HOME
著書/論文
子どものデータ保護 ― 欧米における国際的な動向

Publication

ニュースレター

2023年6月

子どものデータ保護 ― 欧米における国際的な動向

著者等: 森大樹、早川健、丸田颯人（共著）

全文ダウンロード（PDF）

出版社: 長島・大野・常松法律事務所

書籍名・掲載誌: NO&T Data Protection Legal Update ～個人情報保護・データプライバシーニュースレター～ No.32/NO&T U.S. Law Update ～米国最新法律情報～ No.93/NO&T Europe Legal Update ～欧州最新法律情報～ No.21（2023年6月）

業務分野

キーワード

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日（作成日）時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

　子どもの権利に関する国際的な規範としては、1989年11月20日に国際連合で採択され1990年9月2日に発効した児童の権利に関する条約（日本は1994年4月22日に批准、1994年5月22日に発効）がありますが、近年、子どものデータ保護が国際的に注目されています※1。

　まず、英国・欧州では、欧州で2018年5月に適用が開始された一般データ保護規則（GDPR）において、子どものデータ保護に関する特別な規定を設けていますが、英国ではGDPRを踏まえて2021年9月2日より子どもの最善の利益を考慮すべきこと等を定める年齢適正デザインコード(Children’s Code)の適用が開始されました。また、フランスのデータ保護機関も2021年8月に子どもの保護のために8つの勧告を公表しており、さらに、アイルランドのデータ保護機関も2021年12月にGDPRに基づく子どもについてのデータ保護の義務を明確化する14の基本事項を公表しています。これらに加えて、子どものデータ保護に関する違反に高額な制裁金を課しているデータ保護機関による執行事例も見られます。

　また、米国では、子どもの保護のための連邦法として、1998年に児童オンラインプライバシー保護法（Children’s Online Privacy Protection Act of 1998。通称COPPA）が成立していますが、最近でも同法に関して高額な罰金の支払いを命じた事案があります。また、州レベルでも立法の動きがあり、例えば、カリフォルニア州では、2022年9月15日に英国のChildren’s Codeと同様の規律を定めたカリフォルニア州年齢適正デザインコード法（California Age-Appropriate Design Code Act）が成立しています（同法の主要な規定は2024 年7月1日に発効予定）。

　以下、それぞれの概要についてご紹介します。

英国・欧州の動向

1. 法規制やガイダンス

(1) GDPRにおける子どものデータ保護に関する規制

　欧州で2018年5月に適用が開始されたGDPRは、前文38項において、子どもは個人データに関して特別の保護を享受する旨を規定し※2、透明性の原則を定める中で、「特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる」ものとしています（GDPR 12条1項）。また、個人データの処理の法的根拠が本人の同意に基づく場合、本人が16歳※3未満であれば、親権者の同意による必要があります（GDPR 8条1項）。この場合、個人データの管理者は、親権者の同意があったことを確認するための合理的な努力をしなければならないとされています（GDPR 8条2項）。

　さらに、欧州各国のデータ保護機関の職務として、処理と関連するリスク、ルール、保護措置および権利について公衆の注意喚起をすることが挙げられ、そこでは、特に、子ども向けの活動に特別の注意を払うものとされています（GDPR 57条1項(b)）。

　その他にも、プロファイリングを含む個人に対する自動化された意思決定（GDPR 22条）につき、条文上は子どもかどうかを区別していないものの、前文71項では法的効果または類似の重大な効果をもたらすプロファイリングを含むもっぱら自動化された意思決定は子どもには適用されるべきでないとの説明がされており※4、また、個人の権利および自由に対する高いリスクを発生させるおそれがある場合についてデータ保護影響評価（Data Protection Impact Assessment）を行わなければならないとされているところ（GDPR 35条1項）、監督機関によっては子どものプロファイリング等の個人データの処理についてデータ保護影響評価を行うべきこととしている場合もあります（GDPR 35条5項）※5。

(2) 英国のChildren’s code

　英国では、2020年9月2日に年齢適正デザインコード（Age Appropriate Design Code: Children’s Code）が発効し、その12カ月後の2021年9月2日より、GDPRの義務の遵守に関してChildren’s Codeが考慮されることとなりました。なお、GDPRは英国のEU離脱後はUK GDPRとして英国の国内法として維持されており、UK GDPRの内容は現状ではGDPRの規律とほぼ同様です。

