2026年4月13日〜4月19日のデジタルプライバシー関連ニュースをまとめてお届けします。
今週のポイント
今週は「国家による通信遮断」と「個人情報の蓄積リスク」が同時に可視化された一週間でした。
イランではネット遮断が1,000時間を超え、スターリンク端末の所持が死刑を含む刑罰対象に指定されました。
ロシアでも市民がスマホ通信遮断に反発し、紙の地図やポケベルが売れる異例の事態となっています。
また、Metaの元従業員がFacebookユーザーの画像約3万枚を社内ツールで窃取していた事件が発覚。「クラウドに預けるデータは誰かが見ている」という事実が改めて突きつけられました。
年齢確認・SNS規制では、EUが「プライバシー保護型」のデジタル年齢確認アプリを発表する一方、米ミシガン州ではOS年齢推定義務化法案が却下されるなど、国や地域で対応がせめぎ合っています。
今週のヘッドライン
VPN・インターネット規制
イランでネット遮断が1,000時間を超える スターリンク端末の所持は死刑対象に
イランのインターネット遮断が1,000時間を超え、通常時の約1%まで落ち込んでいます。限られた認証ユーザーのみが接続できている状態とみられています。
- 約6,000台のスターリンク端末が密輸されたとみられる
- 今年成立した法律で、スターリンク端末の所持・運用は死刑を含む刑罰の対象
- さらに軍用レベルのジャミングが行われており、ほぼ使用できない状態とみられる
VPNや衛星インターネットを「国家が違法化し、重罰で取り締まる」モデルが、ロシア・中国に続きイランでも鮮明になっています。
情勢悪化時の「最後のインターネット」と期待されてきたスターリンクが、所持自体を犯罪化される事例となりました。
EU企業が独自のディザスターリカバリーパックを発表 米国依存からの脱却へ
イタリア・ルクセンブルク・ブルガリアを拠点とする企業グループが、EU主体の「ディザスターリカバリーパック(災害復旧パック)」の提供を発表しました。ストレージ・クラウド管理・ネットワークシステムなどが含まれます。
上記のイランの例とは逆で、昨年イーロン・マスク氏がウクライナ軍向けのスターリンクを遮断したことを受け、地政学的リスクを回避し欧州企業を守ることが目的とされています。
通信インフラの「ベンダーロックイン」が国家安全保障上のリスクとして扱われ始めたことを示す動きです。
- Bank information security news:Europe Moves to Neutralize US Kill Switch Anxiety
ロシア、スマホ通信遮断に市民と企業が反発 紙の地図・ポケベルが売れる
ロシアではスマホを使ったインターネット通信の遮断がされています。
ペスコフ大統領報道官は「ウクライナのドローン対策」であり「安全保障上の一時的な措置」として理解を求めていますが、市民・企業から反発が高まっています。これを受け、政府内部からもプーチン大統領に緩和を進言する動きがでているとのこと。
- スマホ通信の代替として、紙の地図・トランシーバー・ポケベルの販売が伸びている
- ドローン対策のはずが、空襲アラートも届かなくなる問題が指摘されている
先週の中国の三大キャリア国外アクセス禁止指示に続き、権威主義国家側で「モバイル通信そのものを絞る」動きが目立ちます。
- Reuters:ロシア、ネット遮断は一時的措置=ペスコフ報道官
- PRESIDENT Online:ポケベル、紙の地図が売れている…プーチンの「ネット遮断」でアナログに逆戻りしたロシア首都の現実
VPN・マイニングツールを装ったマルウェア配布キャンペーンを確認
以下のような場所で、VPN・マイニング・ゲーム・チートMODを装ったマルウェアのダウンロードが誘導されていることが確認されました。
- ProtonVPNなどを装った偽サイト
- GitHub/GitLabなどのコーディングプラットフォーム
- MediaFire/SourceForgeなどのファイルホスティング
- ゲーム・セキュリティ関連のYouTube動画
VPNソフトは「公式サイトから直接ダウンロード」が鉄則ですが、検索結果上位に偽サイトが出るケースもあるため、URLを直接確認することが重要です。
トルコでVPN違法化の噂 現時点では未確認
