エル・レグがPornHubの姉妹企業AgeIDとインディーズポルノ作家に年齢認証について語る

アダルト帝国マインドギークの年齢認証部門エイジIDは、ユーザーの性癖に関するハッキング可能なデータベースを作成しないことを批判者に保証するために、独立したセキュリティ評価を委託し、データを保存しないと誓約した。

この動きは、英国政府がオンラインポルノに対する物議を醸している年齢確認規則の導入を推進している中で起こった。この規則はイースター頃に施行される予定だ。成人向けコンテンツがコンテンツの3分の1以上を占めるサイトにアクセスするには、訪問者が18歳以上であることを証明する必要がある。

これは、すべてのポルノサイトが何らかの年齢確認（AV）システムを導入する必要があることを意味する。サイトがこれに従わない場合は、規制当局である英国映画分類委員会がISPにブロックを命じたり、決済サービスプロバイダーに遮断を要請したりできる。

2017年のデジタル経済法に規定された規則は、それ以来数多くのプロバイダーが登場しているが、おそらく最も厳しく精査されているのは、PornHubやRedTubeのような主流のメガサイトも所有するMindgeekを親会社とするAgeIDの年齢確認ツールだろう。

同社のセキュリティ対策が脆弱なだけでなく、批評家たちは、Mindgeekが両部門から個人の閲覧習慣に関する情報を収集・統合しようとする誘惑に抗えない可能性があると警告している。ポルノ業界関係者の多くは、このことが巨大企業が市場における支配力を強め、より多様な嗜好に対応する小規模プロバイダーを駆逐するのではないかと懸念している。

情報セキュリティ担当者がAgeIDの業務を点検

AgeIDはこれらの問題に真正面から取り組もうとしており、The Registerに対し、アプリケーションがユーザーの行動を追跡したり、年齢確認データを保存したりしないことを確認するために、NCCグループに独立したセキュリティ評価を委託したことを独占的に明らかにした。

また、電子メールによるインタビューで、エイジIDの広報担当ジェームズ・クラーク氏は、同社はユーザーのプライバシーの重要性を理解しており、この法律は「保護が確実に実施されなければ、何百万人もの成人のデータを漏らすという意図しない結果をもたらす」というメッセージを強調しようとした。

AgeIDに登録するユーザーは電子メールアドレスとパスワードを使用するが、同社によれば、これらはトランスポート層からのソルト付きの一方向ハッシュによって保護されているという。

ユーザーはメールアドレスを確認した後、パスポートや運転免許証などの書類を用いて、サードパーティプロバイダーを通じて年齢確認を行います。確認後、プロバイダーはAgeIDに合否結果を返します。

「私たちはAgeIDと年齢確認データを明確に区別することを望んでおり、それを確実にするために非常に大きな措置を講じてきました」とクラーク氏は語った。

「AgeIDはユーザーの身元や生年月日を把握しておらず、ハッシュ化されたアカウントが18歳以上かどうかのみ把握しています。AgeIDは単なるシングルサインオンであり、ユーザーの年齢確認は行いません。ユーザーデータを受信して​​サードパーティの年齢確認機関に転送することもありません。」

クラーク氏は、訪問したサイトに関する情報や、その訪問のデータ、時間、長さは同社によって保存も分析もされていないことを「断固として」確認した。

「AgeIDは、ユーザーがサイト上で何をしたかを確認するどころか、ましてや保存することさえできません。18歳以上であることを確認し、アクセスを許可するだけです」とクラーク氏は述べた。「この情報は決して受信も保存もされないため、分析を行うことはできません。」

AgeIDとMindgeekがデータセットを連携または統合するかどうかとの質問に対し、クラーク氏は「そんなことは絶対に起こらない」と答え、AgeIDはデータを収集していないため「統合できるユーザーデータは存在しない」と主張した。

AgeIDは、 The Registerと社内で実施したプライバシー評価結果の共有を拒否し、「規制当局の認証制度による更なる精査を歓迎する」と述べた。この認証制度はまだ開始されていない。

NCC グループの評価により、デジタル経済法、BBFC の年齢確認手続きに関するガイダンス、BSI の年齢確認ツールに関する公開仕様、GDPR という 4 つの関連法規とガイダンスからの管理ステートメントに対するフレームワークが作成されました。

The Regが閲覧した一般公開版の報告書によると、DE法の関連部分に関連する34の規制のうち、AgeIDは28の規制に完全に準拠し、6つは適用外であった。GDPRコンプライアンスに関連する91の規制のうち、AgeIDは86の規制を満たし、残りの5つは適用外と記録されている。

