研究者がRobloxで13歳未満の子ども用アカウントを作成したとき、厳重な安全対策があるはずだと考えていました。ところが実際には、プラットフォームの検索機能によって、子どもが詐欺やその他の違法行為に関連するコミュニティを見つけられてしまうことが分かりました。
こうした発見は、世界中の立法者が注目している問いを浮き彫りにします。子どもをオンラインでどう守るのか?
オーストラリアはすでに行動を起こしており、英国、フランス、カナダでも、子どものソーシャルメディア利用に関するより厳しい規則が活発に議論されています。今月、米上院議員テッド・クルーズは、オンラインでの子どもの安全に関する議会公聴会の議長を務めると同時に、それを実現するための法案を再提出しました。
立法者は、これらの取り組みは子どもをオンラインで安全に保つためだと述べています。しかし規制の潮流が高まる中、私たちは「子どものデジタル安全」が実際にはどのようなものなのかを理解したいと考えました。
そこで、専門の調査チームに依頼し、13歳未満の子どもをオンラインで守るうえで、主流のテック企業12社がどれほど有効に対策しているかを調べてもらいました。
その結果、ほとんどのサービスは、子どもが想定されたアカウントや設定を使っている限りはうまく機能していることが分かりました。しかし、子どもが好奇心から誤ったアカウント種別を使ったり、その枠をはみ出したりすると、状況はあっという間に悪化し得ます。
12月の数週間にわたり、調査チームはDiscordからYouTubeまで、各プラットフォームが子どものオンライン利用にどう対応しているかを検証しました。子どもが現実的に遭遇し得る状況を反映するため、エクスプロイトや技術的なトリックではなく、標準的なユーザー行動に基づいて調査を行いました。
研究者は、プラットフォームが特定のアカウント種別を通じて子ども向けにどのように対応しているか、年齢制限が実際にどのように運用されているか、そして通常の閲覧や検索でセンシティブなコンテンツが見つかるかどうかに焦点を当てました。
浮かび上がったのは一貫したパターンでした。少し探りを入れる好奇心旺盛な子ども、あるいは誤ったアカウント種別を使ってしまった子どもは、驚くほど少ない手間で不適切なコンテンツに行き当たってしまう可能性があります。
テストしたプラットフォーム、使用したアカウント種別、センシティブなコンテンツが見つかった箇所の詳細な内訳は、この記事末尾の調査範囲と方法論のセクションに掲載しています。
子ども向けアカウントが「任意」になっている場合
チームが試したことの一つは、子ども保護エリアではなく、サイトの一般公開版にそのままアクセスすることでした。
これはYouTubeで特に問題になりました。同社はYouTube Kidsという子ども向けサービスを運営しており、研究者によれば不適切なコンテンツは実質的に排除されています(2022年以降に状況が変わったようです)。
問題は、YouTubeの通常の一般公開サイトはサニタイズされておらず、同社は「親が有効化」しない限り13歳以上でなければ利用できないとしているものの、現実には誰でもアクセスできてしまう点です。報告書より:
「一部のコンテンツは視聴前に(年齢確認のため)サインインが必要だが、未成年者はログインせずに『ゲスト』ユーザーとしてストリーミングサービスにアクセスでき、登録済みの子どもアカウントに適用されるはずのフィルタリングを回避できる。」
研究者によれば、これにより「ハウツー」系の詐欺チャンネルから、半裸や性的示唆を含む素材まで、さまざまな不適切コンテンツにアクセスできてしまいます。さらに恐ろしいことに、一般公開サイト上で人の処刑場面まで見つかったといいます。研究者は次のように結論づけました:
「一般公開プラットフォームに登録の障壁がないため、『YouTube Kids』の保護は必須ではなく、オプトイン(任意)になっている。」
大人向けアカウントが簡単に偽装できる場合
もう一つの懸念は、アカウントに年齢制限があっても、工夫する未成年なら簡単に回避できてしまうことです。多くのプラットフォームは13歳以上を求めていますが、自己申告だけで足りる場合が少なくありません。あとは、年齢確認を求めないサービスで子どもがメールアドレスを登録すればよいだけです。
この「二重の盲点」とも言える脆弱性は大きな問題です。子どもはアカウント作成が得意です。テック業界がそうなるよう教えてきた面もあります。ストリーミングから学校まで、オンラインで触れるほとんどのものにアカウントが必要だからです。
年齢ゲートを突破してしまうと、好奇心旺盛な子どもは不適切な素材にすぐ到達できます。研究者は、ソーシャルネットワークDiscordで無修正のヌードや露骨な素材を発見し、さらにTikTokではクレジットカード詐欺やなりすまし(ID盗用)の手口を解説するコンテンツを見つけました。ストリーミングサイトTwitchで少し検索すると、エスコートサービスの広告が表示されました。
