年齢確認は、オンラインサービスへのアクセスにおいて標準的なプロセスになりつつあります。子供による特定のコンテンツへのアクセスを制限することを目的としたポリシーの手段として始まったものが、現在ではプラットフォーム、デバイス、そして国家的なユーザー情報システムへと広がりを見せています。
個人のプライバシーに深刻な影響を与えることを踏まえ、Protonは、法律の制定プロセス、企業の実施方法、そしてユーザー情報の確認が日常的なデジタルインフラに埋め込まれた場合に何が起きるかなど、多角的な視点からこの変化を追い続けてきました。
年齢確認が実際に意味するもの
年齢確認は、多くの場合、お客様がサービスにアクセスするのに十分な年齢であるかを確認するための単純な安全策として説明されます。しかし実際には、この用語は、自己申告の生年月日から、政府発行のID確認、サードパーティのユーザー情報サービスまで、幅広いシステムを網羅しています。
言葉の説明と実際の運用との間の乖離は重要です。これらのシステムが拡大するにつれ、確認作業において、公的な身分証明書類や生体認証データなど、お客様が予想する以上の個人データの収集が伴うことが多々あります。
詳細を読む: 年齢確認が実際に意味するもの(そしてなぜその用語が誤解を招くのか)
拡大する年齢確認法
複数の地域の政府が、特定の種類のコンテンツやサービスへのアクセスを許可する前に、プラットフォームにユーザーの年齢確認を義務付ける法律を導入または提案しています。これらのポリシーは通常、児童保護対策として正当化されています。
当社のレポートでは、これらの法律が施行された後に何が起こるかに焦点を当ててきました。義務付けられる要件は時間の経過とともに拡大する傾向にあり、法執行によって、プラットフォームはより侵襲的な形式のユーザー情報収集へと追い込まれることがよくあります。場合によっては、オンラインサービスへのアクセスが、本来の製品設計には含まれていなかった確認システムと結び付けられることもあります。
より広範な影響もあります。確認作業が一般的になるにつれ、制限されていないコンテンツであってもユーザー情報の確認を必要とするシステムを経由するようになるなど、オンラインでの情報へのアクセス方法に影響を及ぼす可能性があります。
詳細を読む: 年齢確認を急ぐあまり、子供たちのセキュリティを危険にさらしている
プラットフォームにおける年齢確認
規制当局の圧力を受け、プラットフォームは世界的に年齢確認システムの導入を開始しています。例えば、Discordはサービスの一部で「デフォルトでティーン向け」の確認アプローチを導入しました。
これらのシステムでは、特定の機能やコンテンツにアクセスする前に、お客様に年齢の確認を求めます。このプロセスは多くの場合、外部の確認プロバイダーやユーザー情報の提出に依存しています。
プラットフォームの統合を通じて提出された数万件の政府発行IDが、年齢確認データの漏洩によって流出した際、セキュリティへの影響がより顕著になりました。この事件は、アクセス制御のために身分証明書類を一元管理することに伴うリスクを浮き彫りにしました。
詳細を読む: Discordが世界規模で「デフォルトでティーン向け」の年齢確認を導入
Discordのデータ侵害で70,000件の政府発行IDが流出
オペレーティングシステムに移行する年齢確認
年齢確認は、もはや個別のアプリやウェブサイトに限定されるものではありません。オペレーティングシステムやデバイスレベルの設定への統合がますます進んでいます。
確認作業がOS層に移行すると、アクセス制御の仕組みが変わります。各アプリが独自に確認を行う代わりに、オペレーティングシステムが、サービス全体の年齢関連の権限を管理するゲートキーパーとして機能することになります。
Appleは、規制の圧力が高まっている英国において、年齢関連の確認機能の導入を開始しました。これにより、ユーザー情報の確認に関する責任の一部が、アプリからデバイスメーカーへと移ります。
詳細を読む: 年齢確認がオペレーティングシステムに導入されるとき
Appleが英国のiPhoneにユーザー情報確認を伴う年齢確認を導入
デジタルユーザー情報システムと国家ポリシー
政府は、単なる年齢確認だけでなく、あらゆるサービスで利用可能な、より広範なデジタルユーザー情報の枠組みの構築へと動いています。
英国で提案されているデジタルIDシステムはその一例です。これはサービスへのアクセスを効率化し、確認プロセスを改善する方法として位置付けられています。一方、批判的な人々は、適用範囲の拡大や、ユーザー情報システムが日常的なオンライン活動に埋め込まれる可能性について懸念を表明しています。
オーストラリアもソーシャルメディアへのアクセス方法に影響を与えるポリシーを導入しており、ユーザー情報の確認やプラットフォームのコンプライアンスに影響を及ぼしています。これらの措置は特定の害悪に焦点を当てたものですが、ユーザー情報に紐付いたアクセス制御という広範なトレンドを助長するものです。
詳細を読む: 英国の新しいデジタルID案の解説
世界初、オーストラリアのソーシャルメディア禁止令:プライバシーにとってさらに悪影響となり得る理由
現実世界のシステムにおけるセキュリティリスク
年齢確認システムは、機密性の高い個人データに依存しています。多くの場合、それには政府発行の身分証明書や生体情報が含まれます。
セキュリティ事案によって、すでにそのリスクは明らかになっています。EUで使用されている年齢確認アプリはリリース直後に侵害され、これらのシステムが導入された後、いかに早く攻撃を受け得るかという疑問を投げかけました。ユーザー情報確認を使用しているプラットフォームが関与した他の侵害事例でも、大量の個人データが流出しています。
これらの出来事は、構造的な問題を指摘しています。ユーザー情報を確認するために設計されたシステムは、攻撃者にとって価値の高い標的にもなり得るということです。
詳細を読む: EUの年齢確認アプリがわずか2分でハッキングされる
ユーザー情報に基づかない確認の代替案
完全なユーザー情報の開示を必要とせずに年齢を確認しようとするアプローチもあります。例えば、デバイス上の推定技術や、サードパーティとのデータ共有を最小化するように設計されたシステムなどです。
これらのモデルはまだ開発途上であり、規制において広く採用されてはいません。現在の法律や実施例のほとんどは、ユーザー情報の確認、または個人データの提出を必要とする同等の手法に依存しています。
詳細を読む: 年齢確認に代わる方法とは?
この変化が向かう先
年齢確認は、法規制からプラットフォーム、オペレーティングシステムに至るまで、インターネットの複数の層にますます埋め込まれています。各層で独自の実施方法が導入されていますが、全体の方向性は一貫しています。すなわち、より多くのオンラインアクセスがユーザー情報の確認と結び付けられようとしています。
その実質的な結果として、オンラインにおけるプライバシー、匿名性、そしてアクセスの共存の仕方が変化しています。特定の保護を目的として設計されたシステムが、一般的なインフラへと拡大しつつあります。
このレポート集では、現在進行形で進むその推移を追跡しています。
