英国の年齢確認：法令要件、「高い有効性」の手法、そして最小の摩擦で実装する方法

Key takeaways (TL;DR)
 

Online Safety Act 2023 は未成年保護のため、成人のみのアクセスを「高い有効性」で担保することを要求。監督は Ofcom が実施。

不遵守の制裁：グローバル売上の最大10％または£18m、さらに英国でのサービス遮断の可能性。

「18歳以上です」といった自己申告は不可。年齢推定＋本人確認書類・ライブネス、Yes/No で返すアイデンティティ連携等の技術が必要。

推奨パターン：低摩擦の一次手段（年齢推定）＋疑義時の書類 fallback、プライバシー・バイ・デザインと継続的モニタリング。

英国での年齢確認は、もはや任意や見せかけではありません。2025年以降、英国で事業を行うプラットフォームは、有害コンテンツへの未成年のアクセスを防ぎ、Ofcom の監督下で、それを**「高い有効性」の方法で証明**する必要があります。

不遵守の場合、グローバル売上の最大10％、かつ最大£18,000,000の罰金に加え、英国でのサービス遮断や評判リスクも生じます。したがって英国で事業を行う企業は、個人データの取り扱いや年齢確認UXのスムーズさについて、今後いっそう厳しい監視を受けることになります。

本記事は、プロダクト／法務／コンプライアンス担当の方に向け、新制度の要点と、摩擦を抑えて通過率を高める年齢確認ソリューションの選定・実装ポイントを解説します。

Online Safety Act で何が変わり、いつ適用されるのか

Online Safety Act 2023 は、プラットフォームに対し、未成年を有害コンテンツから遮断し、その実効性を証明する明確な義務を課しています。導入は段階的で、Part 5（自社でポルノを公開するサービス）は2025年1月17日から義務化、Part 3（user-to-user と検索）は2025年4月16日までにChild Access Assessment（子どものアクセス評価）を完了し、2025年7月25日（Age Verification Day）以降は、ポルノを許容するすべてのサービスが本番環境で強固な年齢確認を実装する必要があります。同日、Ofcom は検証と最初の調査を開始しました。

この枠組みは、児童保護コードと Ofcom ガイダンス（2025年1〜4月）により、有効性・比例性・プライバシーの期待水準を具体化しています。自己申告（「18歳以上です」）は不可となり、バイオメトリクスとAIによる年齢推定、本人確認書類の検証＋顔1:1照合＋ライブネス、最小限のデータ移転でYes/Noのみ返すアイデンティティ連携（例：アイデンティティ・ウォレット）といった技術的根拠が求められます。これらは信頼性・堅牢性が高く、継続的モニタリングが行われている場合に有効とされます。

不遵守の際は、 Ofcom がグローバル売上の最大10％または£18mの罰金を科し、英国でのブロッキングを求めることもあります。規制当局は、リスクベースの意思決定、ドキュメント化、効果測定指標、そして年齢確認がボトルネック化しないプライバシー・バイ・デザインによる実装を期待しています。

だれが年齢確認を行うべきか？（ポルノ以外も含む実際の対象範囲）

義務は「アダルトサイト」に限りません。2025年7月25日以降、ポルノを公開または許容するあらゆるサービス（自社コンテンツ／UGC を問わず）は、未成年のアクセスを阻止するため「高い有効性」の年齢コントロールを適用しなければなりません。枠組みは以下を区分します。

• Part 5（pornography providers）：自社でポルノを公開するサービス — 2025年1月17日から対象。
• Part 3（user-to-user と検索）：SNS、コミュニティ、フォーラム、メッセージング、検索エンジン — 2025年4月16日までに子どものアクセス評価を完了し、ポルノを含む有害コンテンツの曝露リスクがある場合は、age assurance など比例的な措置を実施。

実務では、18+サブフォーラム／チャンネルを持つ UGC プラットフォーム、コミュニティ機能を備えるストリーミングサービス、英国ユーザーにポルノ検索結果を提示し得る検索エンジン、さらにはサービス内で露骨な性表現を公開する生成AIツールまでが含まれます。合理的に予見可能な曝露リスクがある場所では、Ofcom は単なる警告ではなく曝露を予防できるシステムとプロセスを期待しています。

