- パーソナライズされたAIキャラクターを作って会話するチャットボットプラットフォーム JanitorAI が、7月24日から英国(イングランド、スコットランド、ウェールズ、北アイルランド)でのサービス遮断を正式発表した
- これは 英国オンライン安全法(Online Safety Act) の過度な規制と高い 法的・財政的負担(最大1,800万ポンドの罰金、運営陣への刑事処罰の可能性)が理由
- 法的リスク評価、生体認証システムの構築、継続的な法務レビュー など、大企業レベルの義務が中小サービスにも適用され、小規模プラットフォームにとって実質的な参入障壁になっている
- JanitorAIは英国コミュニティとの別れを "チームを守るための避けられない選択" と説明し、今後は規制順守に向けたさまざまな方法(未成年者認証など)を模索中としている
- ユーザーには アクセス遮断以外の不利益はなく、アカウント削除は行われず、単に英国IPからの接続のみ制限される
サービス遮断の告知と背景
- JanitorAIは 2025年7月24日 23:59(UTC)から英国内からのアクセスを遮断する予定だと発表した
- わずか4日前の差し迫った告知であり、英国ユーザーに謝意を伝えた
英国オンライン安全法の影響
- サービスチームは当初 オンライン安全法 の内容を誤解していたが、実際には単なるコンテンツ管理ではなく、すべてのプラットフォームに大企業レベルの規制が適用されることを後になって認識した
- 法的リスク評価、生体認証(例:Redditが導入したPersona - 1人あたり1.5ドル)、絶え間ない法務レビュー など、小規模事業者には負担しきれない水準の義務が課される
- 規定違反時には 最大1,800万ポンドの罰金と運営陣の刑事責任(収監の可能性)まで発生する
順守不可能性と政策批判
- 法令約250ページ、Ofcomガイドライン約3,000ページに及ぶ複雑な規定に加え、小規模プラットフォーム向けの例外条項がないため、現実的に順守は不可能だとしている
- 英国政府は イノベーションハブを掲げながら、実際にはGoogleなどの大企業しか耐えられない構造を作ったとの批判が出ている
ユーザーへの影響と案内
- 7月24日から英国IPでJanitorAIにアクセスすると遮断ページが表示される
- 英国居住者のアカウントは 削除されず、単にアクセス制限のみが適用される
- ユーザーが迂回接続した場合でも、法的責任はサービス提供者(プラットフォーム)にのみ適用され、ユーザーに法的処罰はない
今後の計画と立場整理
- JanitorAIは 英国市場を完全に放棄したわけではなく、未成年者認証など追加の順守策を積極的に模索している
- 「多くの革新的プラットフォームが同じ決断を下すだろう」、「英国はグローバルなイノベーションから自ら孤立を選んでいる」 との懸念とともに、ユーザーと政府に 規制見直し請願への参加を呼びかけている
- JanitorAIチームは 一時的な遮断措置であることを強調し、今後要件を満たせばサービス再開の可能性を残している
誤解を正す(FAQ)
- 英国ユーザーはJanitorAIの利用で処罰されない。刑事処罰や罰金の対象は プラットフォーム運営者のみ である
- アカウント削除ではなく、英国IPからの接続遮断のみが適用される
- ユーザーが別の方法で接続する場合、それは個人の判断であり、法的不利益はないことをあらためて確認している
1件のコメント
Hacker Newsの意見
私はヨーロッパと英国の企業環境をよく知っている。政府だけでなく大手銀行のようなところでも同じだ。従業員には2種類いて、実際に業務を進める人と、リスク管理・コンプライアンス・セキュリティ・規制など(RCSR)を名目にできるだけ多くの障害物を置く人たちがいる。RCSR関連の人員は技術職の3倍規模で採用される。彼らは何千ページにも及ぶ指針を吐き出し、業務の進行が事実上不可能になる。私たちの技術チームも、データベースのアップグレードをテストするために4か月も承認待ちのままだ。上級経営陣は、中世の教会の司祭のように権力を握るRCSRに決して逆らえない。彼らは実際の成果と結びついた目標もなく、動いているものをすべてリスクだと見なす。管理者はRCSRが統制に役立つと信じているが、実際には意味のない仕事が増えるだけで、企業は自分で作った壁に閉じ込められることになる