これはプライバシーと年齢確認のトレードオフを示しています。より厳格な年齢確認は一部の抜け穴を塞げる一方で、身分証や生体情報を含む、より多くの個人データ収集を必要とします。これは特に子どもにとって、別のプライバシーリスクを生みます。そのため多くのプラットフォームは年齢の自己申告に依存していますが、今回の調査はそれがいかに容易に回避され得るかを示しています。
子ども向けアカウントでも有害コンテンツがすり抜ける場合
モデレーションの土台にある亀裂がリスクの高いコンテンツを許してしまいます。ユーザーが独自コンテンツを作成するウェブサイト/アプリのRobloxは、子どもアカウント向けにチャットをフィルタリングします。しかし同時に、交流や発見のためのグループ機能「コミュニティ」も備えています。
これらのグループは簡単に検索でき、中には詐欺やなりすまし(ID盗用)など、犯罪行為と一般に結び付けられる名称や用語を使っているものもあります。「Fullz」というコミュニティは盗まれた個人情報を指す言葉として広く理解されており、「new clothes(新しい服)」は盗難決済カードデータの新しい一式を指す言い回しとしてよく使われます。目に見えるコミュニティは入口として機能し、違法行為の実際の調整やデータ取引は、コミュニティメンバー間の「内輪のチャット」で行われている可能性があります。
チームは、こうした検索の問題はRobloxだけではないと警告しました。制限付きのティーンアカウントからでも、Instagramで金融詐欺や暗号資産(クリプト)詐欺を宣伝するプロフィールが見つかったのです。
一方で、チームのテストを見事にクリアしたサイトもありました。研究者は年齢確認を回避した未成年ユーザーを想定しましたが、Minecraft、Snapchat、Spotify、Fortniteでは有害なコンテンツを見つけられませんでした。Fortniteの対応は特に厳格で、13歳未満の子ども向けアカウントでは、親がメールで確認するまでチャットと購入が無効化されます。さらに社会保障番号やクレジットカードを用いた追加の確認手順もあります。子どもはプレイできますが、発言はできません。
親ができること
特に子どもが好奇心旺盛な場合、すべてを捕捉できるプラットフォームは存在しません。だからこそ、親の関与が最も重要な防御層になります。
これが重要である理由の一つは、認めておくべき関連リスクがあるからです。大人がソーシャルプラットフォームを通じて子どもに接触しようとすることです。Instagramが大人アカウントと子どもアカウントの接触を制限する措置を講じた後でさえ、親は抜け穴を発見しています。これは一つのプラットフォームの失敗というより、どんな制御の組み合わせでも「気づき」と「関与」の代わりにはならないという注意喚起です。
Malwarebytesのコンシューマー部門GM、マーク・ベアは次のように述べています:
「親は、オフラインの結果がすぐに現れる、変化の速いデジタル世界を航行しています。なりすましアカウント、ディープフェイクコンテンツ、資金の喪失などです。安全策は存在し、推奨もされていますが、それでも子どもが有害なコンテンツにさらされる可能性はあります。」
これは子どもをインターネットから締め出すべきだという意味ではありません。EFFが指摘するように、多くの未成年者は親の支援と監督のもとでオンラインサービスを生産的に利用しています。しかし、アカウントをどう設定するか、子どもがオンラインで他者とどう関わるか、そして助けを求めることにどれだけ抵抗がないかについて、意図的に取り組む必要はあります。
アカウントと設定
- 利用可能であれば子ども/ティーン向けアカウントを使い、安易に大人向けアカウントを使わない。
- 友だち・フォロワー一覧は非公開に設定する。
- 厳密に必要な場合を除き、本名、誕生日、その他の特定につながる情報は使わない。
- 子どものアカウントでは顔認識機能を避ける。
- ティーンの場合、設定が緩い可能性のある「スパム」やサブアカウント(別アカウント)を作っていないか把握する。
ソーシャル上の振る舞い
- オンラインで誰とやり取りしているのか、どのような会話が適切かを子どもと話し合う。
- コメント、グループチャット、ダイレクトメッセージにいる見知らぬ人について注意喚起する。
- たとえ自分が何も悪いことをしていなくても、不快に感じる場から離れるよう促す。
- オンライン上では、名乗っている人物が本当にその通りとは限らないことを思い出させる。
信頼とコミュニケーション
- オンライン活動についての会話は、一度きりの注意ではなく、オープンに継続して行う。
- 何か問題が起きたとき、罰や非難を恐れずに相談できることを明確に伝える。
