英国のオンライン安全法(Online Safety Act)とは
英国のオンライン安全法は、2023年10月26日に国王の裁可を得て正式に法律として成立し、2025年3月17日より本格施行された法律(実際の施行は条文ごとに施行日が制定)で、オンラインサービス提供者に対し違法または子どもに有害なコンテンツのリスク評価と管理を義務付けます。英国通信規制機関(Ofcom)が執行を開始しています。大手・小規模を問わずSNSや検索サービスなど広範な事業者が対象で、Ofcomによる規制と違反時の罰則があります。特に子どもの保護や年齢認証強化を重視しつつ、表現の自由や小規模事業者への負担の問題も指摘されています
このうち、一部追加規定が7月25日に施行されました。年齢認証の義務化など一部の中核条項です。
7月25日に施行された「一部の中核条項」は、未成年者保護に関する追加的な義務や規定を指します。主要な内容は以下の通りです。
- プラットフォーム事業者は、18歳未満のユーザーを違法または有害なコンテンツから保護する義務が課されました。
- 新たな犯罪としてAIによる「ディープフェイクポルノ」や「サイバーフラッシング」の共有が規制対象となりました。
- 年齢認証の義務化が強化され、プラットフォームは高度な年齢確認手法を導入し、未成年者が成人向けコンテンツなどにアクセスできないようにすることが求められています。
- デフォルトで未成年のアカウントや個人情報を非公開設定にする、サイバーいじめや不適切な接触を防止するための機能追加、AIチャットボットの安全対策、依存症的なデザイン要素の排除等、未成年の権利と安全を設計段階から守るアプローチが義務付けられています。
この規定は、プラットフォームが「未成年を有害あるいは違法なコンテンツから守る」ため、システム面・運用面の強化を段階的に求めるものです。ただし、特例や smaller business への除外規定も一部存在します。表1はそれらをまとめたもおです。
| ケース | OSA規制の対象外(特例) | 補足 |
|---|---|---|
| 内部業務用(イントラなど) | ○ | 利用者が社内など“閉じた”環境 |
| 機能限定(レビュー欄・コメント欄のみ) | ○ | 投稿や評価のみ、他の双方向機能なし |
| 公的・公益サービス、小ブログ、ボランティア系 | ○ | 二次立法や運用で除外の場合 |
| ニュースパブリッシャー・放送局 | ○ | メディア条項による明示的除外 |
| 小規模であっても高リスクな有害コンテンツサイト | × | ケースごとに政府・Ofcom判断 |
Ofcomが許している年齢確認手段
Ofcomが許可している年齢確認手段は、2025年7月時点で以下のような「堅牢かつ非常に効果的」な方法が挙げられています。
- 顔認証による年齢推定(AIで自撮り写真から年齢を推定)
- 写真付き身分証明書の照合(運転免許証やパスポートなど公的書類の画像をアップロードし照合)
- デジタルIDサービス(Yoti等のデジタルIDウォレットに登録済みの情報を利用)
- 銀行口座等のオープンバンキング認証(銀行の安全なログインシステム経由で年齢情報を提供)
- モバイル回線契約情報(電話番号・通信キャリアの契約情報で年齢を確認)
- クレジットカード情報の確認(18歳以上であることが前提のカードを使用)
- Eメールアカウントに紐づく利用歴の分析(特定サービスの年齢利用履歴を活用)
Ofcomは「自己申告(チェックボックスのみ)」や、本人確認の実効性が十分でない方法(単なる生年月日入力など)は原則許可していません。また、各方式についてはプライバシー保護や情報流出リスクの違いがあるため、事業者はリスク評価のもと技術選定を求められています。
このように幅があるのですが、7月25日の施行からすぐにいろいろな抜け穴が使われ始めています。
抜け穴1: VPN
以前、フランスで同様の法律が施行されたときもそうでしたが、VPNの登録が激増しました。施行後わずか数分で1400%増だそうです。(ちなみに、フランスのときは1000%)。
Ofcomは、プラットフォームやウェブサイト運営者に対し、未成年者がオンライン安全法で義務付けられた年齢確認手続きを回避するために「VPNの利用を促進・宣伝・推奨する」ようなコンテンツを掲載することを禁じていますが、VPN自体を禁止することは不可能で、難しい対応を強いられているようです。
抜け穴2: 顔画像撮影による年齢推定の瑕疵
上記のように、Ofcomでは、AI顔年齢推定も認めています。その具体的な仕組みは以下のようになっています。
- 顔検出と特徴点抽出
- AIによる年齢推定
- 処理の流れ(例)
- 顔画像アップロード/カメラから映像取得
- 顔検出→特徴点抽出→年齢推定モデルへ入力
- 最も近い年齢層や平均推定年齢を出力
- 結果を返却し画像を削除
利点としては、以下のようなものが上げられています。
- 個人情報不要・プライバシー重視
- 高精度・迅速な判定
- 包括性(誰でも利用しやすい)
- なりすまし対策・安全性
- 業務効率化&トラブル抑止
- 証明書の貸し借り攻撃耐性
- 年上の人の証明書を貸してもらって年齢認証を突破するのが難しくなります。
ISO/IEC 27566-1 Age assurance systems Part 1: Framework では、Age Estimation とよばれる部分に当たります。
Discord・Reddit・BlueSky・Xbox等のオンラインサービスや、英国の小売店舗や飲食チェーンでのセルフレジでの利用なども進んできていますが、一部実装でプレゼンテーション攻撃耐性の無いものが使われて突破され、話題になっています。具体的にはDiscordで、ソニー・インタラクティブエンタテインメントより発売されたアクションゲーム『Death Stranding』(デス・ストランディング, デススト)のフォトモードを使って突破できることが報告されています1。
デスストのフォトモードとは、ゲーム内で風景やキャラクターの写真撮影を楽しめる多機能なシステムです。タッチパッドの左側を押すことで起動し、ゲーム進行を一時停止した状態で、自由にカメラ位置やアングルを変えたり、各種設定を細かく調整、撮る対象であるサム(主人公)のポーズ・表情・視線などを細かく変更できるようになっています。この機能を使って、「右を向いて」などの指示にしたがって行動させ、Discordの年齢推定を突破したようです。ISO/IEC 30107 Biometric presentation attack detection や ISO/IEC 19989 Criteria and methodology for security evaluation of biometric systems で要求されているようなことができていなかったのか、あるいはこれらの規格に抜け落ちがあったかのように思われます。今後の推移が見守られます。
脚注
- Satomi. 2025-08-03. 18禁サイトの年齢認証に「ゲーム画面の自撮り」で突破されるセキュリティホール. Gizmode. https://www.gizmodo.jp/2025/08/k-id.html (2025-08-06取得)