VPN大全 デジタルプライバシー Weeklyレポート 2026年3月第5週

2026年3月23日〜3月29日のデジタルプライバシー関連ニュースをまとめてお届けします。

今週のヘッドライン

政府監視・規制

香港、令状なしでスマホパスワード提出が強制可能に

3月23日に香港の国家安全法が改正され、即日施行されました。

香港への渡航を予定している方は、特に注意が必要です。

新たな権限は以下の通り。

• 警察：国家安全法違反の疑いがある人物に対して、令状無しで、スマホ・PCのパスワードや復号化キーの提出を強制可能
• 税関：煽動的意図があると判断した物品を、裁量で押収可能。

拒否した場合は最大禁固1年＋罰金約19万円、虚偽情報提供は最大禁固3年＋罰金約96万円の罰則となります。

The Guardian：Hong Kong police can demand phone and computer passwords under amended national security law

EU「チャットコントロール1.0」が1票差で廃止

EUの「Chat Control 1.0」が、わずか1票差で廃止されました。

チャットコントロールとは、2022年にEUが提案した規制で、「児童ポルノ（CSAM）対策」を名目に、メッセージアプリ等の内容を全スキャンする仕組みです。

エンドツーエンド暗号化の解除を求めた点が最大の問題でした。

2026年4月4日以降、EUでは、暗号化されていないメッセージも含めて、無差別なスキャンが禁止されます。

日本や米国はこの規制の対象外で、引き続き全スキャンが継続されます。

また、ドイツのメルツ政権は、ドイツ独自の規制を検討すると表明しています。

APOLLO NEWS：„Schwerer Rückschlag“ – jetzt will Merz die Chatkontrolle auf nationaler Ebene durchboxen

米FCC、外国製ルーターの輸入・販売を全面禁止

米国の連邦通信委員会（FCC）が、外国製（事実上は中国製）ルーターの輸入・販売を全面禁止しました。

中国系ハッキンググループ「Volt Typhoon」「Salt Typhoon」「Flax Typhoon」による悪用が背景にあります。

現行機器の継続使用は可能です。

FCC：FCC Updates Covered List to Include Foreign-Made Consumer Routers

監視カメラが国家安全保障のリスクに

2026年2〜3月にかけて複数の一次ソースが報じた内容によると、イランはヒジャブ取り締まりや、反体制監視を目的に、大規模な監視カメラネットワークを構築していました（主に中国製のHikvision・Dahua製）。

イスラエル軍Unit 8200がそのカメラのほぼ全台をハッキングし、AIで映像解析して最高指導者ハメネイ氏の行動パターンを把握。

これが2026年2月末の作戦につながったとされています。

Hikvision・Dahuaカメラには既知の重大な脆弱性（CVSSスコア9.8）が存在し、イランの件でも悪用されたとされています。

「外国製ネットワーク機器を国内インフラに組み込む」リスクの典型例であり、FCCの決定と同じ文脈で捉えることができます。

なお、一部で「中国がこれを受けて街中のカメラを撤去している」という情報が出回っていますが、信頼できる一次ソースは確認できていません。

実態は逆で、中国は「天網」「雪亮工程」などの監視プロジェクトを継続・拡大中とみられています。

プラットフォーム・法的責任

Meta、ニューメキシコ州で3億7500万ドルの損害賠償命令

ニューメキシコ州の陪審員が、Metaに対して3億7500万ドルの損害賠償を命じました。

この裁判は「プラットフォームはユーザーが投稿したコンテンツに責任を負うか」を問うもので、今後のテック業界全体に影響します。

3つの要素が組み合わさっています

1. 少女への性的勧誘：2023年、捜査官が「13歳の少女」を装った偽アカウントを作成したところ、性的な投稿・勧誘で溢れかえり、Metaが十分な対処をしていなかったと認定
2. 依存性を生む設計：Metaは子どもの利用時間を最大化するようにアルゴリズムを最適化しており、精神的健康被害のリスクを知りながら無視したと指摘
3. Section 230の適用外：通常、プラットフォームはユーザー投稿コンテンツに法的責任を負わないが（Section 230）、今回は「Metaが積極的に危険コンテンツを提供した」として免責が認められなかった

Metaは控訴予定で、決着には数年かかる見込みです。

BlogSicilia：Meta fined $375 million: jury rules platforms harmed children

Meta Pixelで医療情報が漏洩、集団訴訟に発展

非営利医療団体Baystate Healthのウェブサイトに貼られていた広告測定ツール「Meta Pixel」が、予約フォームの入力内容をMetaに送信していたとして、集団訴訟に発展しています。

連邦盗聴法違反が認められれば1人あたり最大1万ドルの損害賠償となり、Baystateは数億ドルの支払いを命じられる可能性があります。

Baystateは異議申し立てをしましたが、却下されました。

Meta Pixelは広く使われているJavaScriptですが、設定によってはフォームの入力内容まで読み取って送信することがあります。

2022年の調査では、米国の主要病院の3分の1に設置されていたことが判明しています。

日本でも、Meta PixelやGoogle Analyticsを設置しているサイトは、設定とプライバシーポリシーの確認が必要となります。

Metaはデジタル実名制を望んでいる？

最近、各国の政府が「年齢確認」の名目でデジタルIDを推進していますが、これは子どもの安全を建前とした監視強化であるという疑いがあります。

一方、インターネット上のトラフィックの半数以上がBotとなった現在、テック企業は広告表示のために、人間であることを確認されたユーザーからのアクセスを求めています。

