2026年6月15日〜6月21日のデジタルプライバシー関連ニュースをまとめてお届けします。
ヘッドライン
年齢確認・SNS規制
英政府、16歳未満のSNS利用を全面禁止へ
英国のスターマー首相が、16歳未満のSNS利用を全面禁止の方針を発表しました。対象はSnapchat、Instagram、Facebook、TikTok、X、YouTubeで、WhatsAppは含まれません。
約11万6,000件が寄せられた意見公募では、回答した保護者の83%超が「子どもにとってSNSのリスクは恩恵を上回る」と答え、91%が最低年齢16歳を支持したといいます。政府はクリスマス前の法案可決と、来春の施行を目指しています。
執行の責任は利用者ではなくプラットフォーム側に置かれ、子ども本人に罰則は科されません。SNS事業者が違反した場合に、規制当局Ofcomが取り締まる形です。
実効性には早くも疑問が出ています。リフォームUK党首のナイジェル・ファラージ氏は「VPNが広く普及している以上、機能しそうにない」と指摘しました。先行して全面禁止に踏み切ったオーストラリアでは、本来オンラインにいるべきでない13〜15歳の6割超が依然として利用を続けているという調査もあり、年齢の壁は迂回されやすいという実態があります。
VPN・インターネット規制
インドのTelegram遮断がBGPハイジャックで他国にも波及
インド政府が、医学部入学試験NEET-UGの再試験を前に、不正対策としてTelegramを一時的にブロックしています。
問題視されているのは、遮断に使われた手法です。インターネット分析企業Kentikは、インドの通信大手RelianceがBGPハイジャックを行ったと報告しました。
BGP(Border Gateway Protocol)はISPやデータセンター間で通信経路を決める基盤的な仕組みで、世界中の事業者がその情報を信頼して経路を構築しています。Relianceは、Telegram宛ての通信経路を引き受けると偽って拡散し、実際には破棄したとされています。その影響はインド国内にとどまらず、アラブ首長国連邦などの利用者にも誤ってTelegramが届かなくなりました。
Telegram CEOのパベル・ドゥーロフ氏はこれを公然と非難し、世界中のネットワーク事業者に対して、この無許可の経路情報を拒否するよう呼びかけました。Telegram側はデリー高等裁判所で遮断命令を争っています。一国の検閲措置が技術的な副作用として他国の通信まで巻き込む事例で、国境をまたぐインターネットの構造的な脆さを浮き彫りにしています。
監視・プライバシー
米FCC、携帯契約に政府発行IDを義務付ける案を検討
米連邦通信委員会(FCC)が、すべての携帯電話利用者について氏名・住所・政府発行の身分証明番号を通信会社に収集させる規則案を進めています。「顧客確認(Know-Your-Customer)要件」と呼ばれ、FCCはこれを迷惑電話や詐欺の対策として位置づけています。採用されれば、身元情報に紐づかないプリペイド端末、いわゆるバーナーフォンが事実上使えなくなります。
日本では携帯電話の本人確認が20年前から実施済みですが、米国では前払い方式を中心に匿名での契約が可能でした。
プライバシー擁護団体は、この案が核心の問題に対処していないと批判しています。電子フロンティア財団(EFF)は、政府が個人情報を一元化・武器化しようとしている時期に、これだけのデータを集めること自体が危険だと指摘しました。米国自由人権協会(ACLU)も、政府が追跡のために携帯登録を義務付ける権威主義国家の手法が自国でも始まろうとしている、と警告しています。
また、プライバシーの問題だけでなく、米国には有効な運転免許証を持たない投票年齢の市民が約2,100万人いるとされ、IDを要件にすればこうした人々が携帯を持てなくなる懸念もあります。
データ漏洩・セキュリティ
任天堂に200万ドルの身代金要求、人事データ流出か
ShadowByte$と名乗る攻撃者が、任天堂の社内データ約859MBを盗んだと主張し、公開を防ぐ見返りに200万ドルの身代金を要求しています。
流出したとされるサンプルには、従業員名や企業メールアドレス、人事調査、職場フィードバック、組織のパフォーマンス指標、社内レポートなどが含まれるとされます。Cybernewsの研究者がサンプルを精査したところ、2016年までさかのぼる従業員アンケートや、現在も在籍しているとみられる個人への言及が見つかり、少なくとも一部は本物の可能性があるといいます。
ただし、任天堂本体が直接侵害されたのか、第三者の人事プラットフォーム経由なのかははっきりしません。攻撃者は従業員エンゲージメント測定ツールのTinyPulseに言及しており、外部サービスを足がかりにした漏洩の可能性も残ります。
システムを暗号化して身代金を要求する従来型ではなく、機密データを盗んで公開をちらつかせる恐喝が増えているという、攻撃者側の傾向の変化も背景にあります。顧客情報が含まれていなくても、社内データは説得力のあるフィッシングの材料として悪用され得ます。
セキュリティ・規制
米FCC、外国製ルーター禁止命令を一部緩和
米FCCが、ケーブル業界団体NCTAの要請を受け、2026年3月に出した外国製ルーターの禁止命令について、大手ISP向けに1年間の適用除外を認めました。Charterやコムキャストなどが、すでに認証済みのルーターについて、再認証なしで基板材料やメモリモジュールといった部品を代替できるようになります。
背景には、外国製の消費者向けルーターが品薄になり、サプライチェーンが混乱するという業界側の警告がありました。
もともと禁止命令は、中国の国家支援型を含むハッカーがルーターを攻撃に悪用してきたという認定に基づくものでした。ただしセキュリティ専門家は、ルーターの脆弱性は製造国そのものよりも、パッチ未適用やサポート終了後の使用に起因すると指摘してきました。
そして消費者向けルーターのほぼすべてが海外で製造されているという実情があり、「製造国」を基準にした規制は無理が生じやすい構造になっています。今回の緩和は、危険性の所在を「どこで作られたか」から「適切に保守されているか」へと寄せる、方針の修正と言えます。
- BankInfoSecurity:US FCC Eases Router Ban for Cable ISPs
フランス、2027年から耐量子暗号なしの製品を認証しない方針
フランスの国家サイバーセキュリティ機関ANSSIの幹部が、パリで開かれた量子関連サミットで、2027年以降にANSSI認証を求める製品には耐量子暗号(PQC)の搭載を必須とする方針を表明しました。この認証はフランスの政府機関や重要インフラで使う製品に必要となるため、実質的な義務として働きます。同機関は、国内企業も2030年までに耐量子の製品だけを購入すべきだとしています。
各国の足並みもそろいつつあります。米国国立標準技術研究所(NIST)は、RSAなど従来の公開鍵暗号を2030年に非推奨、2035年までに使用禁止とする方針を示しており、2027年前後が国際的な区切りになりそうです。
背景にあるのは「収集してから後で復号する(harvest now, decrypt later)」という脅威です。量子コンピュータが現在の暗号を破れるようになる日(Q-Day)はまだ数年先とされますが、それを見越して、敵対者はいま暗号化された通信を盗んで保存し続けています。つまり今日やり取りしているデータも、将来まとめて解読される前提で考える必要があるということです。
一方で、米欧のセキュリティ専門家の91%が正式なPQC移行計画を持っていないという調査もあり、規制の期限と現場の準備には開きがあります。
- Security Boulevard:France to Stop Certifying Products Without Quantum-Safe Encryption in 2027
最新のプライバシーニュースは、X(@vpn_taizen)でご確認ください。
