GrapheneOSが年齢確認を拒否──「売れなくなるなら、それでいい」

プライバシー重視のAndroid OS「GrapheneOS」が、世界中で広がる年齢確認義務化に対して明確な"NO"を突きつけた。その姿勢は、OSレベルの年齢確認という新たな潮流に一石を投じるものだ。

OSに「あなたは何歳ですか」と聞かれる時代

GrapheneOSが3月20日、Xで声明を発表した。個人情報もアカウントも身分証明も、一切要求しない。それが規制に抵触し、端末を販売できない地域が出るなら、それを受け入れる——そう宣言した。

「売れなくなるなら、それでいい」。この一文は、単なるプロジェクトの方針表明を超えている。OSレベルでの年齢確認という、テック業界全体に押し寄せている波に対する、最も鮮明な反旗だ。

背景にあるのは、世界的な規制の加速だ。ブラジルでは3月17日に「デジタルECA」（法律15.211号）が施行され、年齢確認を実装しないOS提供者には1件あたり最大5,000万レアル（約15億2,000万円）の罰金が科される。この金額が示す通り、各国政府は「お願い」のフェーズをとうに過ぎている。

カリフォルニア州では「デジタル年齢保証法」（AB-1043）が2027年1月1日に発効予定で、すべてのOS提供者にセットアップ時のユーザー年齢収集を義務づける。コロラド州でも同様の法案が3月3日に州上院を通過した。

GrapheneOS Foundationはカナダの非営利団体であり、これらの法律の直接的な管轄下にはない。しかし、米連邦検察がポルトガル在住のSamourai Wallet開発者を起訴・有罪に持ち込んだ前例があり、域外適用の可能性は否定できない。

年齢確認義務化は、もはやウェブサイトやSNSの話ではない。OSそのものが「ゲートキーパー」にさせられようとしている。

カリフォルニア法の仕組み──自己申告だが、それだけではない

カリフォルニア州のAB-1043は、一見すると穏やかに見える。写真付き身分証明書や生体認証は求めない。ユーザーがセットアップ時に年齢や生年月日を自己申告するだけだ。

Bill Text - AB-1043 Age verification signals: software applications and online services.

AB 1043 Age verification signals: software applications and online services.

AB-1043 Age verification signals: software applications and online services.

だが「だけ」では終わらない。OS提供者はその情報をもとに、13歳未満・13〜16歳未満・16〜18歳未満・18歳以上の4段階の「年齢シグナル」をリアルタイムAPIで開発者に送信しなければならない。違反した場合、過失なら1人あたり最大2,500ドル（約40万円）、故意なら7,500ドル（約120万円）の民事制裁金が課される。

この法律の対象は広い。Windows、macOS、Android、iOSはもちろん、LinuxディストリビューションやValveのSteamOSまでが射程に入る。法文上の「OS提供者」の定義が「OSソフトウェアを開発、ライセンス供与、または管理する者」と極めて包括的だからだ。

カリフォルニア州のAB-1043は自己申告方式を採用しているが、テキサス州やユタ州の類似法は「商業的に合理的な検証方法」を要求している。同じ「年齢確認」でも、州によって侵襲性に大きな差がある。

正直なところ、「子供が嘘をつけば終わり」の仕組みで何が守れるのか、疑問を感じる人は少なくないだろう。しかし法律は動き出している。

400人の科学者が鳴らした警鐘

年齢確認の義務化に対して、技術者コミュニティから強い異論が出ている。3月2日、30カ国から419人のコンピュータ科学者が公開書簡に署名し、「益よりも害が大きい可能性がある」と警告した。

彼らの懸念は具体的だ。年齢確認システムを導入すれば、政府やサービス提供者が「誰が何にアクセスしたか」を把握できる監視インフラが生まれる。それは検閲や監視に転用されうる。さらに、収集された個人データは漏洩リスクを抱え続ける。実際、年齢確認ベンダーのDiscordでは7万件もの身分証明書写真が流出した事件が起きている。