　Children’s Codeは、英国における「18 歳未満の子どもがアクセスする可能性が高いオンラインサービス（情報社会サービス）」※6に適用されます。なお、Children’s CodeはUK GDPRの域外適用を前提としているため、同様に域外適用があり得ます。

　具体的には、UK Children’s Codeは以下のような15の基準から構成されています。

表1　UK Children’s Codeの15の基準

1. 子どもがアクセスする可能性の高いオンラインサービスの設計および開発時には子どもの最善の利益を第一に考慮すること	9. 子どもの個人データを共有しない
	10. 位置情報のオプションはデフォルトでオフ
	11. 親が管理できる場合には子どもにそれを伝える
2. データ保護影響評価の実施	12. プロファイリングのオプションはデフォルトでオフ
3. 年齢に応じた適用	12. プロファイリングのオプションはデフォルトでオフ
4. 子どもにも分かるようにする透明性	13. 不必要なデータを提供させるナッジ技術は使用しない
5. データの有害な使用の禁止	13. 不必要なデータを提供させるナッジ技術は使用しない
6. 自ら定めたポリシー等の遵守	14. コネクテッド・トイまたはデバイスについて本コードを遵守するための効果的なツールを含める
7. プライバシーに配慮したデフォルト設定	14. コネクテッド・トイまたはデバイスについて本コードを遵守するための効果的なツールを含める
8. データの最小化	15. 子どもがデータ保護の権利を行使しまたは懸念を報告するツールを提供する

　各基準の具体的内容についてはChildren’s Codeにおいて詳細な説明がされています。このうち、例えば、1つ目の基準として「子どもの最善の利益を第一に考慮」すべきことが挙げられていますが、これは子どもの権利条約における概念を採り入れたものです。ここでは、子どもがアクセスする可能性が高いオンラインサービスの設計および開発をする際には子どもの最善の利益を考慮することとされており、他の基準への対応を考える上でも重要な要素であると考えられます※7。また、データ保護影響評価についてもどのように実施すべきかが実務的には課題となりうるところですが、ICOはそのウェブサイトにおいてデータ保護影響評価のテンプレートやリスクアセスメントのツールなどを提供しています。

(3) フランスのデータ保護機関による勧告

　フランスのデータ保護機関（Commission Nationale de l’Informatique et des Libertés: CNIL）は、2021年8月、子どもの保護のために、以下のような8つの勧告を公表しています。これらは子ども、親・教育者、オンラインサービスプロバイダーの3つの視点を主軸に構成されていますが、内容は以下のとおりです。

表2 フランスのデータ保護機関による8つの勧告

1. オンラインで行動する子どもの能力(capacity)を制限
2. 子どもが権利行使することを促す
3. 親のデジタル教育支援
4. 15歳未満の子どもについて親の同意を求める
5. 子どものプライバシーおよび最善の利益を尊重したペアレンタルコントロールの促進
6. 子どもの情報および権利についてのバイデザインの強化
7. 子どものプライバシーを尊重しつつ子ども年齢と親の同意の確認
8. 子どもの利益を保護するための特別の保護措置を提供

(4) アイルランドのデータ保護機関による14の基本事項(Fundamentals)

　アイルランドのデータ保護機関（Data Protection Commission: DPC）は、2021年12月に策定した2022年から2027年の規制戦略（Regulatory Strategy）において、子どもおよびその他の脆弱性のある集団の保護を目標の1つに掲げています。

　また、DPCは、GDPRに基づく子どもについてのデータ保護の義務を明確化する14の基本事項(14 Fundamentals)を2021年12月に公表しました。当該基本事項は、18歳未満の子ども向けのサービスまたは子どもがアクセスする可能性の高いサービスを提供し、子どものデータを処理する全ての組織に適用され、オンラインとオフラインの両方においてこれらの基本事項を遵守する必要があるとされています。その具体的な内容は以下のとおりです。

表3 アイルランドのデータ保護機関による14の基本事項(Fundamentals)

