インターネットの「身分証提示」時代がプライバシーを壊す
(expression.fire.org)- オンラインの年齢確認は、単なる年齢の確認を超え、顔画像、政府発行ID、銀行連携、既存アカウントのデータによって利用者の身元を確認する仕組みになり得る
- オーストラリアの16歳未満ソーシャルメディア禁止は2025年12月に施行されたが、政府調査では約10人中7人の子どもが依然としてソーシャルメディアを利用しており、BMJの研究でも即時の実質的な減少はほとんど確認されなかった
- プラットフォームは巨額の罰金リスクを避けるため、Snapchatのk-IDのような第三者検証ツールに依存し、その過程で機微な個人情報の収集・保管・海外法適用の問題が生じる
- Discordが利用した第三者カスタマーサポートアプリの侵害により、約68,000人のオーストラリアの利用者情報が流出し、オーストラリア政府も年齢確認の混乱を悪用したフィッシングリスクを認めている
- 英国、米国の複数州、連邦レベルでのKOSA/KIDS Actの議論にまで広がることで、アプリのダウンロード、アカウント作成、写真投稿、ゲーム、AIチャットボット利用が身元ベースのインターネット参加へと変わり得る
年齢確認が本人確認へ変わる構造
- オンラインで年齢を確認するには、利用者が顔画像、政府発行の身分証、銀行連携、既存アカウントのデータといった情報を提供するか、プラットフォームがすでに持つデータで年齢を推定しなければならない
- この方式はスポーツファンダム活動だけでなく、権力者への強い批判、虐待・依存症の経験共有、機微な医療問題の議論にも適用され得る
- 「papers, please」型のインターネットは、公的な議論の場を、技術企業、第三者検証アプリ、政府が要求したデータ収集を信頼できる人にだけ開く方向へ進む
- 接続を続けたい利用者は情報を提供する可能性が高いが、その代償としてオンラインで何を言い、どう行動するかを改めて計算するようになる
オーストラリアの16歳未満ソーシャルメディア禁止
- オーストラリアの16歳未満ソーシャルメディア禁止は2025年12月に発効し、他国が類似規制を設計する際の参考基準となっている
- 施行後の効果は限定的である
- オーストラリア政府の調査では、禁止施行から数か月後でも約10人中7人の子どもがソーシャルメディアを利用している
- British Medical Journalの研究でも、16歳未満の若者による自己申告のソーシャルメディア利用において、即時の実質的減少を示す証拠はほとんどないと確認された
- オーストラリアの学校ではすでに携帯電話が禁止されており、この措置は授業中の利用ではなく、子どもが自由時間にインターネットで何をするかを狙ったものとなっている
- 法律は、ソーシャルメディア企業が16歳未満の利用者をログアウト状態に保つため十分な措置を取ることを求めており、違反すれば巨額の罰金リスクがある
第三者検証とデータ保管リスク
- オーストラリア法の下で、プラットフォームは生体情報、政府発行ID、その他の利用者データを収集しなければならない可能性がある
- アカウント開設期間のような既存データで判断できる場合もあるが、多くの状況では追加の利用者データを集めて独立に確認する必要がある
- Snapchatはシンガポール拠点の企業であるk-IDを利用している
- 検証方式は、銀行連携、政府IDのスキャン、セルフィーに基づく年齢帯の推定である
- 利用者は、第三者企業がデータをどう保管・保護しているのか、どの法律の適用を受けるのか、国内または外国政府による検閲的な要求にどれほど脆弱なのかを知るのが難しい
- オーストラリアは、年齢確認のために収集された個人情報は目的達成後に破棄されるべきだと求めている
- ただしその目的には異議申し立てや苦情処理も含まれており、誤った年齢分類に異議を申し立てた利用者のデータがどれほど長く残るのかは不明である
- オーストラリアのAge Assurance Technology Trialは、具体的な指針がない場合、サービス提供者が将来の規制当局調査に備えて個人情報提供の必要性を過大に見積もる証拠を見いだした
- 不要で比例性を欠くデータ収集・保管は、プライバシー侵害リスクを高め得る
実際の流出とフィッシングリスク
- 収集されるデータが増え、長く保管されるほど、侵害やハッキングが利用者のプライバシーを脅かす可能性も高まる
- 16歳未満禁止の施行数週間前、Discordが利用した第三者カスタマーサポートアプリの侵害により、約68,000人のオーストラリアの利用者が影響を受けた
- このアプリは主に、プラットフォームの年齢保証手続きに関する苦情処理に使われていた