RCSRの監視が厳しくなるほど、実際のセキュリティはかえって悪化する。ポリシーチームは技術をよく理解していないため、重要ではないことに執着し、開発のエネルギーが消耗される。例えば、k8sで「環境変数に秘密情報を保存するな」というCISガイドラインに従うため、私たちのチームは2週間かけてHelmチャートを修正しなければならなかった。これは今後も維持し続ける負担になるだけで、実質的なセキュリティ効果はほとんどない。その時間があれば、むしろネットワークポリシーやCSPのような、根本的に有用なセキュリティ対策を実装できたはずだ。プロセスの上層部にはリスクと影響だけを見るマトリクスがあり、実際の投入労力や成果評価はまったくない。結局、エンジニアリングではなく意味のない仕事だけが残る
そんな気分になるのは分かる。実際、エンジニアはデータに対して鈍感になりがちな傾向がある。法的なフレームワークはたいてい現場を知らない人たちが作るので、ひどい法律も多い。だが現実の世界では、法律を破ればいつでも誰かに訴えられる可能性があるので、常に緊張していなければならない。特に米国では、個人がこうした法律を根拠にすぐ訴訟を起こせる。もちろん、実際のコンプライアンス要件の大半は原理的にはそれほど複雑ではないが、自由なデータ活用を前提とするソフトウェア開発の慣行と衝突するため、よりいっそう面倒になる。以前なら公開ブログ程度であればまだましだったかもしれないが、今では誰かの医療情報や金融情報が絡み、下手をすればCambridge Analyticaのような事件にもなり得るので、責任の重みははるかに大きい。大変ではあるが、エンジニアとして自分たちが作るものの結果と責任を認識しなければならない。この認識不足が業界の大事故を招く
米国にもこれに似た、ただしやや軽い問題がある。誰もコンプライアンス関連部門と衝突できない。訴訟になれば「なぜコンプライアンスチームの助言を無視したのか」が問題になり、企業の法的防御まで崩れかねない。コンプライアンスチームは事業推進に関心がなく、逆に現場は規制順守にあまりインセンティブを感じていない。結局、訴訟リスクが常にコンプライアンスを優先する慎重なアプローチだけを残すことになる
ヨーロッパに限った問題ではない。米国でも似たような会社で働いたことがある。問題はインセンティブ構造だ。軽微な規制違反だけでも会社が潰れるという恐怖があり(経営陣はそう想定している)、実際の任務を果たさなくても不利益はない。だから何もしないことが合理的な選択になってしまう
データベースのアップグレードテスト承認を4か月待っていると言っていたが、私は変更後に本番適用まで1日かかるだけでも文句を言っていた。前の会社なら4時間で済んだ。自動化されたシステムとプロセスさえうまく作れば、ほとんどの変更は迅速な承認で進められるはずだ。問題や規制変更が起きるたびに「NO」と言える人だけが増えていく組織の反応にはうんざりする
オンライン安全に対する英国のアプローチは現実的でなく、気に入らない。法案は、いつもメールを印刷して読んでいそうな人が書いたように感じる。だからといって「小さなプラットフォーム=免除」が必ずしも合理的とも思わない。子どもを守るという趣旨なら、プラットフォームの規模に関係なく有害コンテンツ(例: 自殺を助長するものなど)は問題だ。むしろ小さくてあまり知られていない場所(例: 特定のchanサイト)のほうが危険かもしれない
小規模事業者が求めているのは完全な免除ではなく、少なくとも大企業でなくても規制を履行できることだ。例えばプラスチック包装税では、Amazonのような会社はチームを組んでうまく対応できるが、小規模な自営業者は事務負担だけで損をすることがある。売上が一定以下の事業者には、事務負担の少ない定額料金の仕組みを適用すれば、本来の趣旨を守りつつ実害も防げる
問題は法律の効率性だ。小惑星衝突を防ぐために、すべての建物に1メートル厚のコンクリート屋根を義務付けたら、結局は小さい建物の負担だけが重くなり、大きい建物にはほとんど影響がない。不合理に見えても、この種の規制は市場から小規模事業者を追い出し、資本力のある大企業だけが生き残る結果を生む。社会全体のリスク許容度が下がるほど、大企業中心の規制の虜獲も自然についてくる
英国は、技術規制が現実にどう機能するかを示す代表例だ。最近Hacker Newsで規制を求めるコメントが増えているのも感じている。特にLLMでエラーが起きたり、著作権に類似したコンテンツを出力したりすると、「規制しよう」「処罰しよう」という反応が多い。多くの人は、規制を導入すれば大企業だけが罰せられ、消費者は完璧な製品を享受できると考えている。だが実際には、強い規制は企業がその国から撤退する原因になり、ユーザーはVPNまで使ってサービスを使い続けることになる。企業は規制の厳しい国を避けるか、事業をたたむ。規制の副作用を指摘すると、「小さい会社は免除すればよかった」で簡単に流される。厳しい技術規制を現実に近くで見るほど、むしろ嫌う人が多くなる
