VPN大全 デジタルプライバシー Weeklyレポート 2026年5月第1週

2026年5月4日〜5月10日のデジタルプライバシー関連ニュースをまとめてお届けします。

ヘッドライン

VPN・インターネット規制

韓国で著作権法改正が5月11日施行 違法サイトを即時遮断する権限を文化体育観光省に付与

韓国で2026年5月11日に著作権法が改正され、違法サイトを発見した際に、文化体育観光省がISPに対して即時遮断を命令できるようになります。

これまでの「発見→審議→遮断」という手続きが、「発見→遮断→審議」に変わります。遮断時はHTTP 451（法的理由により利用不可）が返されます。

施行を前に、ウェブトゥーン（漫画）や小説などを違法配信していたサイトが次々と自主閉鎖を始めています。

一方で、韓国国内でVPNの登録が急増しています。ブロックを実行するのは韓国のISPであるため、VPN経由でアクセスすれば国外のサーバーには引き続き接続できるためです。

• MIRAE ASSET Securities：Illegal Webtoon Site Newtoki Shuts Down Ahead of Emergency Blocking Rule

ユタ州VPN規制の施行が9月3日まで保留 Pornhub運営Ayloが訴訟

米ユタ州で施行予定だった年齢確認新法SB73のVPN関連条項について、Pornhubなどを運営するAyloが訴訟を起こし、施行が9月3日まで保留されました。

SB73はポルノサイト運営者に対し、ユタ州のユーザーに18歳以上の年齢確認を行うことを義務付ける法律で、VPNやプロキシで接続しているユーザーであっても「ユタ州のユーザー」であれば対象から除外されません。

Ayloはこれに対し、民間企業がVPN利用を判定する技術的手段は実質的に存在せず、責任を全うするためには全世界のユーザーに年齢確認を強いることになると主張しています。これは域外立法・通商条項違反にあたるという論立てです。

• XBIZ World Magazine：UPDATED: Utah VPN Rule Enforcement Paused in Aylo Lawsuit

EU欧州議会調査局がVPNを「閉じるべき抜け穴」と表明

EPRS（欧州議会調査局）が、オンライン年齢確認制度においてVPNが回避手段となっていると指摘し、「閉じるべき法制度上の抜け穴」と表明しました。VPN利用そのものに年齢制限を設けるべきだとも主張しています。

これに対しMozilla、Proton、Mullvad、Tor Projectなどが共同で反対声明を出しました。VPNはジャーナリスト・人権活動家・通常の利用者が安全な通信を確保するための基本ツールであり、年齢確認の文脈で制限することはプライバシー基盤を損なう、という立場です。

EUは2025〜26年にかけて年齢確認義務を急速に強化しており、その実効性を担保するためにVPNへ規制が及ぶシナリオが現実味を帯びてきました。VPN利用者にとって、欧州内の規制動向は注視が必要です。

• Cyber Insider：EU calls VPNs “a loophole that needs closing” in age verification push
• Open Rights Group：Companies and civil society warn that UK is undermining open web

ロシアでメッセージアプリDelta Chatのダウンロードが急増

インターネット規制が続くロシアで、Delta Chatというメッセージアプリのダウンロード数が急増しています。Delta Chatは普通のメール（IMAP/SMTP）の仕組みを使った暗号メッセージアプリで、専用サーバーを必要としないためブロックを受けにくい、という特徴があります。

VPN以外の選択肢としてアプリレベルでの検閲耐性が再評価されている流れです。ただし相手も同じアプリを使う必要があること、完全な匿名性は保証できないなど、運用上の注意点もあります。

監視・プライバシー

ロシア政府が学生にSNS相互監視を義務付け

ロシア政府が、一部の学生にSNS監視を義務付ける制度を導入しました。表向きは「いじめ」「自殺」「薬物」「学校襲撃」を防ぐためとされていますが、「LGBTQ」「反政府」「反戦」コンテンツも監視対象に含まれます。

