1.アプリストア運用者・開発者が知っておくべき法律SB2420（アプリストア責任法）

2026年1月1日より、アメリカ・テキサス州で新たな法律「SB2420」（以下「SB2420」）が施行されます。この法律は、アプリストアにおける未成年者保護の強化を目的とし、アプリの配信・販売時に年齢認証や保護者同意の確認を義務づけるものです。なお本法には「アプリストア責任法（App Store Accountability Act）」という呼称もついていますが、アプリストアの責任全般というよりは、未成年者の年齢認証にフォーカスを絞った法律です。

SB2420は、GoogleやAppleといったアプリストア運営者に限らず、アプリ開発者にも一定の義務が課している点が特徴です。最近、GoogleやAppleがアプリ開発者向けに本法への対応方針を発表したため、リリース文でこの法律を目にした方もいらっしゃるかと思います。本稿では、このSB2420の概要をわかりやすく整理してご紹介します。なお、読者の多くは、アプリストア運営者側（GoogleやApple）よりも、アプリ開発者側の義務に関心のあると想像されますので、特にアプリ開発者側の義務を中心的に取り上げます。

2. 日本のアプリ開発者も適用対象の可能性

本法はテキサス州の州法であるため、テキサス州に所在するアプリ開発者にのみ適用されると思われるかもしれませんが、必ずしもそうではありません。本法の適用対象は、「アプリストアを通じて、テキサス州のユーザーにアプリを提供する開発者」とされており、テキサス州のアプリ開発者に限定されていません（第121.051条）。つまり、テキサス州に所在する事業者でなくとも、テキサス州のユーザーに対してアプリを提供する場合には、本法の適用対象となる可能性があります。明確な域外適用の規定があるわけではありませんが、日本の事業者であっても、米国を含めてグローバルにアプリを配信しているケースで、その利用者の中にテキサス州在住者が含まれる場合には、本法の適用を受ける可能性があります。

また、本法における「アプリストア」とは、モバイルデバイスのユーザーに対してアプリを配信するサービスを指します（第121.002条(2)）。したがって、PC専用ソフトウェアなど、モバイルデバイス以外を対象とするサービスは本法の対象外です。

さらに本法が保護の対象とするのは18歳未満の未成年者（Minor）です。未成年者は以下の3つの区分に分けられています。

13歳未満	子ども（Child）
13歳以上16歳未満	若年ティーン（Younger Teenager）
16歳以上18歳未満	年長ティーン（Older Teenager）

本法では上記それぞれの年齢区分ごとの年齢レーティングを設定し、アプリストア運営者が行った年齢認証に基づいて運用を行う必要があります。なお、これまで米国では、連邦法である児童オンラインプライバシー保護法（COPPA）が、13歳未満の子どもを保護対象としてきたため、多くの事業者はユーザーが13歳未満であるか否かを境目として米国の未成年者対応を行ったきたものと思われます。本法の施行により、米国ユーザーの一部は保護対象が18歳未満まで拡大される点が大きな変化といえます。今後、米国市場向けにアプリを提供する事業者は、年齢基準や保護措置の見直しが必要となります。

3. SB2420（アプリストア責任法）の主な義務

(1) アプリストア運営者側の責任

本法の多くの規制は、GoogleやAppleといった、アプリストア運営者に向けられています。まず、アプリストア運営者は、テキサス州のユーザーがアカウントを作成する際に、商業的に合理的な方法（commercially reasonable method）で年齢確認を行わなければなりません（第121.021条）。そして、ユーザーが未成年であると判明した場合には、保護者アカウントとの紐づけが必要になります。

さらに、未成年者が(i)アプリをダウンロードするとき、(ii)アプリを購入するとき、(iii)アプリ内で購入を行うときには、都度保護者アカウントからの同意を取得する必要があります（第121.022条）。保護者が同意を撤回した場合には、その旨をアプリ開発者に通知することも義務づけられています。また、ストア運営者はアプリごとに年齢レーティングの表示制度を導入し、その仕組みや基準を明示しなければなりません（第121.023条）。

さらに、アプリ開発者がユーザーの年齢区分や保護者同意の有無を確認できるよう、データアクセスの仕組みを構築することも求められています（第121.024条）。これを受けて、GoogleやAppleは年齢認証結果を共有するためのAPI連携の仕組みを整備し、アプリ開発者に対して提供をはじめています。

(2) アプリ開発者側の責任

アプリ開発者に対しては以下のような義務が課されます。

(a) 年齢レーティングの付与	アプリおよびアプリ内購入について、適切な年齢レーティングを設定し、アプリストア運営者に提供しなければなりません（第121.052条）。
(b) 変更時の通知義務	取得する個人データの変更、レーティングに影響する機能の追加、新たなマネタイズ機能（広告や課金要素）の導入があった場合には、速やかにアプリストア運営者へ通知する必要があります（第121.053条）。
(c) 本人認証機能の実装	アプリストア運営者から提供される年齢認証・保護者同意情報を用いて、ユーザー認証を行う機能を実装すること（第121.054条）。
(d) 取得情報の適正利用と破棄	アプリストア運営者から得られた年齢認証と保護者同意に情報は、(i)年齢区分に応じた安全設定の実施、(b)法令遵守、(c)安全機能やデフォルト設定の確保のためにのみ利用しなければならず、認証が完了した後は破棄しなければなりません（第121.055条）。

加えて、保護者同意を得ないままに利用規約を未成年に対して強制すること、年齢やレーティング情報を偽ること、上記(d)以外の目的で個人情報を使用することは、いずれも罰則の対象となります（第121.056条）。

なお、GoogleもAppleも、それぞれに本法に対応するための仕様変更について公表しており、アプリ開発者は両者が提供するAPI（GoogleにおいてはGoogle Play API、AppleにおいてはDeclared Age Range API）を利用することで、アプリストア運営者側の年齢制限に関する情報を受領することができるようになります。もっとも、APIを導入するのみで対応が完了するわけではなく、APIを通じてアプリ仕様変更時の通知を行わなければならなくなります（Appleでは仕様変更を通知するためのSignificant Change APIが提供されます）。また、アプリストア運営者から得た年齢制限に関する情報は、認証完了以降に保持しないことにも注意が必要です（GoogleではAPI から得たデータの取扱い方法を規定する要件に準拠することが求められています）。

4. SB2420（アプリストア責任法）の罰則

SB2420に違反した場合は、テキサス州の不公正取引慣行法に対する違反として扱われ、違反行為に対しては差止命令のほか、違反1件あたり1万ドル（約150万円）の罰金が科される場合があります（第121.102条）。あくまでも一件あたりの罰金ですので、複数の違反が重なると、罰金が高額になる場合があります。

5. まとめ

SB2420は、これまでCOPPAがカバーしてこなかった、13歳以上の未成年者まで保護対象を広げている点において特徴があります。とくにアプリ開発者においては、GoogleやAppといったアプリストア運営者側から発行されるガイドラインやAPI機能の実装を通じて、実務対応を行うことが必要となります。なお同様の州法は、ユタ州、ルイジアナ州、カリフォルニア州においても制定されており本法施行後に順次施行されています。他州でも同様の動きが広がる可能性があり、法制定の動きを注視するとともに、今後は未成年者向けサービスの設計や年齢認証について一層慎重な対応を行うことが求められます。