メインコンテンツに移動

2026年COPPA規則改正

法的免責事項

本ドキュメントに含まれる情報は、弁護士によるリーガルアドバイスの代替となることを意図したものではなく、法的助言を構成するものでもありません。コンプライアンス戦略に関するご質問は、貴社の法務担当者にご相談ください。

米国のChildren's Online Privacy Protection Act(COPPA)規則改正は、2026年4月22日に発効します。本ガイドでは、COPPAの適用を受ける事業者が、新たな義務を満たすためにk-ID Compliance Studioで必要となる設定変更を解説します。

本ガイドの対象者

新しいCOPPA規則改正は、法律上「児童向け(child-directed)」とみなされるオンライン事業者に適用されます。これには、児童を直接の対象とするサービスに加え、児童を直接の対象としていなくても児童の関心を引きうるサービスも含まれます。本ガイドは、法務担当者と連携して、プロダクトの設定を更新する際にご利用ください。

変更の概要

改正規則のうち、以下の2点が本ページの設定更新の根拠となります:

  1. VPC(検証可能な保護者の同意)開示の拡充。 事業者は、個人情報を開示する第三者とその開示目的を記述した文書へのハイパーリンクをVPCフロー内に含める必要があります。これは、開示がサービスにとって不可欠かどうかに関わらず、すべての第三者受領者に適用されます。
  2. 非不可欠な開示に対する個別の同意。 サービスにとって不可欠でない児童の個人情報の開示には、独自の保護者同意が必要となります。米連邦取引委員会(FTC)は、金銭その他の対価を得るための第三者への児童の個人情報の開示、広告目的での開示(例:targeted-advertising)、またはAI技術の訓練その他の開発のための開示は、オンラインサービスにとって不可欠ではないとの見解を示しています。

ターゲティング広告やAI訓練以外の機能(テキストチャットやプッシュ通知など)が「不可欠」かどうかは、各事業者が自社のコンプライアンス戦略とリスク許容度に基づいて判断する必要があります。法務担当者にご相談ください。

ステップ1:Developer Detailsに第三者開示リンクを追加する

新しい規則では、個人情報を開示する第三者とその開示目的を記述した文書へのハイパーリンクが必要です。このリンクは、既存のプライバシーポリシーの専用セクションを指すものでも構いません。

  1. Compliance Studioでプロダクトを開き、Developer Detailsに移動します。
  2. + Additional Legal Linksをクリックし、次を入力します:
    • ハイパーリンクのTitle(例:「Third-Party Disclosures」)。
    • 文書またはプライバシーポリシーのセクションのURL
  3. 保存します。

追加したリンクは、保護者向けのVPCフローにおいてPrivacy PolicyおよびTerms of Serviceと並んで表示されます。

Additional Legal Links in the Compliance Studio Developer Details tab

ローカライズされたリンクタイトルやプラットフォーム固有のバリアントを含む、このタブの全オプションについては、Developer detailsを参照してください。

ステップ2:非不可欠な機能を特定する

プロダクトの機能構成を確認し、次の条件を両方満たす機能を特定します:

  1. 児童の個人情報を第三者と共有する、かつ
  2. サービスの機能に不可欠ではない。

少なくとも、FTCの見解に従い、以下を非不可欠として扱います:

  • 個人情報をターゲティング広告に利用する機能(例:targeted-advertising パーミッション)。
  • 個人情報をAIモデルの訓練または開発のために送信する機能。

プロダクト内にこの両方の条件を満たす機能が存在しない場合、それ以上の設定変更は不要で、ここで完了となります。該当する機能がある場合は、対象の機能ごとに以降のステップを続けてください。

ステップ2(a):Essential Featureラベルを外す

非不可欠な機能は、サービスの他の部分とEssentialとしてバンドルすることはできません。これらには個別の保護者同意が必要です。

  1. Compliance Studioでプロダクトを開き、Configuration → Permissionsに移動します。
  2. 非不可欠な機能を見つけてCustomizeをクリックします。
  3. 該当パーミッションからEssential Featureラベルを外します。

Customize button in the Permissions tab of the Compliance Studio

Essential Feature label being removed from a permission

パーミッション、エッセンシャル機能、および同意の相互関係については、PermissionsおよびEssential featuresを参照してください。Studioのタブ自体については、Permissions configurationを参照してください。

開発者への影響

ある機能がEssentialでなくなると、その機能はk-ID APIが返すセッション単位のパーミッションセットによってゲートされます。プロダクトは、関連する各セッションでパーミッションを確認し、保護者がその機能に同意を付与していない場合には機能を無効化する必要があります。セッションのパーミッションフラグは /session/get を呼び出して確認し、セッションのパーミッション更新は session.changepermissions Webhookで処理します。背景情報は、SessionsおよびPermissionsを参照してください。

ステップ2(b):Data Noticeを更新する

プロダクトのData Noticeを更新し、各非不可欠な機能に紐づくデータ要素について保護者の承認が必要となるように設定します。例えば、targeted-advertisingAdvertising Identifiersに依拠している場合、そのデータ要素は保護者の承認を要する旨をマークする必要があります。

  1. Compliance Studioでプロダクトを開き、Notices → Data Noticesに移動します。
  2. 非不可欠な機能に紐づく各データ要素について、保護者の承認を要する旨をマークします。
  3. 保存します。

Data Notice with a data element marked as requiring parental approval

Data Noticeの設定の詳細は、Data NoticesおよびData notices(コンセプトページ)を参照してください。

まとめ

  • Developer Details → + Additional Legal Linksに第三者開示のハイパーリンクを追加する。
  • 児童の個人情報を第三者と共有し、かつサービスに不可欠ではない機能については:
    • Configuration → PermissionsEssential Featureラベルを外す。
    • セッション単位のパーミッションフラグを読み取り、同意が付与されていない場合は機能を無効化するようにコードを更新する。
    • 関連するデータ要素について、Notices → Data Noticesで保護者の承認を要する旨をマークする。

各変更は法務担当者と確認のうえ、Test Modeで保護者体験をエンドツーエンドで検証し、2026年4月22日までにプロダクトを更新してください。