2026年3月30日〜4月5日のデジタルプライバシー関連ニュースをまとめてお届けします。
今週のヘッドライン
VPN・インターネット規制
ロシア、Apple IDへの携帯キャリア決済を禁止
4月1日より、ロシアが携帯キャリアの残高からApple IDへの入金を禁止しました。
ロシアではクレジットカードの普及率が低く、現金をATMでキャリア口座にチャージし、App StoreでキャリアIDによる決済をするという流れが主流でした。この経路を塞ぐことで、VPNアプリを経済的に締め出す狙いです。
VPNアプリだけでなく、ロシアのApp Store市場全体が消滅することを意味するため、Appleへの圧力という側面もあります。
Ukraine News Today:Russia Orders Mobile Operators to Disable Apple Account Payments to Limit VPN Access
ロシア政府、VPN取り締まり強化を正式表明
4月2日、ロシアのデジタル開発大臣が新たなVPN規制方針を発表しました。
5月1日より、月15GB以上の国際データ通信に課金がされます。さらに、VPN検出時にアクセス制限がが実施されます。
ではVPNを使用することが禁止かというとそうでもなく、経済的コストによる抑制を狙っているようです。
The Moscow Times:Russia’s Digital Ministry Declares War on VPNs
ロシアで大規模決済障害
4月3日、ロシアで大規模な決済システム障害が発生しました。
Telegramの創業者パベル・デュロフ氏は、VPNをブロックした結果だと主張しましたが、ロシア当局からの公式説明はなく、因果関係は不明です。
Bloomberg:Russia's VPN Crackdown Caused Bank Outage, Telegram Founder Says
VPNを使っても位置情報がバレる3つの理由
VPNを使っていても、以下の経路から実際の位置情報や身元が漏れることがあります。
- WebRTCリーク:ブラウザ上のビデオ通話・ファイル共有に使われる仕組みで、VPNトンネルを迂回して実IPアドレスで通信することがあります。ブラウザの設定またはWebRTCリークテストで確認できます。
- DNSリーク:VPNを通さずにISP提供のDNSサーバーと通信してしまう現象。信頼できるVPNは独自の暗号化DNSを提供していますが、設定が不十分だと漏れます。
- ブラウザフィンガープリント:画面サイズ・OS・フォント・プラグインの組み合わせでほぼ個人を特定できます。これはVPNとは無関係であり、VPNでは防げません。
VPNは「IPアドレスを隠す」ツールであり、包括的な匿名化ソリューションではありません。
多層的なプライバシー対策の一部として位置づけることが重要です。
How-To Geek:Your browser is leaking your real location even with a VPN
AIがVPN技術を再構成している
セキュリティ面で、AIは攻撃側も防御側も利用しています。
もはや利用しないという選択肢はなさそうです。
THE AI JOURNAL:How AI is reshaping VPN technology — and why it matters for enterprise security
監視・プライバシー
ホワイトハウス公式アプリが位置情報を収集?
3月30日、「ホワイトハウスの公式アプリが5分間隔で位置情報を収集している」という情報が拡散しましたが、その事実はない模様です。
あるXユーザーがアプリを逆コンパイルし、「5分間隔でサードパーティサーバーに位置情報を送信するコードがある」と投稿しました。
しかしその後の調査で、問題のコードはSDKに含まれているものの使用されておらず、アプリの権限要求も存在しないことが確認されました。
ただし、プライバシーポリシーの不備や、Huaweiのトラッカーが含まれていることが確認されたため、依然として懸念点は残っています。
INTERNATIONAL BUSINESS TIMES:White House App Found Tracking Users' Exact Location Every 4.5 Minutes via Third-Party Server
顔認識による誤認逮捕、肌の色が黒い人で10〜100倍高いリスク
米国では、警察や移民関税執行局(ICE)が、捜査に監視カメラの映像を利用することが増えています。
しかし顔認識は、肌の色により識別率が異なり、肌の色が濃いとエラーが10~100倍も高まることが分かっています。
これは、誤認逮捕のリスクとなるだけでなく、人種差別を助長することになることが懸念されています。
IEEE Spectrum:Facial Recognition Is Spreading Everywhere Misapplied tech is causing real-world harm
カリフォルニア州、Flock Safety社の監視カメラ500台以上が違法運営
カリフォルニア州リバーサイド郡で、Flock Safety社の監視カメラ500台以上が違法状態で運営されています。
- 道路占用許可証の失効
- 名義の間違い
- 公共の利益に合致する法的根拠がない
- 交通制御計画がない
