VPN大全 デジタルプライバシー Weeklyレポート 2026年4月第4週

2026年4月20日〜4月26日のデジタルプライバシー関連ニュースをまとめてお届けします。

今週のポイント

今週は「デジタルIDの蓄積リスク」と「AIエージェント時代の監視」が同時に顕在化した一週間でした。各国の公的機関でデータ漏洩が続いています。一方、AIが進化してPCを自動操作することによるリスクが高まっています。

ヘッドライン

VPN・インターネット規制

Windscribeが各種AIエージェントに対応 自動操作中も地域・身元を切替可能に

VPNサービスのWindscribeが、OpenClaw、Cursor、CopilotなどのAIエージェントに対応しました。エージェント側からVPNの接続・切断・サーバー切り替え・使用量確認を直接コントロールでき、キルスイッチとの組み合わせも可能です。

Windscribeが挙げているメリットは4点です。

• 自宅PCでAIエージェントを動かしている場合、自分のIPアドレスを隠せる
• IPアドレスがブロックされた際にすぐ別のサーバーに切り替えられる。同時に、別の活動と分離できる
• 米国の価格を調査したいのに日本の価格が表示されてしまう、といったケースで地域変更ができる
• ISPからエージェントの行動を隠せる

AIエージェントがWebサイトを横断的に閲覧する用途は今後増えていく見込みです。

一方サイト運営側は、アクセスしてきたユーザーが人間なのかAIなのかという問題に対応する必要がでてきています。

• Windscribe：Give Your OpenClaw Agent a VPN

監視・プライバシー

Zoomがディープフェイク詐欺対策としてWorld IDと連携

Zoomが、ディープフェイクを使った詐欺対策として、World IDとの連携を発表しました。World IDは「人間であること」を証明するためのID基盤で、OpenAIのサム・アルトマン氏が共同創業者であるTools for Humanity（旧Worldcoin）が開発しています。

World IDの登録には、専用デバイス「Orb」での虹彩スキャンが必要です。Orbの設置場所は関東圏にも一定数存在しますが、全体としては設置台数が少なく、現時点で広く普及させるのは難しい状況です。

また、生体情報を同社が集中管理する仕組みであるため、ID基盤としての評価は分かれています。サム・アルトマン氏個人への信頼度の低さも指摘されています。

• ghacks.net：Zoom Integrates World ID Deep Face to Verify That Meeting Participants Are Human in Real Time

Metaが従業員のマウス操作とキーストロークのトラッキングを開始

Metaが従業員のマウス操作とキーストロークの記録を開始しました。AIがPCを自動操作するためのトレーニングデータとして使うものであり、業績評価などには使用しないとしています。

米国では企業が労働者の業務PC利用を監視することに法的な障害はありませんが、欧州では違法と判断される可能性があります。AIエージェントに人間の操作を学習させるという目的は新しいものですが、収集される情報の粒度は従来の労働監視と同等以上です。「業績評価には使わない」という社内規約だけが歯止めとなる構造には注意が必要です。

• Reuters：Exclusive: Meta to start capturing employee mouse movements, keystrokes for AI training data

マディソン・スクエア・ガーデンの「私設監視システム」が問題視される

ニューヨークのマディソン・スクエア・ガーデン（MSG）は、スポーツとエンターテイメントを融合した会場ですが、過剰とも言える独自の監視システムが構築されていることが指摘されています。

会場内では、移動経路、座っていた時間、注文した時間、トイレに行った時間などがリアルタイムで記録されます。さらに監視は会場外にも及び、デモ参加やSNS投稿の追跡、私立探偵の雇用までもが行われていたとのこと。これらの監視結果でスコアリングされ、入場拒否などの対応が取られています。

これには、オーナーのジェームズ・ドーラン氏個人の意向が大きく反映されているとされています。

過去に会場で問題を起こした人や、SNSでMSGやオーナーの悪口を投稿した人、あるいはトランスジェンダーであるというだけで、知らないうちに顔認証で特定されて出禁になる、ということが現実に起きています。

• ynetglobal：Inside Madison Square Garden’s surveillance machine: How a sports empire built a private watch state

ロンドン警察のリアルタイム顔認証 高等裁判所で「過剰・人種差別的」訴訟が敗訴

英国のプライバシー保護活動家が、ロンドン警察が運用するリアルタイム顔認証（市内の固定カメラと車両搭載カメラ）について「過剰」かつ「人種差別的」であると訴えていた裁判で、高等裁判所は警察側の主張を認めて活動家側を敗訴としました。

ロンドン警察によると、2024年以降この技術によって2,100件の逮捕が行われ、誤警告は12件だったとのことです。公共の安全を守るために必要であり、人種差別的な問題も確認されていないと主張しています。活動家側はこの判決を不服として控訴する見込みです。

