2026/05/26 5:30

Yoti は年齢確認時に顔写真とデバイスフィンガープリントを第三者と共有する

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

2026 年 5 月 20 日に IEEE セキュリティ・プライバシーシンポジウム（SP 2026）で発表された新たなサイバーセキュリティ研究「Papers Please: Web 上の年齢確認への第一歩」は、主要な年齢確認事業者である Yoti が極めて機微な利用者データを第三者と収集・共有していることを明らかにし、未成年者を効果的に保護するどころか重大なプライバシーリスクを生み出していると指摘しています。ジョージア工科大学および UC アイビーンの研究チームは、年龄確認を必要とする推定 60% のウェブサイトを提供するロンドン拠点の企業 Yoti が、大規模な顧客として Meta、TikTok、OnlyFans、Sony PlayStation を抱えているにもかかわらず、年齢確認の試行時に顔写真、IP アドレス、デバイスフィンガープリントをクレジットカード会社やデータブローカーなどの実体に送信していることを発見しました。これにより、同サービスの提供側が未成年者の保護よりも追跡可能性を高めていることが浮き彫りになっています。また、これらのサービスが「バーテンダーが ID を確認する」ことに類いられるという法的な論点と対照的に、実際には提供者はデジタル的な「写本」としての身分証明書を入手し、利用者を追跡可能としています。米国では 25 の州でソーシャルメディアおよびアダルトコンテンツに対して年齢確認を義務付けており（米国人の 40% をカバー）、しかし研究によると、これらの法律に準拠する 대부분의 サイトはポリシーを実効化していないと判明しました。逆に、そのような法律がない州にある一部のウェブサイトは、責任制限や業務の簡素化を図る目的で任意にこれらのサービスを採用しています。助理教授であるハリー・オッペンハイマー氏は、この法体系のモザイク化は、地理的位置に基づきインターネットへのアクセスを分断させる「バラカン化（Balkanization）」をもたらす可能性があると指摘しています。究極的には、研究者たちは現在のデジタル年齢確認手法は非効率的であり、ユーザーを深刻な追跡および潜在的なデータ漏洩にさらすことを批判しており、未成年者に対するプライバシー強化の約束とは逆行すると結論付けています。

本文

年齢認証システム：機微データ漏洩と運用上の矛盾が露見

世界をリードする年齢認証プロバイダーに対し、極めて機微な個人情報が収集・共有されている問題や、法律で義務付けられているサイトでも実際には認証を行っていない実態が浮き彫りになりました。

研究の概要と発表

研究タイトル: Papers Please: A First Look at Age Verification on the Web
調査チーム: ジョージア工科大学とカリフォルニア大学アーバイン校（UC Irvine）の研究チーム
発表日時・場所: 2026 年 5 月 20 日、サンフランシスコで開催された IEEE セキュリティ・アンド・プライバシーシンポジウム（SP 2026）

調査対象となった企業：Yoti の問題点

今回の調査において特に焦点とされたのは、ロンドン本社を置く Yoti です。

市場占有率: 推計約 60% のウェブサイトの年齢認証ニーズを満たしている第一大手業者。
主要顧客: Meta、OnlyFans、ソニー・プレイステーション、TikTok など。
問題の核心: Yoti のシステムは利用者の個人情報を実際の第三者企業や第四の者へ開示していたことが確認されました。

理想と現実の乖離：なぜデータが漏洩するのか？

デジタル年齢認証サービス提供者は、「バーテンダーが身分証を厳格にチェックするように自社の製品も機密を保証する」と主張していますが、実態は異なります。

データの流れとリスク

研究チームが確認した通り、以下のプロセスで情報が共有されます：

情報収集対象: 顔画像、IP アドレス、デバイスフィンガープリントなど。
データ転送先: クレジットカード会社、IP 位置特定サービス、データブローカーへ送信される。
追跡可能性: 単一の認証試行だけで上記情報が送信されれば、利用者が特定・追跡可能となります。

「バーテンダーの比喩」は不実

マイケル・A・スペクター氏（サイバーセキュリティ・アンド・プライバシー学部准教授）の指摘：

バーテンダーが免許証のコピーを作り、食料品店などに送信しているのが現実です。

法的背景: 米国 25 の州（人口全体の 40% を超える範囲）で法律制定され、ソーシャルメディアや成人向けコンテンツへのアクセス制限としてデジタル認証の導入が義務化されています。
矛盾: これらのシステムは順守義務があるはずのサイトでも未実施が多く、強制される場合は機微データの共有を許容する仕組みになっています。