- 料金免除の根拠がない
行政手続の不備が数年間放置されていたとされています。
Have I Been Flocked?:No Permit, No Problem: California Governor Hopeful Chad Bianco's 500+ Unauthorized Surveillance Cameras
年齢確認・SNS規制
Apple、韓国・シンガポールでも年齢確認を開始
英国に続き、韓国とシンガポールでもAppleの年齢確認機能が展開されています。
韓国
- 成人向けコンテンツのダウンロード・ストリーミング時に年齢確認が必要(19歳以上)
- 携帯キャリアと完全一致する氏名・生年月日・性別・国籍・電話番号等を入力
- さらにSMS認証
- 毎年、再確認が必要
シンガポール
- 18歳以上向けアプリのダウンロード・購入時に年齢確認が必要
- クレジットカード、運転免許証、国民登録身分証明書、外国人識別番号カード等で確認
- パスポート、デビットカード、ギフトカードは不可
現在3カ国での展開ですが、世界的に広がる可能性があります。
Reclaim The Net:Apple Expands Age Verification to Singapore & South Korea
マレーシア、世界最厳レベルのSNS年齢制限を導入へ
マレーシアが2026年後半から、16歳未満のSNS利用を禁止する予定です。
政府発行ID「MyDigital ID」による確認に限定されるようで、世界最高レベルの厳しさとなるかもしれません。
Biometric Update:Malaysia’s age verification rules for social media could be world’s strictest
Google、Play Store外のアプリ配布に本人確認を義務付け
Googleが、Google Play公式ストア以外でアプリを配布する開発者に対し、本人確認を義務付けると正式に発表しました。
ブラジル・インドネシア・シンガポール・タイでの先行展開から、全世界への適用に拡大されます。開発者はAndroid Developer Consoleでアカウントを作成し本人確認する必要があります。
なお「パワーユーザー」は引き続き、認証されていないAPKをインストールできます。
パワーユーザーとなるには、デベロッパーモードの有効化、意思確認(第三者に誘導されていないか)、デバイスの再起動(リモート操作されていないか)等の動作が必要で、2026年8月以降に展開される予定です。
BleepingComputer:Google adds ‘Advanced Flow’ for safe APK sideloading on Android
データ漏洩・セキュリティ
インドの銀行がパスワードを無断で大文字化、平文保存の疑い
インドのある銀行が、顧客のパスワードを無断で大文字に変換していたことが発覚しました。
銀行側は「ハッシュを一致させるため」と説明していますが、これは技術的に矛盾しています。パスワードを正しくハッシュ化していれば、大文字・小文字の変換は不可能なはずです。
セキュリティ専門家は、銀行がパスワードを平文(暗号化なし)で保存している証拠ではないかと警告しています。また、パスワードを大文字のみに限定するとブルートフォース攻撃に対して脆弱になります。
Cyber Security News:HSBC India Asks Customers to use All-Uppercase Passwords
カナダの送金アプリが36万件超の個人情報を無防備で公開
カナダの送金アプリ「Duc App」が、36万件超の運転免許証・パスポート・自撮り写真・取引履歴などを、暗号化・パスワードなしで誰でも閲覧できる状態にしていたことが発覚しました。
AmazonのS3ストレージに2020年9月から毎日アップロードされていたとのこと。
セキュリティ研究者が発見しTechCrunchが同社に連絡したところ、「テスト用のステージングサイト」「適切な保護措置が講じられている」「御社とは契約がない」など的外れの回答を連発しました。
TechCrunch:Money transfer app Duc exposed thousands of driver’s licenses and passports to the open web
Adobeから1,300万件のサポートチケットなどが大規模流出
Adobeから、個人情報を含む1,300万件のサポートチケット、1万5,000人分の従業員記録、HackerOneへの全投稿、社内文書などが流出しました。
以下のようなソーシャルエンジニア攻撃とされています。
- インドのアウトソーシング企業にメールでRAT(リモートアクセスツール)を送付
- PCを完全掌握後、その上司に対してフィッシング攻撃
- 上司への攻撃成功により、Adobe内部システムへの高い権限を取得
Adobeからの公式発表はまだない模様です。
プライバシー・法律・政策
日本レコード協会がBitTorrentユーザーに開示請求
一般社団法人日本レコード協会(RIAJ)が、P2Pファイル共有ソフト「BitTorrent」を利用して「アップロード」していたユーザーの開示請求が認められたと表明しました。
2024年からISPに対し開示を求めていたが、一部のISPは応じていなかったため、東京地方裁判所に提訴していたとのことです。