トルコでVPNが違法になる可能性があるとの情報がSNS上で広がっていますが、確認できたのは「国民IDとSNSアカウントの紐付け決定」までです(後述)。
ただしProtonVPNの登録者数が急増していることから、現地では何らかの追加情報が流れている可能性があります。現時点では推測段階のため、公式発表を待つ必要があります。
監視・プライバシー
Meta元従業員、Facebookユーザーの画像約3万枚を社内ツールで窃取
Metaの元従業員が、Facebookユーザーのプライベート画像約30,000枚をダウンロードしていたとして、ロンドン警察が刑事捜査を開始しました。
- 在職中、社内のセキュリティチェックを回避するツールを自作していた
- Metaが内部調査で発見し、自ら警察に通報
- Metaは当該従業員を解雇し、セキュリティ強化を実施
これまでも、GoogleやMicrosoft等のクラウドストレージにアップロードしたファイルを、AIではなく人(従業員)が勝手にアクセスしていた事例は複数確認されています。
情報リークされたり、クーポンが不正使用されたなどの被害も報告されています。YouTubeで予約投稿をしていたニンテンドーダイレクトが、ライブ配信に切り替えたのも、リークが原因とされています。
クラウドに預けたデータは、誰かに見られている前提で扱うことが必要です。
見られては困る情報は、エンドツーエンド暗号化サービスを使用するか、事前にローカルで暗号化してから共有する必要があります。
Googleが事前通知なしにユーザーデータを提供
米国に留学中の博士課程の学生が、デモ活動に5分参加しただけで移民税関執行局(ICE)から尋問を受けた事例に関する整理です。複数の制度的な問題が重なっています。
- Googleのポリシーでは、法的執行機関からデータ提供を求められた場合はユーザーに事前通知することになっているが、今回は事後報告だった
- ICEは「行政召喚状(Administrative Subpoena)」をGoogleに発行しており、企業は原則従う必要があるが、「令状(Warrant)」と異なり裁判所の審査がない
- 要求されたのはメタデータ(IPアドレス・セッション情報など)だけだが、個人を特定するには十分
- 米国外のユーザーも対象になりうる
「令状主義の抜け道」として、先週のデータブローカー経由の位置情報購入スキームと同じ構造です。
カリフォルニア州サンノゼ市でFlock Safety社に集団訴訟、ブルーミントン市は契約終了
自動車ナンバープレート読み取りカメラを提供するFlock Safety社をめぐり、カリフォルニア州サンノゼ市で集団訴訟が起きています。
- Flock社は、令状なしで全国規模のデータベースにアクセスできる仕組みを提供している
- 公開請求された情報によると、サンノゼ市では2025年下半期の6ヶ月間で250万回の検索ログがあった
- 市は批判を受け、位置情報データベースの保持期間を1年から1ヶ月に短縮することを決議
一方でインディアナ州ブルーミントン市はFlock Safety社との契約を終了しました。地元警察は必要性を主張したものの、市議会はプライバシー保護・透明性・公共の信頼性の観点から懸念を示したとのことです。
Flock社に対する訴訟は全米で複数起きており、同社や行政の責任を認める判決には至っていませんが、裁判の過程で運用実態が明らかになるにつれ、自治体単位で契約見直しの動きが広がりつつあります。
- NBC NEWS:Drivers sue San Jose over nearly 500 police cameras used to track drivers across the state
- The Herald-Times:Indiana city ends Flock Safety deal after backlash over license plate cameras
Google・Meta・Microsoftなど、オプトアウト要求の大半を無視
プライバシー研究チームwebXrayが、「クッキー拒否」「オプトアウト」「グローバルプライバシーコントロール(GPC)」の尊重状況を調査したところ、以下の割合でオプトアウト要求が無視され、クッキーが設置されていました。
- Google 86%
- Meta 69%
- Microsoft 50%
- Google認定パートナー 81%
