Skip to main content

読み込み中です

      本連載は、「総務省『メタバースの原則』を読む-企業・自治体における活用ガイド」と題したシリーズです。企業や自治体等が「メタバースの原則(第2.0版)」を参照してメタバースを事業に活用する際の要諦について解説します。

      2025年9月17日、総務省より「メタバースの原則(第2.0版)」が公表されました。メタバースが民主的価値を実現し、ユーザが安心・安全にメタバースを利用していくために、仮想空間そのものの提供を担うメタバース関連サービス提供者が取り組むべき内容を整理したものとなっています。

      当該原則は2024年10月に公表された「メタバースの原則(第1.0版)」の更新版です。メタバースに関して現在日本政府から公表されている文書のなかで最も整理されたものであり、日本においてメタバースにかかわる各ステークホルダーから参照されることが期待されています。

      本シリーズでは、特に企業や自治体等が当該原則を参照してメタバースを事業に活用する際の要諦について、数回にわたって解説します。第7回目の最終回は、下記の図の(8)「セキュリティ」について説明します。

      その他の回についてはこちらを参照ください。

      第1回:(1)「オープン性・イノベーション」
      第2回:(3)「リテラシー」、(4)「コミュニティ」
      第3回:(2)「多様性・包摂性」
      第4回:(5)「透明性・説明性」
      第5回:(7)「プライバシー」
      第6回:(6)「アカウンタビリティ」

      Japanese alt text: メタバースの原則の多様性・包摂性_図表1

      (8) セキュリティ

      Japanese alt text:メタバースの原則におけるセキュリティ_図表1

      (i)メタバースのシステムのセキュリティ確保(外部からの不正アクセスへの対処等)

      <原則>

      メタバース関連サービス提供者は、ユーザに係る情報等を適切に保護する必要性を踏まえ、メタバースに係るシステムのセキュリティが確保されるよう、外部からの不正アクセスへの対処等を含めた必要な措置を講じることが期待される。例えば、提供するメタバースサービスの特性に応じて、以下のような取組が該当する。

      • 登録時の本人確認システムを含む必要な措置の導入・強化に向けた検討を行うこと。
      • ログイン時の認証システムの導入・強化に向けた検討を行うこと。
      • セキュリティリスクに対応するための体制を構築すること。
      • 情報セキュリティポリシー等を策定すること。

      出典:「安心・安全なメタバースの実現に関する研究会報告書 2025」(総務省)より転載

      <企業等がメタバースを事業に活用する際のポイント>

      外部からメタバースへ不正アクセスを行う主な動機としては、1.経済的利益、2.データ収集が挙げられます。

      1.経済的利益

      経済的利益については、経済活動が可能なメタバースほど、攻撃対象となりやすいと考えられます。

      最も直接的には、加害者がユーザのアカウントやウォレットに侵入し、価値のあるデジタル資産(暗号資産、メタバース内通貨、NFT、デジタルアイテム等)を外部アドレスへ移転し、換金することで不法な利益を得ることが想定されます。

      また、資産を直接移転しない場合であっても、不正アクセスしたアカウントを利用して、デジタル資産を不自然な価格で加害者側と取引させるなど、一見すると正規の取引に見える形で利益を得ようとする行為も想定されます。

      この点は、2025年に日本で顕在化した証券口座への不正アクセス・不正取引事案と共通する面があります。金融庁によれば、この事案では、証券会社を装った偽サイト等で窃取した認証情報を用いて口座に不正アクセスし、被害口座内の株式等を売却したうえで、その代金で国内外の小型株等を買い付けるケースが確認されています。こうした不正は正規の取引を装うため、通常の取引と見分けにくく、発見や事後対応を難しくします。

      特に、デジタル資産のなかには市場流動性が低く、価格形成が未成熟なものも少なくありません。そのため、著しく不適切な価格で取引が行われた場合であっても、被害者側がその不当性を十分に説明・立証することが難しい場面が想定されます。

      証券口座への不正アクセス事案を受け、証券分野では多要素認証の強化が進められており、より強固な多要素認証としてパスキー認証等の導入が進められています。経済的活動を伴うメタバースプラットフォームについても、その性質に応じて、金融取引に準ずる水準の認証・不正防止策を段階的に備えていくことが望まれます。

      2.データ収集

      データ収集については、加害者がユーザのメタバースアカウントへ不正アクセスした場合、属性情報、本人確認の状況、保有するデジタル資産、利用・行動履歴、交友関係、外部連携アカウント・サービス等、さまざまな情報を取得する可能性があります。メタバースにおける活動の幅が広がるほど、現実空間では把握しにくい機微性の高い情報が、サービス上に保有・蓄積されていくことも想定されます。

      加害者は、これらの情報を組み合わせて悪用することにより、対象ユーザが反応しやすい詐欺的誘導や不正な接触を行うおそれがあります。

      たとえば、保有するデジタル資産の傾向を踏まえ、当該ユーザにとって魅力的と思われるデジタル資産の特別販売、アップデート、特典付き販売等を装った詐欺的行為が行われる可能性があります。

      また、メタバースプラットフォームしか把握していないはずの情報を用いて、運営やサポート担当を装ってユーザに接触し、もっともらしい理由を付して本人確認の再実施や追加情報の入力、外部サービスとの再連携等を求めることも考えられます。

      さらに、利用・行動履歴や交友関係、参加コミュニティに関する情報からは、ユーザの趣味嗜好や関心領域が推知され得るため、それに応じて、より成功しやすい詐欺手法が選択されるおそれがあります。

      なお、産業用メタバースにおいては、ワールドやサービスそのものが企業の機密情報(設計情報、業務手順、顧客関連情報等)を含む場合があるため、不正アクセスにより当該情報が外部へ漏えいした場合、事業運営や競争上の地位に重大な損失をもたらす可能性があります。

