提出にあたって
ヒューマン・ライツ・ウォッチ(HRW)は、日本を含む世界100か国以上で人権状況を監視・報告する非政府組織です。HRWは、総務省「デジタル空間における情報流通の諸課題への対処に関する検討会 青少年保護ワーキンググループ 第一次報告書(案)」(2026年6月)に係るパブリックコメント募集に対し、以下の意見を提出します。
HRWは、既存の制度が、プラットフォームの設計、アルゴリズムによる拡散、子ども自身の情報発信行為を含む、子どもたちがオンラインで直面する多様化したリスクへの対処として限界があるという本ワーキンググループ(「WG」)の認識、および保護機能がデフォルト(初期設定)でオンになっているべきという草案の指摘を歓迎します。しかし、HRWは日本政府に対し、こうしたリスクの特定に加えて、子どものデータを包括的に保護し、デジタル環境における子どもの権利全体を保護するための法律を制定するよう強く求めます。そうした措置は、日本も批准した「国連子どもの権利条約(UNCRC)」、およびデジタル環境についてUNCRCを実施するための権威ある指針を定めた子どもの権利委員会の一般的意見第25号(CRC/C/GC/25)に沿ったものであるべきです。
第4章 本会合における議論
2.本会合における共通認識
HRWは、WG草案がリスクの多様化、安全と情報アクセス・発信の権利・参加などとのバランスの必要性、幅広いステークホルダーへのアプローチの必要性、「単なる禁止では不十分」と認識していることを支持します。子どもには、政策立案やデジタル製品・サービスの設計・実施に貢献することを含め、デジタル環境に意味のある形で参加する権利があり(国連子どもの権利条約の一般的意見第25号(CRC/C/GC/25、2021年)パラ16〜17。以下、「一般的意見第25号」)、単に禁止に頼るのではなく包括的アプローチをとることが求められます(一般的意見第25号パラ24)。
ただし、リスクを管理するという草案の枠組みを補完する必要があります。これらの保護は単なるリスク防止ではなく、UNCRCの下での権利の主体として子どもの権利の保護として捉えるべきであり、日本も批准した国連子どもの権利条約(UNCRC)、および日本もその策定に貢献した一般的意見第25号——デジタル環境における子どもの権利——に定められた日本の義務に沿ったものであるべきです。
企業は子どもの権利を尊重する責任を負います。異なる権利の間に緊張関係が生じる場合——たとえば、子どもの情報へのアクセスを守ることと、子どものウェルビーイングを損なう有害情報から子どもを守ることの間——には、規制は子どもの表現の自由が尊重されることを確保し、それを制限する安全措置は厳格に限定され、かつ合法・必要・比例の原則に適合するものでなければなりません(一般的意見第25号パラ56、59)。
3.PFサービスの設計上の青少年保護措置
①保護措置の在り方
HRWは、PF事業者に対しリスク評価と保護措置の実施・公表を求めるとともに、事業者外部からこれらを再評価する仕組みを構築すべきというWGの提案を支持します。同時に、HRWは以下の点を提案します。
WGの提案に、包括的な子どものデータの保護制度の導入を加えるべきであると考えます。
予測不可能な技術の発展とテクノロジーの進歩のなかで特定の規制が時代遅れになるリスクを避けるため、将来にも通じる技術中立的な方法で子どもを守る必要があります。そして、すべてのテクノロジーに共通する重要な要素が「子どものデータ利用」です。企業が子どもたちのデータをどのように収集・活用して製品やサービスを提供するか——この点こそが、テクノロジーが子どもたちの権利を促進するか侵害するかを左右する核心的な要素です。
そこで、日本政府は、(a)個人情報保護法を改正して包括的な子どもデータ保護規定を組み込むか、または(b)新たな子どもデータ保護法を制定するかのいずれかにより、包括的な子どものデータの保護制度を導入すべきです。いずれの場合も、実効性のある十分なリソースを伴う実施・施行の仕組みに支えられたものであることが必要です。
テクノロジー企業はあまりにも長い間、子どもから膨大な個人データを自由に収集し、それを組み合わせて各子どものアイデンティティ、居場所、興味、感情、健康、人間関係といった繊細な特性を推定し、子どもの権利とウェルビーイングよりも利益を優先した製品・サービスを設計・提供するためにその情報を利用してきました。HRW自身の教育アプリ調査——文部科学省が日本で推奨した製品を含む——では、大多数が密かに子どもを監視し、そのデータを行動ターゲティング広告に利用していたことが明らかになりました。また、AIチャットボットが子どもとの会話を通じて収集したデータを使い、自傷行為へと誘導した事案も報道されています。
