Debianに年齢確認法の波──SPIが法的助言に着手
OSレベルでの年齢確認を義務化する法律が各国で動き始めている。商用Linuxディストリビューションが対応を急ぐなか、完全なボランティア運営のDebianは、独自の立ち位置ゆえに答えを出せずにいる。
OSレベルでの年齢確認を義務化する法律が各国で動き始めている。商用Linuxディストリビューションが対応を急ぐなか、完全なボランティア運営のDebianは、独自の立ち位置ゆえに答えを出せずにいる。
年齢確認の波がLinuxに到達している
カリフォルニア州のデジタル年齢保証法(AB 1043)が2027年1月に施行される。OSプロバイダーに対し、アカウント設定時にユーザーの生年月日または年齢を収集し、アプリ開発者へ年齢区分のシグナルをAPIで提供することを求める内容だ。違反すれば、過失で子ども1人あたり最大2,500ドル(約40万円)、故意なら7,500ドル(約120万円)の民事罰が科される。
同法が想定する「OSプロバイダー」はWindows、macOS、iOS、Androidだけではない。文言上はLinuxやSteamOSも対象に含まれうる。そしてブラジルでは、さらに厳しい法律がすでに動いている。
2025年9月に成立したブラジルの「デジタルECA」(法律第1万5211号/2025年)は、2026年3月17日に施行された。すべてのOSとアプリストアに年齢確認の実装を義務づけ、自己申告によるチェックボックスを明確に禁止している。罰金は1件あたり最大5,000万レアル(約15億2,000万円)。施行前日にRockstar Gamesが自社ストアでのブラジル向け販売を停止したことが、この法律の重みを象徴している。
カリフォルニア州法は「自己申告」で済む比較的穏やかな設計だが、ブラジル法は「監査可能な」年齢確認を求めており、自己申告を禁じている。両者の温度差は大きい。
| カリフォルニア州 AB 1043 |
ブラジル デジタルECA |
|
|---|---|---|
| 施行日 | 2027年1月1日 | 2026年3月17日 (施行済み) |
| 罰金上限 | $2,500〜$7,500 / 児童1人あたり |
R$5,000万 (約15億2,000万円) |
| 確認方式 | 自己申告 (生年月日の入力) |
監査可能な方式 |
| 自己申告 | 許可 | 禁止 |
| OS対象 | 全OS (Linux含む) |
全OS (Linux含む) |
| 執行機関 | 州司法長官 | ANPD + 司法 |
コロラド、イリノイ、ニューヨーク、ミシガンといった米国の他州でも、同様の法案が審議されている。これは一過性の動きではなく、OSに規制が降りてくる構造的な潮流だ。
Debianプロジェクトリーダーが語った「不透明さ」
この渦中で、Debianプロジェクトリーダー(DPL)のアンドレアス・ティレが2026年4月4日付のメーリングリスト報告で年齢確認法に言及した。
ティレの見解は率直だった。「法律家の立場ではないが、こうした規制がDebianのような非商用・ボランティア主導のプロジェクトにどう適用されるのかは、まだ明確でない」。ソフトウェアを販売せず、高度に分散化された形で提供するDebianに、OS提供者としての義務がどこまで及ぶのかは、法的にグレーゾーンだという認識だ。
注目すべきは、Debianの法的・財務管理を担う非営利団体SPI(Software in the Public Interest)がすでに法的助言の取得に動いていることだ。SPIはニューヨーク州に登記された501(c)(3)団体であり、米国法人としてこの規制の射程に入りうる立場にある。
ティレは「義務が生じるとすれば、Debianの上に商用製品を構築する再配布者や企業が主な対象になるだろう」との見方を示しつつ、「適切な法的分析がまだ必要だ」と付け加えた。
この慎重さは、裏を返せばDebianが置かれた構造的な難しさの表れでもある。Debianの財務・商標を管理するSPIがニューヨーク州法人であるという事実が、この問題に独特の緊張感をもたらしている。
systemdの「生年月日フィールド」が火種に
Debianの対応が模索段階にある一方で、Linuxエコシステムの中核ではすでに具体的な動きが始まっている。
systemdプロジェクトが3月下旬にマージしたプルリクエスト(#40954)は、ユーザーレコードのJSON構造にbirthDateフィールドを追加するものだ。カリフォルニア州AB 1043、コロラド州SB26-051、ブラジル法を明示的に参照し、xdg-desktop-portalの年齢確認ポータル構築に必要なデータソースを標準化する狙いがある。
systemd開発者のレナート・ペターリングは「オプションのフィールドであり、ポリシーエンジンでもアプリ向けAPIでもない」と説明した。管理者のみが設定可能で、ユーザー自身は変更できない。だが、コミュニティの反応は激しかった。
プルリクエストの作成者であるディラン・テイラーは嫌がらせや脅迫を受け、自身のGitHubリポジトリでIssueとPRタブを無効化せざるを得なくなった。「initシステムが年齢確認を扱うのか」という象徴的な怒りが、技術的議論を超えて噴出した形だ。
分裂するLinuxコミュニティ
この問題をめぐり、Linuxディストリビューション間の対応は明確に割れている。
