JSSEC セキュリティコラム
26年1月号「オーストラリアでの16歳未満のソーシャルネットワーク(SNS)利用規制」
~ 年齢確認(年齢保証)の実装について ~
JSSEC副会長・理事
KDDI株式会社 本間 輝彰
私たちが日常的に使用するスマートフォン、その便利さの裏には思わぬ落とし穴が潜んでいます。それが、スマートフォン利用者をターゲットにしたサイバー犯罪です。本コラムでは、利用者自身を含め身近なスマートフォンユーザーに起こりうるサイバー攻撃の実態を掘り下げ、その手口と対策について解説していきます。
今回は少し趣向を変え、2025年12月10日に施行されたオーストラリアの「16歳未満のSNS利用規制」を手がかりに、これからの未成年者保護のあり方を考えてみたいと思います。単に「使わせる/使わせない」という二択ではなく、子どもがデジタル空間とどう向き合い、社会がどのように支えるべきか――その論点が、いま改めて問われています。
インターネットの普及、そしてSNSの浸透によって、私たちのコミュニケーションは大きく変わりました。友人や家族とのつながりを保ち、情報を得て、自己表現を行う手段としてSNSは日常の一部になっています。その一方で、誹謗中傷やいじめ、過度な承認欲求、依存、性的搾取やグルーミング、個人情報の拡散など、未成年者ほど影響を受けやすいリスクも顕在化してきました。利便性が増した分だけ、守るべきものと向き合う必要も増えた、というのが現状です。
こうした問題意識のもと、各国で規制やガイドライン整備が進むなか、オーストラリアの取り組みは「年齢」をひとつの線引きとして明確に打ち出した点で注目を集めています。本稿では、こうした国際的な動きも踏まえつつ、特に議論の要となる「年齢確認(年齢保証)」に焦点を当て、制度設計の難しさや今後の課題を整理していきます。
オーストラリアの16歳未満のソーシャルネットワーク利用規制
1.規制が検討されるに至った背景
オーストラリアでは近年、SNSを介したいじめや依存、摂食障害の誘発、さらには自傷行為や過激思想といった有害コンテンツへの接触が、未成年者の精神衛生に深刻な影響を及ぼしている――という研究結果や遺族による訴えが相次ぎ、社会問題として強く意識されるようになりました。
世論調査でも、国民の約77%が(何らかの)年齢制限・年齢確認の強化を支持しているとされ、保護者の間でも「家庭だけ・個人だけで制限するには限界がある」という共通認識が広がっていました。こうした中、南オーストラリア州などが州独自で年齢制限の検討を始めたことも契機となり、連邦政府としてもSNS利用規制の議論を本格化させることになります。
2. 法改正の動き(異例のスピードで成立)
2024年11月21日、連邦政府は Online Safety Act(オンライン安全法) の改正案として、16歳未満のSNS利用規制を盛り込んだ法案を提出しました。通常であれば数か月単位の審議期間を設けるところ、同法案はわずか1週間で上下両院(下院・上院)を通過し、同年11月29日に成立しています。
3. 施行までの準備期間と実務上の対応
法案成立後は、制度の実効性を担保するため、約1年間を準備期間に充てています。ここでは、年齢制限を機能させるために、以下のような対応が求められました。
● 年齢確認(年齢保証)に関する技術的検証
● プラットフォーム側の運用体制整備
● 16歳未満の既存アカウントの凍結・削除
● 新規登録を阻止する仕組みの構築
また、アカウント削除に関しては、2026年1月16日、オーストラリア政府が「2025年12月10日に施行した子どものSNS禁止法」をめぐり、対象10サービスで計470万アカウントが削除されたと公表しています。政府は、対象となったすべての運営企業が法律を順守しているとの見解を示しました。
4. 規制の施行(2025年12月)
これらの準備期間を経て、2025年12月、TikTok、Instagram、X、Facebook、YouTubeなどを含む主要10サービスを対象に、16歳未満のSNS利用禁止が施行されました。
この法案が成立したポイントとしては、次の点が挙げられます。
