英国の新しい子供データ規制が施行されたことを受けて，Reed SmithのElle Todd氏が業界がすべきことを探る。

　2017年当時，英国政府は，英国を "世界で最も安全なオンライン環境 "にするという大胆な声明を発表した。

　それ以来，現在も熱い議論が続いている巨大なオンライン安全法案など，さまざまな立法案が登場している。また，Digital Economy Act 2017の一部であるオンラインポルノへのアクセスに対する年齢認証措置など，いくつかの規制が廃止された。

　最終的に施行されたイニシアチブの1つに，Age Appropriate Design Codeがある。この規制自体は，何の変哲もない文書だが，18歳未満が使用する可能性のあるゲームを提供している企業にとって，非常に重要な意味を持っている。この記事では，ゲーム会社にとって重要な問題点を探る。

1.規制とは何か？　遵守しないと罰金が科せられるのか？

　The Age Appropriate Design Code （AADC：参考URL）は，英国のデータ保護規制機関であるICOが発行する法定の実践規範だ。

Elle Todd氏

　国会で承認された法定規制であるAADCは，単なるガイダンスではなく，ICOが一般的なデータ保護法に関連して企業に強制捜査を行う際に考慮される可能性がある。したがって，GDPRでよく言われる高額な罰金がここでも課せられることになる。また，当然ながら，個人による民事訴訟のリスクもある。

　ICOは，AADCの発効に先立って多くの積極的な働きかけを行っていたが，発効後わずか数週間のうちに，すでにいくつかの企業に対して，この規制の遵守のために行った措置の詳細を求める文書を送付し始めている。

どのような企業に適用されるのか？

　本規制は，「子供がアクセスする可能性がある」アプリ，Webサイト，オンラインゲーム，モバイルゲームを含む，あらゆる情報社会サービスに適用される。

　ここで重要なのは，「子供」とは18歳までの人を指すということだ。

また，対象となるゲームを英国内の子供たちに提供している英国外の企業にも適用される

　ここに，無数のゲーム会社が抱える問題がある。これまでは，米国のCOPPA法を参考に，13歳未満の子供の保護に重点を置き，とくに低年齢の子供を対象としたゲームでは，保護者の許可を必要とし，年齢別レーティングの分類を遵守して，プライバシーポリシーを設定することを徹底すればよかった。しかし，今回のAADCでは，16歳および17歳のティーンエイジャーに対しても，新たな保護措置を講じることを企業に求めている。

　また，対象となるゲームを英国内の子供たちに提供している英国外の企業にも適用される。

　この点について，企業が覚えておく必要がある副次的な問題として，Brexit後は，英国内で個人にサービスを提供しているが，英国内に施設を持たない企業は，権利行使のためのコミュニケーションを目的とした代表者を任命する必要があるということだ。EU域内に拠点があるだけでは不十分なのだ。

ゲーム会社にとっての重要な問題は何か？

　AADCには15のスタンダードが含まれているが，その多くは少し曖昧で反復的な印象を受ける。しかし，ゲーム会社にとって重要な意味を持ち，現実的な問題を提起する5つのスタンダードがある。

●年齢に応じた適用
　18歳未満の人がアクセスできないと断言できるゲームはほとんどないだろう。したがって，最初の問題は，AADCの保護をすべてのユーザーに適用するかどうかを決定することだ。すべてのユーザーに適用することにより大人のユーザーは，機能が低下していると感じて不満を抱くかもしれない。もしくは，ユーザーを分離して子供だけに適用するかだ。

　このような分離は，各ゲームで2つ以上のバージョンを作成する必要が出てくるなど，製品開発に多大な労力を要するため，決して容易なことではない。それには，年齢区分のオプションの検討や，大人と子供を含む複数のユーザーが使用するゲーム内でのプロファイルの実装も含まれる。

