2025 年のデジタル個人データ保護規則草案では、オンライン サービスにアクセスするためにすべてのユーザーが年齢と身元を確認する必要があるかどうかについて混乱が生じています。

2023 年デジタル個人データ保護法 (規則により運用可能化が求められている) に基づき、オンライン プラットフォームは検証可能な保護者の同意を取得する必要があります

The draft Digital Personal Data Protection Rules, 2025 have led to confusion about whether or not all users will have to verify their age and identity to access online services. Under the Digital Personal Data Protection Act, 2023 (which the rules seek to operationalise) online platforms have to obtain verifiable parental consent before processing the data of anyone under 18 years of age.

2025 年のデジタル個人データ保護規則草案では、オンライン サービスにアクセスするためにすべてのユーザーが年齢と身元を確認する必要があるかどうかについて混乱が生じています。 2023 年デジタル個人データ保護法 (この規則により運用可能化が求められています) に基づき、オンライン プラットフォームは 18 歳未満の人のデータを処理する前に、検証可能な保護者の同意を取得する必要があります。

The rules then elaborate that platforms have to verify the age and identity of anyone claiming to be a parent and giving consent on behalf of a child. While the rules specify what platforms can do when an under-18 user declares themself as a child and when a parent comes forward, they don’t take note of situations where a child inputs the wrong information and claims to be an adult.

この規則では、プラットフォームは、親であると主張し、子供に代わって同意する人の年齢と身元を確認する必要があると詳しく規定されています。規則では、18歳未満のユーザーが自分を子供であると宣言し、親が名乗り出た場合にプラットフォームができることを規定しているが、子供が間違った情報を入力して成人であると主張する状況については考慮していない。

In such cases, platforms will have to verify everyone’s age, some like MediaNama’s editor Nikhil Pahwa argue. On the other hand, some, like Aparajita Bharti, the co-founder of Quantum Hub Consulting believe that the way the rules read right now, companies could use self-declaration measures as a means to determine whether the person signing up is a child or not. “The illustrations 1 & 2 seem to suggest if the user indicates they are a child then the platform has to take steps to gather verifiable parental consent,” she explained in a post on X (formerly Twitter).

そのような場合、プラットフォームは全員の年齢を確認する必要があると、メディアナマの編集者ニキル・パファ氏のような人は主張する。一方で、クォンタム・ハブ・コンサルティングの共同創設者であるアパラジタ・バルティ氏のように、現在の規則の解釈では、企業は登録者が子供であるかどうかを判断する手段として自己申告措置を使用できると信じている人もいます。ない。 「イラスト1と2は、ユーザーが子供であることを示した場合、プラットフォームは検証可能な保護者の同意を集める措置を講じなければならないことを示唆しているようです」と彼女はX（旧Twitter）への投稿で説明した。

Similarly, the founder of social media impact consulting Space2Grow, also told MediaNama that the DPDP Rules “do not explicitly require mandatory age verification unless the user’s data triggers any sign of them being a child”.

同様に、ソーシャルメディアインパクトコンサルティングのSpace2Growの創設者もMediaNamaに対し、DPDPルールは「ユーザーのデータが子供であるという兆候を引き起こさない限り、明示的に年齢認証を義務付けるものではない」と語った。

How consent provisions could cause user drop-offs:

同意条項がユーザーの離脱を引き起こす可能性がある理由:

When a parent comes forward to give consent on behalf of a child, the platform has to verify their age and identity as well. The rules provide two ways in which platforms can approach this verification—

親が子供の代わりに同意を与える場合、プラットフォームは子供の年齢と身元も確認する必要があります。このルールは、プラットフォームがこの検証にアプローチできる 2 つの方法を提供します。

Bharti expressed concern that getting synchronous consent (consent right before a child uses the platform) will be operationally difficult. She explained that it would lead to “huge drop-offs (especially among low-income/rural households) and increased costs of compliance.” Talking about the synchronicity of consent, she said that there could be circumstances where the parent isn’t available to give consent when the child needs to access a specific online service.

Bharti 氏は、同時同意 (子供がプラットフォームを使用する直前の同意) を取得することが運用上困難になるのではないかと懸念を表明しました。彼女は、それが「（特に低所得者や地方の世帯の間で）大幅な減少とコンプライアンスコストの増加」につながるだろうと説明した。同意の同時性について、彼女は、子供が特定のオンライン サービスにアクセスする必要があるときに、親が同意できない状況が発生する可能性があると述べました。

During a spaces discussion on X, Bharti explained that her organisation Young Leaders for Active Citizenship (YLAC) works with rural communities where there is a lot of shared device usage. “Children [in these communities] are way more sophisticated users of technology than their parents. Parents on the other hand ask children for help to navigate the tech world,” she explained. She said that while children do need to be safe online, cutting their access to the internet off is a bigger harm to them.