- 流出した情報には、政府ID画像、氏名、ユーザー名、メールアドレス、一部の限定的な決済情報が含まれていた
- オーストラリア政府は、義務的な年齢確認が、禁止措置に関する混乱を悪用するフィッシングの試みという新たなリスクを生むと認めている
- プラットフォームは利用者が検証手続きを理解できるよう案内しなければならないが、詐欺を避けるために利用者自身が確認しなければならない負担も残る
- テック企業の個人情報収集を問題視してきた政府が、今や法律でその収集を要求する状況になっている
プロファイリングを前提としたインターネット参加
- Australian Human Rights Commissionは、一部のアカウントが年齢確認手続きを回避しても、監視から逃れられるわけではないと見ている
- プラットフォームがすでに持つデータで判断できるなら、利用者は別途の検証なしでもプロファイリングを通じて評価されることになる
- eSafety Commissionerの指針は、プラットフォームが正確な他のデータを持っている場合、すべてのアカウント保有者が年齢確認手続きを通るわけではないとしているが、これはプラットフォームが利用者についてすでに知っている情報で判断することを意味する
- インターネット参加のために利用者をプロファイリングするよう求める法的構造が作られつつある
英国の「Australia-plus」アプローチ
- 英国はフランス、スペイン、アラブ首長国連邦、インドネシア、マレーシア、ギリシャ、デンマーク、ノルウェー、欧州連合とともに、16歳未満ソーシャルメディア禁止を推進している
- 英国の具体的な執行方式や検証方法はまだ公開されていないが、Keir Starmer首相は英国版が「Australia-plus」になると述べている
- 英国はオーストラリアの経験から教訓を得て、子どもが保護措置を回避することをはるかに難しくする立場だ
- Starmerはその後首相職を退いたが、この政策計画が変わる兆候はない
- オーストラリアの執行ですでにプライバシーリスクが伴っている状況で、より強い執行はさらに大きなプライバシー脅威につながり得る
VPN規制の可能性
- 英国当局は、検証回避を防ぐためVPNを標的にすることに公然と関心を示している
- UK Online Safety Act施行後、オンラインの「有害性」に関する政府の壁を避けようとする利用者が増え、VPN利用も増加した
- 英国当局は、Online Safety Act施行後のVPN利用情報を収集していると明らかにしている
- Technology Secretary Liz Kendallは、政府が7月にVPN関連の追加発表を行うと述べた
- Children’s Minister Josh MacAlisterは、VPN利用にも年齢ゲートを適用できる選択肢があり、それは歓迎すべきことだと述べた
- VPN利用を標的にすれば、英国は中国、イラン、ロシアのような国々により近い位置に置かれる可能性がある
米国の州・連邦レベルの動き
- 米国も「papers, please」型のインターネットへ向かっている
- 少なくとも19州が、未成年者のソーシャルメディアアクセスまたは「依存性のある」フィードを扱う法律を可決している
- 一部は執行可能で、一部は差し止め命令を受けており、一部はまだ発効していない
- 20州超が成人向けコンテンツWebサイトに対する年齢確認法を制定している
- 多くの法律は、2025年の最高裁判決 Free Speech Coalition v. Paxton 以降、より強固な立場を得た
- TexasやUtahのような州では、アプリストア年齢保証法が訴訟中である
- 連邦レベルでは、「Kids Online Safety Act」、すなわちKOSAが下院のより広範なKIDS Actパッケージに含まれ、上院とホワイトハウスの間の交渉対象となっている
- 下院案と上院案には多少の違いがあるが、どちらもソーシャルメディアWebサイトやその他のプラットフォームに、利用者の年齢確認を事実上実施させる規制を課す
- 連邦法になれば、自由で開かれたインターネットを維持しようとする州の選択も上書きされることになる
オンライン匿名性と表現の自由への負担
- 州政府と連邦政府は、インターネット利用のさまざまな段階で利用者情報の収集を義務化し得る
- アプリストアでアプリをダウンロードし、アカウントを作成し、写真を投稿する過程にまで、年齢保証または検証の要素が付く可能性がある
- 対象となるのはゲームをしたい14歳の利用者だけでなく、料理の話を投稿する40歳の利用者も含まれ得る
- 議論の範囲はビデオゲームやAIチャットボットへと急速に拡大している