1. 基本事項(Fundamentals)を18歳未満の子どものデータの全てに適用
2. 明確な同意
3. 子どもの最善の利益へのゼロ干渉
4. ユーザーが子どもかどうかを知るようにする
5. 個人データの取扱いについての情報提供
6. 子ども向けの透明性
7. 子どもが権利行使できるようにする
8. 同意を取得しても子どもは子どもとして扱う
9. 年齢認証および親の同意の有効性の検証
10. 義務を避けるために子ども向けサービスから子どもを排除しない
11. 利用可能年齢の設定によってGDPR上の義務を免れるわけではない
12. プロファイリングの禁止
13. データ保護影響評価の実施
14. データ保護バイデザイン・バイデフォルト

2. 子どものデータ保護についての当局による最近の執行事例

　英国・欧州の子どものデータ保護に関連する当局による最近の主な執行事例としては以下の二つが挙げられます。

【事案①】
アイルランドのデータ保護機関であるDPCが、2022年9月に、インスタグラムのGDPR違反について4億500万ユーロの制裁金を課すことを公表

（違反の概要）

2016年にアカウントの種類として「ビジネスアカウント」が導入され、「パーソナルアカウント」から移行する際には子どものユーザーを含めて電子メールアドレスまたは電話番号を公に表示させることが求められていた（2019年9月には設定が修正され必須ではなくなった）ことについて、明確かつ平易な文言を用いて説明していなかった等の違反
2021年3月に18歳未満の子ども向けにインスタグラムのアカウントについて公開アカウントにするかプライベートアカウントにするか選択できるようにするまで、子どもを含む全てのユーザーのアカウントについてデフォルトで公開アカウントになっていた（すなわち投稿の内容が全てのインスタグラムユーザーおよびウェブブラウザーでアクセスする未登録の者から見られるようになっていた）ことについて、明確かつ透明性のある形式で情報提供がなされていなかった等の違反

【事案②】
英国のデータ保護機関であるICOが、2023年4月に、TikTokのUK GDPR違反について1,270万ポンドの制裁金を課すことを公表（2018年5月から2020年7月の違反）

（違反の概要）

親の適切な同意なしに13歳未満の子どものデータを処理していた
ユーザーに対して、データの収集、使用および共有について分かりやすい方法で適切な情報を提供していなかった
英国のユーザーのデータを適法、公正および透明性のある方法で処理していなかった

米国における動向

1. 子どもオンラインプライバシー保護法(COPPA)による保護

　米国では、子どもの保護のための連邦法として、Children’s Online Privacy Protection Act of 1998（児童オンラインプライバシー保護法）があります。

　COPPAは、①13歳未満の子ども向けのウェブサイト・オンラインサービス運営者、および②13歳未満の子どもから個人情報を収集・保持していることについて「現実の認識」を有しているウェブサイト・オンラインサービス運営者を適用対象としており、COPPAにおいては、これらのウェブサイト・オンラインサービス運営者が何の情報を子どもから収集するか、どのように利用するか、および当該情報の開示の実務についてウェブサイト等で通知すること、および子どもからの個人情報の収集、利用または開示について検証可能な親の同意を得ることが求められます。

2. COPPAについての当局による最近の執行事例

　子どもデータ保護に関して最近社会の耳目を集めた執行事例としては、以下の事案が挙げられます。

【事案】
米国の連邦取引委員会（Federal Trade Commission: FTC）が、2022年12月に、ゲーム「Fortnite」の運営会社について、COPPA違反等のプライバシーの侵害により2億7,500万米ドルの罰金を支払うべきこと、違法なダークパターン等による課金について2億4,500万米ドルの返金（リファンド）をすべきことを公表。

（違反の概要）

プライバシー侵害
- Fortniteユーザーについての調査、マーケティング、プレイヤーサポート等によって多くの子どもがFortniteを使用していたことを認識していたにもかかわらず、検証可能な親の同意を得ることなく子どもの個人情報を収集していたことについてのCOPPA違反
- 子どもが（性的なものも含めて）嫌がらせ等を受けていたにもかかわらず、テキストおよび音声のチャットをデフォルトオンにしていたことが、子どもを傷つけていた
その他、ダークパターンによる課金についてのFTC法（Federal Trade Commission Act）違反も指摘