プライバシーリスクと「ウェブのバルカニ化」警告

新たなプライバシー懸念

研究者らは、現在の年齢認証手法が無効であるばかりか、新たなプライバシーリスクを生み出す問題があるとし、以下の点を指摘しています。

データ保護に関する約束事が現実とは驚くほど異なる状況にある。

州ごとの政策差異による分断

ハリー・オッペンハイマー氏（ジミー・アンド・ロザリン・カーター公共政策学校准教授）らは、「米国のウェブのバルカニ化」を警告しています。

現象: ユーザーが位置する州によって、アクセス可能なインターネット上のコンテンツや体験が異なるようになり得る。
影響: 思想的・情報的自由な交流が制限される恐れがある。

「分裂するウェブ」の具体例

ポール・ピアース氏（UC Irvine 大学院科学部准教授）とオッペンハイマー氏は以下の状況を指摘しています：

国内での分断: ニューヨーク州でラップトップを閉じ、ダラスへのフライト準備中として同じウェブサイトページを開こうとしても、結果が二つに分裂してしまう。
法律の違いによる影響:
- ニュージャージー州（年齢認証義務のない州）からアクセスした場合でも、実際には認証システムが導入されているケースが見られる。
- これらの理由については明確ではないが、責任限定の強化や業務簡素化などが考えられる。

スペクター氏はこの現状を以下のように总结しました：

「だから『よいことは起こりえない』というわけですね」

まとめ

実態: 法律で義務付けられているはずの年齢認証システムは、機微な個人情報を第三者企業と共有しており、運用も理想と程遠い。
リスク: データ漏洩による追跡可能性が高まるだけでなく、州ごとの規制の違いがインターネットを利用する環境を分断させる「バルカニ化」を招く恐れがある。
見通し: 米国内の州間差異は、近い将来より顕著になり、思想的・情報的な自由な交換を制限する要因となる可能性がある。

追加情報

論文詳細

タイトル: Papers, Please: A First Look at Age Verification on the Web
引用元記事: 「オンライン上での年齢確認は不要なプライバシーリスクをもたらす」
- 出典日: 2026 年 5 月 25 日
- URL: https://techxplore.com/news/2026-05-online-age-pointless-privacy.html

著者紹介

リサ・ロック: 美術史学士、物質文化学修士元。博物館編集者、救急搬送要員、移植調整者を歴任。2021 年より Science X で編集業務に従事。
アンドリュー・ジンイン: 物理学修士号取得、研究経験を有する長年の科学ニュース愛好家。Science X の編集成功に重要な役割を果たしている。

※本情報は情報提供を目的としております。一部複製には著者の書面による許可が必要です。

同じ日のほかのニュース

一覧に戻る →

2026/05/26 2:45

Exit IP VPN サーバー対策の展開

## 日本語訳: 2026 年 5 月 25 日付で、12 つの特定サーバー識別子への新しい緩和措置の適用を含む重要な運用上のアップデートが確認されました。この措置は、北米、ヨーロッパ、オセアニアを含む主要なグローバル地域にわたるインフラに影響します。影響を受けたサーバーは、以下の通り明示的にリストされています：au-mel-wg-402, au-syd-wg-001, ca-mtr-wg-302, de-fra-wg-103, fi-hel-wg-201, fr-par-wg-101, ie-dub-wg-101, no-osl-wg-101, se-sto-wg-208, us-dal-wg-701, us-lax-wg-002, us-nyc-wg-601, us-slc-wg-303。この実装は、内部での判断を踏まえたこれらのエンドポイントの状態における決定的な変化を表します。このアナウンスメントでは、識別子のリストとアップデートの日付のみが提供されており、脅威の具体的な性質、先行文脈、またはエンドユーザーおよび産業エンティティに対する直接的な影響について言及していません。したがって、この変更の原因や以降のタイムラインに関するさらなる説明はまだ発表されていません。 ## 原文: **Improved Summary:** Effective May 25, 2026, a significant operational update has been confirmed involving the application of a new mitigation to twelve specific server identifiers. This action impacts infrastructure across major global regions, including North America, Europe, and Oceania. The affected servers are explicitly listed as: au-mel-wg-402, au-syd-wg-001, ca-mtr-wg-302, de-fra-wg-103, fi-hel-wg-201, fr-par-wg-101, ie-dub-wg-101, no-osl-wg-101, se-sto-wg-208, us-dal-wg-701, us-lax-wg-002, us-nyc-wg-601, and us-slc-wg-303. This implementation marks a definitive shift in the status of these endpoints following an internal decision. The announcement provides only the list of identifiers and the update date; it does not elaborate on the specific nature of the threat, prior context, or direct impacts on end-users and industry entities. Consequently, further clarification regarding the reasons for this change or subsequent timelines has not yet been released.

