Meta、EUが「13歳未満を止められていない」と認定
「13歳以上」と書いておきながら、誕生日の偽申告ひとつで子供が入れる仕組みを放置していた。欧州委員会がMetaにデジタルサービス法違反の予備認定を下した意味は、罰金額より重い。
「13歳以上」と書いておきながら、誕生日の偽申告ひとつで子供が入れる仕組みを放置していた。欧州委員会がMetaにデジタルサービス法違反の予備認定を下した意味は、罰金額より重い。
規約は紙か、実体か
欧州委員会は2026年4月29日、MetaのFacebookとInstagramについて、13歳未満の子供がサービスを利用できる状態を放置しているとして、デジタルサービス法(DSA:Digital Services Act)違反の予備調査結果を公表している。Meta自身が利用規約で「13歳以上」と定めているにもかかわらず、その年齢制限を実効化する仕組みがほぼ機能していないという判断だ。
問題の核心は、罰金の規模ではない。EUが今回突きつけたのは、自社の規約を自社が守らせる「規約の実効化責任」というシンプルな原則だ。プラットフォームが自分で書いたルールを自分で守らせる責任を負う、という考え方は、これまで業界が曖昧に逃げてきた論点でもある。
ヘンナ・ヴィルクネン(Henna Virkkunen)執行副委員長は、声明でこう述べた。
我々の予備調査が示しているのは、InstagramとFacebookがこの年齢未満の子供たちのアクセスを防ぐためにほとんど何もしていないということだ。
この発言は、Metaへの非難というより、業界全体への警告として読むのが正しいと思う。
偽の誕生日と、7クリックの壁
欧州委員会が具体的に問題視したのは2点ある。1つは年齢確認の脆弱性、もう1つは通報機能の使い勝手だ。
子供がアカウントを作る際、生年月日を自己申告するだけで「13歳以上」を装える。Metaにはその真偽を検証する仕組みが用意されていない。一方、第三者が「この子は13歳未満ではないか」と通報しようとすると、フォームにたどり着くまで 最大7クリック が必要で、しかも通報対象の情報は自動入力されない。さらに通報後のフォローアップもなく、通報されたアカウントはそのまま使い続けられるケースが多い。
この設計、偶然ではない。通報が面倒で実効性のない構造は、結果的に未成年アカウントをプラットフォーム上に温存する。意図したダークパターンかどうかは別として、現場の運用としてはそう機能してきた。
EUの独立調査では、13歳未満の子供のうち約10〜12%がInstagramとFacebookに実際にアカウントを持っているとされる。Meta自身の社内評価とは食い違う数字だ。
10人に1人という割合は、見過ごせない規模だ。欧州における該当年齢層の人口規模を考えれば、相当数の未成年が「13歳以上」を装ってアカウントを作り、動画を見たり、メッセージをやり取りしている計算になる。
なぜ今、このタイミングなのか
DSAは2024年5月にMetaに対して正式手続きを開始してから、約2年かけてここに至った。なぜこの2年が必要だったのかを考えると、欧州委員会の戦略が見えてくる。
DSAは2022年に成立した比較的新しい法律で、執行の前例がまだ薄い。そのため欧州委員会は、各プラットフォームに対して段階的な予備認定を積み重ねながら判例的な蓄積を作ってきた。今回の予備認定もその一環で、2025年10月にはMetaとTikTokの透明性義務違反、2026年に入ってからは複数のポルノプラットフォームへの予備認定を出している。
執行の動きと歩調を合わせるように、欧州各国の議論も加速 している。スペインは16歳未満のSNS禁止を検討、フランスは下院・上院がそれぞれ15歳未満への類似規制を可決した。英国も今週、16歳未満への「年齢または機能制限」の導入を表明している。
子供をSNSから遠ざけるべきか、という社会的合意は、欧州ではすでに固まりつつあるように見える。問題は、その合意をどう実装するかだ。
Metaの反論と、業界の言い分
Metaは予備認定に同意しないと表明している。広報担当者の声明はこうだ。
InstagramとFacebookは13歳以上を対象としたサービスであり、13歳未満のアカウントを検出・削除する仕組みを整えている。我々は未成年ユーザーを発見・除去する技術への投資を続けており、追加の対策を来週発表する予定だ。年齢の把握は業界全体の課題であり、業界全体の解決策が必要になる。
この最後の一文、「業界全体の課題」という表現は重要だ。Metaの言い分は、自社だけが槍玉に挙げられても解決しないし、技術的にも一社で完結する問題ではない、というものだ。
実際、生年月日の自己申告に頼る年齢確認は、ほぼ全てのSNSで採用されている標準的な手法でもある。パスポートやIDで毎回確認させれば確実だが、それは別のプライバシー問題を生む。Metaの反論には一定の合理性がある。
ただ、欧州委員会が指摘したのは「対策の有無」ではなく 対策の実効性 だ。通報フォームに7クリック必要な設計が、本当に未成年保護を真剣に考えた結果なのか。ここに反論の余地は乏しい。
罰金1兆9000億円のシナリオ
予備認定が最終決定に進めば、Metaには売上高の最大6%という罰金が科される可能性がある。Metaの2025年の年間売上は約2010億ドル(約32兆円)で、6%は約120億ドル(約1兆9000億円)に達する。
ただ、罰金額そのものより重いのは、対処のための継続コスト かもしれない。年齢確認システムの全面的な再構築、通報フローの再設計、リスク評価の見直し──どれも一度で終わる作業ではない。
EUは並行して、加盟国向けの「年齢確認アプリ」の青写真も提示している。パスポートやデジタルIDを用いて完全匿名で年齢を証明する仕組みで、ウルズラ・フォン・デア・ライエン(Ursula von der Leyen)委員長は今月、技術的にはすでに準備が整ったと発言した。
このアプリが普及すれば、プラットフォーム側は「自社で年齢確認の責任を持つ」必要が減る。代わりにEUが用意した共通インフラに乗ることで、規制対応のコストを下げられる構造だ。
これは規制の押し付けではなく、規制対応のための公的インフラ提供という発想で、なかなか興味深い動きだと感じる。米国とは異なるアプローチだ。
子供を守るのは誰の仕事か
今回の件で考えさせられるのは、子供のSNS利用を制限する責任を誰が負うべきか、という根本的な問いだ。
親の監督か、プラットフォームの実装か、政府の規制か。これまでは親の責任という建前で、プラットフォームは「年齢を申告してもらえば信用する」という姿勢を続けてきた。ところが10人に1人がその建前をすり抜けている以上、もう同じ姿勢では通らない。
DSAは、プラットフォーム側に 責任の重心を移す 動きだ。それが正しい移し方かどうかは、まだ議論の余地がある。ただ、規約に書きさえすれば守られているはず、という前提では立ち行かない局面に入ったのだとは思う。
Metaが来週発表するという「追加対策」が、本当に実効性のあるものになるのか。それとも、また新しい紙切れが増えるだけなのか。
参照元
