米「NO FAKES法」が前進 情シスが守るべきデジタルアイデンティティーの境界線：巧妙化する成り済まし

会社役員の声を模倣した数十億円規模の詐欺など、ディープフェイクが企業の存続を脅かしている。米国で進展する「NO FAKES法案」は、無断のAI複製に巨額の賠償金を課し、企業の管理責任を問うものだ。巧妙化する成り済ましから企業を守り、新たな法的リスクを回避するには？

[Richard Livingston，TechTarget]

　米上院司法委員会は2026年6月18日（現地時間）、AIによる無断の生成レプリカから個人を保護する連邦法案「NO FAKES法」（Nurture Originals, Foster Art and Keep Entertainment Safe Act）を全会一致で承認した。この動きは、個人のプライバシー権と企業のセキュリティ戦略の両方を再構築する可能性がある。

　ディープフェイクは、もはや著名人だけの問題ではない。企業にとっても重大なリスクだ。悪意ある攻撃者がCFO（最高財務責任者）の音声を複製して送金を承認させたり、ビデオ会議でCEOに成り済まして機密データを奪ったりする恐れがある。企業が受けるレピュテーション（評判）被害や金銭的損失は、壊滅的なものになりかねない。

エグゼクティブサマリー

• 米上院司法委員会が、無断のAI生成レプリカから個人を保護する「NO FAKES法」を承認した
• ディープフェイクは著名人だけでなく、幹部への成り済ましによる不正送金など企業のリスクとなっている
• 法案ではデジタル肖像の所有権を定義し、違反1件につき最大75万ドルの損害賠償を定めている
• CISOは技術的防御の導入に加え、検証プロセスの強化や組織的なセキュリティ文化の構築を求められる

NO FAKES法とは何か

「AI犯罪の新常識」に関連する編集部お薦め記事

　NO FAKES法は、AIが生成する動画像や音声の無断使用から市民を保護するものだ。デジタルアイデンティティーの制御権を個人に与え、被害を受けた際の法的救済手段を提供するものとなる。

　この法案は、2024年にマリア・エルビラ・サラザール下院議員（共和党）とマデリン・ディーン下院議員（民主党）が下院に提出した超党派の法案だ。上院ではマーシャ・ブラックバーン氏（共和党）とクリス・クーンズ氏（民主党）が主導している。

　法案は広範な支持を集めている。労働組合（AFL-CIO）やIBM、OpenAI、YouTubeなどのテック大手、さらにはエンターテインメント業界団体や米国医師会も賛同している。

　サラザール議員は声明で次のように述べた。「上院司法委員会での全会一致で可決されたことは大きな一歩だ。自身の容姿や声が許可なく盗まれたり使用されたりしないという安心感は、全ての市民に必要だ。AIの進化は目覚ましいが、他者を欺くために自分の顔や声が悪用されることを誰も心配すべきではない」

　法案が成立すれば、AI時代のプライバシーと肖像の所有権が確立され、市民は自身のデジタルレプリカに対する排他的な権利を持つことになる。この権利は相続が可能で、本人の死後も少なくとも70年間は遺族や遺産管理人によって保持される。肖像の使用を許可する場合は、デジタルレプリカの使用ライセンスを他者に付与できる。契約期間は成人が10年、未成年が5年と提案されている。

　また、許可なくAI生成画像を使用した場合の救済措置も定められた。違反1件につき最大75万ドルの法定損害賠償が課される。デジタルレプリカを無断で制作した個人や企業は、法的責任を問われることになる。場合によっては、肖像を無断掲載したプラットフォームも責任を負う可能性がある。

企業にとってのNO FAKES法の意味

　NO FAKES法は主に公人の保護を目的としているが、公人と企業幹部の境界はあいまいだ。リーダーのディープフェイク対策は、CISO（最高情報セキュリティ責任者）の責任範囲に当てはまる。

　さらに、法案が成立すれば保護対象は全市民に及ぶ。AI生成コンテンツを配信・ホストするプラットフォームを持つ企業には、新たな法的責任が生じるだろう。企業は、社内外のコミュニケーションで意図せず肖像を無断公開しないよう、検証システムの導入を検討しなければならない。

　TechTargetの調査部門Omdiaのアナリストであるテレサ・ラノウィッツ氏は「現在のディープフェイクは過去よりも格段にリアルで、作成のハードルも下がっている」と警告する。音声複製技術を使えば、数秒の本人の音声から本物そっくりの声を再現できるという。動画もシームレスで高性能になっており、詐欺の説得力だけでなく、規模と速度もAIによって変貌した。

　McAfeeの調査によると、米国人は1日に平均2.6件のディープフェイクにさらされている。企業側の金銭的なリスクも増大している。2024年には、英エンジニアリング企業Arupの香港支社で、財務担当職員がビデオ会議でCFOに成り済ましたサイバー犯罪者にだまされ、2500万ドル（約38億円）を送金する事件が発生した。

　ディープフェイクやソーシャルエンジニアリング攻撃のリスクを軽減するため、ラノウィッツ氏は企業のセキュリティチームに以下の対策を推奨している。

• リーダーシップを発揮し、セキュリティを重視する文化を構築する
• 従業員に、最新のディープフェイクや攻撃の手口を認識させるためのトレーニングを実施する
• 多要素認証（MFA）やアウトオブバンド（別経路）認証、リアルタイム検知ツールを導入し、攻撃の進行を阻止する
• 生体認証や暗号化技術を活用し、メディアの出どころを確認する
• 外部の専門家と連携し、高度な攻撃手法を理解して防御を固める

　委員会での可決により、法案は上院本会議での審議へと進む。採決のスケジュールは未定だが、可決されればNO FAKES法はデジタル上のアイデンティティーについての権利を包括的に定めた米国初の連邦法の枠組みとなる。

　Accentureのアナリストであるヴィクラム・デサイ氏は、企業幹部に成り済まして不正な取引を承認させるために、合成音声や動画がますます悪用されていると指摘する。

　「これは世界中の企業にとって大きな意味を持つ。経営陣は、自社の業務に悪影響が及ばないよう、強力な本人確認の仕組みを導入する必要がある。ディープフェイクは誰でもだます可能性があるため、全員が警戒を怠らないことが重要だ」（デサイ氏）

　法案が前進する中で、セキュリティリーダーは洗練された攻撃への防御を固める必要がある。同時に、法案が成立した場合のコンプライアンス義務への準備も進めるべきだ。