英国では民間企業による顔認証導入も急速に進んでおり、警察運用が司法のお墨付きを得たことで、商業施設や交通機関での導入にも追い風が吹くことになります。

• BBC：Court challenge over Met Police's use of live facial recognition lost

Notionの公開ページを編集すると編集者の名前・写真・メールアドレスも公開される

Notionで公開設定にしたページを編集すると、編集者のユーザー名・プロフィール写真・メールアドレスまで一緒に公開されることが、研究者によって指摘されました。

これは不具合ではありませんが、ユーザーに明確な警告を出していないことが問題視されています。

Notionは「仕様変更を検討する」と回答しています。

• APD：Notion exposes emails, names and photos of editors on openly published pages

年齢確認・SNS規制

PlayStationが2026年後半から年齢確認を導入

PlayStationが2026年後半から年齢確認を導入すると発表しました。コミュニケーション機能（ボイスチャット、テキストメッセージなど）を使うには年齢確認が必須となりますが、ゲームのプレイ・ストアの利用・トロフィー取得は引き続き利用可能です。

導入はグローバル展開ですが、日本での公式案内は現時点で確認できていません。年齢確認の具体的な方式（ID提出か、クレジットカード認証か、サードパーティ年齢確認サービスか）も明らかになっていません。

• Insider Gaming：PlayStation To Require Age Verification For Certain Online Features

イリノイ州 OSレベルの年齢確認義務化を可決 2028年1月施行

米イリノイ州で、OSに年齢確認を義務付ける法案が通過しました。2028年1月までに、OS側で生年月日または年齢の入力が義務付けられます。

年齢確認が必要なアプリは、OS側からのシグナルだけを受け取る仕組みです。これによりアプリ側は「年齢要件を満たすか」だけを知ることになり、必要最低限の情報収集にとどまる、というのが立法側の説明です。ただし、OS側がどのように年齢確認を行うか（パスポートのスキャン、顔推定、クレジットカード認証など）と、それに伴うリスクについては議論されていません。

OSレベルでの年齢確認義務化は、20以上の州で同種の法案が並行して進んでおり、米国全体での標準化に向けた段階に入っています。AppleとGoogleはすでに年齢推定APIを準備しており、ハードウェア側から年齢シグナルが供給される世界が現実味を帯びてきました。

• Reclaim The Net：Illinois House Bill Would Force Operating Systems To Check Your Age

トルコ 15歳未満SNS禁止可決 国民ID紐付け・VPN許可制も同時進行

トルコ国会で、15歳未満のSNS利用を制限する法案が可決されました。これに加えて、国民IDとSNSアカウントの紐付けや、VPNを許可制にする規制も同時に進められています。

トルコでは2026年4月15日に中学校で14歳の少年による銃撃事件が発生し、世論の感情が高まっています。これに乗じる形で、複数の規制法案が短期間で通されている、という指摘があります。

「子どもを守る」という名目で年齢確認・SNS紐付け・VPN規制が一括で導入される構造は、英国・オーストラリア・米国の州法と同じ形をとっています。日本のSNS規制議論の参考にもなりうるパッケージです。

• AP：Turkish parliament passes bill to restrict social media access for under-15s
• TechRader：Proton VPN usage spikes in Turkey following new regulatory proposals

データ漏洩・セキュリティ

iOS 26.4.2で「削除済み通知が端末上に残る」問題が修正

iOS 26.4.2で、「削除するようにマークされた通知が、意図せずデバイス上に保存される可能性がある」問題が修正されました。過去の通知も遡って削除されるとのことです。

Apple側は背景を説明していませんが、FBIがSignalのメッセージを通知データベースから復元した事例への対応とみられています。Signalチームも今回のアップデートを確認したことを公表しています。

• Apple：About the security content of iOS 26.4.2 and iPadOS 26.4.2

英国UK Biobankの50万人分医療データがAlibabaで販売される

英国で、研究目的でボランティアから情報提供された50万人分の医療データベース「UK Biobank」が、Alibabaで販売されていることが確認されました。英国政府・中国政府・Biobank・Alibabaが協力し、データは迅速に削除されました。

データを侵害した人物は特定されており、所属機関ごとアクセスを停止されたようです。流出したデータに直接的な個人情報は含まれていませんが、医療情報のパターンから個人の特定は容易とされています。

「研究目的・匿名化」を前提に集められた医療データが、研究者の所属機関を経由して海外マーケットプレイスで売買される構造は、ボランティア提供者の同意の前提を根本から崩しています。研究データの「再識別リスク」と「研究機関のセキュリティ管理責任」は、AI時代に再評価される必要があります。

