COPPAが実際にカバーする対象

COPPAは、13歳未満の子どもを対象とするか、13歳未満の子どもから個人情報を収集していることを実際に知っている、あらゆる商業的なウェブサイト、モバイルアプリ、接続デバイス、またはオンラインサービスに適用されます。FTCが両方の要件を積極的に解釈するため、その対象範囲はほとんどのパブリッシャーが想定するより広くなっています。

サービスが児童向けとみなされるかどうかは、複数の要因による分析に基づきます：主題、視覚的コンテンツ、アニメキャラクターや子ども向け活動の使用、音楽、モデルの年齢、子どもに人気のある有名人の存在、言語、サービス上の広告自体が児童向けかどうか、そして視聴者構成に関する有能かつ信頼できる実証的証拠。一般視聴者向けサイトも、一部のセクションが児童向けコンテンツを中心に構成された途端に、混合視聴者サービスになりえます。

パブリッシャーが常に誤解する三つの点：

• 登録時の利用規約の年齢確認ゲートで十分だと思い込むこと。サイトの残りの部分が児童向けの意図を示している場合、単独では十分ではありません。
• ログインユーザーがいなければCOPPAのリスクはないと考えること。永続的な識別子——Cookie、IPアドレス、デバイスID、広告ID——は、子どもから収集された場合、COPPAの下では個人情報です。
• COPPAを州のプライバシー法とは無関係なものとして扱うこと。カリフォルニア州の年齢適切デザインコード、コネチカット州の児童データ法、および連邦の提案はすべてCOPPAの定義の上に構築されています。クリーンなCOPPAプログラムはそのすべてへのコンプライアンスの基盤です。

2025年改正が実際に変えたこと

2013年以来初の包括的な更新であるFTCの2025年1月の最終規則は、パブリッシャーが内面化しなければならない五つの具体的な方法でCOPPAを近代化しました。

サードパーティ広告に対する個別のオプトイン

運営者は、サードパーティ広告の開示をサービス利用のための単一の保護者同意にまとめることができなくなりました。児童向けサービスにおける行動広告は、サービス自体の利用同意とは別の個別のオプトイン検証可能保護者同意を必要とします。バンドリング——広告支援の児童向けアプリやサイトの歴史的な規範——は現在明示的に禁止されています。

拡大された個人情報

改正は個人情報の定義を拡大し、指紋、声紋、網膜または虹彩の画像、顔の幾何学テンプレートなど、個人を認証できる生体認証識別子を含むようにしました。また、米国だけでなく、いかなる政府の政府発行の識別子も対象となることを明確にしました。児童向けサービスで音声検索機能、AIアシスタント、または写真アップロードツールを運営するパブリッシャーは、これらのフローを新しい定義に照らしてマッピングする必要があります。

データ保持の制限

新しい規則は、運営者が子どもの個人情報の保存を収集目的を達成するために合理的に必要な範囲に制限する書面による保持ポリシーを公表することを義務付けています。無期限の保持はもはや許可されません。ポリシーはプライバシー通知からリンクされていなければなりません。

強化された検証可能な保護者同意方法

改正は受け入れ可能なVPC方法のメニューを正式化し、保護者のみが答えられる動的な多肢選択問題を使用した知識ベース認証オプションを追加しました。従来の方法——クレジットカード取引、署名入りフォーム、訓練を受けたオペレーターとのビデオ会議、政府ID検証——は引き続き使用可能ですが、同意イベントごとに記録する必要があります。

重要な変更の通知が新しいVPCを引き起こす

データ慣行に対するいかなる重要な変更——新たに収集されるデータカテゴリ、新しいサードパーティ受信者、新しい広告取り決め——も新たな検証可能な保護者同意を引き起こします。運営者は2026年の広告統合を承認するために2018年の同意を頼ることはできません。

実践における検証可能な保護者同意

検証可能な保護者同意はCOPPAの核心であり、パブリッシャーが最もしばしば不適切に実施する部分です。法的基準は、同意を提供する人物が子どもの保護者であることを確保するよう合理的に設計された同意——単に何らかの同意が収集されたというだけでなく——です。

パブリッシャーが知るべきFTC承認の方法：

• カード保有者への通知を伴うクレジットカードまたはデビットカード取引。取引通知と組み合わせた場合、少額の請求またはゼロドル承認が認められます。
• 安全なサードパーティ身元確認業者を通じた政府発行IDの検証。IDは確認後すぐに破棄されます。
• 公的記録から取得した動的な多肢選択問題を使用した知識ベース認証——2025年規則の新オプション。
• 郵便、ファックス、または電子スキャンで返送される署名入り同意書。
• 提示された政府IDに照らして身元を確認する訓練を受けたオペレーターとのビデオ会議。
• Eメールプラス——内部利用のみの個人情報にのみ許可され、フォローアップの確認手順が必要です。広告データにEメールプラスを頼らないでください。