GPCはブラウザ側から自動で「追跡拒否」を通知する仕組みで、カリフォルニア州CCPAなど一部の州法では尊重が義務付けられています。しかし実態としては、主要プラットフォーム側がこれを意図的に無視しているとの調査結果です。
「設定を変えれば追跡されない」という前提が、事実上機能していないことを示しています。
- 404:Companies Are Ignoring Your Opt-Out and Google is Enabling Them - Potentially $5.8B in Liability
年齢確認・SNS規制
EUが「デジタル年齢確認アプリ」を発表
EUがデジタル年齢確認アプリの完成を発表しました。
- セットアップ時にパスポートやIDで本人確認
- オンラインプラットフォームからの要求には、年齢要件を満たすかどうかだけを通知
- 完全オープンソース
理論上は、プラットフォーム側は個人情報を受け取らないため追跡不可となるはずです。
ただしオープンソース版をすでにハックした事例(個人情報漏えいではなく年齢偽証)も出始めており、実装の堅牢性については今後検証が必要です。
米マサチューセッツ州で14歳未満のSNS全面禁止法案が可決
米マサチューセッツ州で、14歳未満のSNS全面禁止・14〜15歳は保護者の同意が必要とする法案が可決されました。2026年10月1日から施行されますが、年齢確認の具体的な方法は未規定です。
先行して年齢確認を導入したオーストラリアやイギリスでは、既に大規模な個人情報漏えいが発生しています。
議員にこの件について質問したところ、「子どもたちを守るために必要」との回答のみで、全年齢がデータ漏洩リスクにさらされる問題は回避されたままです。
米ミシガン州でOS年齢推定義務化法案を却下
米ミシガン州で、OSに年齢推定を義務付ける法案が却下されました。プライバシー侵害とデータ収集への懸念が理由です。
注目すべきは、
- 20以上の州でほぼ同じ内容の法案が提案されている
- 背後に「Digital Childhood Alliance」という団体が関与している
- 資金提供者が不明で、意図的にプライバシー保護条項が排除されているようにみえる
という点です。
年齢確認の義務化は、自然発生的な世論というより組織的なロビー活動によって推進されているとの指摘です。
トルコで国民IDとSNSアカウントの紐付けが正式決定
今後トルコ国内のユーザーは、国民IDとSNSアカウントの紐づけが必須となります。
海外ユーザーには影響はありません。
なおセキュリティ専門家は、トルコ政府はすでに匿名ユーザーを追跡する技術を持っており、ユーザーへの意識付けにすぎないと指摘しています。
また、韓国では2007年から2012年まで実名制インターネットが導入されていましたが、有害コンテンツの削減効果はなかったとされています。
Reclaim The Net:Turkey To Require National ID for Social Media Accounts
データ漏洩・セキュリティ
ロシア関係が疑われる悪意のあるChrome拡張機能108個が発見される
セキュリティ会社Socketが、ロシアの関係が疑われる悪意あるChrome拡張機能108個を発見したと発表しました。
認証情報の搾取、バックドアの設置、広告詐欺などの挙動が確認されています。
Chrome拡張機能は権限が強いものが多く、個人情報や認証トークンへが知らずに盗まれている可能性があります。
開発元や更新履歴の確認を習慣づけ、使っていない拡張機能は速やかに削除することが推奨されます。
- Socket:108 Chrome Extensions Linked to Data Exfiltration and Session Theft via Shared C2 Infrastructure
プライバシー・法律・政策
米FISA 702条が4月30日まで緊急延長される
「米国外にいる米国人」に対する監視行為を認める、外国情報監視法(FISA)702条が4月20日に失効しますが、4月30日までの緊急延長が決まりました。
同法は実質的に全ての米国人に対するスパイ行為を許容していることから強い批判を浴びていますが、現在のイラン情勢も踏まえると廃止される可能性は低く、4月30日以降も再延長されるとみられています。