      このため、企業等が自社のワールドまたはサービスを展開する場合には、ユーザに係る情報等を適切に保護するため、利用するメタバースプラットフォームにおけるセキュリティ対策の水準を適切に評価し、自社や自社の顧客・関係者が経済的損失やデータ窃取の被害を受けるリスクを把握したうえで、必要に応じてプラットフォーム提供者と協働し、セキュリティ高度化に取り組むことが望まれます。

      また、不審なログイン、資産移転、外部連携の変更等を検知する仕組みや、アカウントが侵害された場合に正当なユーザが迅速に回復できる手続きを整備することも重要です。

      出典:金融庁からのお願い・注意喚起「インターネット取引サービスへの不正アクセス・不正取引にご注意ください」(金融庁)

      Japanese alt text: メタバースの原則におけるセキュリティ_図表2

      (ii)メタバース利用時のなりすまし等の防止

      <原則>

      メタバース関連サービス提供者は、なりすまし等によりユーザに不利益が生じることを防ぐため、必要な措置について検討・導入することが期待される。例えば、以下のような取組が該当する。

      • 利用規約やコミュニティガイドライン等でアバターの模倣等について、容ぼうや声など模倣の対象となり得る要素に関する考え方等を明示すること。
      • なりすましと判断をした場合、当該アバターのアカウントを速やかに凍結するなど、被害の拡大防止のために適切な対応をとること。

      出典:「安心・安全なメタバースの実現に関する研究会報告書 2025」(総務省)より転載

      <企業等がメタバースを事業に活用する際のポイント>

      メタバースを事業に活用する企業等にとって、なりすましは、ユーザ保護の観点のみならず、サービスに対する信頼やブランド価値を損なうリスクとしても重要です。

      現実空間で対面する場合、他人の容ぼうを本人と見誤るほど精巧に模倣することは一般に容易ではなく、その意味で容ぼうには比較的高い信頼性があるといえます。デジタル上で対面する場合にも、容ぼうは本人確認の一要素として機能し得ますが、近年ではディープフェイク技術の進展により、容ぼうの模倣精度が高まっていることが問題となっています。メタバースにおける容ぼうの模倣は、こうした現実空間や通常のデジタル空間における模倣とは異なる特性を有しています。

      メタバースにおいて、現実空間での容ぼうに相当するものはアバターです。ただし、アバターは必ずしもユーザごとに一意ではありません。オリジナルで制作される場合もあれば、プラットフォームが用意したものや、マーケットプレイス等で販売される既製アバターが使われる場合もあります。既存アバターに色彩や服装等のアレンジを加えることも一般的です。

      それにもかかわらず、現実空間における外見への信頼感が持ち込まれることで、見た目が似ていれば本人だと誤認されることがあります。これが、メタバースでなりすましが生じやすい一因です。

      また、こうしたアバターの特性から、容ぼうを模倣することに対する心理的なハードルが低くなり、安易に見た目を真似てしまうユーザが生じる可能性もあります。もっとも、既製アバターの利用や偶然の類似それ自体がただちになりすましにあたるわけではなく、本人と誤認させる意図や、実際に誤認を招く態様があるかどうかを踏まえて判断する必要があります。

      声の模倣についても注意が必要です。メタバース内での会話等を通じて取得された音声情報を基に、本人に似せた音声を用いることが考えられます。また、音声ではなくテキストチャットを用いて本人らしく振る舞うことにより、なりすましが行われる場合も想定されます。このように、メタバースではアバターだけでなく、声や話し方、会話の文脈等も含めて本人性が誤認される可能性があります。

      企業等は、上記のようなメタバースにおけるなりすましの特性を十分に理解する必要があります。特に、自社のワールド/サービスにおいてユーザ間の交流が行われる場合には、プラットフォーム提供者と協働し、どのような行為をなりすましとみなすのかについてユーザにわかりやすく示すことが重要です。

      なりすました加害者は、他のユーザを本人だと思いこませ、詐欺行為や情報搾取などを行う可能性があります。また、なりすまされたユーザは、不正操作、虚偽発言による信用毀損といった被害を受ける可能性があるほか、愛着のあるアバターを他人に利用されたり、それを周囲のユーザが本人であると誤認したりすることによって精神的な苦痛を受けることもあります。

      そのうえで、なりすましと判断した場合には、利用制限やアカウント凍結等の適切な措置を講じるとともに、騙されたユーザに対する被害に関する相談対応や、なりすまされたユーザの名誉回復等を丁寧に行うことが望まれます。

      メタバースでは、アバター、声、表示名、話し方、交流関係など複数の要素が組み合わさって本人性が認識されるため、単一の要素だけではなく、総合的に誤認を防ぐ視点が重要です。

      Japanese alt text: メタバースの原則におけるセキュリティ_図表3

      執筆者

      KPMGコンサルティング 
      シニアマネジャー 水口 拓哉

      「総務省『メタバースの原則』を読む」第6回

      企業等がメタバースを活用する際、アカウンタビリティの観点でどのようなことに留意すべきか解説します。

      メタバース活用を検討する企業・自治体に向けて、基本概念から導入ポイント、リスク対応までを実務者の視点から包括的に解説するシリーズです。

      エクセレントサービスの設計に関する国際規格を基に、サービス全体像や施策の策定、及び持続的高度化に向けた組織能力強化を支援します。

      お問合せ

      お問合せフォームより送信いただいた内容は、確認でき次第回答いたします。

      blue

      KPMGコンサルティング

      戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験から、幅広いコンサルティングサービスを提供しています。

      Japanese alt text: KPMGコンサルティング