ハクソク

世界を動かす技術を、日本語で。

GrapheneOSは新しい年齢確認法に従うことを拒否しています

45日前原文(tomshardware.com)

概要

  • GrapheneOS は利用者の個人情報収集を求める新法に 非対応 を表明
  • ブラジルカリフォルニア などで導入される年齢確認義務化法の影響
  • 地域規制による販売制限も 受け入れる方針
  • Motorola との提携で今後の展開に注目
  • 他のオープンソースプロジェクトも 同様の対応 を表明

GrapheneOS、年齢確認義務化法に非対応を宣言

  • GrapheneOS は、OS初期設定時の年齢データ収集を義務付ける新法に 従わない方針 を発表
  • 利用者に 個人情報・身分証明・アカウント作成 を一切要求しない運用方針
  • 規制のため販売不可となる地域があっても受け入れる」と明言
  • 世界中で誰でも匿名で利用可能 を維持する姿勢

新法の概要と影響地域

  • ブラジルのDigital ECA(法15.211) :2026年3月17日施行、年齢確認未実装のOS提供者に最大R$5,000万(約950万ドル)の罰金
  • カリフォルニア州Digital Age Assurance Act(AB-1043) :2027年1月1日施行、OS提供者はアカウント作成時に年齢または生年月日を収集し、リアルタイムAPIでアプリストアや開発者に提供義務
  • コロラド州SB26-051 も同様の要件を州上院で可決
  • カナダ法人 であるGrapheneOS Foundationは、これらの法律の 法域問題 が未解決であることを指摘

法的リスクと国際的な適用

  • 米国連邦検察 は、過去にSamourai Wallet開発者(ポルトガル在住)を 国外送還・有罪判決
  • カリフォルニアAB-1043 違反時の民事罰:過失で子ども1人につき最大2,500ドル、故意で7,500ドル
  • 州司法長官 による強制執行

Motorolaとの提携と今後の展開

  • 2027年、MotorolaとGrapheneOSの 長期パートナーシップ により、Pixel以外の端末にも搭載予定
  • Motorola端末にプリインストール される場合、各国規制への 適合または販売地域制限 の必要性
  • 地域ごとに 販売可否判断 が求められる可能性

他のオープンソースプロジェクトの対応

  • DB48X(オープンソース電卓ファームウェア) :年齢確認非実装・非対応を法的に告知
  • MidnightBSD :ライセンスによりブラジルユーザーの利用禁止に更新
  • 年齢自己申告方式 (カリフォルニア法):写真付きIDや生体認証は不要、ユーザーが年齢を自己申告
  • 400人超のコンピュータ科学者 による公開書簡:実効性のない監視インフラ構築への批判

まとめ

  • GrapheneOS は今後も 匿名利用・個人情報非収集 の方針を堅持
  • 新法の国際的適用や販売制限、法的リスクが今後の課題
  • プライバシー重視OS やオープンソースプロジェクトの 規制への抵抗 が続く見通し

Hackerたちの意見

モトローラはどうなるんだろうね?

モトローラがこれに問題を持つなら、グラフェンにとっては合わないパートナーってことだよね。グラフェンは、こういう純粋主義的なナンセンスにすぐに迎合する会社とは提携したくないだろうし。

モトローラは、その地域でGOSがプリインストールされたデバイスを売らないだろうね。

もっと可能性が高いのは、彼らが自分たちの年齢ウィジェットを追加することだね。

グラフェンOSもMastodon / Fediverseアカウントでこれについて投稿してるよね。 https://grapheneos.social/@GrapheneOS/116261301913660830

その間にsystemdはすでにシステムバスに年齢の処理を追加したよ。次は人種を追加して、次に収入、そして誰に投票したかって感じかな…

過去5年間の西洋のテクノロジーの方向性: https://www.youtube.com/watch?v=nXL-r8deB5o

やっとカーネルレベルで悪のビットを正しく設定できるようになったね。

それは大丈夫。前からこうなる兆しはあったし、手放す時が来たんだ。役割は果たしたし、必要に迫られてもっと真剣に代替策を考え始めるべきだと思う。私もそうしてるよ。

元に戻されたの?

なんで?Linuxがこんなローカルな法律をコア機能として実装する必要があるの?特にプライバシーを侵害するようなものは。年齢確認モジュールを導入したい人がいるのはいいけど、それをコアにするのはダメだよね。systemdがカーネルじゃないのは分かるけど、かなり普及してるし。これって、世界中の国々に「WindowsもMacも、そしてLinuxも賛成だよ、法律にしよう!」って言ってるみたい。Linuxは自由の最後の砦だと思ってたから、こんなに簡単に妥協するとは思わなかったな。

誰も(例えばディストリビューションのメンテナ)その反機能をソースからパッチで外したり、rootアクセスで無効にしたりするのを妨げるものはないと思う。自分のマシンで動いているソフトウェアを制御できる限り、Linuxの理念に沿って、実際に欲しくないものはシステムに残らないはず。だけど、systemdがLinuxユーザーにこんなナンセンスを押し付けるのは良くないね。やっぱり、Linuxコミュニティの中で反systemd派が正しかったってことだね。systemdみたいな意見が強いソフトウェアがLinuxの不可欠な部分になると、こういう問題が出てくるんだ。

