VPN大全 デジタルプライバシー Weeklyレポート 2026年7月第1週

Weeklyレポート

VPN大全 デジタルプライバシー Weeklyレポート 2026年7月第1週

このページには広告が含まれています

2026年6月29日〜7月5日のデジタルプライバシー関連ニュースをまとめてお届けします。

ヘッドライン

VPN・インターネット規制

インド、VPN事業者に国内拠点の設置を義務付ける法整備を検討

インド政府が、VPN事業者に対してインド国内へのオフィス設置と、政府との連絡役となるコンプライアンス担当者の任命を義務付ける法的枠組みの策定を進めていることが明らかになりました。違反した場合には、現地従業員への禁錮刑を含む刑事罰も検討されています。

インドは2022年に、VPN事業者に顧客の氏名・メールアドレス・電話番号・IPアドレスを5年間保存するよう義務付けています。しかしProton VPN、NordVPN、ExpressVPN、Surfsharkといった大手はこれを拒否し、インド国内のサーバーを撤去して、インドからの通信をシンガポール経由に切り替えました。

政府高官は「2022年の指令では各社が順守を拒否したため抑え込めなかった」と認めており、今回の法整備はその仕切り直しにあたります。国内拠点と「人質」となる従業員を持たせることで、応じない事業者をアプリストアから合法的に排除することが狙いとみられます。

Mullvad共同創業者、スウェーデンの極右政党への高額寄付が発覚

プライバシー重視のVPNとして知られるMullvadの共同創業者Daniel Berntsson氏が、スウェーデンで厳格な移民制限と移民の本国送還を掲げる地方政党「オレブロ党」に、2025年に500万スウェーデンクローナ(約8,300万円)を寄付していたことが明らかになりました。この金額は同党の年間収入の72%にあたり、同党の国政進出を1人の支援者が支えていた構図になります。

Mullvadは寄付について、企業としての活動ではなくBerntsson氏個人の行為だと説明しています。共同創業者のFredrik Strömberg氏はHacker Newsで「個人の政治的寄付がMullvadの価値観や使命の一部でないことは明らか」と述べる一方、自身もこの寄付を好ましく思っていないと明かしました。それでも、Berntsson氏がMullvadの約半分を保有していることから、「自分の支払いが反人道的な目的を支えることは望まない」と利用停止や返金を求めるユーザーが出ています。

VPNのユーザー層には、政府の監視を嫌う右派と、企業や国家の権力を警戒する左派の両方が含まれます。今回の反発が特にMastodonなど左派系コミュニティで強かったのは、この両者が同じサービスに同居していたことの表れといえます。

監視・プライバシー

米最高裁、携帯電話の位置情報の収集は令状が必要な「捜索」と判断

米連邦最高裁判所が、特定のエリアにいた携帯電話の位置情報を収集する行為は憲法修正第4条の「捜索」にあたり、原則として令状が必要だとする判決を6対3で下しました。

2019年の銀行強盗事件で、警察が「ジオフェンス令状」により犯行現場周辺の位置情報をGoogleから一括取得したことが争われた「Chatrie対アメリカ合衆国」の判決です。企業に自らデータを渡した情報には憲法の保護が及ばないとする「サードパーティ・ドクトリン」を、位置情報については明確に退けた形です。

ただし、この事件で使われた令状自体が適法だったかどうかの判断は保留されました。また、法執行機関が令状を取得する手段は他にも多くあるため、実務への影響は限定的だという見方もあります。実際、判決を歓迎した市民団体も、政府がデータブローカーから位置情報を「購入」する行為には令状が不要なままであり、この抜け穴を塞ぐ立法が必要だと指摘しています。

米ATF、令状なしでスマホを追跡できる「Webloc」の契約を解除

米国のアルコール・タバコ・火器及び爆発物取締局(ATF)が、令状なしでモバイル端末を追跡できる監視ツール「Webloc」の契約を解除しました。WeblocはPenlink社の製品で、スマホアプリや広告ネットワークが収集した位置情報(いわゆるアドテクデータ)を使い、特定の時刻に特定のエリアにいた端末を令状なしで特定できます。

契約解除のきっかけは、共和党のクラウド下院議員と民主党のワイデン上院議員による超党派の追及でした。両議員によると、ATFはこのツールで300件を超える令状なしの捜索を行っており、うち200件以上が進行中の事件に関連していました。防衛請負業者の施設への放火が疑われた事件では、検察官と裁判官の両方がアドテクデータの使用に懸念を示し、ATFは従来型の裁判所命令を取り直すことを余儀なくされています。

ただしATFが撤退しても、FBIや国土安全保障省(DHS)は商用位置情報データの購入を続けています。

あなたの位置情報が知らない間に売られている 広告IDと位置追跡の仕組み
あなたの位置情報が知らない間に売られている 広告IDと位置追跡の仕組み

2026/5/6  

位置情報を許可しているアプリは天気アプリくらいだから安心、と考えている人は多いと思います。しかし実際には、ごく普通のスマホアプリに位置情報を許可しているだけで、海外の政府機関にまで流れています。 問題 ...

