はじめに
結論:日本国内のVPSで「完全匿名VPS」は無理。
ここでいう「匿名」は、少なくとも「事業者に個人情報が紐づかない」「法的手続きでも遡れない」というような強い匿名性のこととします。
この記事は一旦、日本国内で提供されるVPS(国内事業者)だけを前提とし、海外のサービスや海外色の強い日本サービスの話はしないこととします。
VPSというサービスの前提
まず前提として、VPSはどこかに存在する物理サーバー上で動作する仮想マシンで、運営事業者は必ず存在し、サービスは必ずどこかの法制度の下で運用されます。そのため、VPSという仕組み自体が「誰からも完全に切り離された存在」になることはありません。 この点を踏まえたうえで、考えなければなりません。
「匿名VPS」というものは具体的にはどのようなものか
一般に「匿名VPS」と言われる場合、匿名というものは以下のように分けられると考えます。
・契約時に提供する個人情報が限定的であること
・支払方法において、実名制が低い手段が用意されていること
・通信経路上で、利用者の情報が第三者から見えにくいこと
・運営事業者がどこまで利用者を識別管理しているか
これらはそれぞれ性質の異なる話であり、「匿名」という一言でまとめてしまうのは、前提条件が曖昧になりやすいのでよろしくないと思っています。例えば、支払いに関する匿名性と、通信の匿名性は別の層の話ですし、運営側からどの程度利用者が見えているかという問題も、また別の文脈になります。
国内事業者と日本の法制度
VPSというサービスの性質上、運営事業者はホストOSや物理インフラを管理しており、必要に応じて運用上の関与(障害対応・不正利用対応等)を行える立場にあります。さらに、日本国内で運営・提供されるサービスである以上、運営事業者は日本の法制度の下で事業を行い、各種法令・行政上の要請などに沿った運営をしています。事業者に悪意がある/ないとは別で、国内で事業を行い、収益をあげるためには避けて通れないところです。
国内VPSは、日本の法制度で運営される以上、事業者にはサービス利用者を適切に管理・監督する責任があり、法令違反や不正利用等が発生した際には調査・利用停止等の措置を行い、関係機関からの照会や開示要請への対応を行います。つまり、自社サービスが犯罪に利用された場合、相応の責任を負うことは免れられません。
国内の一般的なVPSは、匿名性を売りにするのではなく手軽に契約して、課金をしてもらい、収益をあげるという形が基本です(支払い手段やプランや時期で変わったりしますが、クレジットカード決済などが一般的)。
・Xserver(エックスサーバー株式会社)
・さくらVPS(さくらインターネット株式会社)
・ConoHaVPS(GMOインターネットグループ)
・KAGOYA CLOUD VPS(カゴヤ・ジャパン株式会社)
・お名前.com VPS(GMOインターネットグループ)
これらのサービスはいずれもクレジットカード決済が基本です。一部口座振替や銀行振り込みなどがありますが、まあだいたいクレジットカードで支払います。
また、これらのVPSサービスだけでなく共有サーバーの場合も運営者が責任を負う構造は変わりません。利用者を把握しない形(=匿名)での提供は成立しにくいです。
国内事業者は積極的に発信者情報開示に応じる
国内事業者は、権利侵害などが問題になった場合に、情報流通プラットフォーム対処法(旧:プロバイダ責任制限法)に基づく発信者情報開示の手続きに対応することが義務付けられています。実際、さくらインターネット、エックスサーバー、GMO系の事業者などは、発信者情報開示請求の受付窓口や手続きの案内を公式用意しています。
そして、公開されている裁判の判決ベースでも、事業者に対して発信者情報の開示が命じられた例が多く確認できます。
- さくらインターネット株式会社:東京地裁 令和元年(ワ)第29280号(2020年3月25日)— 発信者情報の開示が命じられた例
- エックスサーバー株式会社:大阪地裁 令和6年(ワ)第1651号(2024年6月13日)— 発信者情報の開示が命じられた例
- GMOインターネットグループ株式会社:東京地裁 令和6年(ワ)第70278号(令和7年3月7日)— 発信者情報の開示が命じられた例
こうした判決文では、具体的な開示対象は「別紙発信者情報目録記載の各情報」のように整理されますが、一般に、契約者情報(氏名・住所・連絡先等)や、接続に関する情報(IPアドレスやタイムスタンプ等)が開示されます。
もちろん、すべてのケースで同じ情報が開示されるわけではありませんし、開示の可否は個別の事情に左右されます。少なくとも、国内VPSは「法的手続きに対して匿名のまま逃げ切れる」というようにはなっていません。
なお、上記の情報は一次資料(判決・決定等)で確認できないものは含んでいません。
国内VPSに「匿名」を期待できない
国内VPSに「匿名性」を強く期待すると、だいたい次のような前提とぶつかり、匿名ではなくなってしまうと感じています。
- 契約と請求:サービス提供には利用規約・契約関係が必要で、料金請求や返金、未払い対応などのために、契約主体や決済に関する情報・記録が発生する。
- サポート・問い合わせ対応:障害対応や問い合わせ対応は、連絡先やチケット、やり取りの履歴を前提に回る(「誰と何をやり取りしたか」を残せない運用は成り立ちにくい)。
- 不正利用対策・規約運用:迷惑行為や不正利用が起きたとき、規約に基づく制限・停止・調査の運用が必要になる。ここでは“誰の契約か”という識別が前提に置かれやすい。
