。13歳未満のユーザーを対象とするゲームについて，ICOは，ソーシャルメディアプラットフォームで景品やその他の賞品プロモーション（ゲーム内の化粧品の場合が多い）を行う際には注意が必要であると指摘している。

　ICOの懸念は，ゲーム会社が知らず知らずのうちに，未成年の子供ユーザーにソーシャルメディアアカウントの開設を促している可能性があることだ。スタジオは，異なる年齢層に適したプラットフォームで賞品プロモーションを同時に実行する必要があるか，またはすべての年齢層に適した方法による応募を許可する必要があるかどうかを検討する必要がある。

7. アカウンタビリティが鍵

　とくにインディーズスタジオの場合，データ処理に関する決定を記録した内部文書がないことが，よくある障害の1つとなっている。インディーズスタジオでは，データの最小化またはプライバシーバイデザインに関するスタジオ全体の方針を持っていることがよくあるが，これが文書化されていないことがよくあるのだ。

　Children’s Codeとデータ保護に関するスタジオの立場をより一般的なものにするために，以下のような文書を作成することを検討してほしい。例として，リスクに対するスタジオのアプローチ，スタジオの誰がデータ保護に責任を持つか，DPIAはいつ実施されるべきか，などだ。

　また，データ保護に関する事項を週次/月次のディレクターミーティングでの常設項目とし，議論や決定事項を記録しておくことも検討するとよいだろう。このように文書化しておくことで，将来，データ保護について（規制当局などと）議論する際に，より簡単に対応できるようになるだろう。

---

Isabel Davies氏は，メディア，テクノロジー，IP関連の法律事務所であるWiggin LLPのインタラクティブエンタテインメントアソシエイトであり，Patrick Rennie氏はデータ保護部門の責任者だ。彼らは，ゲーム会社数社に対して，ICOとのChildren’s Codeの策定について助言している。

GamesIndustry.biz ACADEMY関連翻訳記事一覧