特にMetaは、Facebookの頃から実名であることを重視しており、様々な裁判に巻き込まれながらも、実は政府と協力してデジタルIDの普及をすすめているのではないか、という指摘があります。

Reclaim The Net：The Age Verification Con

匿名性・プライバシーツールの限界

匿名Googleアカウントもクッキーで特定される

米国オハイオ州で「建物内に爆弾がある」と脅迫した人物が、匿名のGoogleアカウントを使っていたにもかかわらず、Googleのクッキーから本アカウントと紐づけられ逮捕されました。

単純にGoogleアカウントを切り替えただけでは、Googleは同じユーザーだと認識していることが分かります。

匿名化を考えるのであれば、最低でも別端末・別キャリアであることが必要となりますが、それでも然るべき機関が捜査すれば特定は難しくないとみられています。

Forbes：How Cops Use Google’s Cookies To Unmask Anonymous Users

Appleの「メールを非公開」、脅迫犯があっさり特定

Appleの「メールを非公開（Hide My Email）」機能を使ってFBI長官の交際相手に脅迫メールを送ったユーザーが、Appleへの照会によりあっさり特定されました。

「メールを非公開」はAppleがランダムなメールアドレスを生成し、本来のアドレスを隠せる機能です。

スパム対策には有効ですが、匿名性の確保にはなりません。

なお、Proton Mail等の暗号メールを使っても、メール本文は見れなくなりますが、匿名ということにはなりません。

9to5mac：iCloud user learns ‘Hide My Email’ privacy does not apply to serious threats

空港でのスマホ検査対策まとめ

米国の移民税関執行局（ICE）が旅行者のスマホを検査し、入国拒否や拘束につながるケースが増えています。

以下のような対策が推奨されています。

• 普段のスマホを自宅に置き、使い捨てデバイスや一時的SIM/eSIMを使用
• 顔認証、指紋認証を無効化し、パスワードを使用
• セキュリティチェックは、スリープではなく、電源オフで通過
• 重要アカウントからログアウト
• 不要アプリ、連絡先、ファイルを削除

なお、没収された場合は、保管証（CBP Form 6051D）を受け取ることを忘れずに。

返却までに数ヶ月かかる場合もあります。

The Intercept：How to Keep ICE Agents Out of Your Phone at the Airport

デジタルID・年齢確認

スウェーデンの国家デジタルIDシステムがハッキングされる

ハッカーグループ「ByteToBreach」が、スウェーデンのデジタルIDシステム「BankID」に侵入したと主張。ソースコード・パスワード・暗号化キーが流出したとされています。

担当のCGI社は侵入を認めつつ、テストサーバーの古いデータであり、本番環境への影響はないと説明しています。

BankIDはスウェーデンの行政・銀行・認証を管理する唯一のシステムで、昨年もDDoS攻撃でオフラインになっています。

単一障害点（SPOF）となっている懸念が高まっています。

Voice Media Global：Sweden’s Digital ID System Hacked, Public’s Data Sold on Dark Web

英国、iOS 26.4で年齢確認機能を正式公開

iOS 26.4から、英国向けに年齢確認機能が正式公開されました。

IDまたはクレジットカードのスキャンで年齢を確認する仕組みで、年齢確認が行われない場合は自動的に子どもの安全保護機能が有効となり、有害コンテンツのブロックや自動ぼかしが入ります。

現在のところ英国のみで、日本では未展開です。

The Verge：Apple’s iOS 26.4 update adds age verification in the UK

セキュリティ

Appleの「ロックダウンモード」は最強のセキュリティか

Appleがロックダウンモードについて、2022年に導入されて以降、ハッキングされた事例は現在まで1件もないと報告しました。

ロックダウンモードは一般ユーザー向けではなく、政治家やジャーナリストなどサイバー攻撃の標的になりやすいユーザー向けの機能です。

有効にすると様々な便利機能が無効化されますが、攻撃側の付け入る隙がなくなります。

なお、Androidに同様の機能はありません。GrapheneOSに近い機能があるようですが、上級者向けです。

TechCrunch：Apple says no one using Lockdown Mode has been hacked with spyware

AI・テクノロジー

Zoom公開リンクが無断録画、AIポッドキャストとして勝手に公開

「WebinarTV」というサービスが、公開リンクで開催されたZoomミーティングを無断録画し、AIポッドキャストとして公開していたことが判明しました。

SNS等から公開リンクを収集し、AIブラウザ拡張機能で自動参加・録画後、AIで文字起こし・ポッドキャスト化しているとみられています。

Zoom公式によると、外部ツールによる録画を防ぐことはできないとのことです。

404 Media：This Company Is Secretly Turning Your Zoom Meetings into AI Podcasts

深堀り分析：3つの力が「実名制」に収束し、プライバシーが排除される

今週のニュースを並べると、一見バラバラに見える動きが、同じ方向に向かっていることがわかります。

「本人確認なしではインターネットを使えない世界」です。