英国の情報コミッショナー・オフィス(ICO)は2026年2月24日、Reddit, Inc.に対し、子どもの個人情報の取り扱いに関する法令違反を理由に1,447万ポンド(£14.47m、約30.5億円)の制裁金を科したと発表しました。
概要
ICOの調査では、Redditは利用規約で13歳未満の利用を禁止していたにもかかわらず、2025年7月まで実効性のある年齢保証(age assurance)を備えていなかったとされます。その結果、ICOの推計では13歳未満の利用者が相当数存在し、Redditはその個人情報を処理する適法な根拠(lawful basis)を欠いていたと判断されました。
また、Redditは子どもの個人情報の取り扱いに伴うリスクを評価し軽減するためのDPIA(データ保護影響評価)を2025年1月以前に実施していなかったとされ、13~18歳の利用を許容するサービスとして、子どもに関するリスク評価が後手に回った点も問題視されています。
原因
ICOが指摘した中核は次の2点です。
・年齢保証の不備により、13歳未満の子どものデータ処理に必要な適法性(適法根拠)を担保できなかったこと。
・子どものデータ処理に伴うリスク(不適切・有害コンテンツへの露出等)を事前に評価し、対策を講じるDPIAが不十分だったこと。
特にICOは、自己申告(self-declaration)に依存する年齢確認は回避が容易で、子どもの保護という観点では不十分になりやすいと明確に述べています。
Reddit側の対応とICOの見方
ICOの発表によれば、Redditは2025年7月に年齢保証の取り組みを導入し、成熟コンテンツへのアクセスに年齢確認を求めることや、アカウント作成時の年齢申告を含む措置を導入しています。ただしICOは、自己申告依存が残る場合のリスクを指摘し、現在の年齢保証の運用についても継続的に確認する姿勢を示しました。
影響
今回の制裁は、外部侵入などのサイバー攻撃ではなく、設計・運用としての年齢保証とリスク評価の不備が、子どもの個人情報処理の適法性を崩し、結果として子どもをリスクにさらし得る状態を生んだ、という判断に基づきます。制裁金の算定にあたっては、影響を受けた子どもの規模、潜在的な害、問題が継続した期間、Redditのグローバル売上等を考慮したとされています。