- 法域・照会対応:国内事業者である以上、日本の法制度の下で事業を行い、適法な手続に基づく照会等への対応が発生し得る(「運営者でさえ把握できない」形で提供することは現実的ではない)。
- 事業運営としての説明:障害やインシデントが起きた際に原因特定や影響範囲の説明が求められる以上、一定の監視・記録・証跡が残る運用が前提になりやすい。
こうしたことを踏まえると、日本国内のVPSサービスは「匿名VPS」として利用を前提に設計されていません。安定したインフラサービスとして決められた枠組みの中提供しようとしているととらえるのが自然です。
ログは残さざるを得ない
「匿名VPS」を語るときに、どうしても避けて通れないがログ保存の話です。ここで言うログは、単に”監視のためのログ”というよりも、料金請求や不正利用対応、障害解析、インシデント対応といった運営のための記録全体を含みます。
日本国内で事業としてVPSを提供する場合、契約・請求・サポートといった運営が前提になるため、取引に関する記録や問い合わせ対応の記録が残るのは自然です。さらに、サイバー攻撃や不正利用が起きた際に原因や影響範囲を特定するためにも、ログを一定期間確保できる状態であることが事業者としては重要になります。
加えて、国内VPS事業者はほとんど電気通信事業に該当するので、通信履歴を法執行機関の要請で消してはならないとすることができます。
参考になりやすい法令・ガイドライン等
- 電子帳簿保存法(電子取引データの保存):請求書・領収書・契約書等に相当する電子データを授受した場合、税務上の保存義務のある事業者は一定の要件を満たして保存する必要がある。(所管:財務省、国税庁)
- サイバーセキュリティ経営ガイドライン:インシデント時の原因特定・解析のため、各種ログの保全や証拠保全ができる体制づくりを求めている(法令ではなく指針)。(所管:経済産業省、独立行政法人情報処理推進機構)
- PCI DSS(カード決済のセキュリティ基準):対象環境において、監査証跡(ログ)を一定期間保持し、分析できる状態にすることが求められている。(所管:PCI SSC(国際団体))
- 不正アクセス禁止法:事業者にログ保存を直接義務づける趣旨というより、行為の禁止・処罰が中心であるが、被害時の調査や説明責任の観点から、ログを保存する理由になり得る。 (所管:警察庁)
個人的に感じること・まとめ
個人的には、「匿名VPS」という表現が魅力的に見えます。匿名という言葉にはすごい自由というイメージと安心感があります。なので、身近なサービスで匿名を実現しようと思ったことがあり、調べましたが無理だなと思ったのでその理由をこの記事に書いて自分に対して、「身近なサービスを用いて完全な匿名を実現するのはムリ!」と納得させあきらめさせるためにこの記事を書きました。
最近青少年のサイバー犯罪が話題になっています。この記事を読んで、身近なサービスで完全な匿名を作ることは無理だとあきらめて犯罪等をしない世の中になってもらいたいです。
発信者情報開示の判例一覧
ごくごく一部ではありますが、参考になりそうなものを列挙しておきます。またこれは、一次情報に基づくもののみを載せており、個人ブログなどを根拠にしたものは載せておりません。
さくらインターネット(さくらのVPS / さくらのレンタルサーバ等)
- 東京地裁 2020-03-25 / 令和元年(ワ)29280
- 被告:さくらインターネット株式会社
- 目録が「サーバ契約者情報」になっていて、氏名(名称)・住所・メールアドレス等の開示が命じられている。
- 大阪地裁 2022-03-31 / 令和3年(ワ)5989
- 被告:さくらインターネット株式会社
- 被告サーバを使った投稿について、発信者情報の開示が命じられている。
- 大阪地裁 2014-06-04 / 平成25年(ワ)30183
- 被告:さくらインターネット株式会社
- 不競法・名誉権系の文脈でも、発信者情報の開示が命じられている
エックスサーバー(Xserver VPS/Xserver レンタルサーバー等)
- 大阪地裁 2024-06-13 / 令和6年(ワ)1651
- 被告:エックスサーバー株式会社
- 開示対象が明示:氏名・住所・電話番号・メールアドレス。
- 大阪地裁 2023-09-25 / 令和5年(ワ)5818
- 被告:エックスサーバー株式会社
- 発信者情報の開示が命じられている。
- 大阪地裁 2021-09-06 / 令和3年(ワ)2526
- 被告:エックスサーバー株式会社
- 発信者情報の開示が命じられている。
- 大阪地裁 2020-11-10 / 令和2年(ワ)3499
- 被告:エックスサーバー株式会社
- 発信者情報の開示が命じられている。
出典等について
さまざま出展に基づいて記事を書いているつもりですので、一応載せておきます。
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律
(旧プロバイダ責任制限法)
法律全文(e-gov 電子政府の総合窓口)
発信者情報開示請求に関する裁判例(2022年3月)ーさくらインターネット株式会社事件
知財判決データベース
さくらインターネット「透明性レポート 2024上半期」
発信者情報開示請求への対応について
発信者情報開示命令の裁判例(裁判所公式判決文 PDF)
発信者情報の開示に関する裁判所判決
東京地方裁判所等における発信者情報開示請求事件
判決紹介サイト(例示)