監視員の人員不足を補うために学生を動員する、という建前ですが、実態は学生同士の相互監視・心理的萎縮・思想教育を狙った構造であるとみられています。

ソビエト時代には国民同士の相互監視が国家インフラとして機能していた歴史があり、その再構築と見ることができます。

• Ведомости：В России могут появиться кибердружины для защиты детей от деструктива

米DHSがカナダ人のX投稿を理由にGoogleへ召喚状

DHS（米国土安全保障省）が、トランプ政権を批判するXの投稿を行ったカナダ人男性の個人情報開示を、Googleに対して要求していたことが明らかになりました。

発端は2026年1月に、米移民・関税執行局と国境警備隊が米国市民を射殺した事件です。米国に10年以上入国していないカナダ人男性が、Xでトランプ政権を批判する投稿をしました。

これに対し、DHSは1930年関税法（Tariff Act of 1930）を根拠に税関召喚状を発行しました。本来は輸出入の調査を目的とした法律ですが、過去数年間でこの召喚状が17万件以上発行されていたことも判明しました。

批判を受けてDHSは税関召喚状を取り下げ、より秘密性の高い大陪審召喚状に切り替えました。現在、米国の人権擁護NPOがカナダ人男性の代理として、召喚状の取り消しを求めて提訴しています。

法律の本来目的を逸脱した召喚状の運用は、国境を越えて言論を萎縮させる構造として注目されます。日本ユーザーも例外ではないかもしれません。

• WIRED：DHS Demanded Google Surrender Data on Canadian’s Activity, Location Over Anti-ICE Posts

台湾国家安全局が中国地図アプリAMapを政府機関で禁止

台湾の国家安全局が、中国の地図アプリAMap（高徳地図）に重要なセキュリティ上の問題があるとして、政府機関での利用禁止を発表しました。

アプリを終了している状態でも、連絡先・通話内容・ビデオ通信の情報などを中国サーバーへ送信しているとされています。

• フォーカス台湾：中国の地図アプリAMap、通話内容を中国に送信　国家安全局がリスク指摘

GMがOnStarのデータをブローカーへ無断販売 1,275万ドルの民事制裁金

ゼネラルモーターズが2016〜2024年にかけて、車載通信システムOnStarが収集したユーザーデータを本人の許可なくデータブローカーへ販売していたことが判明し、1,275万ドルの民事制裁金を支払うことで合意しました。OnStarは2024年以降使用されていませんが、GMは個人データの販売全般を5年間禁止される処分を受けています。

現在の自動車は事実上「走るスマートフォン」ですが、プライバシー対策はソフトウェアプラットフォームに比べて大きく遅れており、規制も追いついていません。走行履歴・運転挙動・車内音声などのデータは、保険・広告・採用など複数の領域で換金性があるため、メーカー側のインセンティブと利用者の期待のずれが今後さらに表面化する可能性があります。

• Reuters：GM to pay $12.75 million to settle California driver privacy probe

年齢確認・SNS規制

ネバダ州司法長官がDiscordを訴訟 子どもの保護不十分が理由

米ネバダ州の司法長官Aaron Ford氏が、Discordに対して「子どもたちを保護する対策が不十分」として訴訟を提起しました。Ford氏はTikTok、Snapchat、Meta、YouTube、Kikなどにも同様の訴訟をしており、それぞれ判決まで数年を要するとみられているため、即座に運用面の影響が出るものではありません。

ただしDiscordについては、いったん導入した年齢確認システムからデータ漏洩が発生した経緯があり、世界展開を延期している状態です。今回の訴訟は、その再導入のタイミングとアーキテクチャに影響を与える可能性があります。

各州司法長官による未成年保護を理由としたSNS提訴は、米国における事実上の規制圧力として定着しつつあります。

• 8 News Now：Nevada attorney general files lawsuit against Discord for failure to protect children

