子どもを守る法律が、大人を監視する

あなたがSNSにログインするたびに、あなたの顔が見知らぬAI企業のサーバーを通過しているとしたら——それは「子どもの安全」のための仕組みです。

米国では今、未成年者をオンラインの有害コンテンツから守るための法律が、予期せぬ副作用を生み出しています。約半数の州が、ソーシャルメディア・ゲーム・成人向けコンテンツサイトなどに対し、未成年者のアクセスを遮断する「年齢確認ゲート」の設置を義務付ける法律を制定または推進中です。問題は、その確認のために、すべての利用者——つまり大人も含めた全員——が身元証明を求められる点にあります。

何が起きているのか

Discordは今年2月、全世界でのユーザー年齢確認の義務化を発表しました。同社の計画では、顔認識の処理はユーザーのデバイス上で行われ、送信データは即時削除されるとしていました。しかし発表直後、「セルフィーや政府発行IDを提出しなければ機能が使えない」という仕様に対してユーザーから強い反発が起き、導入は今年後半に延期されました。

共同創業者でCTOのスタニスラフ・ヴィシュネフスキー氏は2月24日のブログ投稿でこう認めています。「率直に言います。このロールアウトが物議を醸すことはわかっていました。アイデンティティと認証に触れるものを導入すれば、必ず強い反応が生まれます。」

技術的な仕組みはこうです。成人向けコンテンツや金融サービスでは、政府発行IDのスキャンと本人の顔写真の照合による完全な本人確認が一般的です。一方、SNSやリスクの低いサービスでは、セルフィーや動画を分析して年齢を推定するAIモデルが使われることが多く、詳細な個人情報を永続的に保存しないよう設計されています。

しかし、この確認作業を実際に担うのは、各プラットフォームではなく、JumioやSocureといった専門の「アイデンティティ確認ベンダー」です。これらの企業はウェブサイトに代わって個人情報を処理し、プラットフォームには「通過/不通過」の結果だけを返します。

Socureの最高成長責任者リブカ・ゲルヴィッツ・リトル氏によると、同社はゲームや不正防止などIDスキャンが必要な本格的な本人確認のケースでは、一部の成人確認データを最大3年間保持することがあるといいます。

なぜ今、これが重要なのか

データの集中が意味するのは、リスクの集中です。今年初め、Discordはサードパーティサービスへの不正アクセスにより、約7万人のユーザーのID画像が流出したことを公表しました。これは、身元確認データを保存することの危険性を具体的に示した事例です。

電子フロンティア財団（EFF）の立法アナリストモリー・バックリー氏は、年齢確認システムが「最も機密性が高く、変更不可能なデータ——名前、顔、生年月日、自宅住所——をオンライン上の行動と結びつける」と警告しています。「年齢確認は、自由でオープンなインターネットの基盤を揺るがすものだ」と彼女は言います。

法的な問題も動いています。先週、バージニア州の連邦裁判所が、主要SNS企業の業界団体が提起した修正第1条（言論の自由）に基づく訴訟において、同州の年齢確認法の執行を少なくとも一時的に差し止める判決を下しました。

インターネット法専門家のハイジ・ハワード・タンディ弁護士は、利用規約の落とし穴を指摘します。「利用規約には、法執行機関から要求があれば情報を提供すると書かれています。自分の基本情報が自分のコントロール下にないことを、誰もが理解しなければなりません。」

さらに彼女は、「3年間保持する」という約束の曖昧さについても警告します。「それは最低限の保持期間です。『3年と1日後にすべて削除する』という会社を信頼できますか？そんなことは起きません。」

日本企業・日本社会への接点

この問題は、米国内だけの話ではありません。Discordは全世界での義務化を発表しており、日本のユーザーも対象です。ソニーのPlayStation Network、任天堂のNintendo Switch Onlineなど、日本発のゲームプラットフォームも米国市場でこの規制に対応しなければなりません。

日本では、マイナンバーカードを活用したデジタル本人確認の整備が進んでいます。こうした国内インフラが、将来的に海外プラットフォームの年齢確認にも活用される可能性があります。一方で、日本社会が持つプライバシーへの感覚——個人情報の慎重な扱いを重視する文化——は、米国型の「AI顔認証ゲート」に対して抵抗感を生む可能性もあります。

規制の方向性として、EFFは「包括的な連邦プライバシー法」の制定を訴えています。データの最小化（必要最低限の情報のみ収集する原則）を軸にした法整備は、日本のGDPR対応の議論とも重なります。