オンライン安全法が個人データの安全性をカバーしていないのは驚くことではない

2025年7月25日、英国でオンライン安全法（OSA）が施行され、アダルトコンテンツをホストするサイトやソーシャルメディアプラットフォームは、ユーザーがアダルトコンテンツにアクセスする前に年齢を確認することが義務付けられました。

これらのサイトやプラットフォームに個人情報や機密情報（写真付き身分証明書、顔スキャン、クレジットカード情報、メールアドレス、電話番号など）を提供するなどの年齢確認技術が導入されているため、多くの英国居住者は禁止を回避するために最良のVPNを使用するようになりました。

サイトやプラットフォームが雇用する第三者の誠実性に関する懸念が高まっており、多くの人が、機密性の高い個人情報が保管、共有、さらにはAIモデルの学習に利用されるのではないかと懸念しています。しかし、英国政府はこれらの懸念の多くに対処しておらず、オンライン安全法の施行に焦点が当てられています。

サイバーセキュリティと英国政府

これは、個人情報が共有されたり盗まれたりすることを望まず、年齢確認プラットフォームのデータ侵害や漏洩の潜在的な影響を心配している多くの英国民にとって懸念事項かもしれませんが、OSA で個人データの安全性が考慮されていないことは必ずしも驚くべきことではありません。

2024年5月、英国議員の約70%の個人情報がダークウェブ上で漏洩し、個人情報やログイン情報も漏洩していたことが明らかになりました。議員のメールアドレスは2,110回も漏洩し、一部の議員は最大30回も標的にされ、200件以上のプレーンテキストパスワードも漏洩しました。

こうした情報漏洩の最も一般的な原因は、議員が議会用メールアドレスを使って登録していた企業（Adobe、Dropbox、LinkedInなど）へのハッキングや不正アクセスでした。漏洩事例からも明らかなように、これはサイバーセキュリティの極めて不適切な慣行です。議員が同じログイン情報を他のアカウントで使い回していた場合、簡単にアクセスできてしまうでしょう。

英国のサイバーセキュリティの監視を専門とする委員会に所属する国会議員からも個人データが漏洩しており、彼らにはより厳格で強固なデータセキュリティ対策が期待されるという事実を考慮すると、懸念すべき事態だ。

しかし、オンライン安全法に、企業に対しユーザーの個人データの安全確保を義務付ける規定が一切含まれていないことは、それほど驚くべきことではありません。この点は、単に考慮されていないように思われます。

さらに、科学技術イノベーション大臣のピーター・カイル氏のような国会議員が、この法律への反対に関して扇動的な発言をしていることから（彼はXに、この法律に反対する人々は「捕食者の側だ」と投稿した）、政府は年齢確認に使用される機密情報が安全に保たれていることを保証することよりも、年齢確認の強制にはるかに関心があるようだ。

オンライン安全法ではデータセキュリティについて何を規定していますか?

オンライン安全法では年齢確認チェック自体のガイドラインを定めており、具体的には「技術的に正確、堅牢、信頼性が高く、公正」でなければならないとしているが、年齢確認が安全であるかどうかについては何も触れられていない。

こうした年齢確認チェックに関するガイドラインが明示されていないということは、サイトやプラットフォームが安全な第三者を利用する必要がないことを意味します。多くのサイトやプラットフォームが安全な第三者を利用しています。例えば、Redditは7日以内にすべてのユーザー情報を削除するPersonaを採用しており、Spotifyはユーザーデータを即時削除するYotiを採用しています。しかし、他のほとんどのサイトも同様の対応をするとは言い切れません。

個人データの安全性に関する唯一の声明はOFCOMからのものであり、同局はオンライン安全法とユーザーがそれについて知っておくべきことに関する記事で、データセキュリティとプライバシーの懸念について簡単に触れています。

OFCOMは次のように述べています。「厳格な年齢確認は、効果的かつ安全に、そしてプライバシーを保護しながら行うことができます。オンラインで行うあらゆることと同様に、個人情報を提供する際には、ある程度の注意と判断力を働かせる必要があります。」

英国におけるデータ保護は、情報コミッショナー事務局（ICO）によって規制・施行されています。当社はICOと緊密に連携しており、プロバイダーがデータ保護法を遵守していないと懸念される場合は、ICOに問題を報告することがあります。

英国では、アルコールやタバコといった年齢制限のある商品を購入する際に、オフラインで年齢確認をしなければならないことは周知の事実です。[成人向けコンテンツ]へのアクセスにおける年齢確認も同様です。これは、子供が気軽にお店に行って[NSFW]のDVDや雑誌を買えないようにするのと同じように、子供がオンラインで[成人向けコンテンツ]に遭遇するのを防ぐのに役立ちます。

この声明では、オンライン安全法で年齢確認技術がそもそも安全でなければならないと規定するのではなく、エンドユーザーが自分の個人データを安全に保管する責任があると述べています。

さらに、店員、警備員、バーテンダーに ID カードを渡すことは、ID の写真を撮ったり顔をスキャンしたりすることとはまったく異なります。特に、この情報が削除されるという保証がない場合にはなおさらです。

結局のところ、店員があなたの身分証明書のコピーを取って、それをその後無期限に保管しておくようなことはしないでしょう。

英国国民のデータはオンライン安全法によって保護されるのでしょうか?

しかし、サードパーティの年齢確認サービスは英国ベースのデータ規制に従わなければならないという事実から、いくらか安心できる点もある。

英国の一般データ保護規則（GDPR）では、個人データは「個人データの処理目的に必要な期間を超えて、データ主体の識別を可能にする形式でのみ保管できる」と定められています。これは基本的に、不要になったデータは保管すべきではないことを意味します。

これは技術的には、年齢確認会社が年齢を確認するとユーザーデータを削除することを意味する可能性があります (たとえば、Spotify の年齢確認パートナーである Yoti はこれを行っています)。ただし、すべての年齢確認サービスがそうであるとは限りません。

さらに、年齢確認会社がGDPRを遵守していないという十分な懸念がある場合、OFCOMは企業をICOに照会する「可能性がある」という声明は、人々の顔や機密情報が危険にさらされている状況では、十分ではないように思われます。

全体的に、多くの企業が安全な年齢確認チェックを実施しているように見えますが、OSA が提起した個人データに関する懸念は根拠のないものではありません。

今後数週間のうちに、英国国民の個人データの安全性とセキュリティに関するさらなるガイドラインが発表されることを期待します。