企業が支援するディストリビューションは、法的リスクを避けるために対応を進めている。Ubuntuの開発者アーロン・レインボルトは「法律に準拠しつつプライバシーの惨事にならないAPIの実装方法を検討中」と述べ、D-Busインターフェース(org.freedesktop.AgeVerification1)の提案に言及した。Pop!_OSのSystem76も反対の意を表明しつつ、実装準備を進めている。
一方、独立系ディストリビューションは抵抗を鮮明にしている。Devuanの創設者は「年齢確認を削除する」と宣言し、Garuda Linuxは「管轄地域に該当する法律がないため実装しない」との声明を出した。Ageless Linuxと名づけられたDebian派生プロジェクトは、年齢確認法への意図的な不服従を掲げてWikipediaにページができるほどの注目を集めた。
System76のCEOは「リバティにはコストがあるが、それに見合う価値がある。子どもを16歳や18歳でデジタルの海に放り込むのは遅すぎる」と書き、法律そのものの前提に疑問を投げかけた。
| ディストロ | 対応状況 | 概要 |
|---|---|---|
| Ubuntu | 準備中 | D-Busインターフェースの実装を検討 |
| Pop!_OS | 準備中 | 反対表明しつつ実装準備。議員と交渉中 |
| Debian | 検討中 | SPIが法的助言を取得中。義務の範囲が不透明 |
| Devuan | 拒否 | 年齢確認機能を継承元から削除すると宣言 |
| Garuda | 拒否 | 管轄地域に該当法がないため実装しない |
| Ageless | 不服従 | Debian派生。意図的な法律違反を掲げる抗議プロジェクト |
Linux PCメーカーとして唯一、コロラド州の議員と直接交渉しているSystem76の動きは、オープンソースコミュニティの中でも異色だ。法律の改正や、オープンソースOSの適用除外を勝ち取れるかが注目されている。
Debianが直面する構造的ジレンマ
Debianの立場が難しいのは、商用でも完全に独立でもない「中間地帯」に位置するからだ。
Debianには企業のような法務チームがない。だがSPIという米国法人が存在し、商標と財務を管理している。AB 1043がOS提供者を広く対象とする以上、SPIを通じてDebianに圧力がかかる可能性はゼロではない。ティレ自身が「この問題には適切な法的分析が必要」と繰り返す背景には、この法的構造の微妙さがある。
さらに実務的な問題もある。Linuxディストリビューションには、WindowsやmacOSのような集中型のアカウント基盤が存在しない。ユーザーはISOをミラーからダウンロードし、ローカルにユーザーアカウントを作成する。インターネット接続すら不要だ。サーバー、IoTデバイス、組み込みシステムでは、人間がキーボードに触れることさえない。年齢確認の前提となる「アカウント設定」という概念自体が、Linuxの設計思想と根本的にかみ合わない。
ティレが示した「ダウンストリーム向けに機能をオプションとして提供し、他の管轄地域のユーザーのニーズも尊重する」という方向性は、Debianらしい落としどころに見える。だが、法律が「OSプロバイダー」をどう定義するかによっては、この中立的な姿勢が通用しなくなるリスクも残る。
「子どもを守る」と「自由を守る」のあいだ
年齢確認法の背景にある動機そのものを否定するのは難しい。UNICEFの報告によれば、ブラジルでは12〜17歳の子ども5人に1人がオンラインでの性的搾取や虐待を経験している。カリフォルニア州法も、超党派で満場一致に近い賛成を得て成立した。
だが、EFF(電子フロンティア財団)が繰り返し指摘しているように、年齢確認システムは構造的に監視システムでもある。ブラジル法自体がこの矛盾を内包している。第37条は「大規模で無差別な監視メカニズムの実装を禁止する」と定める一方、第9条は自己申告を禁じ、第12条は「監査可能な」確認を要求している。監査可能で自己申告でない年齢確認を、監視なしに実現する方法は、まだ誰も示していない。
The Registerの報道によれば、年齢確認法の推進団体「デジタル・チャイルドフッド・アライアンス」の背後には保守系団体50以上の連合があり、調査ではMetaがこの種の法律のロビー活動に20億ドル以上を費やした可能性が指摘されている。子どもの保護という大義の裏側で、プラットフォーム企業が規制コストを「OS層」に押しつける構図が透けて見える。
Debianが出す答えは、単なる一プロジェクトの方針にとどまらない。ボランティア主導のオープンソースが、国家の規制とどう向き合うかの先例になる。
法律は動いている。技術も動いている。まだ動いていないのは、この問いに対する本当の答えだけだ。
参照元
他参照
関連記事
- systemdに「生年月日」追加――Linuxに忍び寄る年齢確認
- GrapheneOSが年齢確認を拒否──「売れなくなるなら、それでいい」
- Gentooのエイプリルフールがガチだった件──36年越しのカーネルが動く
- Fedora 45のsystemd環境変数管理提案、FESCoが却下——コンテナ互換性が壁に
- 年齢確認の次はVPN規制──世界で進む「安全」の名の下の監視
- 悪意あるUSBを検出するLinuxカーネルドライバが登場
- Linux 7.1、37年間続いたi486サポートに幕を下ろす
- Linux 7.0でPostgreSQL性能半減、修正困難か
- Ubuntu 26.04 LTSが最小RAM要件を6GBに引き上げ――価格高騰の真っ只中に
- SteamのLinuxシェアが史上初の5%超え──数字の裏側にある真実