- 新たな義務と層は次のリスクを高める
- データ侵害
- 過剰なデータ収集と保管
- 収集データに対する検閲的な法的要求
- 企業と政府の不正行為
- 自己検閲の圧力
- 明白な修正第1条違反の可能性
- 高位の政府当局者を含む人々が、批判者の身元を悪意を持って追跡しようとした事例があったため、オンライン発言において匿名性の層をより多く保つことが重要だという立場である
- 子ども保護の必要性を真剣に受け止めるとしても、現在提示されている多くの政策と立法的解決策は、インターネット上で自由かつ匿名で発言する能力に耐えがたい負担を生む
- 年齢確認はかなりの部分で本人確認を要求しており、オンラインの表現活動を政府が要求する年齢・身元確認と強く結びつける立法インフラは、後になって解体するのが難しい可能性がある
2件のコメント
ばかげているのにもっともらしく聞こえてしまうのが、まさに現代社会の悲劇ですね。
Hacker Newsの意見
ここには、匿名資格証明のような技術的解決策が少なくとも一部はある。この手法の最新バージョンでは、年齢基準を超えていることの証明のようなメタデータを付けつつ、検証者がユーザーの繰り返しの要求を相互に関連付けられないようにできる
年齢確認と個人のプライバシーに本気の政府であれば、本当にそうかは疑わしいが、プロトコルに合意し、デジタルIDに結び付いた証明書発行者を設立する必要がある。そうすれば、年齢確認が侵襲的な手続きになったり、データ漏えい・内部者脅威を増やしたりせずに済む
https://blog.cryptographyengineering.com/2026/03/02/anonymou...
自分の資格証明が盗まれることと、特に利用が限定された資格証明の譲渡そのものを防ぐことは別問題だ。年齢確認システムの目的は未成年が特定のリソースにアクセスできないようにすることであり、実質的に完全には不可能だと誰もが分かっているが、政府やソーシャルメディア企業が望んでいるのは、その過程の摩擦を大きくすることだ
最も摩擦が大きい方法は、資格証明を何らかの形で現実の身元に結び付けることだ。法的障壁の後ろに隠しておくこともできるが、未成年が誰かの資格証明を使って見つかった場合、その資格証明の所有者を調査し、必要なら未成年に酒を提供したのに近い犯罪で起訴できなければならない。現実世界での執行可能性がなければ、この種の身元確認ソリューションは機能しない
技術的解決策を夢見続けることはできるが、FIREが警告する世界につながらない解決策はない。結局のところ、「十分にまし」な水準で止めて、全面的な本人確認へと拡大しないようにするしかない。ここで可能な解決策は、親が子どものインターネット利用をよりよく監視し制限できる機能を提供する方向に近い。各親が受け入れる被害の水準を決められるようにし、親が勤勉でも回避手段は存在することを受け入れつつ、周辺部で被害を減らすことに集中すべきだ
もちろん親が自分で設定する必要はある。だが親には、酒、薬物、銃、コンドームなどさまざまな物を施錠しておく責任もある
ペアレンタルコントロールが十分に優れていない可能性はある。その点では規制が実際に役立つかもしれない。児童向け認証デバイスに最低限のペアレンタルコントロール機能の実装を義務付け、使いやすくするよう求めればいい
本当の匿名本人確認がどうやって可能なのかもずっと疑問だった。年齢確認の場合、最善でも自分の年齢を検証しなければならず、トークンが有効か確認するには中央機関で検証可能な何らかのトークンを受け取る形になるだろう。中央機関はいつでも自分のトークン記録を保持し、望めば失効させることができ、トークンに結び付けられた、あるいは埋め込まれた年齢を検証できるすべての主体は、少なくとも一部の個人情報を知ることになる
子どもを守ること以外の意図が目的だという点はかなり明白に見える
この主張が有権者に響くには、プライバシー擁護派が「後で足を引っ張る」とは具体的にどういう姿なのかを、もっと明確に語らなければならない。後の方である程度触れてはいるが、ほとんどの人は頭の中で大まかな費用対効果を計算して、小さな利益が小さなリスクを上回ると判断するだろう
「その結果、データ漏えい、過剰なデータ収集と保存、収集されたデータに対する検閲的な法的要求、企業と政府による不正行為、自己検閲の圧力、露骨な修正第1条違反の可能性まで、多くのリスクが生じる。新しい階層と新しい義務が生まれるたびに、リスクの可能性も増える。ここ数年、残念ながら何度も見てきたように、高位の政府高官を含む人々が悪意を持って批判者の身元を突き止めようとするので、オンラインでの発言に残せる匿名性の層は多いほどよい。」
たとえば「オンラインIDの要求は、国民にマイクロチップを埋め込むための第一歩だ」から始めるようなものだ