• ITVX：Health data of 500,000 UK Biobank members offered for sale in data breach

フランス政府の身分証手続きポータルが侵害 1,900万件のレコードが流出か

フランスで、身分証手続きポータルサイトが侵害され、本名・メールアドレス・生年月日・ログインID・内部ID・住所・電話番号などが流出しました。パスポートをスキャンした画像など、ユーザーがアップロードしたファイルは漏洩していないとされています。

政府は影響範囲を調査中としていますが、別のニュースソースでは、1,900万件のレコード（全国民の約28%に相当）がダークウェブで販売されていると報じられています。

「マイナンバーカード相当」のIDを統合管理するポータルが侵害された場合の被害規模を示す典型例です。日本でも将来的に類似のポータルへ集約される可能性が高く、攻撃者からの注目度・侵害時の被害範囲・復旧難易度は、いずれも従来の漏洩事故とは桁違いになります。

• ANTS：Incident de sécurité relatif au portail ants.gouv.fr

オランダEurailからパスポート番号と一部医療データが流出

オランダの鉄道会社Eurailから、パスポート番号・氏名・住所・メールアドレス・電話番号・生年月日が漏洩しました。さらにDiscoverEU（18歳になった若者に鉄道乗り放題パスを提供するEUのプログラム）の利用者は、パスポートのコピー画像・銀行口座・健康データの一部までも流出しました。

流出は2025年12月に発生していましたが、Eurailの対応が遅れ、最近Telegramでデータが販売されていることが確認されました。ハッカーとの交渉が決裂したことが背景にあるとも言われています。

報道では、鉄道会社が過去何十年もパスポートや生年月日を取得することなくEU内の移動サービスを提供してきたこと、数日間鉄道を利用しただけでパスポート画像を「永続的に」保存される仕様であることなどが批判されています。

年齢確認・本人確認の義務化が積み重なるほど、本来本人確認の必要がない事業者まで身分情報を蓄積するようになり、漏洩時の被害は拡大していく、という構造的な問題です。

• Reclaim The Net：When a Train Ticket Costs Your Passport: The Eurail Breach and the Digital ID Problem

プライバシー・法律・政策

Poste Italianeのアプリが「ゆうちょ」相当として1,250万ユーロのGDPR罰金

イタリアの国営郵便事業者Poste Italianeのアプリが、不必要な個人情報を収集していたとして、データ保護規制当局から1,250万ユーロの罰金を科せられました。Poste Italianeは郵便・金融・決済サービスを提供する、日本の「ゆうちょ」に相当する事業者です。

このアプリは、インストール済み・実行中の他のアプリ情報を収集しており、さらに同意しないとアプリ自体が使えない仕様となっていました。マルウェア検出が目的だったとPoste Italiane側は主張しましたが、規制当局は「必要範囲を超えた収集」かつ「同意なき強制」としてGDPR違反と判断しました。

「セキュリティのため」を理由にOSや他アプリの情報を収集する設計は、銀行アプリ・決済アプリで広く見られます。今回の判断は、たとえ正当なセキュリティ目的であっても、必要最小限を超えた収集とユーザーへの選択肢の欠如はGDPRに反する、という基準を改めて示したものです。

• Financership：Italian Postal Service Fined €10 Million Over Data Misuse

ドイツがISPにIPアドレスの3か月保存を義務付ける法案を閣議決定

ドイツが、ISPに対しIPアドレスの3か月保存を義務付ける法案を閣議決定しました。今後、連邦議会で審議されます。

ドイツは2008年にも、通信データと位置情報の6か月保存を義務付ける法律を制定しましたが、2010年に連邦憲法裁判所が違憲と判断し破棄された経緯があります。今回の法案は3か月と保存期間を短縮しているものの、「全ユーザーのIP保存義務」という構造は前回と同じです。

「重大犯罪の捜査に必要」を理由にIP保存義務を復活させる動きは、欧州各国で繰り返されています。一方で「全ユーザーの通信を予防的に保存する」ことの違憲性についても、欧州司法裁判所と各国憲法裁判所で何度も指摘されています。今回の法案が連邦議会・連邦憲法裁判所をどう通過するかは、欧州全体の通信プライバシー基準に影響します。

• tagesschau：Kabinett bringt Speicherpflicht für IP-Adressen auf den Weg

英国NCSC 商用スパイウェアを約100カ国が購入と発表 サイバー攻撃は1年で倍増

英国のサイバーセキュリティセンター（NCSC）が、「商用スパイウェア」が広く普及しており、約100カ国が購入していると発表しました。英国に対するサイバー攻撃は1年で倍増しており、ほとんどは犯罪組織ではなく、国家主導によるものとされています。

商用スパイウェア市場は、Pegasus（NSO Group）に代表されるように、これまで一部の権威主義国家のものというイメージでしたが、もはや「100カ国規模」で標準的な国家ツールになりつつあるという認識です。ジャーナリスト・活動家・政治家の端末への侵入が常態化していることが、改めて示されました。