3. 州レベルでの動向

(1) カリフォルニア州の年齢適正デザインコード法の制定

　カリフォルニア州では、2022年9月15日に州知事が年齢適正デザインコード法（California Age-Appropriate Design Code Act）に署名しました。その内容としては、18歳未満の子どもがアクセスする可能性の高いオンラインサービス、製品または機能を提供する事業者に対して、英国のChildren’s Codeと同様に以下のような事項が義務付けられ、または禁止されますが、これらの義務または禁止事項については2024年7月1日に発効することとなっています※8。

(ア) 主な義務

1. オンラインサービス等を提供する前にデータ保護影響評価を実施して文書化し、当局から要求があった場合に提出できるようにすること
2. データ管理実務から生じるリスクに適した合理的なレベルの確実性で子どものユーザーの年齢を推定するか、または、子どもへのプライバシー・データ保護を全ての消費者に適用すること
3. 子どものプライバシー設定について高いレベルに設定すること（ただし、異なる設定が子どもの最善の利益になることを証明できる場合を除く）
4. プライバシーに関する情報を簡潔かつ目立つように提供し、アクセスする可能性が高い子どもの年齢に適した明確な言葉を使用すること
5. 子どもが親に監視または追跡される場合には、それについて子どもに対して明確なシグナルを提供すること
6. 制定して公表したポリシーおよびコミュニティスタンダードを執行すること
7. 子ども等が自己のプライバシー上の権利を行使し、また懸念を報告しやすくすること

(イ) 主な禁止事項

1. 子どもの身体的健康、精神的健康または福利に重大な悪影響を及ぼすような方法で個人情報を利用すること
2. 例外的な場合を除いて、子どもをプロファイリングすること
3. オンラインサービス等の提供に必要のない個人情報を収集等すること、および収集した目的以外に個人情報を利用すること
4. デフォルトで位置情報を収集等すること
5. ダークパターンを用いるなどして、合理的に予想される程度を越えて個人情報を子どもに提供させたり、または子どもに害のある行為を行うこと
6. 年齢を推定するために収集した情報を、それ以外の目的で利用したり、当該推定に必要な期間以上に保有すること

　なお、同法の規定への違反については、差し止めや、過失による違反についての影響を受けた子ども1人当たり2,500米ドル以下の民事罰、または故意による違反について影響を受けた子ども1人当たり7,500米ドル以下の民事罰が課されるとされています。ただし、事業者が同法で求めるデータ保護影響評価についての規定を実質的に遵守している場合、カリフォルニア州司法長官が当該事業者に執行する前に違反について書面で通知し、事業者が90日以内に違反を治癒し将来の違反を防止する十分な措置をとった旨を州司法長官に対して書面で通知すれば民事罰を課されないとの規定も設けられています。

(2) その他の州の動向（ユタ州など）

　カリフォルニア州以外にも、子どものデータ保護に関連する立法の動きが見られます。例えば、ユタ州では、18歳未満の子どもがソーシャルメディアのアカウントを維持または作成するために親の同意が必要になる旨の法律、およびソーシャルメディア企業がプラットフォームを利用するにあたって子どもに害が生じた際には責任を負う旨の法律がそれぞれ2023年3月23日に成立し、いずれも2024年3月に発効することとなっています※9。

今後の実務的な対応に向けて

　上記の欧米の動向を踏まえると、子どものデータ保護についての事業者の対応の必要性は、今後ますます高まってくることが予想されます※10。もっとも、子どものデータ保護の重要性自体については疑義がないとしても、どの程度事業者が対応することが実務上可能かといった点については留意が必要であると思われます※11。

　そして、実務的な対応については、例えば英国のICOは上記のとおりそのウェブサイトにおいてデータ保護影響評価のテンプレートやリスクアセスメントのツールなどを提供しており、これらの当局が公表する資料が参考になると考えられます。