● 与野党が「子どもを守る」という目的で一致したこと
● ユーザー(子ども・保護者)ではなく、プラットフォーム企業側に義務と責任を負わせる設計にしたこと
● 企業側に「合理的な措置」を求め、違反時には強い罰則を科す構造にしたこと
● アンソニー・アルバニージー首相が “Let Them Be Kids(子どもを子どもらしく)” をスローガンに、強いリーダーシップのもと推進したこと
制度の概要
● 対象年齢:16歳未満
● 目的:いじめ、性被害、依存、心身への悪影響から未成年者を守る
● 対象サービス:TikTok、X、Instagram、YouTube(※YouTube Kidsは対象外)、Facebook、Threads、Snapchat、Reddit、Kick、Twitch
● 企業に課される義務:年齢認証を強化し、未成年アカウントの凍結・新規作成防止などの措置を講じる
● 罰則:違反企業に最大 4,950万豪ドル(2026年1月時点で約50億円超)の罰金
※子ども・保護者への罰則はなし
● 特徴:保護者の同意があっても例外を認めない(一律の年齢基準を採用)
SNS規制の課題
16歳未満のSNS利用規制は、未成年者保護の観点から大きな意義がある一方、「制度としてどう実効性を確保するか」という点では課題も残ります。特に指摘される論点は、主に次の3点です。
1. 年齢制限の「偽装」をどう防ぐか
最も単純な回避策は、登録時に生年月日を偽って年齢をごまかすことです。これを防ぐには、政府発行の身分証(日本でいえばマイナンバーカード等)を用いた厳格な年齢確認が有効と考えられます。
しかし、未成年者を守るためとはいえ、機微性の高い個人情報をSNS事業者に提供することへの抵抗感は根強く、プライバシー保護の観点から強い反発が起こり得ます。結果として、現状ではデバイス側・サービス側による独自の年齢確認に依存せざるを得ず、確認精度には限界があるとも指摘されています。
2. VPNによる「規制回避」
未成年者がVPNを利用し、国外からアクセスしているように見せかけることで、規制を回避できる可能性があるともいわれています。
一方で、政府がVPNそのものを規制することは、企業活動への影響(ビジネス利用の広さ)や、通信の自由・言論の自由といった観点からもハードルが高く、現実的な対策が難しい領域です。つまり、規制を導入しても「技術的にすり抜けられる余地」が残る点は、制度の実効性を考えるうえで大きな課題になります。
3. 規制対象外のサービスへの「移動」と、いたちごっこ
規制の対象となる主要SNSがある一方で、著名なサービスであっても対象外となるものは少なくありません。たとえば、BlueSky、Roblox、Pinterest、YouTube Kids、Discord、WhatsApp、Lemon8、Steam、Google Classroom、Messenger、LinkedInなど、利用先は多数存在します。
そのため、利用者が規制対象のSNSから対象外のサービスへ移動する可能性は十分に考えられます。さらに仮に対象範囲を広げたとしても、新興SNSや小規模コミュニティサービスが次々に現れる以上、最終的には「いたちごっこ」になりかねません。
加えて、規制対象・対象外の線引きは、プラットフォーム側から見ると「不公平」と映る場合もあります。実際に規制対象とされたアプリの一つであるRedditは、「対象指定の方法が不正確だ」と主張し、禁止対象から外すことを求めて、オーストラリア連邦政府および通信大臣を相手に提訴したと報じられています※1。こうした動きは、規制の正当性だけでなく、選定基準の透明性も問われ得ることを示しています。
● Reddit says law hurts protected speech
● Reddit also says it does not meet criteria for the law
● Australian govt compares lawsuit to Big Tobacco
欧州連合(EU)の動向