英国のオンライン規制の究極的な目標は、しばしば「監視」に行き着く。データ活用のあり方には大して考えがないのに、監視のための法案は執拗に推し進める
今回のように https://www.thehamsterforum.com/threads/big-sad-forum-news-online-safety-act.2091/ のようなことも繰り返し起きている(ちなみに英国では、実際にハムスター愛好家フォーラムでさえ違法になっている)
thehamsterforumが、いっそみんなInstagramに移行しようという提案までしているのを見ると、大企業がこうした法律をむしろ歓迎する理由が分かる。規制が増えるほど参入障壁は高くなり、社内弁護士チームを持つ大企業だけがサービス参加資格を得る
フォーラムがどんな理由で「何か新しいこと」をしたあと、再び運営を再開したのか気になる。利用規約の変更や新しいモデレーションツールの導入などでコンプライアンスを満たしたと言っているが、いったいどんな結論に達してリスクがないと判断したのか、そしてそのツールで十分なのか本当に気になる
今でもフォーラムが運営中なので、元の投稿が間違っていたのではないかという疑問が湧く
Fleabagシリーズのカフェがより普通に感じられる理由のようだ(モルモットとハムスターは違うけれど)
どんなサービスかよく分からないが、サイトを見てみると18+向けサービスで、「児童ポルノ・未成年者の性的描写・過度の流血・獣姦・性的暴力」などは禁止と書かれている。Online Safety Act全体に100%賛成しているわけではないが、この種のサービスには確かに別途のリスク評価が必要に見える
記事だけ見たときは問題がありそうだと感じたが、サイトを実際に見てみると説明が不十分で危険要素もあり、何らかの規制は必要に見える。ただ、同様にリスクの低いサービスまで同じように影響を受けるのかは気になる
私の知る限り、このサービスの主な機能は、検閲を最小限にしたAIモデルをユーザーに提供することだ。違法コンテンツ(ただし法律は政府制定のものだけでなく、Visa/Mastercardのような決済会社の規定も含む)が禁止されているだけなので、ほぼ何でもできる。おそらく成人向け市場の需要のため性的コンテンツが多いのだろうが、それはサービスの性質ではなく市場需要によるものだ
彼らが主張している不満は、リスク評価そのものよりも、その評価の範囲と過大なコストにある
「サイトにアクセスする方法を見つけるのは最終的にユーザーの責任であり、ユーザーが処罰されることはない」という文言がある。法的責任を気にする運営者なら、こういうことは書き残すべきではなかったはずで、その投稿と法令順守への取り組みの信頼性を弱めている
VPN利用者を止めるのは実質的にほぼ不可能だ。政府がすべての通信事業者を統制しない限り無理で、英国ですらそこまでは難しい。まともな国なら、サイト運営者がそのことで責任を負わされるはずはない
運営者は、英国市場に明確に再参入し、完全な規制順守を目指すと言っている。規制範囲を誤って判断して英国でサービスを遮断しただけで、あくまで一時的措置だ
法律や規制が提供者の規模を考慮しないのは本当に腹立たしい。いつも大きな事業者を悪者扱いし、「子どもを守らなければ」という名目で人気取りをするが、実際には大企業が有利になる。法的助言などあらゆる費用を負担できるのは大企業だけなので、市場全体を独占することになる。AI Actも同じで、中小企業も消費者も被害を受ける見通しだ
実質的にはこの法律も提供者の規模を念頭に置いているのだが、問題は基準線そのものが大企業向けに作られていることだ。大企業が長年ロビー活動してきた結果の構造だ。英国は公式には腐敗が少ないほうだが、実際に意思決定が行われる場面を見ると、むしろ腐敗はありふれている。この法律には大衆の支持もほとんどない。いつも新聞などのメディアキャンペーンで子どもを前面に出すが、実際の法案の内容は本来の趣旨とかけ離れている。選挙はあるのに政策は変わらないという現実だ
規制の虜獲だ。小規模事業者への影響も意図された結果だ