　また、個別の業界に着目すると、例えばゲーム産業における子どものデータ保護は上記の米国FTCによる執行事例もあるとおり重要であるといえるところ、ICOはゲームデザイナー向けにChildren’s Codeを適用する際に以下のような内容のtipsを公表しており、このようなtipsを参照することは、ゲームについての設計やこれに関する個人データの処理にあたって重要であると思われます。当該tipsにおいては、ゲーム設計者が「すべきこと」（should）と「できること」（could）についてそれぞれ具体例を掲げています。

表4 英国のICOによるゲームデザイナー向けのtipsにおける主な事項

(1) リスクアセスメントの実施
すべきこと	リスクアセスメントの一部として子どもを含む外部のステークホルダーに相談する既存のプレイヤーからフィードバックを受ける、ユーザーテストを行う、または子どもの権利を保護する団体とコンタクトをとるゲームの設計段階で、ゲームの子どもへの訴求力を評価し文書化する当該ゲームが子ども向けでないとしても子どもがゲームをする可能性があることには留意するリスクアセスメントについて定期的にレビューする意図していない年齢層がゲームをしている場合には必要な調整を行うゲーム内のランダムな報酬（宝箱など）についてもリスクアセスメントを行う
(2) プレイヤーの年齢を知る
すべきこと	英国のプレイヤーが18歳未満であるかどうかをどのように特定するか、また適切なレベルの確実性で実際の年齢をどのように特定するかを評価し文書化するより確実に年齢を特定する手法について調査をし、その手法をできるだけ速やかに全てのゲーム等に実装するプレイヤーが虚偽の年齢の申告をできないようにする
(3) 透明性をもつ
できること	ユーザー調査を実施して、子どもにフレンドリーなプライバシーの情報を異なる年齢で試す透明性のための情報を、年齢ではなく能力に基づいて表示させる（初心者・中級者・上級者に分けるなど）異なる年齢の子どもにとってより効果的なプライバシーの情報を伝える、異なる方法を設計する（ビデオやゲーム内のポップアップなど）
(4) 子どものデータの有害な使用を防止する
すべきこと	個人データのオプショナルな利用（製品のレコメンデーション等を含む。）はデフォルトで全てオフにし、プレイヤー（13歳未満の子どもの場合はその親）から有効な同意を得た後にのみ有効にするゲームの設計において、チェックポイント、定期的な自動セーブ、試合間の自然な休憩を取り入れる子どもがゲーム内からアクセスできるコミュニティサーバーにおける広告等をコントロールまたはモニターできる措置を実装する
(5) 高いレベルのプライバシー設定を行い、親がコントロールできるようにする
できること	子どもの最善の利益になる場合に「リアルタイムのアラート」の機能を親に提供する（不適切なコンテンツに接する場合など）プレイヤーがプライバシー設定を変更しようとした時点で、年齢に応じた説明をする子どもが他のプレイヤーに何の個人データが表示されるかをコントロールできるような設定を導入することが可能かを評価する（アカウントネームを他のプレイヤーに隠せるようにするなど）子どもの音声チャット機能をデフォルトでオフにし、プレイヤーが永続的におよびゲームをしている時点で「邪魔されない」設定にできるようにし、デフォルトの「友達リクエストの受信」設定を「受け取らない」に変更する
(6) 責任あるプロファイリング
すべきこと	第三者の広告プロバイダーが、年齢に適したコンテンツをゲーム内の子どもに表示していることを確認するプロファイリングが行われる時点で、年齢に応じた情報をゲーム内で提供する（信頼できる大人を探し、プロファイリングがどのように個人データを使用するかを理解している場合にプロファイリングを有効にするよう推奨する）プレイヤーが新しいアカウントを作成する際に、マーケティングのためのオプトインの同意と、利用規約・プライバシーポリシーの同意を分けるマーケティング目的のプロファイリングを子どもに対してデフォルトでオフにしていることを確認するか、または、マーケティングを子どものデータを処理しないコンテキスト広告に制限することを検討する
(7) ポジティブなナッジ技術を実装する
すべきこと	子ども向けのアイテムに期間限定または1回限りのオファーを導入するリスクを評価し、文書化する子どもの最善の利益を促進するためにポジティブなナッジ技術を実装する（たとえば、高度なプライバシーオプション、ゲーム内アイテムについての分別のある購入、親のコントロールの使用、休憩を取るなどの福利につながる行動に向けたものがありうる）最低年齢制限のあるソーシャルメディア・プラットフォームでコンテスト等を実施する際に、子どもに対して懸賞を逃すことを恐れて年齢制限のあるソーシャルメディア・アカウントを作成するよう奨励していないかについて、注意するプレイヤーの行動等をモニターして、意図しないナッジポイント（意図していないのにプレイヤーがプライバシー設定を低くするように促される場合など）を特定する中立的な購入ボタンのデザイン等を用いて、購入を続行しないという決定を可能にする。また、合理的な期間内に購入の払い戻しを許可するようにできる