重要な運用上の問題は文書化です。すべての児童ユーザーについて、FTCの要請に応じて、使用した方法、確認した保護者、承認されたデータカテゴリ、指定されたサードパーティ受信者、同意のタイムスタンプを示せなければなりません。最新のFlexyConsentスタイルのCMPは、VPCベンダーと統合し、この証跡をCookieの同意イベントと同じ監査ログに保存する必要があります。

児童向けサイトのCookie同意

COPPAとCookieバナーは異なる法的レイヤーに存在しますが、連携して機能する必要があります。GDPR/ePrivacyまたはCCPAのような州法に基づくCookie同意バナーはCOPPAを満たさず、検証可能な保護者同意は運営者をCookieの開示義務から免除しません。子どもにサービスを提供する運営者は、両方のレイヤーを連携して運用しなければなりません。

VPC取得まで追跡をブロック

児童向けページでは、そのユーザーのVPCが取得されるまで、広告またはアナリティクスのCookieを発火させてはなりません。標準の「全て承認」バナーは間違ったツールです——デフォルト状態は保護者の同意が記録されるまで何も発火しないでなければならず、そうなった場合でも保護者が承認したカテゴリのみです。

ベンダーリストをCOPPA準拠パートナーに限定

児童向けプロパティのベンダーリストは、一般視聴者サイトよりも必然的に短くなります。SSP、DSP、およびアナリティクスプロバイダーは、児童データを行動ターゲティングに使用せず、子どもを下流の行動ネットワークに渡さないことを契約上保証する必要があります。主要なSSPのほとんどはCOPPA準拠インベントリモードを公開しています。スタックをそのモードに設定し、非準拠パートナーを削除してください。

フッターに保護者コントロールを表示

プライバシー通知には、子どもの同意を確認、変更、または取り消す方法を保護者に伝える明確で平易な言語のセクションを含める必要があります。保護者の方へなどのラベルが付いた永続的なフッターリンクはFTCのアクセシビリティ期待を満たし、調査官が使いやすさ監査を実施した際に防御可能な証跡を作ります。

2024〜2026年のFTCの執行パターン

2019年のYouTube和解がFTCの大手パブリッシャー案件への意欲をリセットして以来、COPPAの下での執行は加速しています。最近の同意命令のパターンは、FTCが調査で実際に何を探しているかのロードマップを提供しています。

• 決定的証拠としての永続的識別子。FTCは日常的に運営者の広告ログを召喚し、VPCなしに識別可能な児童ユーザーに広告技術IDが割り当てられたことを示すために視聴者データと相関させます。プライバシープログラムが一般視聴者として扱う一方で、視聴者を「キッズ」や「子ども」と呼ぶ内部文書は壊滅的です。
• ベンダー管理の失敗が乗数となる。運営者がCOPPA非準拠のSSPに児童データを転送すると、両当事者が責任を負います。FTCは並行した措置で主要運営者と下流ネットワークの両方を追及しています。
• 行動パターンの認定。単一のVPC失敗は認定事項かもしれませんが、製品サーフェス全体にわたる失敗パターンは、FTC法第5条に基づく欺瞞的慣行の罪状となり、罰則と同意命令の範囲の両方が拡大します。
• 民事罰の増加。FTC改善法に基づく違反ごとの最大民事罰は毎年上方調整されており、2025年には違反ごとに$50,000を超え、一部の事案では各児童が別個の違反として扱われました。

COPPA対応スタックの構築

FTCの精査に実際に耐えられる方法でCOPPAを実施することは、製品、エンジニアリング、広告運用、および法務にわたる調整の問題です。この作業はおおよそ六つのワークストリームに分かれます。

1. すべてのプロパティとサーフェスを分類する

各ドメイン、サブドメイン、アプリ、および接続デバイスのエンドポイントについて、児童向け、混合視聴者向け、または一般視聴者向けかを決定します。分析を文書化します。混合視聴者サーフェス——たとえば、大人と子ども両方のコンテンツがあるホームページ——は、すべてのユーザーにではなく、中立的な年齢確認ゲートを通じて13歳未満と自己申告するユーザーにのみCOPPAを適用しなければなりません。

2. 年齢確認ゲートを正しい方法で構築する

中立的な年齢確認ゲートは、年長のユーザーがより多くのアクセスを得るという信号を与えない方法で生年月日を尋ねます。あなたは13歳以上ですか？と尋ねることは中立ではなく、FTCはこれを指摘しています。改ざん防止Cookieを使ってデバイスごとに一度使用するシンプルな月日年ピッカーが標準的なアプローチです。

