オンライン年齢確認が制度問題になった理由
maruyamaなぜオンライン年齢確認は、制度上「十分」と見なされなくなったのか
オンラインサービスにおける年齢確認は、長らく自己申告を前提として成立してきました。
生年月日の入力や利用規約への同意があれば、制度上は「確認した」と整理されてきたからです。
しかし近年、未成年保護を巡る規制強化に加え、生成AIやディープフェイクの普及によって
「誰でもそれらしく振る舞える」ことが前提の環境になりました。
その結果、自己申告による年齢確認は制度としての前提が揺らぎ、本当に機能しているかどうかが問われるようになっています。
この変化は、技術要件の高度化というより、年齢確認が事業者の説明責任として捉え直され始めていることを意味しています。
自己申告型年齢確認が制度的に成立しなくなった背景
自己申告型の年齢確認が問題視されている理由は、虚偽申告が存在するからではありません。制度設計上、虚偽が起きたときに事業者側が説明できない点が問題なのです。
従来、未成年が年齢を偽ってアクセスした場合、事業者は「本人が嘘をついた」と説明してきました。しかし現在は、その説明では不十分とされます。
なぜなら虚偽を防ぐために、どのような仕組みを用意していたのかが問われるからです。
そして、この問いに答えられない限り、その年齢確認は
制度上「機能していない」と評価されます。
顔年齢推定が問われたのは、技術ではなく使い方だった
こうした制度上の要請を受けて、年齢確認の手段そのものを見直す動きが広がっています。
自己申告だけでは説明責任を果たせなくなった結果、より客観的な判断材料として、生体認証を年齢確認のプロセスに組み込むサービスが増えてきました。
例えば、Minecraftは英国で、ソーシャル機能の制限に先立ち、Yotiの生体認証を用いた年齢確認を導入しています。また、DiscordもオーストラリアではK-IDを採用し、英国ではPersonaを使った年齢確認の実証を進めています。
ただし、生体認証の中でも顔年齢推定を用いた年齢確認については、
同じ技術を採用していても、その評価は分かれています。
例えば、Yotiは、顔年齢推定機能を年齢確認の一部として提供していますが、これまで大きな炎上には至っていません。一方で、RobloxがPersonaの顔年齢推定機能を用いて実装した年齢確認は、「なりすましに弱い」「誤判定が多い」として批判を受けました。
この差は、技術そのものの有無や精度だけで説明できるものではありませんでした。
Yoti の顔年齢推定は、推定結果に不確実性があることを前提に設計されています。一定の信頼度に満たない場合は、追加の本人確認に進むなど、推定結果を単独で判断に使わない運用が組み込まれています。年齢推定はあくまで判断を始めるための材料であり、その結果だけで最終的な制御を行わない構造になっています。
一度弊社メディアでもYotiについては取り上げていますのでご参考までに。
Yotiが顔年齢推定エンジンの精度向上を達成
弊社のメディアや記事に度々登場するイギリスのYoti社。彼らはSSI思想に基づくデジタルウォレット、生体認証エンジンなどを開発する高い技術力を誇る新興企業であり、弊社…
Recept(リセプト) 
一方で、Roblox のケースでは、顔年齢推定の結果がそのまま機能制限に用いられました。
その結果、誤判定が起きた場合に、なぜその判断に至ったのか、どこで救済されるのかが分かりにくく、ユーザー体験の制限が直接的な不満につながりました。
ここで問題視されたのは、精度の高さそのものではなく、推定と判断が分離されていない設計でした。
年齢確認が制度として成立するかどうかは、生体認証を導入したかではなく、推定と判断、責任と権限をどのように切り分けているかにかかっています。
生体認証を「判断」に使った瞬間に生じる責任の空白
ここまで見てきた事例が示しているのは、年齢確認の問題が
「どの技術を使うか」では解けなくなっているという点です。
制度上問われているのは、年齢を正しく推定できたかどうかではありません。
誰が判断を行ったのか、その判断はどの根拠に基づいていたのか、そして誤りが生じた場合に、どこに責任が帰属するのか。
これらを後から説明できる形で分離して設計できているかどうかが
年齢確認が制度として成立するかを分けています。
この整理に立つと、必要なのは「より正確な年齢推定」ではなく
判断結果と責任の扱い方そのものを見直す設計です。
K-IDが示しているのは「年齢を確定しない年齢確認」という設計
上記で話した設計要件に正面から向き合っている例が、K-IDです。
K-IDは生体認証を含むことはあっても、年齢をその場で確定させることを目的としていません。
「18歳以上かどうか」という判断結果だけを、検証可能な形で扱うことで、
年齢に基づく制御と個人情報の保持を切り分けています。
判断の根拠が検証可能な形で残ることで、
事業者はなぜ年齢制限を行ったのかを事後的に説明することができます。
これは、規制対応を行うSNSやゲーム等のプラットフォーム事業者にとって、リスク管理の観点からも重要な要素です。
Receptメディアでも繰り返し触れてきたように、VCの価値は、属性を証明することではなく、
事業者が何を知らずに済むかを設計できる点にあります。
K-IDは、その考え方を年齢確認という規制色の強い領域で具体化した例だと言えるでしょう。
DID/VC×本人確認
当社はDID/VCの技術基盤「proovy」を開発しており、教育機関や資格発行団体をはじめとする外部事業者に提供しています。 海外におけるDID/VCのキラーケースであり、当社も…
DIFが年齢確認におけるVC(Verifiable Credentials)のスキーマを発表
ニュース原文: 急速に進む年齢認証の規制強化 近年、オンラインサービスにおける年齢認証の義務化が急速に進んでいます。 米国・英国・EUでは、ソーシャルメディア、ギャ…
年齢確認は、何を分離して設計すべきか
ここまで見てきたように、年齢確認を巡る問題は、
生体認証を使うかどうかでは解けなくなっています。
問われているのは、年齢判断の根拠をどのように扱い、
その責任をどこに残すかという設計です。
K-IDは、年齢そのものではなく判断結果の扱い方に焦点を当てることで、
現行の規制環境に適応しようとする一つのアプローチだと言えるでしょう。
★特別なお知らせ★
デジタルアイデンティティの最新トレンドを毎週お届け!
業界の最前線をまとめた「DID/VC Weeklyレポート」を毎週無料で配信中です。こちらから簡単に登録できますので、ぜひ情報収集や新規事業のタネ探しにご活用ください。