EUでは、子どものSNS利用をめぐる規制強化の動きが加速しています。2025年11月26日、欧州議会は、16歳未満の子どもが保護者の同意なくSNSを利用することを制限する(加えて13歳未満は利用禁止を推奨)内容を含む決議を採択し、欧州委員会に対して法案提出を要請しました。
子どものメンタルヘルスへの影響、依存、いじめ、有害コンテンツへの接触といった問題意識を踏まえ、オーストラリア等の先行例も参考にしながら、EU域内で早期に共通ルールを整備したいという狙いがあるとされており、デジタルサービス法(DSA)の枠組みのもとで、オーストラリアの先行事例なども参照しながら、年齢確認(年齢保証)の強化に加えて、SNSの利用を過度に引き延ばす「依存性のあるデザイン」を抑制することを目指すものとされています。報道等では、2026年後半にも具体的な法案が提出される見通しとされており、EU全域で統一的な年齢制限を導入する議論が本格化しつつあります。
また、想定される規制は下記となっています。
● 年齢制限の強化:
16歳未満は「保護者同意なし」のSNS利用を制限
13歳未満は利用禁止を推奨
● 依存性を高める機能への対応:
自動再生、無限スクロール等、利用時間を引き延ばしやすい機能や設計(いわゆる依存性のあるデザイン)に対する制限・禁止の議論
● 有害コンテンツ・広告への規制:
子どもに不適切なコンテンツや広告の抑制(禁止を含む)
● 事業者責任の強化:
年齢確認を含む対応を怠ったSNS運営会社に対して、責任追及や処分が検討される方向性
また、EUレベルでの制度化を待たず、欧州の一部の国ではすでに独自の方針・規制が打ち出されており、以下に示す検討例があります。
デンマーク:15歳未満のSNS利用を禁止する方針を発表(ただし、13~14歳については一定条件のもとで保護者が利用を認める余地)
フランス:すでに15歳未満のSNS利用に保護者同意を求めることを企業側に義務付け。さらに、15歳未満の利用を完全に禁止する案も検討されている
ノルウェー:SNS利用の最低年齢を、現行の13歳から15歳へ引き上げることを検討中
米国の動向
米国では、連邦政府として未成年者のSNS利用を一律に規制するような「目立った動き」は現時点では限定的です。一方で、州レベルでは未成年者保護を目的とした規制が試みられており、その象徴的な例がテキサス州です。
テキサス州では、SNSの「個別アプリ」を直接規制するのではなく、アプリ利用の入口であるアプリストア全体に着目し、18歳未満の保護を目的に、保護者の関与・責任を求める枠組みとして、テキサス州アプリストア責任法(SB2420)が2025年5月27日に成立しました。同法は2026年1月施行予定とされていましたが、2025年末、連邦判事が言論の自由に関する憲法上の問題(違憲となる可能性が高い)を指摘し、施行の仮差し止めを命じたため、施行は中止(停止)されています。
同様の州の取り組みとしては、たとえば以下が挙げられます。
ユタ州:Utah Minor Protection in Social Media Act(SB194:ユタ州未成年者SNS保護法)
ルイジアナ州:Secure Online Child Interaction and Age Limitation Act(安全なオンライン児童交流および年齢制限法)
ただし、これらも同様に、連邦地裁による差し止めにより運用が中断しています。
現在はいずれも法廷闘争の途上にあり、今後の判断次第では、何らかの形で施行に至る可能性も残ります。州による未成年者保護の試みが、憲法上の「言論の自由」とどう折り合いをつけるのかが、大きな争点になっています。
● 天気予報やニュースアプリなどをダウンロードする際にも、政府発行のIDの提示を強制するのは、過度なプライバシーの侵害と判断
● 有害コンテンツから守るのは正当だが、法案の範囲が広すぎ、教育や政治的な言論へのアクセスを遮断する可能性がある。
● 保護者の再同意を求める重大な変更の判断基準が不明確
アプリマーケットの動向
テキサス州などで「アプリストアを起点に未成年者保護を図る」州法が成立したことを受け、AppleとGoogleも、アプリストア側で年齢情報を扱うための新たな仕組みを開発・発表していました。