未成年者がアクセス制限を回避すれば、規制の及ばないフリンジサイトへ移動するだけだ、とも彼らは指摘する。規制対象の大手プラットフォームが安全になっても、その外側がより危険になる構図は、本末転倒だろう。

公開書簡の署名者たちは、年齢確認の代替策として、SNSアルゴリズムの規制や、デバイスレベルのペアレンタルコントロールの強化を提案している。

Motorolaとの提携が生む矛盾

GrapheneOSの姿勢をさらに複雑にしているのが、3月2日にMWCで発表されたMotorolaとのパートナーシップだ。2027年にはGrapheneOSを搭載したMotorola端末が登場する見込みだが、ここに明らかな矛盾が生じる。

GrapheneOSが年齢確認を拒否するのは、非営利の開発プロジェクトとしての立場からだ。しかしMotorolaは世界中で端末を販売するグローバル企業だ。年齢確認が義務化された地域でGrapheneOS搭載端末を売れば、Motorola側がコンプライアンス上の問題を抱えることになる。

最もシンプルな解決策は地理的な販売制限だろう。カリフォルニアやブラジルではGrapheneOS端末を販売せず、通常のAndroid端末のみを展開する。だが、それで「世界中の誰もが使える」という理念はどこまで維持できるのか。

オープンソースのソフトウェアとして配布する分には規制の網をかいくぐれるかもしれない。しかし、商用端末にプリインストールされた瞬間に、その灰色地帯は消える。

年齢確認は「子供を守る」のか

この議論で見落とされがちなのは、そもそもの問題設定だ。「子供をオンラインの危険から守るために、すべてのユーザーの年齢をOSレベルで収集する」——この前提は本当に正しいのか。

カリフォルニア法の自己申告方式は、子供が「18歳以上」と入力すれば何の意味も持たない。ブラジル法のように本格的な年齢確認を求めれば、全ユーザーの個人情報がリスクにさらされる。どちらの道を選んでも、「子供の安全」か「全員のプライバシー」か、どちらかが犠牲になる。

GrapheneOSのように拒否すれば、一部の市場から締め出される。Windowsのようにすでにアカウント作成時に生年月日を収集しているOSは、比較的スムーズに対応できる。だが、Microsoftは現在Windows 11のセットアップにおけるMicrosoftアカウントの必須化を見直す方向で動いている。年齢確認義務化と、アカウントなしのセットアップ実現という二つのベクトルが真正面からぶつかる。

MidnightBSDはブラジルのユーザーを利用規約で排除し、電卓ファームウェアDB48Xは「年齢確認を実装しない、できない、するつもりもない」と法的通知を出した。GrapheneOS以外にも、拒否の連鎖は静かに広がっている。

「子供の安全」と「全員の監視」の境界線

年齢確認義務化の波は止まらないだろう。英国ではすでにXboxでオンライン安全法の年齢確認が実施され、何千人ものプレイヤーが認証完了まで機能を制限された。オーストラリアやシンガポールも同様の施策を進めている。

だが、400人以上の科学者が指摘するように、一度構築された年齢確認インフラは容易に別の用途に転用される。今日は年齢、明日は所在地、その次はデジタルIDと生体認証。「子供を守る」という錦の御旗のもとで築かれるインフラが、最終的に誰を守り、誰を監視するのかは、まだ誰にもわからない。

GrapheneOSの「売れなくなるなら、それでいい」は、ある種の潔さだ。だが、その潔さを選べるのは、ニッチなプロジェクトの特権でもある。WindowsやAndroidが同じ選択をすれば、世界中のPCとスマートフォンが使えなくなる。

問題は、妥協点がどこにあるのかすら、まだ見えていないことだ。

参照元

• GrapheneOS 公式声明（X投稿）
• カリフォルニア州 AB-1043 法文

#GrapheneOS #年齢確認 #プライバシー #Android #カリフォルニア #Motorola #オープンソース #セキュリティ