EUで、VPNがちょっとした“悪者”扱いされ始めています。
CyberInsiderが紹介した記事によると、EUの政策調査機関である European Parliamentary Research Service(EPRS) が、VPNはオンラインの年齢確認をすり抜けるために使われており、「閉じるべき抜け穴」 だと警告したそうです。
ここでいう年齢確認とは、ざっくり言えば「この人は何歳か」をネットサービス側が確認する仕組みです。
アダルトサイトだけでなく、年齢制限のあるコンテンツや一部サービスへのアクセスで求められることがあります。子どもを守るためのルールとして導入が進んでいますが、実際にはかなりやっかいです。
VPN(Virtual Private Network)は、通信を暗号化し、自分のIPアドレス(だいたいの所在地の手がかり)を隠すための仕組みです。
簡単に言うと、ネット上で「どこからアクセスしているか」を見えにくくする道具ですね。
本来は、
といった、かなりまっとうな用途があります。
ただし、その「所在地を隠せる」という性質が、年齢確認と相性が悪い。
たとえば、ある国では年齢確認が必要でも、VPNで別の地域にいるように見せれば、地域ベースの制限を回避できるわけです。ここが規制当局の頭痛のタネになっています。
記事によると、EPRSは、英国や米国のいくつかの州で年齢確認が義務化されたあと、VPNの利用が急増したと指摘しています。
英国では、オンラインサービスが子どもを有害コンテンツから守る義務を負うようになってから、VPNアプリがダウンロードランキング上位を占めたとも伝えられています。
この流れ、正直かなり“予想通り”ではあります。
人は規制されると、だいたい回避策を探します。インターネットの歴史って、わりとその繰り返しです。
ブロックすれば抜け道が生まれ、抜け道を塞げばまた別の抜け道が出てくる。猫とネズミの追いかけっこですね。
EPRSの文書は、VPNを規制の穴として扱っており、一部の政策担当者や子どもの安全を重視する人たちは、VPNサービス自体に年齢確認を課すべきだと考えているようです。
英国のChildren’s Commissioner(児童担当委員)も、VPNは大人だけが使えるようにすべきだと呼びかけたとのことです。
ここはかなり議論を呼ぶところです。
気持ちはわかります。子どもを守りたい、というのは当然です。
でも、VPNに本人確認を義務づけると、VPNの“うまみ”である匿名性がかなり削られます。しかも、本人確認のために集めたデータが、もし漏れたり悪用されたりしたらどうするのか。プライバシー保護の道具に、逆に個人情報を大量投入するという、なんとも皮肉な話になります。
個人的には、ここはかなり危ういと思います。
VPNは「怪しい人が使うもの」ではなく、普通の人の安全や自由を支える道具でもあるからです。
それを一律に年齢確認対象にすると、子ども対策のつもりが、一般ユーザーのプライバシーを広く削る方向に行きかねません。
面白いというか、ちょっと気まずいのがここです。
記事では、先月、EU委員会の公式年齢確認アプリに複数のセキュリティとプライバシーの欠陥が見つかったと紹介されています。
そのアプリは、DSA(Digital Services Act、デジタルサービス法)の枠組みの中で「プライバシーを守る設計」として推されていたのに、実際には
とされました。
ここはかなり象徴的です。
“プライバシーを守るための仕組み”が、まず安全に動いていない。
この段階で「じゃあVPNも締め上げよう」となるのは、正直ちょっと順番が違う気がします。
まず自分たちのシステムをちゃんと固めるのが先ではないでしょうか。
EPRSの文書は、EU内で年齢確認がいかに難しく、しかも地域ごとにバラバラかも認めています。
今よく使われる方法としては、たとえば
などがあります。
でも、どれも万能ではありません。
自己申告は当然、子どもでもウソをつけます。
年齢推定は精度に限界があり、誤判定の問題がある。
ID確認は強い方法ですが、今度は「個人情報をどこまで出すのか」という問題が出ます。
そこで注目されているのが、フランスなどで使われている “double-blind” verification です。
これは少し難しそうですが、考え方はシンプルです。
サイト側には「年齢条件を満たしている」という事実だけを伝え、本人が誰かは知らせない。
一方で、年齢確認の提供側も「どのサイトを見ているか」はわからない。
なるほど、これはかなり筋がいい発想だと思います。
「必要な情報だけを渡し、余計な情報は渡さない」。
プライバシー設計としては、かなり美しいですよね。
ただ、こういう仕組みを実用レベルで広げるのは簡単ではなく、制度と技術の両方が必要です。
記事によれば、米国のユタ州は、オンライン年齢確認に関してVPN利用を明示的に対象にした最初の州になったそうです。
州法SB 73では、ユーザーの位置をIPアドレスではなく、実際の物理的な所在地で定義するとしています。つまり、VPNやプロキシで場所を隠しても、規制上はごまかせないようにする考えです。
ここまで来ると、VPNは「便利なツール」から「規制の敵」へと、かなり印象が変わります。
でも、だからといって簡単に禁止していいものでもない。
VPNは、企業のテレワーク、ジャーナリスト、活動家、一般ユーザーの安全確保など、幅広い場面で使われています。
“悪用できるから規制”を進めすぎると、普通の人の利便性と自由が削られる。このバランス感覚が本当に難しいところです。
EPRSは、EUが今後サイバーセキュリティやオンライン安全に関する法律を見直す中で、VPN提供者への監視が強まる可能性があると示唆しています。
将来的には、EU Cybersecurity Actの改定で、VPNの悪用を防ぐための子ども保護要件が入るかもしれない、という見立てです。
ただ、ここはまだ「そうなるかもしれない」という段階です。
実際にどこまで踏み込むかは、政治的にも技術的にもかなり揉めるはずです。
私としては、VPNそのものを悪者にするより、年齢確認の設計をもっと賢くする方向が現実的ではないかと思います。
全部を一律に締めるのは簡単ですが、自由やプライバシーのコストが高すぎます。
今回の話は、単に「EUがVPNを嫌っている」というだけではありません。
本質は、子どもを守る規制を強めるほど、匿名性やプライバシーと衝突しやすくなるという問題です。
しかも、その規制を実装する側の年齢確認アプリ自体に欠陥が見つかっている。
この状況を見ると、制度の方向性は理解できても、運用はかなり難しいと言わざるを得ません。
結局のところ、ネットの世界では
を全部100点で満たすのはほぼ無理です。
だからこそ、どこに線を引くかが重要になる。
今回のEUの動きは、その線引きがいよいよ本格的に政治問題になってきた、というサインだと思います。
参考: EU calls VPNs “a loophole that needs closing” in age verification push