• POLITICO：UK intelligence: 100 nations have spyware that can hack Britain

イラン国営メディア 米国製ネットワーク機器が一斉に動作不能になったと主張

イランの国営メディアが、Cisco・Juniper・Fortinet・MikroTik（ラトビア）製のネットワーク機器が動作不能になったと主張しました。衛星経由のリモート操作か、事前設定されたトリガーが起動した可能性があるとしています。

米国側は具体的に反論はしていませんが、サイバー作戦を実施したことは認めています。

考えられるシナリオは3つあります。

1. 製品出荷時にバックドア／時限装置が仕込まれており、それが起動した
2. 米国のサイバー部隊が外部からハッキングして機器を停止させた
3. イランの主張が誇張または虚偽

ネットワーク機器メーカー側にバックドアが仕込まれているという疑惑は、Snowdenのリーク以降何度も報じられてきました。今回の事案が事実であれば、「敵対国に売っている自国製ネットワーク機器を有事に停止させる」という運用が現実に行われた最初の確認事例となります。

日本を含めて、米国製ネットワーク機器に依存しているすべての国にとって、機器ベンダーの選定基準を見直す必要が出てきます。

• tom's HARDWARE：Iran claims US exploited networking equipment backdoors during strikes — says devices from Cisco and others failed despite blackout in attack that indicates deep sabotage

AI・テクノロジー

macOS版Claude Desktop 同意なくブラウザに「事前接続」を仕込んでいると指摘

セキュリティ研究者が、macOS版Claude Desktopが「スパイウェア」をインストールしていると主張しました。記事では「スパイウェアと言うほどではないが、リスクを拡大していることは事実」と整理されています。WindowsやLinuxでの挙動は不明で、Anthropic側のドキュメントにも明記されていないとのことです。

指摘されている挙動は以下の通りです。

• Claude Desktopを起動すると、複数のChrome系ブラウザ（Chrome/Edge/Brave/Operaなど）の「Native Messagingマニフェスト」が、ユーザーの同意なく配置される
• 未インストールのブラウザに対しても事前配置される。手動で削除しても、Claude Desktopを起動するたびに再配置される
• これは「拡張機能がローカルアプリ（Claudeヘルパー）を呼び出す」ための仕組みで、3つの拡張機能IDが事前承認されている
• 結果として、「特定の拡張機能 → Claude → ブラウザ操作」の経路が、ユーザー同意なく事前開通している状態になる

「将来ブラウザ拡張機能版を使うときの利便性のため」という設計と推測されますが、AIアシスタントとブラウザを接続する経路が同意なく事前構築される設計は、サプライチェーン攻撃の経路としても利用される可能性があります。

AIエージェント時代のクライアントアプリは、「インストール時に何をしたか」と「OS上にどんな経路を作ったか」を、これまでより慎重に確認すべきフェーズに入っています。

• Malwarebytes：Researcher claims Claude Desktop installs spyware on macOS

今週の推奨アクション

iOSデバイスを26.4.2以降にアップデートする

iOS 26.4.2では、削除された通知メッセージが端末内に保存され続ける不具合が修正されました。法執行機関による通知データベースからのメッセージ復元事例があり、E2EEアプリを使っていても端末側で読み取られるリスクがあります。

修正適用後は、過去の「削除済み」通知も遡って削除されます。

メールアドレスとパスワードの漏洩を確認する

今週はフランス・英国・オランダで大規模なデータ漏洩が確認されました。日本居住者でも、過去にEU・英国のサービスを利用していた場合は影響を受けている可能性があります。

• Have I Been Pwned等で自分のメールアドレスを検索し、漏洩しているサービスを確認
• 漏洩しているサービスのパスワードを変更し、二要素認証を有効化
• 同じパスワードを使い回している他のサービスも、可能な限りパスワードマネージャーに登録し直す

来週の注目ニュース

米FISA 702条の5月1日期限

4月30日まで緊急延長されている外国情報監視法702条の取り扱いが、5月1日以降どうなるかが焦点です。再延長か、より長期のパッケージとして再提出されるかで、米国を経由する通信のプライバシー水準に直結します。

トルコのVPN許可制の正式発表時期

トルコがVPNを許可制にするとの報道が複数出ているものの、現時点で政府の公式発表はありません。15歳未満SNS禁止と国民ID紐付けが先行して進む中、VPN規制が同じ規制パッケージとして同時施行されるかが焦点です。

イラン 米国製ネットワーク機器破壊事件の続報

イラン国営メディアの主張が事実かどうか、米国側の追加コメント、Cisco/Juniper/Fortinet/MikroTik各社の対応がどうなるか。事実であれば、機器ベンダー選定基準の世界的な見直しにつながります。

最新のプライバシーニュースは、X（@vpn_taizen）でご確認ください。