欧州議会調査局(EPRS)は最近、オンライン年齢確認システムを回避するために仮想プライベートネットワーク(VPN)がますます使用されていると警告し、この傾向を「塞がなければならない法律の抜け穴」であると述べた。この警告は、ヨーロッパなどの政府がオンラインの子供の安全規則を拡大し続け、成人向けコンテンツや年齢制限のあるコンテンツへのアクセスを許可する前にユーザーの年齢を確認することをプラットフォームに義務付ける中で行われた。
VPN は、リモート サーバー経由で接続をルーティングすることで、インターネット トラフィックを暗号化し、ユーザーの IP アドレスを隠すように設計されたプライバシー ツールです。 VPN は、通信の保護、監視の回避、安全なリモート作業の実現などの正当な目的で広く使用されていますが、規制当局は、このテクノロジーによって未成年者が地域の年齢確認を回避できることにも懸念を抱いています。欧州議会調査局は、英国や米国のいくつかの州を含む国々が年齢認証を義務付ける法律を施行した後、VPNの利用が急増していると指摘している。英国では現在、子供が有害なコンテンツにアクセスできないようにオンラインサービスが義務付けられており、同法の施行後はVPNアプリがダウンロードチャートを独占したと伝えられている。
この文書では、VPN を規制上の空白であると明確に定義しており、一部の政策立案者や子供の安全擁護活動家が VPN アクセス自体に年齢認証を必要とすべきだと考えていることを指摘しています。イングランドの児童委員も、VPNサービスの利用を成人のみに制限するよう求めている。ただし、VPN サービスにアクセスする前にユーザーに本人確認を強制すると、匿名性の保護が大幅に弱まり、監視とデータ収集の点で新たなリスクが生じる可能性があります。 VPNプロバイダーやその他のプライバシー擁護団体は、英国の政策立案者に宛てた書簡の中で、このアプローチへの反対を表明した。
先月、研究者らは欧州委員会の公式年齢確認アプリがリリース直後に複数のセキュリティとプライバシーの脆弱性を発見した。このアプリはデジタル サービス法 (DSA) に基づいてプライバシー ツールとして宣伝されていましたが、機密の生体認証画像が暗号化されていない場所に保存されていることが判明し、ユーザーが検証制御を完全に回避できる脆弱性が露呈しました。
欧州議会調査局の文書は、年齢確認が依然として技術的に難しく、EU全体で断片化していることを認めている。自己申告、年齢推定、身元確認に基づく現在のシステムは、未成年者が比較的簡単に回避できると言われています。この報告書は、フランスで使用されている「二重盲検」認証システムなど、新たな手法を強調している。このシステムでは、Web サイトはユーザーの身元を知ることなく、ユーザーが年齢要件を満たしていることの確認のみを受け取り、認証プロバイダーはユーザーがどの Web サイトを訪問したかを知ることができない。
同時に、規制当局は VPN の使用を法律で直接取り上げ始めています。ユタ州は最近、オンライン年齢確認のための VPN の使用を特に対象とした法律を制定した米国初の州となりました。同州の SB 73 法案では、VPN やプロキシ サービスを使用して位置をマスクする場合でも、見かけ上の IP アドレスではなく物理的な存在に基づいてユーザーの位置を定義します。
欧州議会調査局によると、EUがサイバーセキュリティとオンライン安全に関する法律を改正する中、VPNプロバイダーはさらなる監視にさらされる可能性が高いという。同庁は、EUサイバーセキュリティ法の将来の更新により、法的保護を回避するためのVPNの悪用を防ぐことを目的とした児童の安全要件が導入される可能性があると指摘した。