- 親、教師、保護者など、信頼できる他の大人も巻き込み、子どもが一人でオンライン空間を渡り歩かないようにする。
このような長期的な関与は、子どもが時間をかけてより良い判断を下せるよう助けます。また、今日の失敗が将来までつきまとうリスク――個人情報、画像、会話が本人の意図しない形で再利用され得るリスク――も減らします。
調査結果:範囲と 方法論
本調査は、主流のメディアおよびゲームサービスを閲覧する際に、13歳未満の子どもがどのようにセンシティブなコンテンツにさらされ得るかを検証しました。
本研究では、児童オンラインプライバシー保護法(COPPA)に沿って、「子ども」を13歳未満の個人と定義しました。調査は2025年12月1日から12月17日にかけて、米国ベースのアカウントを用いて実施しました。
調査は標準的なユーザー行動と受動的観察のみに依拠しました。 データやコンテンツへのアクセスを強制するためのエクスプロイト、ハッキング、操作的手法は一切使用していません。
研究者は、各プラットフォームが提供する内容に応じて、専用の子どもアカウント、ティーンまたは制限付きアカウント、年齢の自己申告で作成した大人アカウント、そして該当する場合は登録なしの公開アクセスまたはゲストアクセスなど、さまざまなアカウント種別をテストしました。
本研究は、プラットフォームが年齢要件をどのように適用しているか、オンボーディング時に年齢を偽ることがどれほど容易か、そして通常の閲覧・検索・探索によってセンシティブまたは違法なコンテンツが見つかるかどうかを評価しました。
テストしたすべてのプラットフォームにおいて、初期状態のアルゴリズムによるコンテンツと広告は無害で、 ポリシーに準拠していました。 センシティブなコンテンツが見つかった場合、それは受動的なおすすめではなく、意図的で好奇心に基づく行動によってアクセスされたものです。 調査期間中、他ユーザーからの積極的な接触は 確認されませんでした。
以下の表は、テストしたプラットフォーム、使用したアカウント種別、そしてテスト中にセンシティブなコンテンツが発見可能だったかどうかを要約したものです。
| プラットフォーム | テストしたアカウント種別 | 専用の子ども/ティーンアカウント | 年齢ゲートは回避しやすい | 違法 コンテンツを発見 | 注記 |
|---|---|---|---|---|---|
| YouTube(一般公開) | 登録なし(ゲスト) | あり(YouTube Kids) | N/A | あり | 一般公開のYouTubeでは、サインインなしで詐欺/不正関連コンテンツや暴力的映像にアクセスできた。年齢制限動画はログインが必要だったが、多くのコンテンツは不要だった。 |
| YouTube Kids | 子どもアカウント | あり | N/A | なし | 独自のアルゴリズムの壁を持つ別アプリ。有害コンテンツは表示されなかった。 |
| Roblox | 全年齢アカウント(13歳以上) | なし | 不要 | あり | 子どもアカウントでも、サイバー犯罪や詐欺関連キーワードに紐づくコミュニティを検索して見つけられた。 |
| ティーンアカウント(13~17歳) | なし | 不要 | あり | 制限付きアカウントでも、検索を通じて詐欺や暗号資産スキームを宣伝するプロフィールが表示された。 | |
| TikTok | 低年齢ユーザーアカウント(13歳以上) | あり | 不要 | なし | 自由検索のない閲覧専用体験。有害コンテンツは表示されなかった。 |
| TikTok | 大人アカウント | なし | あり | あり | 年齢ゲート回避後、検索でクレジットカード詐欺関連のプロフィールやチュートリアルが表示された。 |
| Discord | 大人アカウント | なし | あり | あり | 公開サーバーを直接検索すると、露骨な成人向けコンテンツが表示された。積極的な接触は 確認されなかった。 |
| Twitch | 大人アカウント | なし | あり | あり | エスコートサービスの宣伝や成人向けコンテンツを発見。一部はペイウォールの背後にあった。 |
| Fortnite | キャビンド(制限付き) アカウント(13歳以上) | あり | 回避は困難 | なし | 親の確認が完了するまでチャットと購入が無効。有害コンテンツは 見つからなかった。 |
| Snapchat | 大人アカウント | なし | あり | なし | テスト中、センシティブなコンテンツは表示されなかった。 |
| Spotify | 大人アカウント | あり | あり | なし | 露骨な歌詞にはラベル表示。有害コンテンツは 見つからなかった。 |
| Messenger Kids | 子どもアカウント | あり | 不要 | なし | 完全に親が管理する環境。検索なし、 外部連絡先なし。 |
