「AI電子透かし」が実際に意味すること——そしてなぜ言うほど簡単ではないのか
EU AI法は、提供者に対し生成コンテンツを「機械可読な形式で……人工的に生成されたものと検知可能な形で」マークすることを義務づけているが、法律はその方法をあえて指定していない。法律が定めているのは要件であって、技術ではない。実際には、この要件は長年開発されてきたごく少数の現実的な技術システムによって満たされており、それぞれが本物の能力と、よく文書化された特有の破綻の仕方を持つ。主流の手法は2つある。C2PAのContent Credentialsのような暗号署名付きメタデータ規格と、Google DeepMindのSynthIDのようにピクセルやテキストに直接埋め込まれる目に見えない信号だ。それぞれが実際どう機能するか——そしてもっと実用的には、どう壊れるか——を知ることが、「電子透かし付き」というラベルが何か永続的なものを意味すると思い込むことと、それが何を約束でき何を約束できないかを正確に理解することとの違いを生む。
「電子透かし」と呼ばれる2つのまったく異なるもの
この言葉はゆるく使われているが、支配的な2つのアプローチはほぼ正反対の方法で問題を解決している。C2PAのContent Credentialsは、署名済みの記録——誰がそのコンテンツを作ったか、どのツールを使ったか、それ以降どんな編集が行われたか——を、ファイルに付随する別個のデータパッケージとして添付する。SynthIDのような統計的電子透かしは、まったく別個のものを添付しない。生成の瞬間に実際のピクセル値やトークン選択確率そのものを摂動させるため、「印」はコンテンツ自体と切り離せない。前者は公証済みの証明書を文書にホッチキス留めするようなものに近い。後者は紙の繊維に織り込まれた署名に近い。どちらも電子透かしと呼ばれる。だが、それ以外に共通点はほとんどなく、壊れ方さえも異なる。
Content Credentialが実際にどう付与されるか
C2PA——Adobe、Google、Microsoft、Amazon、Meta、Sony、BBC、OpenAI、Truepicを含む6,000超の会員組織が支持するContent Provenance and Authenticity連合——は、3段階のワークフローを定めている。「クレームジェネレーター(claim generator)」と呼ばれるソフトウェアまたはハードウェアが、コンテンツに関する一連の主張(assertion)を組み立てる。撮影機器、使用した編集ツール、由来する過去のマニフェストなどだ。これらの主張は「クレーム」となり、信頼された認証局が発行したX.509証明書に裏付けられた形で、作成者の秘密鍵によってCOSE形式で署名される。署名済みのバンドル——マニフェスト——はJUMBFコンテナにパッケージ化されファイルに埋め込まれ、消費者向けブランドが「コンテンツ認証情報(Content Credential)」と呼ぶものになる。画像の隅で見かけたことがあるかもしれない小さな「cr」アイコンで、開くと制作日時・編集内容・署名者が表示されるパネルが現れる。重要なのは、このチェーンが正当な編集を経ても存続するよう設計されている点だ。準拠ツールが認証情報付きの画像を開いて編集し、再署名すると、新しいマニフェストは以前のものを参照でき、履歴を消すのではなく監査可能な形で積み上げていく。

問題:マニフェストは写真の中ではなく、ファイルの中に存在する
C2PAはマニフェストをアセットに結び付ける方法を2つ用意しており、より強力な方が同時により壊れやすい。「ハードバインディング(hard binding)」はファイルの正確なバイト列に対する暗号学的ハッシュだ。1バイトでも変わると——再圧縮、リサイズ、別形式での再保存など——ハッシュが一致しなくなり、検証は失敗する。これは意図的な設計であり、改ざんを検知するためのものだ。しかしそれは同時に、プラットフォームが帯域幅節約のためアップロードを再エンコードしたり、アプリが低品質で再保存したりといった、まったく無害でごく普通のファイル処理も、悪意ある編集とまったく同じようにバインディングを壊してしまうことを意味する。「ソフトバインディング(soft binding)」は、生のバイト列ではなくコンテンツの知覚的フィンガープリントから導かれるもので、より耐久性が高く、埋め込まれたコピーが失われた後でもルックアップサービスを通じてマニフェストを再発見する助けになりうる——ただし保証としては弱く、そのルックアップ基盤が存在し実際に照会されることに依存する。そして、編集ツールをまったく必要としない破綻モードもある。スクリーンショットだ。スクリーンショットはファイルのバイト列も埋め込まれたJUMBFコンテナもコピーしない。OSのグラフィックスタックを通じてピクセルを再描画し、元ファイルのメタデータについての記憶を一切持たない、まったく新しい画像を作り出す。それに加えて、大手プラットフォームがプライバシーや帯域幅を理由に(この話題よりずっと前から)アップロード時にEXIFやXMPのメタデータをデフォルトで削除する、というよく知られた慣行もある。こうして、コンテナ方式の認証情報には、誰かが何かを隠そうとしなくても消え去ってしまう、ごくありふれた経路がいくつも存在することになる。