データ漏洩・セキュリティ

学習プラットフォームCanvasがランサムウェア攻撃 数十億のメッセージ公開で脅迫

世界で広く使われている学習プラットフォームCanvasがサイバー攻撃を受け、攻撃者から「身代金を支払わなければ、学生と教師の数十億のプライベートメッセージを公開する」と脅迫されています。

多くの国では5月初旬が年度末試験の時期にあたり（5月末卒業）、提出物・採点・コミュニケーションの停滞が広範な混乱を引き起こしています。

教育系プラットフォームは利用者数とデータ量に対して、ベンダー側のセキュリティ投資が追いつきにくい構造があり、同種の攻撃が今後も続く可能性があります。

• International Business Times：Student LMS Canvas Goes Dark Worldwide: Hackers Demand Ransom or Leak Student Data By May 12

OpenAIがパスキーとセキュリティキー対応を強化 復旧手段は完全に限定

OpenAIがパスキーとセキュリティキー（YubiKey）への対応を強化しました。パスキー自体は以前から利用できましたが、パスワードでもログインできる状態が併存していたので、パスワード側から乗っ取られる可能性が残っていました。

新たに導入された「高度なアカウントセキュリティ」を有効にすると、パスワードログインが完全に無効化され、メールやSMSによる復旧もできなくなります。復旧時はリカバリーキーを使用します。さらに、セッション時間が短縮され、モデル学習からも自動的に除外される仕様です。

設定にはパスキーまたはセキュリティキーの2個以上の登録が必要です。アカウント乗っ取り対策としては最も堅牢な構成ですが、リカバリーキーを紛失するとアクセス手段が完全に失われるため、保管方法は事前に十分検討しておく必要があります。

• OpenAI：Introducing Advanced Account Security

Signalがスマホ不要のスタンドアロン版デスクトップアプリを開発中か

Signalが、スマートフォンを必要としないスタンドアロン版デスクトップアプリを開発している兆候が、最近のGitHub更新の解析から明らかになりました。公式発表ではない点には注意が必要です。

現在のSignalデスクトップ版は、スマートフォン版にデバイスリンクする形式のため、スマホは必須でした。スタンドアロン版が公開されれば、スマホなしでもSignalを利用できるようになりますが、引き続き電話番号認証は必要となるようです。

業務用PCやサブ端末など、これまでSignalから外れていた層への展開が期待されます。一方で電話番号への依存は残るため、完全な匿名性を求めるユーザーには引き続きSimpleX ChatやBriarなどの選択肢が残ります。

• AboutSignal：Signal Desktop without a smartphone, standalone version in development

Proton Mailがポスト量子暗号を導入 全プランでオプトイン提供

Proton Mailがポスト量子暗号（PQC）の導入を発表しました。無料プランを含む全プランで利用でき、オプトインで有効化する必要があります。現在は段階的に展開中です。

ポスト量子暗号は、量子コンピューターによる解読耐性を持つ暗号方式の総称で、現在の暗号が解読される時期はまだ先とされています。

ただし「いま収集して後から解読する（Harvest now, decrypt later）」目的でのデータ収集はすでに進行中とみられており、長期的に秘匿したい通信ほど早期の対策に意味があります。

また暗号の世界では、世間に知られるより遥かに前に軍が解読済みだったという事例が複数あるため、早めに対応するに越したことはありません。

• Proton：Proton Mail now supports post-quantum encryption

AI・テクノロジー

Google Chromeが約4GBの「Gemini Nano」を同意なくダウンロード

Google Chromeが、ユーザーの同意を得ないまま、約4GBのオンデバイスAIモデル「Gemini Nano」を端末にダウンロードしている事例が報告されています。

このトレンドは他のブラウザにも波及する可能性が高く、AI機能の搭載と同意取得の作法は、今後のブラウザ選択における新しい論点になりつつあります。

• That Privacy Guy：Google Chrome silently installs a 4 GB AI model on your device without consent. At a billion-device scale the climate costs are insane.

