Metaが、InstagramのDM(ダイレクトメッセージ)に適用していたエンドツーエンド暗号化(E2EE)を廃止した。導入からわずか数年での撤回は、「プライバシー優先のSNS」を標榜してきた同社の姿勢を根本から揺さぶるものだ。
E2EEとは何か、なぜ重要だったのか
エンドツーエンド暗号化とは、送受信者だけがメッセージを復号できる仕組みだ。通信を中継するサーバー上でも内容は暗号化されたままであるため、仮にサーバーが侵害されても、あるいはプラットフォーム企業が政府機関から情報開示を求められても、メッセージの中身は原則として読み出せない。
MetaはWhatsAppでのE2EEをベースに、段階的にInstagramのDMへも同機能を展開。2023年末にはデフォルト有効化を完了させ、プライバシー強化をアピールしていた。それがわずか数年で廃止されることになった。
なぜ廃止されたのか
公式な説明は現時点で詳細が出ていないが、背景として考えられる要因はいくつかある。
規制当局からの圧力: EUや英国など各国政府は長年、E2EEが児童性的虐待コンテンツ(CSAM)の検出を困難にするとして批判してきた。英国のオンライン安全法(Online Safety Act)はその代表例で、プラットフォームにコンテンツスキャン義務を課す方向で立法が進んでいる。
コンテンツモデレーションとの根本的なトレードオフ: E2EEされたメッセージは、AIによるスパム・詐欺・ハラスメントの検出が事実上できなくなる。プラットフォームの安全維持とユーザーのプライバシー保護は、本質的に緊張関係にある。
政治・ビジネス的判断: 大手テック企業が規制当局との対立を避けるべく方針を軟化させる動きが、近年目立つようになっている。E2EE廃止もその文脈で捉えることができる。
実務への影響
個人ユーザーへの対応
InstagramのDMを「プライベートな連絡手段」として使っていたユーザーは、メッセージ内容がMetaのサーバー上で読めるようになったと認識する必要がある。機微な情報のやり取りにInstagramを使っていたなら、現時点でE2EEを維持しているSignalやWhatsApp(同じMeta傘下ではあるが)への切り替えを検討すべきだ。
企業・IT管理者が今すべきこと
業務での連絡ツールとしてInstagram DMを直接使うケースは少ないかもしれないが、従業員が個人スマートフォンで顧客や取引先とやり取りをしているシナリオは意外に多い。「業務に関わるやり取りがE2EEなしのコンシューマーSNSに流れていないか」を棚卸しするよい機会だ。
従業員教育の観点でも、「SNSのDMは本質的に安全ではない」という前提を改めて周知することが重要になる。利便性の高いコンシューマーアプリをそのまま業務利用するリスクを、今一度確認してほしい。
ゼロトラストの観点から
「通信経路が安全かどうかに依存したセキュリティ設計」は、今回のような方針転換の前で簡単に崩れる。「プラットフォームが提供する暗号化に頼る」のではなく、「どの通信路を使っても機密情報は別途保護されている」という設計思想——これがゼロトラストの本質であり、今回の件はその重要性を改めて示している。
筆者の見解
正直、この件でMetaに驚きはない。
E2EEの廃止は技術的な後退というより、ビジネス・規制・政治的判断の結果だ。「ユーザーのプライバシーを守る」と宣言した機能であっても、状況が変われば方針転換できる——これはMetaに限った話ではなく、プラットフォーム全体に共通するリスクだ。
気になるのは、ユーザー側の「慣れ」である。E2EEが廃止されても、多くの人がそのままInstagramを使い続けるだろう。利便性の前ではプライバシーへの意識がすぐに霞んでしまう。そしてプラットフォーム側はそれを知っている。
セキュリティとプライバシーの問題は、技術的な解決策だけでは永続しない。提供企業の商業的利益と、ユーザーの安全・プライバシーが常に一致するとは限らない。「このプラットフォームはE2EEを維持する経済的インセンティブがあるか」まで考えることが、今後はますます重要になる。
通信手段の選択は、技術仕様を読むだけでなく、提供企業のビジネスモデルそのものと向き合う問いでもある。今回の件は、その現実をはっきりと示した。
出典: この記事は Meta has killed end-to-end encryption on Instagram の内容をもとに、筆者の見解を加えて独自に執筆したものです。