●データの最小化とデフォルト設定
　サービスを提供するために必要な範囲を超える個人情報の使用は，中止するか，デフォルトでオフにする。繰り返しになるが，これはかなり大きな要件だ。例としては，ゲーム内でのパーソナライゼーション，レコメンデーション，ターゲット広告などがあり，これらの多くは機能的にも商業的にも影響がある。

●データの有害な使用

個人データの処理は，子供の利益のために行われなければならず，子供に不利益をもたらすような使い方をしてはならない

　AADCは，コンテンツそのものではなく，個人データの使用について規定しているが，規制の基本となるのは，個人データの処理は子供の最善の利益のためでなければならず，子供に不利益をもたらすような使い方をしてはならないということだ。そのため，たとえば，年齢層の高いユーザーにのみ適したゲームにアクセスするためには，個人データを使用するアカウントが必要であったり，クッキーを削除する必要があったりと，問題が絡み合っている。

　また，単純なゲーム以外の多くの機能は，個人情報の処理を伴うため，子供にどのような影響を与えるかを考慮する必要がある。ゲームにおいてとくに注意が必要なのは，最悪の場合，いじめやグルーミング（※犯罪を目的としたネットでの勧誘）を引き起こす可能性のあるチャット機能，デバイスやプラットフォームを超えたデータ共有（ソーシャルメディアとの統合など），購入のためのオプションやプロンプトがデータに基づいて行われる決済統合などだ。

　ゲームにおけるもう1つの重点分野は，健全な生活と継続的なゲームプレイだ。プロバイダは，子供への危害のリスクを考慮し，保護機能を設計していることを示すことが求められる。コミュニティの規約や基準が定められている場合，それらが単に存在するだけでなく，実際に実施されていることを示す必要がある。

●子供に優しい透明性と設定
　単に標準的なプライバシーポリシーを挿入するだけでは十分ではない。プライバシーポリシーは明確で分かりやすいものでなければならないという義務は常に存在しているが，AADCではこれを子供の読者に適したものにすることに焦点を当てている。ゲームの対象年齢に応じて，複数のバージョンを用意したり，ビデオやインフォグラフィックスなどの情報提示方法が必要になるかもしれない。

原則的に遵守するだけでは不十分であり，クレームが発生した場合には，その立場を正当化する必要がある

　また，ゲーム内の機能やデータ処理について保護者の理解を助けるために，FAQやその他の情報を作成するケースも増えてきている。また，ポリシーだけでなく，ゲーム体験を通じてどのように情報を提示するかを検討することも重要だ。たとえば，データ処理を伴う可能性のあるプロンプトや選択肢が個人に提示された場合などだ。

　最近のプライバシー規制では，ユーザーが必要以上のデータ収集に同意するよう促す「ナッジ」やダークパターンの危険性が注目されている。また，ユーザーにとって不利益になる可能性もある。設定やオプションを見直し，表現が明確で中立的であることを確認することが重要だ。

●責任の所在
　GDPR全般に言えることだが，原則的に遵守するだけでは不十分であり，苦情が発生した場合には立場を正当化する努力が必要なことを企業が理解することが非常に重要だ。これを遵守するためには，AADC固有のデータ保護影響評価をしっかりと行い，子供のデータ処理に関する決定を慎重に文書化するなど，説明責任を果たすことが必要になる。

　ICOはすでに，積極的な働きかけの一環として，いくつかの企業にこういった文書の提出を求めているので，決定事項を書き留めていない企業は，今すぐ優先的に取り組むべきだろう。

　たとえAADC用の機能変更が進行中であっても，そのような変更やコンプライアンスのために十分に検討された計画がの文書化されていることを示すことは，少なくとも企業がその義務を真剣に受け止めていることをICOに示すのに役立つだろう。

---

Elle Todd氏はReed Smithのパートナーで，テクノロジーとデータを専門とする20年以上の経験を持っている。2019年にReed Smithに入社し，それ以前はCMS LLPのパートナー兼デジタル・データ部門の責任者を務めていた。

GamesIndustry.biz ACADEMY関連翻訳記事一覧