年齢確認に関するISO規格

私たちは、テクノロジーや人工知能が社会の構造に織り込まれたデジタル時代に生きています。しかし、新たなテクノロジーがもたらす恩恵とともに、その影響、特に子どもたちへの影響に対する認識も高まっています。
オンライン上で子どもたちの安全を守るため、世界的な年齢確認に関する情報セキュリティの実践を支援する国際的な枠組みが始動しました。2025年12月に発行された『ISO/IEC 27566-1: 2025 Information security, cybersecurity and privacy protection – Age assurance systems 情報セキュリティ, サイバーセキュリティ, プライバシー保護-年齢保証システム-第1部: フレームワーク』は、組織や政策立案者が年齢に関する適格性の判断を行うのを支援する枠組みです。
この規格は、堅牢な年齢確認システムにおいて何が「望ましい」状態であるかを明確に定義しており、本人確認を強制することなく、組織がそのようなシステムを設計できるよう支援します。そして、透明性とプライバシーを通じて信頼を築くことを目指しています。
なぜ年齢確認が必要なのか
オーストラリアは今年初め、16歳未満の子どもによるSNS の利用を禁止する措置を導入し、世界的な注目を集めました。ほかの国々でも、全面禁止にまでは至らないとしても、制限を制定する動きが進んでいます。
英国のオンライン安全法 (Online Safety Act) やEUデジタルサービス法 (EU Digital Services Act) のような法律は子どもの保護を目的としていますが、利用に関する最低年齢制限が設けられているにもかかわらず、13歳未満の多くの子どもたちが依然としてSNS を利用し続けています。
英国のオンライン安全規制機関であるOfcomの調査によると、SNSを最も頻繁に利用している年齢層は13歳から15歳で、その96%が自分専用のSNSプロフィールを所有していることがわかりました。さらに懸念されるのは、3~5歳の37%がSNS を利用しており、その60%が自分のプロフィールを持っているということです。携帯電話へのアクセスは年齢とともに増加し、自分専用の携帯電話を持っている割合は3~5歳で19%ですが、13~15歳では97%に上ります。
3歳から17歳の子どものうち、16%は自分の写真を掲載した誰でも閲覧できるSNS のプロフィールを持っており、同じ年齢層の16%が自分の動画をオンラインでライブ配信しています。
英国では、子どもや若者が有害なコンテンツや活動にさらされるのを防ぐことを目的として、3月2日から子どものSNS利用に関する協議が開始されました。同時に、子どものSNS 利用を禁止する法案は貴族院で否決され、4月に庶民院 (下院) へ差し戻されることになりました。
この規格が対象とする内容
年齢の検証は、もちろんSNS に限ったものではなく、小売を含むさまざまなプラットフォームで広く利用されています。さまざまな組織がこのような確認機能を自社の製品やサービスに組み込んできたため、各利用事例に関連するプライバシー要件に基づいて、多岐にわたる技術が用いられてきました。技術の選択に影響を与えるその他の要因には、リスクへのアプローチと、もちろん、コストが含まれます。
ISO/IEC 27566は、「年齢保証 (age assurance) 」が何を意味するかについて、4つの主要な概念に基づく世界共通の理解を確立しています。
- 年齢の検証 (age verification): パスポート、IDカード、運転免許証などの公的書類を用いて年齢を確認すること。
- 年齢の推定 (age estimation): 顔分析などの技術を用いて、推定される年齢を判断すること。
- 年齢の推測 (age inference): 閲覧や関与のパターンなどの行動を通じて、その人の年齢を予測すること。
- 継続的な妥当性確認 (successive vaidation): 入口時点での単一の確認ではなく、利用セッションを通じて継続的に確認を行うこと。
英国規格協会 (BSI) の「年齢保証パネル」は、この規格の策定に取り組み、その中で適切な年齢保証に関する5つの特性を提示しています。
- 機能性 (Functionality): システムは、掲げている年齢関連のタスクを実行しなければならない。
- パフォーマンス (Performance): システムは、あらゆる状況において、すべての利用者に対して正確かつ一貫して機能しなければならない。
- プライバシー (Privacy): システムはプライバシーに配慮して設計されなければならず、年齢確認に必要な最小限のデータのみを収集すべきである。
- セキュリティ (Security): システムは、操作、不正改ざん、または攻撃から保護されなければならない。
- 受容可能性 (Acceptability): システムは、透明性があり、実用的で、包摂的でなければならない。
これらの特性は、組織が独自のプロセスを設計する際に役立つだけでなく、第三者プロバイダーに対する最低限の要求事項のチェックリストとしても機能します。
未来を保護する
ISO/IEC 27566-1が発行される以前は、年齢保証システムを評価するための規格や技術的方法を定義する国際的な合意は存在しませんでした。この規格は、組織の規模を問わず、公共の信頼を高めるとともに、世界中の社会で最も脆弱な立場にある人々を保護するために活用できます。
2026年2月に、BSIのデジタル部門における人工知能およびサイバーセキュリティ責任者であるローラ・ビショップ (Laura Bishop) 氏は次のように述べました。「思春期の若者や子どもたちのオンライン上のウェルビーイングを守ることは極めて重要ですが、私たちは憂慮すべき行動の証拠を目にしています。
「年齢保証は、子どもたちが安全かつ安心して成長できるオンライン世界を構築するための重要な手段であり、同時に生涯を通じて必要となるスキルやデジタルリテラシーを身につけていく上でも不可欠なものです。[この規格]は、信頼できるシステムの明確な特性を定める実践的な枠組みを提供することで、安全なオンライン世界へと向かう私たちの旅の出発点となるでしょう。」