発信者開示請求というと誹謗中傷によるものというイメージがありますが、実際には95%が著作権侵害(主にアダルト動画)によるものです。
「BitTorrent」の仕組みを理解せず、意図せず「アップローダー」となっているユーザーが多いとみられています。
INTERNET Watch:P2Pファイル共有ソフト「BitTorrent」利用の違法アップローダーに発信者情報の開示を命じる判決、日本レコード協会が発表
Anthropic対Reddit訴訟、連邦裁から州裁判所へ差し戻し
AnthropicがRedditをスクレイピングした裁判が、著作権侵害ではなく不法侵入やプライバシー侵害が焦点として、連邦裁判所からカリフォルニア州裁判所に差し戻されました。
双方の主張は以下のとおりです。
- Anthropic:著作権侵害(フェアユース)の問題だから連邦裁判所が妥当
- Reddit:契約・規約違反の問題だから州裁判所が妥当
Reddit側の主張が認められた形で、今後Anthropicはスクレイピング対策の回避が契約違反・不法侵入・カリフォルニア州のプライバシー法違反として問われることになります。
Anthropicが負けた場合は、莫大な賠償金額を命じられる可能性があります。
Courthouse News Service:Reddit privacy case against Anthropic kicked back to state court
LinkedInが訪問者のブラウザ拡張機能を収集か
Microsoft傘下のLinkedInが、訪問者のブラウザにインストールされた拡張機能を収集しているとの告発がありました。
告発団体の主張によると、LinkedInは6,000個以上に及ぶ拡張機能IDリストを使い、どの拡張機能がインストールされているかを収集しているとのこと。
一方でLinkedInは、下記のように反論しています。
- データ収集の意図はなくスクレイピング防止のため
- 何をしているかはデベロッパーコンソールで確認できる
- 告発者は過去にスクレイピング等の利用規約違反でアカウント停止された人物
- 告発者はドイツ裁判所に仮処分を申請したが却下された(裁判所は問題なしと判断)
BleepingComputer:LinkedIn secretly scans for 6,000+ Chrome extensions, collects data
AI・テクノロジー
「匿名でAI相談できるSNS」は技術的に匿名でない
「いぇる」は、匿名でAIに愚痴や悩み相談ができるとするSNSと主張していますが、技術的には匿名ではありません。
プライバシーポリシーには、IPアドレス・端末ID・広告ID・行動履歴などの収集と、広告目的での利用が明記されています。
「匿名」という言葉はあくまでサービス上の表示名についてであり、運営者はユーザーを特定できます。
このようなことはよくあるので注意が必要です。
Dtimes:NPO法人化でAI相談機能も搭載!悩み相談・愚痴アプリ『いぇる』
OpenAI全額出資の市民団体が正体を隠してロビー活動
OpenAIが全額出資した市民団体「Parents & Kids Safe AI Coalition(親と子供の安全なAI連合)」が、OpenAIの名を隠したままロビー活動を続けていたことが判明しました。
表向きは年齢確認の義務化やペアレンタルコントロールの実装を主張していますが、OpenAIに有利な形に進める狙いがあったとみられています。
さらに、サム・アルトマン氏が年齢確認サービス「World」を立ち上げており、そちらへの利益誘導の可能性も指摘されています。
The San Francisco Standard:Kids groups say they didn’t know OpenAI was behind their child safety coalition
Microsoft、エージェントAI向けセキュリティツールキットをOSS公開
Microsoftが、エージェントAIのセキュリティリスクに対応するツールキット「Agent Governance Toolkit」をオープンソース(MITライセンス)で提供しました。
OWASPが特定したエージェントAIの10のリスク全てに対応するとのことです。
Microsoft:Introducing the Agent Governance Toolkit: Open-source runtime security for AI agents
MicrosoftのCopilot、利用規約に「娯楽目的専用」と明記
MicrosoftのCopilotの利用規約には「娯楽目的専用(for entertainment purposes only)」と明記されています。
ビジネス用途として積極的に売り込みながら、利用規約で責任を回避している姿勢が批判されています。
Copilot is for entertainment purposes only. It can make mistakes, and it may not work as intended. Don't rely on Copilot for important advice. Use Copilot at your own risk.
Microsoft Copilot Terms of Use