- CBS NEWS:Controversial surveillance program faces uncertain future ahead of House vote
- AP:Senate extends surveillance powers until April 30 after chaotic votes in House
カナダ政権がインターネットコンテンツ規制を推進
カナダの文化遺産大臣が、インターネットコンテンツ規制に本気で取り組むと発言しました。
これは、カーニー首相率いる自由党が、単独過半数を確保したことが影響しています。
自由党は、2025年4月の連邦総選挙に勝利しましたが、単独過半数に3席足りていませんでした。1年後の2026年4月の補欠選挙の勝利と、野党議員が鞍替えしたことで、ようやく単独過半数を確保できました。
自由党は2022年以降、以下のような法案を提出していましたが、いずれも少数派であったため廃案となっていました。
- 政治家批判をヘイトスピーチに分類
- 特定のコンテンツへのアクセス遮断
- 令状なしにISPや郵便の監視
- ユーザーに監視を伝えることを禁じる
今回、過半数を確保したことで、一気に規制が進む可能性があります。
ニューヨーク州が3Dプリンターに「検閲ソフト」搭載を義務化する法案を検討
ニューヨーク州が、全ての3Dプリンターに検閲ソフトの搭載を義務付ける法案を検討中です。主な目的は銃規制ですが、多方面から批判されています。
- デザインファイルを受け取っただけで重罪
- ジャーナリスト・研究者・公認銃器メーカーも対象
- 中古販売者も責任を問われる可能性
- 3Dプリンターだけでなく、コンピューター制御の工作機械(CNC)も対象
- そもそもアルゴリズムで銃器デザインを特定できない
- 一方でデザインファイルを分割すれば簡単に回避可能
- 既存メーカーの支配的立場を強める
- ニューヨーク州の法案が全米標準になる可能性が高い
3Dプリンターが前例になると、他の汎用ハードウェアにも波及する恐れがあります。オンラインとオフラインが統合される中で、引き続き注目していく必要があります。
AI・テクノロジー
「WhatsApp暗号化は詐欺」論争が勃発
Telegramの創業者パーヴェル・ドゥーロフ氏が、WhatsAppのエンドツーエンド暗号化は「詐欺」だと主張し、イーロン・マスク氏も同調しました。
これは、WhatsAppのバックアップデータがデフォルトで暗号化されておらず、ほとんどのユーザーは暗号化を有効にしていないことに起因しています。
しかしTelegram自体も、全てのメッセージが暗号化している訳ではなく、暗号化対象はシークレットチャットのみであることから、ユーザーからは「詐欺」だと揶揄されています。
今週の推奨アクション
クラウドストレージに預けるデータは「暗号化してから預ける」
Meta元従業員の事例を受けた対策です。
Google Drive・Dropbox・iCloudなどに機微な情報(身分証・医療記録・家族写真など)をアップロードする前に、暗号化する習慣をつけてください。
どこで暗号化をするかによって、いくつかのパターンがあります。代表的なアプリ・サービスをご紹介します。
- VeraCrypt:ローカルで暗号化
- Cryptomator:クラウドストレージに暗号化ボリュームを作成
- Proton Drive:エンドツーエンド暗号化のクラウドストレージ
Chrome拡張機能の棚卸しをする
今週のロシア関連108個発見を受け、拡張機能全体の見直しが推奨されます。
- 使っていない拡張機能を削除
- 各拡張機能の「権限」を確認し、「すべてのサイトのデータを読み書き」に該当するものは開発元・評価を再確認
- ストアで認証マークがついていても、アップデートで悪意のあるコードが仕込まれることがあるので、最新のニュースを確認
来週の注目ニュース
米FISA 702条の動向
4月30日に緊急延長期限を迎えます。
次が再延長なのか、より長期・恒久化のパッケージとして再提出されるのかが焦点です。
ロシアのインターネット規制
ロシアで様々なインターネット規制が行われていますが、ロシア経済にも影響を与えており、今後の対応が注目されています。
最新のプライバシーニュースは、X(@vpn_taizen)をご確認ください。
