2027年1月1日、カリフォルニア州で一つの法律が施行される。Assembly Bill No. 1043(以下、AB-1043)、正式名称「Digital Age Assurance Act」だ。2025年10月13日にGavin Newsom知事の署名を受けて成立したこの法律は、オペレーティングシステム(OS)プロバイダーに対し、アカウントセットアップ時にユーザーの年齢を確認するインターフェースの提供を義務づける。対象はWindows、macOS、iOS、Androidにとどまらず、法文上はLinuxディストリビューションやSteamOSにまで及ぶ可能性がある。子どもの安全を掲げた立法だが、その射程範囲の広さと技術的な実現可能性をめぐり、テクノロジーコミュニティからは強い懸念の声が上がっている。
「年齢シグナル」という仕組み
AB-1043の核心は、OSプロバイダーに対する二つの義務にある。第一に、デバイスのアカウントセットアップ時に、アカウント保有者(18歳以上の本人、または未成年のユーザーの親権者・保護者)がユーザーの生年月日または年齢を入力するインターフェースを提供すること。第二に、アプリストアを通じて配信されるアプリの開発者からリクエストがあった場合、ユーザーの年齢帯を示す「シグナル」をリアルタイムAPIで提供することである。
年齢帯は4段階に分類される。13歳未満、13歳以上16歳未満、16歳以上18歳未満、そして18歳以上だ。この区分はCOPPA(児童オンラインプライバシー保護法)やカリフォルニア州のAge-Appropriate Design Code Act(AADCA)といった既存の児童保護法制と連動する設計になっている。開発者はアプリのダウンロードおよび起動時にこのシグナルを取得する義務を負い、受け取ったシグナルを「ユーザーの年齢範囲に関する実際の知識」として扱わなければならない。
興味深いのは、この法律が要求しているのはあくまで自己申告ベースの年齢入力であり、顔認証や身分証明書による本人確認を求めていない点である。Steamの年齢確認画面で「1950年1月1日」と入力するのと構造的には同じだ。法律の条文には「アカウント保有者に生年月日または年齢の提示を求める」とあるだけで、その正確性を検証する手段や義務に関する記述は存在しない。
「すべてのOS」が意味する技術的な矛盾
法案が大きな議論を呼んでいる理由の一つは、「Operating system provider」の定義にある。AB-1043はこれを「コンピュータ、モバイルデバイス、またはその他の汎用コンピューティングデバイス上のOSソフトウェアを開発、ライセンス供与、または管理する者」と定義している。「汎用コンピューティングデバイス」という文言は法律内で定義されておらず、この曖昧さが混乱を生んでいる。
MicrosoftやApple、Googleにとって、この法律の遵守は技術的に大きな障壁ではない。Windows、macOS、iOS、Androidはいずれもアカウントセットアップ時に生年月日の入力を求めるプロセスを既に備えている。Microsoftアカウントの作成時には生年月日の入力が事実上必須であり、Apple IDやGoogleアカウントも同様だ。既存のインフラに年齢帯シグナルのAPI機能を追加するだけで済む。
問題はLinuxエコシステムだ。Linuxディストリビューションの大半は、ユーザーアカウントの作成時にユーザー名とパスワードしか要求しない。生年月日を尋ねるプロセスは存在せず、そもそもユーザーアカウントとオンラインサービスのアカウントは根本的に異なるものだ。加えて、Linuxのディストリビューションは世界中の開発者やコミュニティによって維持されており、カリフォルニア州の法律に準拠する義務を負う法人が存在しないケースも多い。
Hacker Newsでの議論では、ある投稿者がこの矛盾を端的に指摘している。「Linuxのパッケージマネージャであるaptは、法文上の定義に照らせばアプリストアに該当する。Debianの母体組織は米国に本部を置いており、おそらくこの法律の適用対象になる」。一方で別の指摘者は、「GitHubはOSと結びついたアプリストアではないし、個人のWebサイトもおそらく対象外だ。法文の各要素を総合的に読む必要がある」と反論した。
SteamOSの扱いも注目に値する。ValveのSteamOSはLinuxベースであり、Steam Deckというハードウェアに搭載されている。ShackNewsの報道では、SteamOSもこの法律の適用対象となりうると指摘されている。ゲームプラットフォームにおける年齢確認はSteamが長年実装してきた機能だが、OS層での義務化はまた別次元の問題を孕む。
執行の現実性とペナルティ構造
AB-1043は違反に対する罰則も定めている。過失による違反は子ども1人あたり最大2,500ドル、故意の違反は同7,500ドルの民事制裁金が課される。執行権限を持つのはカリフォルニア州司法長官のみであり、私人による訴訟権は認められていない。この点は法律の実効性に直結する。
現実的に、カリフォルニア州司法長官がLinux MintやArch Linuxの開発コミュニティを相手に訴訟を起こすことは考えにくい。ある法律専門家が指摘するように、この法律の最大のターゲットはMicrosoft、Apple、Googleの三大プラットフォーマーであり、Linuxコミュニティへの適用は事実上の死文化する可能性が高い。Hacker Newsのスレッドでは「Windows、Apple、Android以外のプラットフォームに対してこの法律が執行されることはないだろう」「カリフォルニア州議会がLinuxの存在を認識しているかどうかすら怪しい」といった皮肉めいたコメントが見られた。
