　加えて、両者のプライバシーポリシーに共通する特徴は「年齢制限」「子どものプライバシー」に代表される子どものプライバシー保護に関する規定である。オリンピック・パラリンピック大会の場合、個々の競技によって年齢制限が設けられているが、次世代アスリートをめざす子どもたちは、競技の枠を超えて重要なステークホルダーとなっている。

　米国の場合、FTCが、13歳未満の子どもを対象とした児童オンラインプライバシー保護法（COPPA）において、厳格な保護を要求している、過去の違反事案をみると、総額2億7500万米ドルの制裁金が科されたケースがある（関連情報）が、FTCは、2023年12月20日、さらなる強化を求めるCOPPA改正提案を公表している（関連情報）。

　このCOPPA改正提案の要点は以下の通りである。

ターゲティング広告向けに別個のオプトインを要求する
個人情報の収集に関して、子どもの参加を要件とすることの禁止
内部オペレーションの例外に関するサポートの制限
子どもがオンラインに滞在するよう誘導することの制限
Ed Techに関連する変更
セーフハーバープログラムに関する責任を拡大する
データセキュリティ要求事項を強化する
データ保持に関する制限

　なお、本連載第54回で触れたように、2028年夏季オリンピック・パラリンピック大会の開催地ロサンゼルスのあるカリフォルニア州では、「カリフォルニア消費者プライバシー法（CCPA）」により、COPPAの規定に基づく13歳未満の子どもだけでなく13歳以上16歳未満の子どもについてもオプトイン規制の対象としている。その後カリフォルニア州議会には、オプトイン規制の対象年齢を18歳未満に統一する「子どものデータ保護法」提案が上程され、下院に続いて、上院が2024年8月29日に可決している（関連情報）、

　2028年ロサンゼルス夏季オリンピック・パラリンピック大会時期を想定して非医療機器／Non-SaMDを提供する企業は、最低限IOCおよびUSOPC双方と同等レベルのプライバシー保護策を認識した上で、米国連邦政府および各州のプライバシー規制に対応していく必要がある。

非医療機器／Non-SaMDはIoTサイバーセキュリティラベリングの対象に

　他方、サイバーセキュリティの観点から非医療機器／Non-SaMDをみると、本連載第98回および第106回で触れた消費者IoT（モノのインターネット）製品向け認証／ラベリングプログラム「U.S.サイバートラストマーク」への対応が急務となっている。

　米国連邦通信委員会（FCC）が策定した「IoT（Internet of Things）向けサイバーセキュリティラベリング」最終規則は、2024年8月29日に施行された（関連情報）。また、国立標準技術研究所（NIST）が策定した「製品開発サイバーセキュリティハンドブック：IoT製品製造業者向けの概念と考慮事項」も、2024年9月10日に最終版が公開されている（関連情報）。

　加えて、カリフォルニア州の場合、第54回で触れた「IoT機器セキュリティ法」（関連情報）も、非医療機器／Non-SaMDに適用される。IoT機器セキュリティ法では、接続された機器の製造業者に対して、合理的なセキュリティ機能または以下の全機能を備えるよう求めている。

機器の性質や機能に対して適切であるもの
機器が収集、保持、または転送する可能性がある情報に対して適切であるもの
機器およびその他のいかなる情報を、不正なアクセス、破壊、使用、修正、開示から保護するために、設計されているもの

　また、上記の3要件全てを満たすことを条件に、接続された機器がLAN外からのアクセスに対する認証機能を備えている場合、以下の要件のいずれかを満たせば、合理的なセキュリティ機能と見なすとしている。

あらかじめ設定されたパスワードが、製造された機器ごとにユニークであること
機器への初回アクセス時にユーザーが新たな認証手段を生成しなければならないセキュリティ機能を備えていること

　カリフォルニア州以外では、オレゴン州が、独自のIoTセキュリティ法で同様の要求事項を設定している。

　なお日本では、経済産業省が2024年8月23日、IoT製品に対するセキュリティ適合性評価制度構築方針を公表し（関連情報）、2024年9月30日には、独立行政法人情報処理推進機構（IPA）が、「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を2025年3月から開始することを公表している（関連情報）。日本国内では、情報通信ネットワーク産業協会（CIAJ）、デジタルライフ推進協会（DLPA）、電子情報技術産業協会（JEITA）、日本防犯設備協会（SSAJ）、ビジネス機械・情報システム産業協会（JBMIA）がJC-STARに賛同しており、国際間では、シンガポール、英国、米国、EUなどの規制当局との間で、相互承認に向けた交渉を行っているとしている。

　米国では、2028年ロサンゼルス夏季オリンピック・パラリンピック大会の他、2026年北米サッカーワールドカップ、2034年ソルトレークシティー冬季オリンピック・パラリンピック大会など、スポーツ界のビッグイベントが予定されており、AIや高性能半導体などの新技術を利用した非医療機器／Non-SaMDに対する期待も高まっている。その一方で、不安定な国際情勢やソーシャルメディアを介した誹謗中傷などの問題も拡大しており、各メーカーや開発者に対しては、デジタルイノベーションとITガバナンスのバランスをとった製品開発・運用ライフサイクルの構築が求められている。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
パリ五輪のAIが拓く健康とウェルビーイングの市場
本連載第79回および第102回で、フランスのデジタルヘルス戦略を取り上げたが、今回は、2024年パリオリンピック・パラリンピック競技大会にまつわるAI（人工知能）駆動型健康／ウェルビーイング市場の動きに注目する。
米国が推進するリスクベースのモバイルヘルスアプリ開発
世界各国でモバイルヘルスアプリケーションの開発に向けた競争が激化する中、規制当局が要求する品質／安全管理対策の水準も確実に上がっている。開発者はどのような点に注意したらよいのだろうか。
フィットネストラッカーにも広がる米国のセキュリティ規制、異業種連携も加速
前回の連載第76回では米国の医療機器サイバーセキュリティ規制動向を取り上げたが、医療機器に該当しない健康アプリケーション／機器でも、新たな規制に向けた動きが顕在化している。
米国でヘルスケアデータを扱う非医療機器の規制がさらに強化される理由
本連載第8回で取り上げた米国の「非医療機器（Non-SaMD）」を取り巻くプライバシーやサイバーセキュリティの規制が大きく変わりつつある。
医療機器よりも難題!? Non-SaMDに影響が及ぶ米国のIoTセキュリティ政策
米国では、本連載第98回で取り上げた消費者IoT製品向け認証／ラベリングプログラム「U.S.サイバートラストマーク」の導入準備など、非医療機器／Non-SaMD（Software as a Medical Device）を取り巻く動きが加速している。