報告書によると、BBFCが協議結果を公表した後、AgeIDはプロセスにいくつかの変更を加えた。これには、BBFCがデフォルトでログアウト状態になるべきだと指摘した後、「ログイン状態を記憶する」というデフォルト設定を削除することが含まれていた。

NCCグループはまた、BBFCがガイダンスに関する正式な監査要件や統制成熟度の格付けをまだ発表していないため、統制評価は「NCCの情報保護の経験に基づく」ものであり、これらのプロセスが正式に確立されたらAgeIDが再度レビューを実施すべきだと指摘した。

「今の評価は長期的な保証ではない」

ポルノグラファーであり、年齢確認反対運動のリーダーでもあるパンドラ/ブレイク氏は、AgeIDの取り組みについて次のように述べた。「AgeIDがユーザーの行動を追跡しないように圧力を感じているのは喜ばしい。問題は、彼らのポリシーや価値観が今後どのように変化するかが保証されていないことだ。」

オンラインポルノの年齢確認に長年反対してきたオープン・ライツ・グループも、この見解に同調した。「今回の評価が何を言おうと、来年、あるいは10年後に同じ基準が適用されるかどうかは分からない」と、事務局長のジム・キロック氏は述べた。

「これらの製品を信頼する唯一の方法は、規制することです。そのため、基準が定められ、定期的に監査され、信頼できるものになります。…私たちは非常に危険な状況にあり、BBFCの規制制度を意味のあるものにするためには、早急な対策が必要です。」

ブレイク氏とキロック氏はともに、BBFC がこうした方向の計画を約束していたものの、これは任意のものであり、何を保証すべきかについて広範な協議が行われていなかったと指摘した。

BBFCの広報担当者は、認証制度は「業界と協力し、政府の支援を受け、（情報コミッショナー事務局からの）意見も得ながら」開発中だと述べたが、具体的な作業期間については明らかにせず、詳細は「近日」発表されるとだけ述べた。

一方クラーク氏は、AgeIDは「BBFCの認証を取得するまでは」英国のユーザーには公開されず、またすべてのサードパーティプロバイダーにも認証を取得するよう要求すると述べた。

基準の詳細は公表されていないものの、同氏はAgeIDが合格すると「非常に自信を持っている」と述べ、規制当局のベストプラクティスガイダンスと侵入テストが含まれることを期待していると述べた。

また、クラーク氏は、同社が受けている監視のレベルを「理解し、予想している」としながらも、AgeIDは「市場にある唯一の年齢確認ソリューションからは程遠い」と強調した。

しかし、これはポルノ界の重鎮による唯一のもので、独立系プロバイダーから頻繁に批判されている。そして、AgeID は自社の Web サイトで親会社である Mindgeek について一切言及していない。

こうした状況と、ユーザーデータの安全性確保に関するMindGeekの悲惨な実績を考えると、AgeIDが親会社の身元を伏せておきたいと考えるのも無理はありません。しかし、人々は自分のデータを提供しようとしている企業の本質を知る必要があります。

Decoded:Legalの弁護士ニール・ブラウン氏は、透明性の欠如は多くの人々にとって「過度の懸念を引き起こすことはないだろう」としながらも、独立系プロバイダーからポルノを購入することを好む人々は気にするだろうと述べた。

「彼らはMindgeekを支持したくないのかもしれない」と彼は言った。「しかし、(a)おそらくそれは少数のグループだろうし、(b)おそらく彼らはこの問題を認識しているだろうし、(c)彼らが選んだポルノサイトがAgeIDを認証手段として使うかどうかも疑問なので、この問題は発生しないかもしれない」

一部のサイトがAgeIDの使用を控えている可能性はありますが、クラーク氏は業界におけるこの製品の導入状況については一切明らかにしませんでした。しかし、一部のポルノグラファーは以前、AgeIDが普及すれば、訪問者が別の認証手続きを経たくないと考える可能性があるため、提供せざるを得なくなるかもしれないと発言していました。

期限が近づき、ポルノサイトが決断を迫られる今後数ヶ月で、状況はより明確になるだろう。しかし、その間にも希望の光はあるかもしれない。xHamsterは最近、2018年に英国からのトラフィックが6%増加したと報告しており、これはポルノをブロックする計画を大々的に展開している国では典型的なことだと述べている。®