6月1日に始まるのは、全面遮断ではなく義務の発生だ
マレーシアで2026年6月1日に動き出すのは、16歳未満のSNS利用をその日に一斉遮断する仕組みではない。通信規制当局が公表したChild Protection CodeとRisk Mitigation Codeが発効し、対象となるサービス提供者に、年齢確認や安全設計などの実装義務が生じるという変化だ。
ここを分けて見ないと、制度の意味を取り違える。新規登録、既存アカウント、アカウント所有は同じではない。16歳未満による登録や所有を制限する方向は示されたが、既存アカウントの確認には合理的な期間が設けられると説明されており、実務上の山場は発効日そのものより、その後に各社がどの期限と手順で利用者確認を求めるかにある。
制度として新しいのは、未成年保護を抽象的な努力義務にせず、プラットフォームの入口管理へ落とし込む点だ。子どもを守るという目的は変わらないが、責任の置き場は家庭や本人の申告から、サービス提供者の確認、設計、通報対応へ広がる。
16歳の線引きは、企業の実務になる
今回の規制で最も重要なのは、16歳という線引きを誰が判定するのかだ。従来のように利用者が年齢を入力するだけなら、制度の効き方は家庭や本人の誠実さに大きく左右される。新しいコードは、その判定をサービス提供者の義務として扱う。
対象の中心は、マレーシア国内で大規模な利用者を持つSNSやメッセージング事業者だ。2026年1月から、国内で800万人以上の利用者を持つ主要事業者はライセンス枠組みに入っており、この土台の上で未成年保護のコードが動く。オンラインゲームは当面の初期対象ではないと説明されており、SNS、メッセージング、ゲームを一括りにして読むべきではない。
サービス提供者には、年齢に応じた保護、高リスク機能の制限、安全を前提にした設計が求められる。つまり、16歳未満を登録させるかどうかだけでなく、表示、接触、拡散、広告、通報後の対応まで含めて、子どもにとって危険な機能をどう抑えるかが問われる。
本人確認は、安全対策をデータ政策に変える
この制度が一段重いのは、年齢確認が自己申告から、ICや旅券など政府発行文書を使う方向へ移るためだ。子どもを見分けるには、子どもだけでなく大人も含めて利用者の年齢を確認する必要がある。未成年保護の制度は、その瞬間に全利用者の本人確認とデータ管理の問題になる。
ここで利益を受けるのは、危険な接触や不適切な機能から遠ざけられる未成年と、そのリスクを下げたい保護者、学校、行政だ。一方で負担は、本人確認書類を出す利用者、確認フローを実装するプラットフォーム、eKYC事業者、カスタマーサポート、そして監督する行政に分散する。
まだ見えていない部分も大きい。本人確認データを誰が保持するのか、どのくらい保存するのか、第三者に委託する場合の責任はどうなるのか、漏えい時に誰が説明し補償するのか。これらが曖昧なまま進むと、未成年保護のための入口管理が、利用者全体のプライバシー不安を強める。
企業に落ちるコストは、ログイン画面だけでは終わらない
プラットフォーム側の負担は、年齢確認画面を追加するだけではない。新規登録時の確認、既存アカウントへの通知、未確認アカウントの扱い、異議申し立て、誤判定時の復旧、未成年アカウントの機能制限まで、利用体験全体を設計し直す必要がある。
Risk Mitigation Codeは、リスク評価、コンテンツ統治、通報・対応、広告主確認、操作されたコンテンツの表示なども求める。これは法務部門だけで処理できる話ではなく、プロダクト、モデレーション、広告審査、本人確認ベンダー、サポート部門が同時に動く案件になる。
企業にとっての最大の制約は、利用者離脱を避けながら確認精度と法令順守を両立することだ。確認を厳しくしすぎれば利用者体験は悪化し、緩すぎれば執行対象になる。特に既存アカウントをどう扱うかは、利用者の反発、サポート負荷、行政リスクが一度に出る場所になる。
家計と学校の負担は消えない
規制が始まっても、保護者や学校の負担が消えるわけではない。初期対象が大規模SNS中心である以上、子どものオンライン行動は対象外サービス、共有端末、家族のID、別名アカウント、ゲーム内コミュニケーションへ移る可能性がある。
保護者にとっては、子どものSNS登録を止められるかだけでなく、本人確認のために家族の書類やアカウントをどう扱うかが新しい悩みになる。学校や地域のデジタル安全教育も、単に「使わせない」から、どのサービスが対象で、どこにリスクが残るのかを説明する方向へ変わる。
この制度は家庭の責任をなくすものではなく、家庭だけでは限界がある部分をプラットフォーム規制で補うものだ。だからこそ、対象外領域で事故や苦情が増えれば、規制範囲をオンラインゲームや追加サービスへ広げる議論が起きやすい。
制度の評価は、6月以降の四つのサインで変わる
最初のサインは、既存アカウントの猶予期間と未確認時の措置だ。いつまでに確認が必要なのか、確認しなければ停止なのか、閲覧制限なのか、復帰手続きはあるのか。ここが明確になって初めて、利用者と企業の実務負担を測れる。
二つ目は、主要プラットフォームが出す本人確認フローとデータ取扱いの説明だ。政府発行文書を使うとしても、画像を保持するのか、年齢確認の結果だけを保持するのか、外部ベンダーを使うのかで、プライバシー上の意味は大きく変わる。
三つ目は、MCMCの詳細ガイダンスと初の執行事例だ。警告、是正要求、処分がどの水準で出るかによって、企業は制度を形式対応で済ませられるのか、本格的な運用変更を迫られるのかを判断する。四つ目は、議会、裁判、市民団体からの異議だ。本人確認とデータ保護の争点が強まれば、制度の範囲や実施速度は修正される可能性がある。
このニュースの読み方は、16歳未満がSNSを使えるかどうかに閉じない。マレーシアは未成年保護を理由に、SNSの入口を本人確認型へ変えようとしている。その成否は、子どもの安全、利用者のプライバシー、企業の実装能力、行政の執行基準が同時に機能するかで決まる。