ポルノ以外にも、Part 3の児童保護コードは、自傷・自殺・摂食障害など未成年に有害なテーマのリスク管理を求めます。ここでは年齢保証に加え、（見知らぬ相手からのDM制限、レコメンド調整、セーフサーチのデフォルト有効化、ペアレンタルコントロール等）設計・モデレーションの施策を、リスク水準に応じて組み合わせます。

年齢確認の手法：リスク・プライバシー・UXに基づく選定

公式ガイダンスは複数の「高い有効性」の手法を認め、多層防御的に組み合わせることを推奨しています。

• 顔年齢推定：バイオメトリクスとAIで年齢帯を推定。追加情報や個人特定を要せず、低摩擦。
• 書類＋バイオメトリクス：書類検証と生体（顔1:1＋ライブネス）で成人可否を確認。高摩擦で機微データを扱う。
• クレジットカード：成人向け手段へのアクセスを示す間接証拠。カバレッジは限定的。
• デジタルID（identity wallet）：成人可否だけをYes/Noで返す最小データ連携。プライバシー・バイ・デザインに合致。
• テレコ／メールのシグナル：補助として有用だが、単独では不十分。

選定では、リスク水準、コンテンツ文脈、法域、プライバシー、ユーザー受容性、総コストをバランスする必要があります。

プライバシー最優先：機微データを保存せずに適合させる

英国政府と規制当局は比例性とデータ最小化を強調します。実務上のポイント：

• 不要であればバイオメトリクスや書類画像を保存しない。
• 最小の保存期間を定め、暗号化・分離・アクセス制御を実装。
• *DPIA（データ保護影響評価）**の実施、処理活動記録、ベンダー評価。
• 透明なメッセージング：検証目的、処理内容、保存期間を明確化。

目的は、摩擦を増やさずに適合を証明し、信頼を醸成することです。

影響と論点：市場で起こりうること

施行後、政府は、未成年とインターネットの関わりに大きな変化が生じると見ています。年齢確認はより多くの接点に広がり、有害曝露を減らすためにアルゴリズムも調整されます。一方で、統制回避を狙うVPN の利用増も観測されており、規制は予見可能なバイパスの防止と抜け道の助長をしないことを求めています。安全強化を評価するNGOと、プライバシー／表現の自由の観点から比例性・透明性を求める立場の議論も継続。企業にとっての結論は明快です：実務的でトレーサブル、かつプライバシー尊重のコンプライアンス。

Didit の年齢推定：低摩擦の検証と安全な fallback

Didit の年齢推定は、バイオメトリクスによりごく低い摩擦でユーザーの年齢を推定し、不確実性を検知した場合は書類＋生体の fallback を自動起動して保証を強化します。

Didit の方針：

• 摩擦のないUX：数秒で検証完了、離脱を最小化。
• 高い完了率：手順と摩擦を減らし、検証完了を押し上げ。
• 安全な fallback：グレーゾーンで強い検証を実施し、プライバシーとリスクの均衡を確保。
• プライバシー・バイ・デザイン：最小限のデータ収集、可能な場合は二値応答を返す設計。

統合は、ノーコードの検証リンクや API で数分で開始でき、プロセスに柔軟に組み込めます。コンバージョンが肝のプロダクト、すなわち小さな摩擦が売上に直結する環境に最適です。

Age Estimation の技術詳細は技術ドキュメントをご覧ください。

結論：英国で「ゲームチェンジャー」となる年齢確認

新たな枠組みは測定可能な成果を要求します。未成年を有害コンテンツから遠ざけつつ、プライバシーを損なわず、UX も犠牲にしないこと。鍵は、低摩擦の一次手段と高確度の fallback、可観測性と証跡の組み合わせです。Didit の年齢推定はこのアプローチに合致し、摩擦を抑え、通過を速め、必要に応じて強い保証を追加します——アーキテクチャ段階からのプライバシー・バイ・デザイン。