ただし、これら州法は連邦地裁による差し止め命令により施行が停止されているため、両社の仕組みも正式導入は現時点で一時保留となっています。
Appleの対応:「Declared Age Range API」
Appleは「Declared Age Range API」として、年齢区分(レンジ)を安全に取り扱い、未成年者の利用を管理するための機能群を発表しています。想定されるポイントは次のとおりです。
● アカウント作成時の年齢確認の必須化:テキサス州のユーザーが新規アカウントを作成する際、18歳以上かどうかの確認を必須とする設計。
● 18歳未満は“ファミリー共有”を原則必須に:18歳未満のユーザーについては、「ファミリー共有」への参加を義務付け、保護者の許可なしにアプリのダウンロードや課金ができないようにする。
● アプリ開発者に年齢“区分”のみを通知(個人情報を渡さない設計):開発者がユーザーを「13歳未満/13~15歳/16~17歳/18歳以上」といった年齢層で判別できるよう、APIを提供する(※生年月日などの直接情報ではなく、年齢レンジを渡す思想)。
Googleの対応:「Play Age Signals API」
Googleは「Play Age Signals API」という仕組みを準備し、アプリ開発者や保護者の判断を支える情報提供を強化する方向性を示しています。
● 年齢シグナル(区分情報)の共有:アプリ開発者が、(テキサス州法に基づくような)年齢区分を確認できる“シグナル”を受け取れるようにする。
● 保護者への情報開示を強化(承認画面の改善):親がアプリのダウンロードを承認する際に、当該アプリについて「利用制限がかかる理由」や「収集されるデータの内容」を一覧表示する新しい画面を設け、保護者が判断しやすいようにする。
州法自体は差し止めとなったものの、今回の動きで見えてきたのは、年齢確認をSNSやアプリごとに任せるのではなく、アプリを入れる入口=OSやアプリストア側でまとめて扱うという発想です。言い換えれば、アプリストアが「年齢情報のハブ(中心)」のような役割を担う設計が、現実味を帯びてきたともいえます。
もちろん、今後この仕組みが本格的に広がるかどうかは、まだ断定できません。ただ、年齢をごまかした登録や、サービスごとに確認方法がバラバラで精度に差が出ることなど、年齢確認にはもともと難しい課題が多いのも事実です。そう考えると、入口で一度確認できれば、各サービスがそれぞれ苦労して年齢確認を繰り返すより、運用しやすくなる可能性があります。
そのため今後は、未成年者保護の現場が「SNSだけを規制する」方向から、OSやアプリストアの段階で年齢を確認し、アプリ側には“年齢の区分”だけを伝えるといった形へ、少しずつ重心が移っていくかもしれません。もっとも、その場合でも、年齢情報をどこまで預けてよいのか、プライバシーはどう守るのか――といった新しい悩みも同時に出てきます。
国内の動向
日本でも、未成年者(こども)のプライバシー保護は重要なテーマになりつつあります。たとえば、個人情報保護法の「いわゆる3年ごとの見直し」では、こどもの個人情報の扱いが主要論点の一つとして取り上げられています。パブリックコメントでは、たとえば次のような方向性が示されています。
● 16歳未満が本人である場合、同意取得や通知等について、本人ではなく法定代理人を対象とすることを明確化する
● 未成年者の保有個人データの利用停止等請求について、要件を緩和する
● 未成年者の個人情報等の取扱いにおいて、「本人の最善の利益」を優先して考慮すべきという責務規定を設ける
また、総務省が公表している「スマートフォンプライバシーセキュリティイニシアティブ(SPSI)」では、アプリや端末による年齢確認・年齢に応じた配慮を含め、技術面・運用面の考え方が整理されています。たとえば、こどもに関する利用者情報については、次のような内容が示されています。
● こどもが利用する可能性があるサービスでは、こどものプライバシーを高い水準で確保するための措置が望ましい【望ましい事項】
● プライバシーポリシーを簡潔で目立つように、利用者の年齢に適した明確な表現で記載したりする【望ましい事項】