3. VPCベンダーを統合する

製品チームがVPCを自社内で運営するつもりでない限り、専門ベンダーを統合し——FTC承認プロバイダーがいくつかあります——CMP、サインアップフロー、および保護者同意管理ポータルから呼び出せるようにします。イベントごとの監査記録はVPCベンダーのサイロではなく、CMPのデータベースに保存します。

4. 広告・アナリティクススタックをCOPPAモードに設定する

Google Ad Manager、AdMob、IronSource、Unity Ads、Meta Audience Network、および主要なDSPはすべて児童向け処理のフラグを提供しています。児童向けサーフェスまたは13歳未満の認証済みユーザーからの広告呼び出しすべてに設定します。ベンダーのドキュメントで、フラグが実際に文書削減だけでなく、コンテキストのみ配信を引き起こすことを確認します。

5. 保護者コントロールと削除を接続する

保護者は要求に応じて子どものデータを確認、変更、削除する権利を持ちます。プライバシー通知からアクセス可能な保護者ポータルを構築し、保護者を認証し、ファイルのデータを表示し、詳細なコントロールを提供します。削除は合理的な時間内——ほとんどの運営者は30日を約束します——に同意記録に記載されたすべてのサードパーティに伝播しなければなりません。

6. 四半期ごとの監査

ベンダーリストの変更、新しい製品サーフェス、保持コンプライアンス、同意命令の更新、FTCのガイダンス更新を網羅する四半期レビューを実施します。FTCは定期的にCOPPAビジネスガイダンスの更新を公表しています。プライバシーチームをFTCのメーリングリストに登録することが、最も費用対効果の高いコンプライアンス投資です。

避けるべき一般的な落とし穴

パブリッシャー監査やFTC同意命令全体で繰り返される失敗パターンが見受けられます：

• COPPAを登録問題として扱うこと。COPPAの露出のほとんどは、登録済みアカウントではなく、児童向けページの匿名の広告技術識別子から来ます。
• 「コンテキスト広告」はデフォルトでCOPPA安全だと考えること。一部の「コンテキスト」広告ネットワークは依然としてバックグラウンドで永続的な識別子を設定します。実際のCookieの動作を確認してください。
• 製品ローンチがプライバシーレビューを追い越してしまうこと。同意命令レビューなしに追加された新機能はプログラム全体を無効にする可能性があります。リリースプロセスにプライバシーゲートを追加してください。
• 接続デバイスとCTVサーフェスを忘れること。COPPAはスマートTV、音声アシスタント、ゲームコンソールを明示的にカバーしています。多くのパブリッシャーはインベントリでこれを見落としています。
• 古い同意記録。データ慣行への重要な変更は以前のVPCを無効にします。毎月広告技術の変更を実施するパブリッシャーはVPCを更新するプロセスが必要です。さもなければ露出が蓄積します。

2027年以降のCOPPAの姿

二つの軌道が今後18ヶ月以内にこのスペースを再形成するでしょう。まず、KOSA——Kids Online Safety Act——のような連邦の提案は、コンテンツデザイン義務やより厳格な年齢確認要件を含む追加の注意義務をCOPPAの上に重ねることになります。KOSAが完全に通過するか部分的に通過するかに関わらず、規制の方向性は義務の増加であり、減少ではありません。次に、州ごとの児童デザインコードの拡大——カリフォルニア、コネチカット、メリーランド、その他が並んでいます——は、パブリッシャーが連邦COPPAとともに満たさなければならないパッチワークを作り出します。2026年のCOPPAコンプライアンスをベースラインとして、州の要件を重ねる余力を持って対処する運営者が、2027年に再設計を迫られないでしょう。

結論

2026年のCOPPAは、もはや子ども向けアプリ開発者のためのニッチな要件ではありません——視聴者に子どもが含まれるあらゆるパブリッシャーにとって、たとえ一部であっても、主流のプライバシーインフラです。2025年の改正は、パブリッシャーが頼っていた抜け穴、特に広告のためのバンドルされた同意ショートカットを閉じました。防御可能な年齢確認ゲートを運営し、検証可能な保護者同意ベンダーを統合し、広告スタックをCOPPAモードに設定し、標準的なCookieの同意イベントと並んでCMP監査ログにすべてを文書化してください。これをうまく行えば、児童向けトラフィックは収益化可能なままです。うまく行わなければ、数百万ドルの民事罰が添付されたFTCのウェブサイトで自分自身の同意命令を読むことになるでしょう。