「身分証を見せてください」時代 — 年齢・本人確認の義務化が開く新たなSaaS市場

英国・EU・米国・豪州が年齢・本人確認を相次いで法で義務化し、ネットに入るには身分証を差し出す時代が始まった。米国だけで19州が未成年SNSアクセス法、20州超が成人コンテンツの年齢確認法を可決。規制は脅威であり市場でもある。プライバシーを守る年齢推定・本人確認SaaSが新カテゴリとして立ち上がる。

何が起きたのか

この1〜2年で年齢・本人確認の義務化が一気に広がった。英国オンライン安全法は2023年の発効後に段階的執行へ入り、2026年現在、Ofcomは90超のプラットフォームを調査し6件の制裁金を科した — ストリーミングのKickに80万ポンド、ある成人サイト運営社に100万ポンドだ。有害コンテンツを扱うプラットフォームは「極めて効果的な」年齢確認を導入する必要があり、顔による年齢推定と認証済みデジタルID提供者が手段として認められる。豪州は2025年12月に16歳未満のSNS利用を禁止した。米国では少なくとも19州が未成年のSNSアクセス法を、20州超が成人コンテンツの年齢確認法を可決し、連邦のKOSA（児童オンライン安全法）が上下院で調整中だ。上院のより厳しいS.1748は「注意義務」を課し、FTCは違反1件あたり5万ドル超の制裁金を科しうる。フランス・スペイン・ギリシャ・デンマーク・ノルウェーも同様の規制を進める。FIREはこの流れを「身分証を見せてください（papers, please）」時代と呼ぶ。年齢保護の外皮をまとった事実上の強制本人確認だという。実際、豪州のSNS禁止施行の数週間前にDiscordから政府発行IDの画像が流出し、豪州の利用者6万8000人が被害を受けた。日本ではここまで包括的な年齢確認義務はまだないが、青少年保護の文脈で同じ波がいずれ及ぶと見るのが自然だ。

創業者にとっての意味

規制には二つの顔がある。一つは費用だ。利用者にコンテンツを見せるほぼ全てのサービスが、いまや年齢ゲートを設けねばならない。誤れば制裁金で、英国は売上の一定割合を、米国KOSAのFTC案は違反1件あたり5万ドル超を挙げる。もう一つは市場だ。自前で本人確認インフラを作る余力がない会社は結局、外部SaaSを買う。ここで新カテゴリが開く。鍵は「プライバシーを守る年齢推定」だ。セルフィー1枚で顔を解析して年齢帯を推定し、身分証も個人情報の保管もなく18+・25+といった閾値だけ通す方式である。Diditのような事業者はこれを1件0.10ドルで売る。EU委員会の年齢確認ブループリントも「身元を明かさず年齢の状態だけ検証する」を原則に据えた。利用者の実際の身元はプラットフォームに渡らない。この点が創業者に二つの機会を開く。第一に、対応負担を背負うサービスならデータ最小化の設計が差別化になる — Discordの流出のように身分証を丸ごと受け取り保管した瞬間、それが負債になる。第二に、年齢・本人確認そのものを売るSaaSなら、いまがカテゴリ形成期だ。ソニーやメルカリのような規模が自前で組める一方、中小は買う側に回る。ただし規制は州ごと国ごとにばらばらで — 米国は州単位に分かれ、英国・EU・豪州は中央集権型だ — 断片化した要件を一つのAPIで吸収する側に値がつく。

今できること

まず自社サービスがどの年齢確認義務に該当するか地図を描く。対象市場が英国・EU・米国の一部の州を含むなら、すでに適用対象である可能性が高い。第二に、自作せず買う。顔の年齢推定・デジタルID SaaSは1件数十セントで組み込める。自前で身分証を受け取り保管する設計は、制裁金リスクと流出負債を同時に背負う道だ。第三に、データ最小化を初期値に置く。「年齢の状態だけ受け取り身元は受け取らない」が規制対応であり信頼の訴求でもある。第四に、この市場を狙うなら断片化を堀にする。米国19州・英国・EU・豪州のばらばらな要件を一つの統合インターフェースにまとめる対応レイヤーが、次の需要だ。