スクールバス4万台のAIカメラをナンバープレート読取装置に転用する計画

全米のスクールバスにAIカメラを設置してきたBusPatrol社が、そのカメラを自動ナンバープレート読取装置(ALPR)に転用し、収集したデータを法執行機関に販売する計画を進めていることが明らかになりました。

米国には、スクールバスが停車して子どもが乗り降りしている間、対向車や後続車に停止を義務付ける「ストップアーム法」があります。BusPatrolのカメラは本来、この違反車両を撮影して取り締まるためのもので、24州で4万台以上が稼働しています。

今回の計画では、カメラを違反時だけでなく常時稼働させ、バスの視界に入ったすべての車両の位置データを捕捉して、法執行機関向け大手Axonと共有する手続きも進められています。

内部文書によると、BusPatrol自身がこの計画の問題性を認識しており、移民・関税執行局(ICE)によるデータ利用への懸念にも言及した上で、「子どもを守る」という切り口で売り込めば成功する可能性が高いと結論付けています。背景には、新規投資家から別の収益源を求める圧力があるとされ、すでに1台のバスで実証実験が始まっています。

欧州の情報学会協議会、チャットコントロール法案に強い警告

欧州専門情報学会協議会(CEPIS)が、EUで議論が続くチャットコントロール法案(児童性的虐待コンテンツ検出規則、CSA規則)について、私的なメッセージ・メール・クラウドへの令状なしの捜索に道を開くものだとして強い警告を発表しました。

CEPISが挙げた懸念は3つあります。第一に、「自発的」とされる検出システムも、規制要件を満たすためにプラットフォームが広範なスキャンを迫られれば事実上の強制になること。第二に、検出命令が裁判所の承認ではなく曖昧なリスク評価に基づいて出されかねないこと。第三に、私的通信への年齢確認の義務付けが、匿名・仮名でのやり取りを制限してしまうことです。

さらにCEPISは、自動検出技術は誤検知が多く、家族間のやり取りや医療情報まで疑わしいものとしてフラグ付けしかねない一方、巧妙な犯罪者は別のプラットフォームやダークネットに移って検出を回避すると指摘しています。つまり大量スキャンの被害を受けるのは主に一般ユーザーで、組織犯罪の阻止にはほとんど役立たないという主張です。

声明は、児童保護の名目で作られた監視インフラが、後に別の用途へ転用されうるという警告で締めくくられています。

年齢確認・デジタルID

米下院、児童保護法案を束ねた「KIDS Act」を可決

米国下院が、子どものオンライン安全に関する包括法案「子どもインターネット・デジタル安全法(KIDS Act)」を267対117の超党派で可決しました。子どもオンライン安全法(KOSA)、SCREEN法、COPPA 2.0など複数の法案を束ねたパッケージで、依存性のある機能の制限手段や保護者向け管理ツールの提供をプラットフォームに義務付けます。

この法案の問題は、ユーザーが未成年だと「知っている、または知っているべきだった」場合に企業の責任を問う構造にあります。法案には「年齢確認の実装を求めるものではない」という文言がある一方で、未成年者を見逃せば法的リスクを負うため、企業が責任回避のために全ユーザーの年齢推定や本人確認を導入する動機が生まれます。プライバシー団体が「超党派の大量監視法案」と呼ぶのはこのためで、データ収集規制もアルゴリズム規制も、結局は年齢確認の義務化につながるとみられています。

法案は今後上院で調整されますが、上院が2024年に91対3で可決したKOSAに含まれていた「注意義務(duty of care)」条項が下院案では削除されており、ブルメンソール上院議員は「注意義務のないKOSAはKOSAではない」と反発しています。

どこが規制の主導権を握るかを巡る両院の対立が、次の焦点になります。

Bluesky、テキサス州で社会保障番号などによる年齢確認を開始

分散型SNSのBlueskyが、テキサス州のユーザーに対して年齢確認を開始しました。ログイン時に「法的に年齢確認が義務付けられている地域からアクセスしています」というメッセージが表示され、確認しない場合はログアウトかアカウント削除を選ぶことになります。確認方法は、社会保障番号の下4桁の入力、クレジットカード番号の入力、運転免許証のスキャンのいずれかです。

きっかけはテキサス州の年齢保証法です。判事が一時差し止めたものの控訴裁判所が差し止めを解除したため、Blueskyは遵守の準備を進めていると説明しています。

もっとも、ユーザーの反応は冷ややかで、「SNSを使うために社会保障番号を渡すほどの価値はない」という声や、ユーザー層の年齢の高さをネタにした冗談が目立ちました。Blueskyのコアユーザー数は2024年の急増以降ほぼ横ばいで、身分証を差し出してまで使い続けたいサービスかどうかが、年齢確認時代のSNSの生存条件として問われ始めています。