　グローバルで子どもに向けたサービスを提供している企業はもちろんのこと、国内の子ども向けのサービスを提供している企業においても、今後の国内外の規制動向については注視していくことが必要であり、当事務所としても、皆様にとって参考になる情報を引き続き発信していきたいと考えています。

脚注一覧

※1
また、デジタル環境における子どものリスクについては経済協力開発機構（OECD）も2021年5月31日に「デジタル環境の子どもに関するOECD勧告」（2012年の勧告を改定したもの）を採択しています。データ保護に限らずデジタル環境における子どもをめぐるリスクについて整理する上で、当該勧告を参照することは有益であると思われます。

※2
特に、マーケティングの目的、その子どもに関するパーソナリティもしくは個人プロファイルの作成の目的において子どもに関する個人データの使用、および子どもに対して直接に提示されるサービスを利用する際の子どもの個人データの収集に対して、そのような特別の保護が適用されなければならないとされています（GDPR前文38項）。

※3
ただし、加盟国は13歳を下回らない限りより低い年齢を定めることができます（GDPR 8条1項）。

※4
欧州データ保護会議（European Data Protection Board: EDPB）の前身となる第29条作業部会（Article 29 Working Party）は、「自動化された個人に対する意思決定とプロファイリングに関するガイドライン」において、GDPR 22条が子どもに関わるその種の処理を絶対的に禁止しているわけではないものの、前文の観点から、一般的に、管理者が処理を正当化するためにGDPR 22 条2項の例外に依拠すべきではないとの考えを示しています（個人情報保護委員会による仮日本語訳はこちら）。

※5
例えばアイルランドでは、子どもを含む脆弱な人をマーケティングまたはオンラインサービスのターゲットにするためにはプロファイリングすることがデータ保護影響評価の実施が必須となるリストに掲げられています。

※6
Children’s Codeでは、多くのアプリ、プログラム、コネクテッド・トイおよびデバイス、検索エンジン、ソーシャルメディア・プラットフォーム、ストリーミングサービス、オンラインゲーム、ニュースまたは教育Web サイト、ならびにインターネットを介してユーザーにその他の商品またはサービスを提供するWeb サイトを含むとしています。

※7
この点につき、Children’s Codeでは、子どもの権利を考慮しサポートするためには専門的な第三者からのエビデンスおよびアドバイスを利用する必要がありうるとしています。

※8
もっとも、カリフォルニア州の年齢適正デザインコード法に対しては、アメリカ合衆国憲法修正第1条に抵触する旨の訴訟が提起されていると報じられています。

※9
もっとも、ユタ州のこれらの法令についてもアメリカ合衆国憲法修正第1条等に抵触するのではないかとの懸念が業界団体から示されていることが報じられています。

※10
本稿で紹介した以外にも、例えば2022年11月に発効し2024年に全体の適用が開始される予定の欧州のデジタルサービス法（Digital Services Act）においても、オンラインプラットフォーム提供者に対する未成年者のオンラインにおける保護についての規定が定められており（同法28条）、また英国でも2022年3月17日にオンラインでの子どもの保護を定めるオンライン安全法案（Online Safety Bill）が議会に提出されています。

※11
たとえば、年齢認証のために個人データの提供を求めることになる場合には、当該情報にオンライン上の行動が結びつくことによりセンシティブな情報になりうるため、これによるデータ保護・プライバシーのリスクと子どもの保護のバランスをどのようにとるかが問題となりえます（フランスのデータ保護機関であるCNILもウェブサイトにおいてこの点について言及しています。）。

2023年6月16日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）