Anthropic CEOが警告 Claude Mythosが発見した脆弱性の修正猶予は数ヶ月

AnthropicのCEOであるダリオ・アモデイ氏が、AI研究システム「Claude Mythos」が発見した数万件の脆弱性を修正する猶予は数ヶ月しかない、と警告しました。

これは他のAIがすぐに同等の能力に追いつくことを意味します。アモデイ氏の見立てではOpenAIやGoogleが1〜3ヶ月遅れ、中国系AIが6〜12ヶ月遅れの位置にあるとされています。中国側が同じ性能に到達するまでに半年程度しかなく、それまでに米国内の重要システム上の脆弱性をすべて修正する必要があるという状況です。

AIによる脆弱性の大量発見は防御側の利益にもなりますが、攻撃側のスケールが同じスピードで上がる構造でもあるため、優位の維持には時間との競争が伴います。

• BankInfoSecurity：Anthropic Sounds Cyber Alarm Amid Financial AI Push

米出版社5社がMetaを提訴 海賊版電子書籍をLlama訓練に使用

米国を拠点とする大手出版社5社が、Metaが著作物を無断でAI（Llama）の訓練に使用したとして提訴しました。

Metaが数百万冊の海賊版電子書籍を訓練データとして使用していたことは、すでに別件の調査で明らかになっています。加えてLlamaはオープンウェイトとして世界中に配布されているため、訓練段階の侵害が再配布によって拡大しているという論点も含まれます。

Anthropic（Claude）も同様の訴訟を受けていましたが、約15億ドルの支払いで和解しており、今回の訴訟もその水準が一つの参照点になりそうです。

• Financership：Meta Hit With Massive Lawsuit—Publishers Say AI Was Trained on “Stolen” Books

今週の推奨アクション

OpenAIアカウントの「高度なアカウントセキュリティ」を検討する

ChatGPTやAPIで業務上の機密データを扱っているユーザーは、新たに導入された「高度なアカウントセキュリティ」の有効化を検討する価値があります。設定の流れは次の通りです。

• パスキーまたはセキュリティキー（YubiKey）を2個以上登録する
• アカウント設定から「高度なアカウントセキュリティ」を有効化する
• 復旧用のリカバリーキーを安全に保管する

有効化後はパスワードによるログインや、メール・SMSでの復旧が一切できなくなります。リカバリーキーの紛失は致命的になるため、物理的な金庫やハードウェアパスワードマネージャーへの保管を推奨します。

ChromeのAIモデル自動ダウンロードを確認する

ChromeがGemini Nanoを同意なくダウンロードする事例を踏まえ、現在使用しているブラウザがどこまでAI関連リソースを自動取得しているかを確認することを推奨します。

Chromeでは、下記の画面で状況とフラグを確認できます。

• chrome://components
• chrome://flags

AI機能を不要と判断する場合は、Brave、Firefox、LibreWolfなど別のブラウザへの移行することも選択肢に入ります。

来週の注目ニュース

韓国著作権法改正の施行

韓国が著作権法を改正した背景には、日本の漫画・アニメの違法流通も多分に関係しています。

また、違法サイトのブロックを回避するためにVPN利用が増加すると、今度はVPNを規制しようという流れになることが予想されます。こちらも日本に影響を与える可能性があるため、注意が必要です。

ユタ州SB73 Aylo訴訟の進展

9月3日まで施行が保留されているSB73について、訴訟スケジュールと暫定的な判断の出方を追います。VPN規制と域外適用の境界線が引かれる先例になり得る案件です。

EUにおけるVPN規制の議論

EPRSのスタンスを受け、欧州議会と各国規制当局の追随がどう進むかが注目されます。

Mozilla・Proton・Mullvadなど、反対声明を出した業界の動きにも注意する必要があります。

最新のプライバシーニュースは、X（@vpn_taizen）でご確認ください。