関連法令の解説がここにある: https://www.gov.uk/government/publications/online-safety-act-explainer/online-safety-act-explainer#who-the-act-applies-to。私の読みでは、Amazonは全書籍在庫の80%以上で年齢確認が必要になり、残り20%も「子どものための年齢相応のオンライン体験」という非常に広い定義のせいで責任を負うことになる。janitoraiが指摘しているように、この法律は彼らにも適用され、生成するコンテンツもすべて対象になる。英国市場へのアクセス禁止はおそらく最善の対応だ。なお、この法律は訪問者同士の相互作用がなければ一次的なウェブサイトには適用されないようだ。たとえば、コメントのないブログは問題ない
Ofcom(英国通信庁)のclarificationは異なる: https://www.theregister.com/2025/02/06/uk_online_safety_act_bloggers/
ひょっとするとブログにコメントがあっても問題ないかもしれない: https://onlinesafetyact.co.uk/ra_blog_with_comments/
私の大ざっぱな理解では、数百万人規模の英国ユーザーがいて初めて適用されるのだと思っていた https://www.onlinesafetyact.net/analysis/categorisation-of-services-in-the-online-safety-act。実際にこのサイトが該当するのか、それとも私が完全に誤解しているのかはよく分からない(私は弁護士ではない)
それは追加要件を課すための基準だ。すべての者(特別な免除条項に入らない限り)には「ユーザー保護義務」がある。聞くだけでも複雑で高コストな事務要件が降りかかってくる。そして、自分が免除対象かどうかを判断するためにも弁護士費用がかかる。法案自体が曖昧で、予期しない抜け穴やグレーゾーンが多すぎる。「ルーリング」ではなく法律とその施行規則だ。関連PDF: https://www.ofcom.org.uk/siteassets/resources/documents/consultations/category-1-10-weeks/263963-categorisation-research-and-advice/categorisation-research-and-advice.pdf
Ofcomのサービス適用可否チェックリストはこうした基準を使っておらず、英国の有料顧客が1人でもいれば該当するようだ https://ofcomlive.my.salesforce-sites.com/formentry/RegulationChecker
「うちの国の人たちが君のサイトにアクセスした」という理由で、うちの国はそのサーバー(海外ホスティング)や運営者(海外在住者)にまで管轄権を主張し、刑事処罰まで可能だと考える、その発想自体が本当にしんどい
出典は、法律が実際にどう適用されるかではなく、2024年時点で提案されていた事項だ
何百ページにも及ぶ巨大な法律には、常に抜け穴や曖昧さが多い。最近の英国政府はオンライン上の「犯罪」で実際に人を逮捕する国になってしまったので、この程度に愚かな法律が出てくるのも不思議ではない
こうした事情のせいで、インターネット全体がKessler Syndrome(宇宙ごみの連鎖衝突現象)的な危機に向かっているようにも思える。米国でも50州がそれぞれAIを規制しようとしており、もともとはOBBBが10年間統制しようとしていたが失敗した。今では各州が独自に規制を作れる。世界中のさまざまな規則にすべて合わせるのは、もはやほぼ不可能に近い
運営コストが上がりすぎれば、結局は世界全体では少数の超巨大サイトしか残らず、地域ごとに小規模サイトが何百もリージョンロックされた状態で生き残ることになる。サイバースペースも金を稼ぎ、実名確認など現実世界を利用する以上、結局は独立ではいられない https://www.eff.org/cyberspace-independence
インターネットのバルカン化は、結局のところ避けられない結末だ。その代替案は、国家が現在の必須インフラの主権を外国に渡すことになるが、各国政府はそんな選択をしない。インターネットが単なる趣味だった時代ならそれでよかったが、今では生活の基盤なので、外国政府やビッグテックにインフラ主権を委ねることはもう許されない
「インターネットのバルカン化」という話が大衆的な議論に上るたびに、私はむしろこうした傾向を前向きに見ている。こういう即時的なグローバルコミュニケーションの責任を人類が引き受ける準備が整ってから初めて許されるべきだと思う
私もMarginalia Searchを使う際には英国からの訪問者を遮断しなければならない気がする。個人開発者では法的要求を全部さばききれない :-/