ちょっと指摘だけど、ユーザーアカウントフィールドを導入するのはシステムバスとは違うよ。~/.identityにあって、そもそも存在しないこともあるからね。

いいね!デバイスは、ユーザーが意識的に選択した機能を満たすために必要なデータ以外は、デフォルトで余計なデータを収集すべきじゃないと思う。これには、バカみたいな年齢確認のスパイウェアも含まれる。大人がISP接続の料金を払ってるんだから、それが年齢確認の必要な範囲だよね。大人が営利企業や監視国家に自分の身元をさらけ出す必要はないし、むしろ営利企業が親の管理機能を使いやすく、効果的にすることを義務付けるべきだと思う。子供のデータを収集するのをやめさせることもね。宇宙の隅々まで赤ちゃん対策をする必要はないし、親が親としての役割を果たせるようにサポートされる社会を作ることが大事だと思う。

大人がISP接続の料金を払わなきゃならなかった。多くの国では、身分証明書なしでプリペイドSIMを買うことがまだできるよ。

年齢を確認するアプリは無駄じゃないし、アプリがこの情報を集める理由は法律や安全性の観点からもたくさんあるよ。もしOSがそれをやらなかったら、各サイトがユーザーに対してダイアログボックスを表示する必要があって、クッキーバナーの問題が起きちゃうんだ。

大人がISP接続の料金を払わなきゃならなかった。無料Wi-Fiって聞いたことある?

OSレベルでの年齢確認は意味がわからない。ほとんどの家庭は、家族全員のために別々のデバイスを持ってないし、親のどちらかが設定したタブレットやコンピュータ(その年齢が保存されている)を子供と親が一緒に使うことになるんだよね。普通は、すべてのユーザーのために別々のアカウントを作ることもしないし。

何言ってるの?ほとんどの家庭は子供に個人用のスマホを持たせてるし、特にティーンエイジャーにはね。ノートパソコンも珍しくないよ。

OSレベルでの年齢確認は意味がわからない。プライバシーを尊重する形でできる唯一の「年齢確認」だと思う(せいぜい年齢が漏れるだけ)。親のコントロールに「年齢に達しているかどうか」の判断を返すアイデアで、親が選ぶことができるようにするべきだよね(カリフォルニアの法律は完璧じゃないけど、その方向性には向かってる)。一般的なコンピュータやインターネットアクセスデバイスを売る場合(スマホも含む)、大人向けだけに売るか、「子供向けではない」と明記するのが合理的だと思う。> 現代の西洋では、ほとんどの家庭が家族全員のために別々のデバイスを持っているわけじゃないから、1人専用のデバイスが多いのが普通だよね。特にスマホとか、少なくとも異なる(OS)アカウントを持ってることが多いし。でも、結局「親のコントロール」に戻るんだよね。子供用(OS)アカウントでも、子供のプロフィールから大人のプロフィールに切り替える方法でも、どっちでもいいけど、こういう法律の目的は親に育てるための道具を与えることだと思う。それに、親が無関心でいる場合の対処も必要だよね。でも、もし親が自分のプロフィールで子供にデバイスを渡すことを選んだら、それは彼らの選択であり責任だと思う。> それに、一般的に人々はすべての潜在的なユーザーのために別々のアカウントを作ることはないよね。可能なところでは、スイッチやゲーム機、PCでも使われているのを見たことがない。自動的にログインやブラウジング履歴、ゲームセーブを分ける最も便利な方法だし、法律もリビングルームの共有コンピュータには適用されるけど、そこが主な対象ではない。子供が無監視で使うデバイス、例えばスマホのことだと思う。

半分以上のまともなOSは、複数ユーザーのサポートがあるよね。

こういう馬鹿げた命令に対しては、絶対に正しい立場だと思う。

これは素晴らしい!おかしな法律がある国は、アクセスを制限すべきだよね。残念ながら、それだけじゃ不十分で、法律を撤廃するために働きかける必要もあるし、再び持ち込まれないようにする努力も必要だよ。

誰か、Facebookとかが年齢確認の責任を負ってない理由を教えてくれない?PKIみたいな身分証明の仕組みがないから?

数年前に戻って、ガソリンスタンドで売られているポルノ雑誌を分析してみると、雑誌が「読者」の法定年齢を確認する責任を負うわけじゃないよね。だから、責任を二重に委譲しているんだ。まず、ガソリンスタンドの店員が購入者の年齢を確認し、その後、購入者が読者の年齢を確認する必要がある。じゃあ、私たちの状況での「ガソリンスタンドの店員」は誰なの?

オンラインにも他のサイトやアプリがあるから、「確認を取得する」と「確認を提示する」を切り離す方がいいんだ。サイトやアプリがこのループに入らなければ、ネット上で漏れることもないから。

GOSプロジェクトには期待してたけど、systemdはサービスに関する問題で既にヤバい状況だったから、これが最後の一押しになって、みんなsystemctlを完全に手放すことになっちゃったね。

図書館のコンピュータとか、どうなるんだろうね。これってほんとに馬鹿げてて、侵入的だよ。広告主とか、個人情報を暴く人たち、ビッグブラザー以外に誰が得するのか全然想像できないわ。