子どもデータ保護制度の枠組みには、少なくとも以下の原則を組み込むべきです。(a) 適用範囲(一般的意見第25号パラ39):子ども「向け」かどうかに関わらず、子どもがアクセスまたは影響を受ける可能性のあるすべてのデジタル製品・サービスに適用すること。(b) 子どもの最善の利益(一般的意見第25号パラ12、35、38):(i) 子どもの権利デューディリジェンスとして、企業が子どもの権利に与える影響を評価し、その影響を公表し、侵害の防止・監視・調査・制裁のための措置をとること;(ii) 安全のためにとられる制限は合法・必要・比例の原則に適合すること(一般的意見第25号パラ59)。(c) プライバシーと安全をデザイン・バイ・デフォルトで(一般的意見第25号パラ70、77):子どものプライバシーと安全の設定を最も高い保護水準でデフォルト設定とし、被害発生前にリスクに積極的に対処すること。
法律は、子どもがアクセスまたは影響を受ける可能性のあるすべてのデジタル製品・サービスに適用されるべきです。WGの提言では「取り組みを求める対象となる事業者又はサービスについて検討する際は……サービスの態様や類型を限定することなく、多くの青少年が利用するサービスが対象となるような基準を設定すべき」とされていますが、HRWはさらにすすんで、子どもたちが利用する可能性がある、またはその影響を受ける可能性があるすべてのデジタル製品・サービスを対象とすることを提案します。子どもの権利は普遍的かつ無条件のものであり、どこでも適用されます。企業は、子ども向けと位置づけられた製品にのみ保護を適用したり、実際には子どもが利用していても法的責任を回避するために利用規約上から子どもを排除したりすることがあってはなりません。
②保護措置の前提となる「年齢確認」
HRWは、「年齢確認」について、「プライバシーやセキュリティ上のリスクについても考慮した上で、確認の段階・方法・レベルについて検討すべき」とするWGの提言を支持します。
同時に、「年齢確認」プロセスが子どもやその他の人々の権利侵害を引き起こすリスクに対応するためにも、強力な子どもデータ保護制度の導入をWGの提案に加えるべきです。年齢確認のような単一の単独の解決策への依存は避けるべきです——特に、初期設定から子どもにとって安全な方法でサービスを設計・運営する企業の責任や、権利の制限が合法性・必要性・比例性の要件を満たすことを確保するといった、同様に重要な措置を考慮していない場合はなおさらです。
自己申告のような手法は実効性に乏しいのが実態です。現在存在するほとんどの年齢確認方法は、子どもや大人のプライバシー権を侵害する高いリスクをはらんでいます。実際、2025年にオーストラリア政府が行った調査、および2022年にフランス政府が行った調査はいずれも、現時点では精度・有効性・プライバシー保護のすべてを満たす年齢確認ソリューションは存在しないという結論に達しています。
さらに、年齢確認プロセスがプライバシーやその他の権利を侵害したとしても、現在の日本には子どもが安全な救済を受けるための法的根拠が存在しないという問題があり、これは解決される必要があります。
③保護措置の初期設定
HRWは、WGの提言——「利用者が青少年であることが確認された場合には、初期設定において保護措置が機能することが適切」——を拡大し、利用者が未成年と確認された場合だけでなく、子どもがアクセスまたは影響を受ける可能性のあるすべてのデジタル製品・サービスにおいてデフォルト保護が適用されるようにすることを提案します。これは、子どもがアクセスする可能性のあるサービスに対するデザイン・バイ・デフォルトのプライバシーと安全に関する一般的意見第25号の強調(一般的意見第25号パラ70、77)を反映するためです。
立法は、子どものプライバシーと安全に関する設定を単に利用可能にするだけでも、オプトアウト措置を提供するだけでもなく、最も高い保護水準でデフォルト設定とすることを事業者に義務付けるべきです。複雑な設定メニューを操作する負担を保護者や子どもに負わせてはなりません。これはアルゴリズム設定(例:未成年アカウントのレコメンドアルゴリズム・無限スクロール・プッシュ通知をデフォルトで無効化すること)も含み、被害発生前に子どもへのリスクを積極的に特定し対処する政府の義務と整合します(一般的意見第25号パラ38, 40)。
5.フィルタリング機能を含む技術的保護手段
HRWは、「『フィルタリング』よりも広く、技術で青少年を保護するという意味で『技術的保護手段』を求めることとし、環境整備法上の在り方について検討すべき」とするWGの分析に同意するとともに(一般的意見第25号パラ39、96)、「OS事業者が提供する保護機能については、その有用性を踏まえ『技術的保護手段』として提供を義務付けるべき」という提案を支持します。
一方、そうした「技術的保護手段」が真に実効性を持つためには、その前提として子どものデータ保護が確立されている必要があります。