X に関するスペースのディスカッション中に、Bharti 氏は、彼女の組織である Young Leaders for Active Citizenship (YLAC) が、共有デバイスの使用が多い地方のコミュニティと協力していると説明しました。 「[これらのコミュニティの]子供たちは、親よりもはるかに高度なテクノロジーのユーザーです。一方、親は子供たちにテクノロジーの世界を生きていくための助けを求めます」と彼女は説明した。子どもたちはオンライン上で安全である必要があるが、インターネットへのアクセスを遮断することのほうが子どもたちにとって大きな害をもたらす、と彼女は述べた。

The grey area for establishing parent-child relationships:

親子関係を確立するためのグレーゾーン:

One of the age verification scenarios under the rules is where a person comes forward identifying themself as child’s parent. The platform then verifies the age and identity of the parent. The rules do not specify how platforms have to go about verifying this parent and child relationship.

この規則に基づく年齢確認シナリオの 1 つは、自分が子供の親であると名乗り出る場合です。次に、プラットフォームは親の年齢と身元を確認します。このルールでは、プラットフォームがこの親子関係をどのように検証する必要があるかについては規定されていません。

“The ‘due diligence’ methods expected of data fiduciaries to establish relationship with the minor is a grey area – in effect indicating that people have to surrender more data about themselves, their relationships, and online behaviour to either platforms or the government,” Nidhi Sudhan, co-founder of Citizen Digital Foundation told MediaNama. According to her, the rules appear to favour the interests of businesses and the Government more than the people whose data it was meant to protect.

「未成年者との関係を確立するためにデータ受託者に期待される『デューデリジェンス』の手法はグレーゾーンであり、事実上、人々は自分自身、人間関係、オンラインでの行動に関するより多くのデータをプラットフォームか政府に引き渡さなければならないことを示している」とニディ氏は述べた。 Citizen Digital Foundation の共同創設者である Sudhan 氏は MediaNama に語った。彼女によると、このルールはデータを保護する対象となる人々よりも企業や政府の利益を優先しているようだという。

Other key comments about the rules:

ルールに関するその他の重要なコメント:

Missing out room for positive behavioral monitoring of children:

子どもの行動を積極的に監視する余地が失われている:

Besides parental consent, the act also restricts platforms from carrying out tracking/behavioral monitoring of children. It says that the government can exempt certain platforms from these restrictions as well as verification restrictions provided that they process a child’s data in a verifiably safe manner.

この法律は、親の同意に加えて、プラットフォームが子供の追跡/行動監視を行うことも制限しています。検証可能な安全な方法で子供のデータを処理することを条件に、政府は特定のプラットフォームをこれらの制限や検証制限から免除できるとしている。

While the rules list a range of different services that the government allows to carry out behavioral monitoring/exempts from verifiable consent, Sidharth Deb from Quantum Hub Consulting mentioned that they “seem to miss out on an opportunity to incentivise positive/beneficial processing activities that can preserve meaningful internet experiences for under 18 users.” He adds that the rules could have initiated a discussion around what standards companies must meet to qualify as verifiably safe so that the Government allows them to curate digital products for under 18 users.

この規則には、政府が行動監視の実施を許可したり、検証可能な同意を免除したりするさまざまなサービスが列挙されているが、クォンタム・ハブ・コンサルティングのシダース・デブ氏は、「彼らは、ポジティブで有益な処理活動を奨励する機会を逸しているようだ」と述べた。 18 歳未満のユーザーにとって有意義なインターネット エクスペリエンスを維持します。」同氏は、この規則によって、企業が18歳未満のユーザー向けのデジタル製品を厳選することを政府が許可できるよう、検証可能な安全性を得るためにどのような基準を満たさなければならないかについての議論が始まる可能性があると付け加えた。

Lack of inclusion of vicarious consent:

代理同意が含まれていない場合:

The Data Protection Act says that companies can only process the personal data of an Indian citizen for purposes to which the citizen has specifically consented or for legitimate uses as specified under the act such as court orders, medical emergencies, epidemics, employment and so on. Bharti says that in certain situations like sending gifts to friends or family, or fraud prevention require vicarious consent.

データ保護法では、企業がインド国民の個人データを処理できるのは、インド国民が具体的に同意した目的、または裁判所命令、医療上の緊急事態、伝染病、雇用など、同法に規定されている正当な用途に限られるとしている。バーティ氏は、友人や家族に贈り物を送ったり、詐欺を防止したりするような特定の状況では、代理同意が必要になると述べています。

Now that I have had the time to sleep over them for a (very) few hours, here are some observations:

(非常に) 数時間彼らを観察する時間があったので、いくつかの観察をここに示します。

1) At

1) で