あるいは「マルクス主義者/アンティファ/ナチ/シオニスト/イスラム主義者/権力を握っていると見なされる何らかの集団が、お前のオンラインプライバシーを破壊して、後でお前に不利に使おうとしている。何か邪悪な集団がお前のあらゆる動きを知りたがっている」といったやり方だ
また「Epsteinファイルを覚えているか? 今度は小児性愛者たちがお前の子どもをオンラインで識別しようとしている」もあり得る
真実・証拠・合理性に基づくアプローチだけでは、人々の関心を引けない。人々はただ気にしないのだ
アメリカに革命的な変化がないと仮定するなら、引退するときにはデジタル世界から抜けるつもりだ。物理メディアだけを使い、サブスクは使わず、図書館で多くの時間を過ごし、似た考えの人を見つけて直接会うつもりだ。銀行業務のような生存に必要な最低限だけは維持する予定だ
プライバシーを侵害しない技術的解決策が多いのはありがたいが、重要な点を見落としているのではないかと思う。子どもたちはそんな幼い年齢から常にインターネットに接続されている必要があるのか。多くのインターネット・携帯電話事業者は、子どもがオンラインであることを当然視しているように見え、そのこと自体が子どもの成長過程で既にプライバシーの純損失を生んでいる
ただし、「子どもたちのことを考えろ」という物語に人々が反発する核心は、結局は子どもだけでなくすべての人がインターネットにアクセスするために資格情報を差し出すことになるという点だ。大人である私たちは、インターネットにアクセスするために身元を証明したいとも思わないし、そうすべき理由もないというのが一般的な合意だ
今後数年、少なくとも英国ではこういう経路をたどりそうだ
技術的には政府に書類を渡さずに行うこともできるが、Home OfficeのWebサイト経由で処理したほうが責任負担は小さい
これがついに今日の中心的争点として浮上してきたようでよかった。これは本当の戦いであり、少なくとも上位3つに入る戦いなのに、これまで一般の関心をほとんど集めてこなかった
Hacker Newsですら、合意はおおむね年齢制限から、すべてのソーシャルメディアを違法化することまで支持する側に近い
私の見方では、そうはならないだろう。身分証を差し出し、サーバーに接続したあらゆる記録が自分に逆追跡されることを許すつもりはないので、インターネットはただますます小さくなっている
絶対に選択肢にはない。私は高所得の業界で質素に暮らしているので、数年以内に引退できる。相続を当てにして賭けるなら今すぐでも引退可能だ
どうしても参加せざるを得ない人たちには気の毒だ。だが、あまりにも多くの人がプライバシーを気にしないからこそ、ここまで来てしまったのだ
ゲーム https://store.steampowered.com/app/239030/Papers_Please/ もとても良い
これは、その気があって政府に助言できる有能な人たちがいれば、かなりうまく解ける技術的問題に近いように見える。DMVに行って鍵ペアとデータベース項目を生成し、アプリは公開鍵とユーザーが署名した秘密鍵の権限で年齢を照会する、といった形だ
アプリは追加データなしで
is_over_21、is_citizenのような特定の確認だけを要求できる。細部はたぶん間違っているが、おおむねそういう構造だ。インフラ全体をオープンソースにすることもできる。年齢確認は第三者企業による本人確認と同じである必要はないし、その企業に身分証を漏えいさせる必要もないユーザーエージェントがペアレンタルロック設定済みならユーザーの年齢を送信し、Webサイトにそれへの準拠を求めればよい
ペアレンタルコントロールとOSは、子どもが回避できないほど堅牢でなければならない。たとえばヘッダーを省略するブラウザをインストールしたり、プロキシサイトで回避したりするのを防ぐ必要がある
それで終わりだ
携帯電話だけに言及するのは、子どもが常に持ち歩き、私的に監督なしで簡単に使える機器だからだ
しかも米国の現政権は、ここで言う有能な人たちを解雇するか無視しており、その人たちはさまざまなメタデータの中央集積所に反対している。単一障害点、つまり標的になるからであり、これは国家にとっても市民にとっても概して悪い考えだ
もちろん、連邦政府機関の中にはすでにこうした情報を持っているところもあるが、それぞれの目的に限って保有している。内部不正利用がより難しく、外部から収集するのもより面倒なので、そのほうがまだましだ
Ethan Zuckermanが以前、議会はこうした問題を解決する準備も能力もないのだから、結果を保証するシステムを設計すべきだと言い、Signalを例に挙げていたと思う。今必要な態度もそれだ。ソフトウェアエンジニアに向けた召集ラッパが必要だ