英国、アルコール販売の年齢確認にデジタルIDアプリを解禁へ

英国政府が、店舗やパブでのアルコール販売時の年齢確認に、認証済みのデジタルIDアプリの使用を認める制度改正を進めています。議会手続きが残っていますが、承認されれば2026年秋から、YotiやPost Office EasyIDといった認証済みアプリで年齢を証明できるようになります。

仕組みとしては、顧客がアプリを開いてセルフィーで本人確認を行い、年齢クレデンシャルをスタッフやセルフレジに提示します。店舗側は専用アプリでQRコードをスキャンし、証明が有効かどうかだけを確認するため、氏名や住所といった他の個人情報は受け取りません。現在は顔写真付きの運転免許証やパスポートの提示が必要で、身分証をまるごと見せることになるため、「開示する情報が減る分だけ今よりは良い」として概ね受け入れられているようです。

ただし、受け入れ対象は政府の登録簿に載った認証済みプロバイダーに限定されており、将来的にはデジタル運転免許証など政府発行のデジタルIDもこの枠組みに乗ってくる見込みです。酒類販売という日常の場面から、デジタルIDが生活のインフラとして定着していく入口になる可能性があります。

アイルランド、政府デジタルウォレットの運用を開始

アイルランド政府が、国家デジタルIDとなる「政府デジタルウォレット」の運用を開始しました。既存の行政ログインであるMyGovIDの上に構築され、運転免許証・出生証明書・欧州健康保険カードなどのデジタル版をスマートフォンから提示できます。現時点では任意参加の試験段階です。

背景にあるのはEUのeIDAS 2規則で、加盟国は2026年末までにEUデジタルIDウォレットを提供する義務を負っています。アイルランド政府自身が「EUの法的義務を満たすための設計」と説明しており、国民の要望から生まれたものではありません。

担当大臣は「共有されるのはサービスに必要な情報だけ」とユーザーのコントロールを強調しますが、懸念されているのは共有の仕方ではなく構造そのものです。ウォレットが本人確認を行うたびに、検証済みの法的身元に紐づいた利用記録が残り、誰がいつどのサービスを使ったかが追跡可能になります。年齢確認機能もシステムに組み込まれており、2027年末までには大手プラットフォームがこのウォレットを受け入れる見込みで、SNSへのログインが国家発行のIDを経由する将来像が現実味を帯びてきました。

さらにアイルランドには、2021年のランサムウェア攻撃で保健サービスのITシステムの約8割が停止し、患者情報が流出した過去があります。検証済み身元の中央保管庫は、金庫であると同時に格好の標的にもなります。

データ漏洩・セキュリティ

Appleの「メールを非公開」に実アドレスが漏れる脆弱性、1年以上未修正

Appleのメールエイリアス機能「メールを非公開(Hide My Email)」に、隠しているはずの実際のメールアドレスを第三者が突き止められる脆弱性があることが公表されました。発見したのは個人情報削除サービスEasyOptOutsの共同創業者Tyler Murphy氏で、2025年6月にAppleへ報告したものの、1年以上経っても修正されないため公表に踏み切ったとしています。悪用手順そのものは公開されていません。

404 Mediaが検証したところ、新規生成したエイリアスアドレスから約5分で実アドレスが特定されました。Murphy氏によると、限定的なテストでは対象としたアドレスの100%が悪用可能だったとのことです。Appleは今年3月に「システム変更で対処した」と回答しましたが実際には直っておらず、5月末には「数週間以内のアップデートで対処予定」と説明したまま現在に至ります。

AI・テクノロジー

英国家犯罪対策庁、子どもの画像をネットに公開しないよう保護者に警告

英国の国家犯罪対策庁(NCA)とインターネット監視財団(IWF)が、子どもの画像をインターネット上に公開して投稿しないよう保護者に警告し、新たなガイダンスを公開しました。オンライン上の子どもの画像が、AIによる児童性的虐待コンテンツ(CSAM)の生成に悪用される脅威が高まっていることが理由です。

IWFの集計では、2025年に確認されたAI生成のリアルな児童性的虐待画像・動画は8,000点を超え、前年比14%増となりました。特に動画の増加が急で、2024年の13点から2025年には3,440点へと跳ね上がっています。衣服を脱がせたように見せる加工ツールが手軽に使えるようになったことで、ごく普通の家族写真が素材にされる危険が現実のものになりました。

ガイダンスは、画像を共有したい場合はSNSのプライバシー設定を見直すか、「親しい友達」など限定されたグループ内で共有するよう推奨しています。

最新のプライバシーニュースは、X(@vpn_taizen)でご確認ください。

おすすめ記事

プライバシー保護 1

プライバシー保護、匿名性、セキュリテイ強化に役立つツールをご紹介します。内容は随時更新しています。 有料VPN まず前提として、無料VPNは、ユーザー情報を外部に販売したり、特定の国家と共有していたり ...

-Weeklyレポート