学校は、お城への遠足や理科の表彰式、あるいは3つの角度から撮影された運動会の写真など、素敵な写真をこよなく愛しています。過去20年間、こうした記念写真は、名前と学年が添えられて、そのまま学校のウェブサイトに掲載されてきました。しかし、そんな時代は終わりを告げました。なぜなら、今は2026年のインターネット時代であり、私たちには「素敵なもの」など許されないからです。
英紙ガーディアンが最初に報じたように、専門家たちは現在、学校に対し、こうした写真を削除するよう強く求めている。英国国家犯罪対策庁(NCA)、インターネット・ウォッチ・ファウンデーション(IWF)、および「早期警戒ワーキンググループ(EWWG)」と呼ばれる諮問機関によると、恐喝犯たちは一般の学校写真を収集し、deepfake を使って児童性的虐待画像(CSAM)を作成し、その画像をネット上に流出させない見返りとして金銭を要求しているという。
1校、150枚の画像
昨年末、サイバー犯罪者たちが、ある英国の中学校(校名は非公表)に対し、そのような要求を突きつけた。IWFは、その結果得られた画像のうち150枚を英国法に基づく児童性的虐待画像(CSAM)として分類し、各画像のデジタル指紋を作成した。これにより、主要なプラットフォームが再アップロードをブロックできるようになった。
IWFは当該の学校や警察署の名前を公表しておらず、今回の件が単発の事例ではないと見ている。EWWGは、さらに多くの学校が同様の要求に直面するのは「時間の問題」だと述べている。
英国の児童保護担当大臣ジェス・フィリップスは、これを「極めて憂慮すべき新たな脅威」と表現した。2025年2月、英国は児童性的虐待画像(CSAM)の生成を目的として特別に設計されたAIツールの使用を禁止した世界初の国となった。
これまでの経緯
この脅威は一夜にして現れたものではなく、英国に限った話でもありません。これは、長年にわたる脅威である「セクストーション(性的画像を用いた恐喝)」がさらに進化したものです。従来、セクストーションは盗まれたり共有されたりした実際の性的画像に依存していましたが、deepfake 登場によって状況は一変しました。
FBIのインターネット犯罪通報センター(IC3)は、2021年上半期に1万6,000件以上のセクストーション(性的脅迫)に関する通報を受け付け、被害総額は800万ドルを超えた。2023年6月までに、FBIは手口が変化したと警告した。攻撃者は、ソーシャルメディア上の普通の写真を悪用して偽のわいせつ画像を作成し、未成年者から金銭を脅し取っているという。
英国の児童相談ホットライン「チャイルドライン」では、deepfake より身近になるにつれ、同様の変化が見られるようになった。同団体にはすでに毎年多くのセクストーション(性的脅迫)の相談が寄せられており、その多くは、子供たちが巧みに操られて自身の性的画像を共有させられたケースである。現在、同団体には、事前の接触もなく、自分deepfake 画像deepfake を送りつけられているという子供たちからの通報が寄せられている。
例えば、ある15歳の少女は、自身のInstagram を使って作成された「非常に説得力のある」偽のヌード写真を送られてしまった。
IWFの報告によると、2025年11月までに、AIによって生成された児童性的虐待画像(CSAM)の通報件数は前年比で2倍以上に増加し、199件から426件へと増加した。被害者の94%は女児だった。同団体によると、通報された事例には新生児から2歳児までの子どもが含まれていた。
これらのツールを取り巻くエコシステムは産業的なものです。2025年4月、ある研究者が、韓国の「ヌディファイ」アプリ「GenNomis」に属する、外部からアクセス可能なAWS S3バケットを発見しました。そこには、AIによって生成された93,485枚の画像と、それらを生成したプロンプトが保存されていました。
学校に伝えられていること
EWWGの助言によると、顔がはっきり写っている接写写真は、遠景の写真、ぼやけた画像、または後ろ姿の写真に置き換えるべきである。また、学校に対しては、キャプションからフルネームを削除し、既存の画像を点検し、保護者に同意書の再署名を求めるよう勧めている。
実際、同報告書は、学校に対し、児童の写真をオンラインで公開する必要があるのかどうか、改めて検討するよう勧めている。
すでに動き出した学校もある。『ガーディアン』紙によると、3つの私立学校が共同でウェブサイトを運営している「ラフバラ・スクールズ・ファウンデーション」は、昨年、生徒の顔がはっきりわかる写真をすべて削除した。
英国情報コミッショナー事務所(ICO)は、子供の身元が特定できる写真を公開する際には、「依然として、原則として保護者に対してオプトアウトの選択肢を提供することが求められる」としているが、これは法的要件がより厳しい「同意」とは同義ではないとしている。
米国では状況がさらに複雑になります。各州が独自の学生プライバシーに関する法令を定めていることが多いためです。ただし、大まかに言えば、「家族教育権利Privacy (FERPA)」に基づき、学校は通常、学生の特定可能な写真を「ディレクトリ情報」の範疇に含めています。この範疇には、氏名、住所、電話番号、生年月日および出生地、公式に認められた活動やスポーツへの参加状況、在学期間なども含まれます。
FERPA(家族教育権利・プライバシー法)に基づき、学校は、児童・生徒の保護者が明示的に公開を拒否しない限り、この種の情報を公表することができます。学校は情報を公表する際、保護者に通知する義務がありますが、その手続きは、生徒が学校を離れた後も無期限に適用されるわけではありません。
つまり、家族がすでに削除されたと思い込んでいる後も、生徒の写真や情報はネット上に残ったままになる可能性があるということです。
次に何が起こるのか
英国では、チャイルドラインの「Report Remove」サービスを通じて、子どもたちがネット上に投稿された自身の露骨な画像や動画を報告することができます。このサービスには昨年、18歳未満の若者から394件の脅迫に関する通報があり、2024年と比較して3分の1増加しました。
一方、英国政府は「犯罪・警察法案」を改正し、プラットフォームに対し、通報された性的画像を48時間以内に削除するよう義務付けており、これに従わない場合は世界全体の売上高の10%に相当する罰金が科されることになる。
規制当局とAIを活用したサイバー犯罪者との間で、激しい競争が繰り広げられることが予想されます。現時点では、攻撃者は依然として手作業で写真を探し出さなければなりません。懸念されるのは、このプロセスがまもなく自動化され、犯罪者が学校のウェブサイトやソーシャルメディアプラットフォームから名前や写真を大規模に収集できるようになってしまうことです。
保護者にとって、最も手軽な対策は、インターネット上に公開されている子どもの顔がはっきり写った写真を制限することかもしれません。これには、子どもの学校だけでなく、スポーツクラブや課外活動、ソーシャルメディアのアカウントについても注意を払うことが含まれます。