2026/05/26 4:37

ノルウェーのHuaweiフラッシュストレージによる2ペタバイトとLLMトレーニング

## 日本語訳：ノルウェー国立図書館は、地元のノルウェー語に対する商用ソリューションの深刻な不足に対応するため、自らのデジタルアーカイブにのみ基づいて訓練された主権性の高い大規模言語モデルを起動する予定である。このプロジェクトは文化省によって推進され、IT 責任者マリウス・フスネス氏の率いるものであり、私企業の手に負えない著作権保護付き新聞への図書館特有の法的アクセスを活用して、約 60 ピタバイトのデジタル化された遺産（現在は 3-2-1 保存形式で保管されている）をこの AI に訓練している。技術的なアーキテクチャでは、3 つの異なるシステムをオーケストレーションするものであり、初期処理段階には Nvidia DGX H200 クラスターと华为（Huawei）OceanStor Dorado フルフラッシュアレイ（高速フラッシュ容量 2 PB を提供）を用い、その後、最終的な訓練は国立スーパーコンピューター Sigma2 Olivia で行われる。主要なボトルネックは計算能力ではなく、データの品質、クリーニング、パイプラインのスループットであり、これは AI パイプラインの低遅延要求と大規模かつ高遅延の保存アーカイブとの間の遅延不一致によって複雑化している。さらに、使用制御のためのガバナンス枠組みの確立や標準的な評価ツールの利用という課題にも直面している。このイニシアチブにより、ノルウェーは外国のテクノロジー大手に依存せずに技術的未来を確保することができ、他の英語圏外における国々が主権性の高い AI 基盤を求めるためのモデルとして挙げられている戦略となっている。

2026/05/26 3:19

カリフォルニア州、Linuxの年齢認証免除を法改正で検討へ：抗議運動を受け

## Japanese Translation: カリフォルニア州の法律家は、2026年2月11日にデジタル年代保証法（Digital Age Assurance Act）からほとんどのオープンソースオペレーティングシステムを除外することを目的としたアセンブリビル1856号（AB 1856）を導入した後、厳格な年齢検証要件から撤退する方針を検討しています。AB 1856は、同州の以前のパックであるアセンブリビル1043号（2025年後期に可決）を改正し、2027年1月1日までに年齢検証の手続を個々のウェブサイトやアプリからオペレーティングシステムレベルへ移行することを求めていました。AB 1043の下では、オペレーティングシステムはセットアップ時にユーザーの生年月日を収集し、アプリおよびストアに対して「年齢層」（例：「13歳未満」、「18歳以上」）をシグナル送信することが義務付けられていました。提案されている改正案では、「オペレーティングシステム提供者」は、ソフトウェアのコピー、再配布、修改を可能にするライセンスの下でソフトウェアを配布する者を含まないと定義しています。この定義により、Debian、Fedora、Ubuntu、Arch Linux、Mintなど主流のLinuxディストリビューションが遵守要件から除外され、Electronic Frontier Foundationなどのプライバシー擁護者や、無限にフォーク可能なプロジェクトに対しては元の規則が侵襲的かつ実行不可能であるという懸念に対処しました。同法案は元の法的措置を廃止するものではありません。商用プラットフォームでプロプライエタリなアプリエコシステムを持つもの（ValveのSteamストアに紐づく特定のSteamOSバージョンなど）も引き続き審査の対象となる可能性があります。アセンブリメンバーBuffy Wicksによって提出された最新版は2026年5月18日付けのものであり、2026年5月19日に2回目に朗読され、3回目の朗読に付議されるよう命じられ、現在、委員会での審査が予定されている6月の間に立法機構を通過中としています。