● 特に低年齢のこどもの情報は、事前に法定代理人等から個別の同意取得を行うことが強く求められる【基本事項】
● こどもの情報のプロファイリングに基づくターゲティング広告は行わないことが望ましい【望ましい事項】
さらにSPSIでは、アプリストア運営事業者についても、次のような推奨が示されています。
● アプリストアに掲載する個別アプリについて、審査を行うことが望ましい【望ましい事項】
● 審査を行う場合は、年齢制限設定(レーティング)の基準を定め、適切に設定されているか確認することが望ましい【望ましい事項】
このように国内でも、未成年者保護に向けた検討やルール整備は着実に進んでいます。現時点では、SNSに対する一律の年齢規制のような「明確な法規制」が直ちに存在するわけではない一方で、事業者に対しては、未成年者を意識した設計・同意取得・広告運用などを求める流れが強まっている、というのが実態に近いでしょう。
他方で、年齢確認を本格的に行おうとすると、サービス提供者側には機能開発や運用整備の負担が生じます。そこで今後の論点として、前述のAppleやGoogleの構想にも通じるように、OSやアプリマーケット(アプリストア)側が共通の年齢確認・年齢区分の仕組みを提供し、それを各サービスが利用できるようになれば、実装が共通化され、運用のばらつきも抑えられる可能性があります。結果として、未成年者保護の取り組みが「一部の先進的なサービスだけのもの」ではなく、より広く行き渡ることも期待されます。
ただし同時に、年齢情報をどの範囲で扱うのか、情報が集まりすぎない設計になっているかなど、プライバシーとのバランスは重要な検討ポイントになります。
まとめ
オーストラリアは、16歳未満のSNS利用を一律に制限し、責任の矛先を「子ども」ではなくプラットフォーム企業に向けることで、強い実効性を狙いました。一方EUは、年齢制限の議論に加えて、無限スクロールや自動再生といった依存性を高める設計そのものにも踏み込み、子どもの利用環境を「入口」だけでなく「体験の設計」から見直そうとしています。米国は連邦での統一規制が見えにくい反面、州法でアプリストアを起点にした規制を試みたものの、言論の自由との緊張関係から差し止めが相次いでおり、制度設計の難しさが浮き彫りになっています。日本では、個人情報保護法見直しや総務省SPSIなどを通じて、未成年者の個人情報・同意取得・広告のあり方を整える方向で議論が進み、現時点では「規制」よりも「望ましい実務」の積み上げが中心です。
こうして並べてみると、各国のアプローチは異なっていても、共通してぶつかっているのは結局、年齢確認(年齢保証)をどう実装し、どう運用するかという問題です。厳格にしようとすればするほど、政府IDや属性情報の取り扱いが避けられず、プライバシーやデータ集中への懸念が強まります。逆に、簡易な自己申告やサービス任せにとどまれば、偽装やVPN回避、対象外サービスへの移動などにより実効性が揺らぎます。「守るために確認する」こと自体が、新たなリスク(個人情報の集約)を生み得る点が、この領域の難しさだと言えます。
その意味で、米国の州法対応をきっかけにAppleやGoogleが検討したような、OS・アプリストア層で年齢区分を共通的に扱い、各サービスには必要最小限の“年齢レンジ”だけを渡すという考え方は、今後の有力な選択肢になり得ます。実装の負担を下げ、確認手段のばらつきを抑えられる一方で、どの情報を誰が持つのか、透明性と監督をどう確保するのか、といった新しい論点も生まれます。
未成年者保護は、「禁止する/させない」で終わるテーマではありません。年齢制限、依存性のある機能設計、広告やプロファイリング、そして年齢確認の技術とプライバシー保護――これらをセットで捉え、子どもの発達と権利を中心に据えたルールと実装をどう作るかが、各国共通の次の課題になっていると考えます。
なお、技術は強力な支えになりますが万能ではなく、保護者による端末・アカウント管理と組み合わせて初めて、未成年者保護は現実に機能します。だからこそ、保護者の責任と関与がこれまで以上に重要になります。