世界を動かす技術を、日本語で。

EUの年齢確認アプリ、デスクトップサポートの計画なし

2025年9月24日原文(github.com)

概要

  • スマートフォン非所有者への配慮不足が問題点
  • オンライン年齢確認の現実的な課題指摘
  • プライベートブラウジング時のユーザビリティ低下
  • 実装コストと中小企業への影響懸念
  • EU技術政策への信頼低下の背景

オンライン年齢確認ソリューションのユーザビリティ課題

  • スマートフォン所有前提 の設計による高齢者・非スマホユーザーの排除
    • 例: 従来型携帯電話 利用者のオンライン手続き困難
  • 年齢確認手段の 多様性不足 によるアクセシビリティ低下
  • ウェブ閲覧時の GDPRチェックボックス による体験の分断
    • プライベートブラウジングインコグニートモード 利用時に毎回認証が必要
  • PC利用者 や匿名性重視ユーザーへの不便さ
    • 複数ニュースサイト比較時など、 都度認証 が大きな負担

プライバシーとユーザビリティの両立案

  • ブラウザ拡張機能 による年齢認証自動化の提案
    • プライバシー重視 の実装が前提
    • ただし、 信頼性・セキュリティ の懸念が残る
  • インコグニート利用時 だけでなく、通常ブラウジングにも影響
  • 一括認証セッション管理 による利便性向上の必要性

実装コストと中小企業への影響

  • 導入コスト増大 によるスタートアップ・中小企業への負担
    • 開発言語やエコシステムの制約 (例:Javaのみ対応)による柔軟性低下
  • 大企業小規模事業者 間の格差拡大リスク
  • EUによる技術政策への 信頼喪失
    • Peppolアクセス・ポイント 導入時の経験からの不信感
    • 開発自由度コスト効率 の低下

今後の改善提案

  • 多様な認証手段 の導入(例:SMS、郵送書類、店舗認証)
  • プライバシーユーザビリティ を両立する設計思想
  • 中小企業支援策技術選択の自由度 確保
  • ユーザー層ごとのニーズ を反映した政策立案

Hackerたちの意見

これって、要件がちゃんと考えられてない良い例だよね。> デスクトップサポートは現在プロジェクトの範囲外です。これから言えるのは、彼らの定義によれば、デスクトップアプリは年齢確認の範囲外ってことだよね。ってことは、すべてがウェブサービスじゃなくて、デスクトップアプリが復活する可能性があるのかな?夢見ちゃうよね。まあ、それまでは「言われた通りにやる」大人たちが、ずっと不便を強いられることになるんだろうな。追記:これによって、新しいスマホOSの開発も完全に無効化されるよね。オンラインで何かするためにウォレットを確認できないのに、誰がわざわざやるんだろう。

デスクトップアプリが復活する可能性があるのかな...? いや、法律でまだ必要だから、デスクトップアプリはスマホとの何らかのやり取りが必要になるよ。

これって「PCは過去の遺物だと思ってた」って感じだね、悲しいことに。

アプリが利用できないからって、年齢確認が不要ってわけじゃないよ。スマホからアカウントを確認したり、年齢確認セッションに連れて行くQRコードをスキャンする必要があるかもしれない。確認が終われば、デスクトップから続けられるって感じ。そうじゃなかったら、スピードメーターがないからって速度制限に縛られないってことになっちゃうよね。

これにより、新しい電話のOSの開発が完全に無効化されるだろう。オンラインで何かをするためにウォレットを確認できないのに、誰がわざわざやると思う?今もそうなってるけど、銀行のアプリや政府のeIDアプリはGoogleやAppleのデバイス以外では動かない。

子供たちが、現代のスマホで古いデスクトッププラットフォームのエミュレーターを簡単に動かせることを理解したら、待っててね。

いやむしろ、「このデスクトップアプリを使うにはスマホが必要です」ってことだね。

これがハードウェア認証の本質だね:両刃の剣、しかも鋭い。最大の問題は、認証ハードウェアとアプリクライアントが同じデバイスで、同じメーカーが作ってるってこと。しかも、そのメーカーは顧客を収益化することとプライバシーを守ることの間に微妙な利害の対立があるんだよね。私見だけど、賛成派の力が強すぎて、今はまだオープンなものが残ってるうちにその瞬間を大事にすべきだと思う。

でも、これは新しい種類のハードウェアにとってはチャンスかもしれないね(願望モード)。

プライベートアクセス・トークン(PAT)が、収益化の名のもとにプライバシーを侵害するのはどういうこと?

ここでの狂った質問は、なぜEUがサービスにアクセスするために二つのアメリカの民間企業が管理するハードウェア認証を義務付けるのかってことだよね。それって、消費者を守ったり、独占を防いだり、一般の人が生活できるようにするEUの法律や規制の精神に完全に反してると思う。最近は「デジタル主権」に焦点を当ててるし。これって、すべての目標に対して五つの反対があるようなもんだよね?顧客を害し(GDPRの真逆とも言える)、既存の独占を強化し、情報にアクセスするために市民を二つの民間企業の奴隷に強いる。そして、その上で、誰が有効な人間かを判断する仲裁者としてアメリカに自ら降伏するなんて。これってEUの精神に完全に反してるから、真剣じゃなかったら笑えるレベルだよね。

DSAをやっと見てみたけど、年齢確認に関しては3箇所しか触れられてないんだよね。 - Recital 71では、未成年者のプライバシーとセキュリティは特に保護されるべきだってぼんやり言ってるけど、彼らを特定するために余分な個人データを処理しちゃダメって。 - Article 28では、プラットフォームは「未成年者のプライバシー、安全性、セキュリティを高いレベルで提供すべき」って言ってるけど、やっぱり余分な個人データを処理しちゃダメって。さらに、委員会が「ガイドラインを出すかもしれない」って言ってるけど、年齢確認を実施すべきだなんて言ってない。 - Article 35では、「大規模なオンラインプラットフォーム」は年齢確認を実施するかもしれないって。あと、recital 57では、オンラインプラットフォームの規制はマイクロ/小規模企業には適用されないって書いてある(どこかに定義がある)。全体的に見て、今のところ年齢確認を強制されてるのは大手のオンラインサービスだけだと思う。委員会のいろんな投稿を見た感じ、彼らはこの状況をそう見せようとしてるけど、法的には今はそうなってない。 EDIT: 言及されてたガイドラインを見つけたよ[0]、年齢確認の部分についてのいい解説もある[1]。

Hacker Newsで議論の続きを見る