一方で、法文の広範さを逆手に取ったシナリオも懸念されている。「大手三社はこの機能を喜んで実装するだろう。そしてLinuxなどのオープンソースOSを規制当局に報告し、規制上の訴訟で埋没させることもできる。三社はすでにアカウントとIDを紐づけたシステムを持っている。Web接続なしのアカウントを最終的に排除する口実にもなりうる」という指摘は、技術的コンプライアンスの非対称性がもたらす競争上の歪みを鋭く突いている。
「子どもの安全」の旗印の下で
AB-1043の立法趣旨は、International Centre for Missing and Exploited Children(ICMEC)およびChildren Nowがスポンサーとなっている点からも明確だ。各Webサイトやアプリが個別に年齢確認を行うのではなく、OSレベルで一元的に年齢帯情報を管理し、APIを通じてアプリ開発者に提供する。親が一箇所で年齢を設定すれば、COPPAやAADCAに基づく保護が自動的に作動する仕組みだ。
この考え方自体に一定の合理性はある。現状、年齢確認はサイトごとにバラバラに実装されており、「あなたは18歳以上ですか?」というチェックボックスが形骸化していることは周知の事実だ。OSが発行する年齢シグナルをアプリが参照するモデルは、プライバシーの観点からは各サイトに身分証明書を提出するよりもはるかに侵襲性が低い。法文にも「この法律に基づくコンプライアンスの過程で第三者から収集したデータを、反競争的な方法で使用してはならない」とする反トラスト条項が盛り込まれている。
だが、テクノロジーコミュニティの多くはこの意図を額面通りには受け取っていない。Redditのr/cybersecurityスレッドでは、「政府がコンピュータへのアクセスをゲーティングすることに我々は同意するのか」という問いが880ポイント以上の支持を集めた。「これは子どもの安全を装った監視だ」「各ハードウェアを追跡可能な個人に紐づけること自体がFascistの見る夢だ」といった反応は、法案の表面的な目的と、その運用がもたらしうる帰結との間に深い溝があることを示している。
世界的な潮流との接続
AB-1043はカリフォルニア州固有の法律だが、孤立した動きではない。イギリスではOnline Safety Actに基づく年齢確認制度がプライバシー上の懸念から批判を受けており、Discordの顔認証による年齢確認も、その認証プロバイダーであるPersonaが年齢確認以外の目的でデータを使用しているのではないかという疑惑により物議を醸した。EUのDigital Services Act(DSA)も、プラットフォーム事業者に対して未成年保護のための措置を求めている。
米国内でもコロラド州が類似法案(SB26-051)を審議しており、年齢確認の義務化は一つの立法トレンドとなりつつある。Electronic Frontier Foundation(EFF)は2025年末の報告書で、世界各国における年齢確認法制の拡大を体系的に分析し、その多くがプライバシーを犠牲にした過剰な規制であると警告している。
こうした動きの背景にあるのは、未成年のオンライン安全という社会的合意と、それを技術的にどう実現するかという方法論の未成熟さの間のギャップである。OSレベルでの年齢シグナルは、サイトごとの身分証明書提出よりはプライバシー保護に優れるという見方がある一方で、「今日の年齢シグナルが明日のID認証になる」という懸念は根強い。Redditの投稿者が書いたように、「一度その扉に足を踏み入れたら、なぜ性別の申告ではないのか? あるいは完全なIDトークンではないのか?」という問いは、技術的な可能性が政策的な欲求を加速させることへの本質的な警戒を表している。
汎用コンピューティングの未来への射程
AB-1043がもたらす最も深刻な長期的影響は、汎用コンピューティング(General-Purpose Computing)の概念そのものへの挑戦かもしれない。Hacker Newsのある投稿者は、過去の類似事例を列挙しながらこの法律の本質を分析した。UEFIのSecure Bootが当初Microsoft署名のOSのみを許可しようとしたこと、iOSとAndroidの大半が代替OSのインストールを許可していないこと、Googleが提案したWeb Environment Integrity(WEI)がプラットフォーム認証によってブラウザの自由を制限しようとしたこと。これらの事例とAB-1043は、ユーザーが自身のデバイスを自由に制御する権利を段階的に侵食するという同一の軌道上にあるという指摘である。
Pine64、Framework、System76、Fairphone、Purismといった、ユーザーによるハードウェアとソフトウェアの完全な制御を理念とするメーカーにとって、この種の法律は存在そのものを脅かしかねない。年齢確認APIをOSに組み込む義務は、コミュニティ主導で開発されるオープンソースOSに対して、商用OSとの規制上の非対称性を生む。
Linux Mintのコミュニティでは、「カリフォルニア州がこれを執行するのは実質的に不可能だ」「仮にLinux Mintが年齢確認を追加したとしても、そのバージョンを選ぶ理由は誰にもない」「サイトに『カリフォルニア州では使用できません』という免責事項を掲載するほうがよほど現実的だ」という声が上がっている。これは皮肉であると同時に、この法律の執行可能性の限界を正確に映し出している。
2027年1月の施行まで残された時間の中で、テクノロジー業界がこの法律にどう対応するかは、単なるコンプライアンスの問題を超えた意味を持つ。年齢シグナルの仕組みが、未成年保護のための合理的な妥協点として機能するのか、それとも汎用コンピューティングの自由とプライバシーを侵食する楔となるのか。その答えは、法律の運用と業界の対応、そして司法の判断の積み重ねによって初めて明らかになる。
Sources