信号をコンテンツ自体に焼き込む
2つ目のアプローチは、まさに1つ目を打ち破るものを乗り越えるために存在する。SynthIDや同種のシステムは、画像・動画の生成中はピクセル値に、テキスト生成中はトークン選択確率に、人が知覚できない統計的信号を直接埋め込む——コンテンツに付随させるのではなく、コンテンツ全体に分散させて埋め込む。信号は別添えのコンテナではなく実際の視覚情報やテキスト情報そのものに乗るため、切り抜き、リサイズ、再圧縮、フォーマット変換、そして——メタデータのマニフェストと違い——スクリーンショットにも耐えるよう設計されている。撮影されたピクセル自体が摂動を保持し続けるからだ。2026年半ば時点での展開規模は現実のものだ。Googleによれば、SynthIDはすでに100億件超のコンテンツに電子透かしを付与しており、Gemini、Imagen、Veo、Lyriaでデフォルト搭載され、2026年5月にはOpenAIがGoogleと提携し、ChatGPT・DALL·E・Codex・OpenAI APIから出力される画像にSynthIDを埋め込むようになった。KakaoやElevenLabsも参加しており、展開はSearchやChromeにも広がりつつある。
「頑健」は「破られない」と同義ではない
トレードオフは、統計的電子透かしの検証が誰でも独立に再現できる単純なイエス/ノーの暗号学的チェックではない、という点にある。検証には検出器(多くはベンダーが管理する独自仕様のもの)にコンテンツを通す必要があり、その結果は確実性ではなく信頼度——存在する・存在しない・不確実——として返ってくる。このブラックボックスの検出器への依存が1つ目の弱点だ。2つ目は、信号自体が直接攻撃されうるという点である。SynthID-Textのようなテキスト電子透かしは、言い換え(パラフレーズ)によって破られることが示されており、高度な攻撃では検出精度がほぼ偶然のレベルまで押し下げられたとも報告されている。画像については、「拡散再生成攻撃(diffusion regeneration attack)」——画像を潜在空間にエンコードし、ノイズを注入し、逆拡散のプロセスで再構成する——により、人間の目には元の画像と視覚的に同一に見えるが元の統計的信号はもはや持たない出力が作れる。これは理論上の話ではない。SynthID、C2PAの認証情報、EXIF/XMPの「AI作成」ラベルを画像から取り除くことに特化した、保守が続けられているオープンソースツールがすでに公然と存在する。さらにその根底には避けられない工学的トレードオフもある。電子透かしを攻撃への頑健性を高める方向に振ると、出力品質が目に見えて劣化する傾向があり、現行のどの方式もこの緊張関係を完全には解決していない。そのためベンダーは、決意した攻撃者への最大限の耐性ではなく、通常の取り扱いに対する妥当な耐性を目安に調整している。
どちらのアプローチも埋められないギャップ
両システムには、切り抜きや言い換えとは無関係の共通の限界がある。電子透かしはソフトウェアレベルでのオプトインであり、実装を選んだシステムの出力にしか印を付けられない、という点だ。ローカルで動くオープンウェイトの生成ツールは、電子透かしのコードを単に含めないという選択ができ、ファイル形式も、法律も、この状況の物理法則も、生成器がそもそも書き込まなかった印をコンテンツに出現させることはできない。これはこうした印を信頼の指標として使おうとする人にとって両刃の剣だ。認証情報や検出可能な電子透かしが存在しないことは、そのコンテンツがAI生成でない証拠にはならず、逆に有効な印が存在することも、そのコンテンツが正確・許諾済み・元の文脈のまま示されている証拠にはならない——実写で、各段階できちんと編集され正しく署名された本物の写真であっても、人を誤解させることはありうる。認証情報が証明するのは来歴の連鎖であって、誠実さではない。EU AI事務局自身の実施規範(Code of Practice)も、単一の仕組みを推奨するのではなく、メタデータ・見えない電子透かし・ログ記録を組み合わせた多層的アプローチを規定することで、これを暗に認めている。技術ガイダンスを起草した規制当局自身が、単独の層だけではあらゆる破綻モードをカバーできないと分かっているからだ。
ではラベリング義務は実際に執行可能なのか
ここで技術的な話が法律の話に結び付く。EU AI法第50条2項が定める機械可読なマーキング義務は、発生源において本当に検証可能だ。規制当局や監査人は、コンテンツが生成される瞬間にその生成システムがマニフェスト・見えない信号・あるいはその両方を付与しているかどうかを検査でき、提供者はその基準を満たすか満たさないかのどちらかである——この部分については法律に実効性がある。法律にできないのは、その印が、3回の再投稿、2回のスクリーンショット、1回の再圧縮を経て最終的に視聴者に届くコピーの上でも読み取れることを保証することだ。規制がそこまで届かないのは、その根底にある技術がそこまで届かないからであり、これは立法の見落としではなく、これらのシステムにできることとできないことを正直に映し出した結果にすぎない。だからといってこの要件が無意味になるわけではない。ほとんどのAIコンテンツが公開された瞬間から検出可能な信号を(たとえ不完全であっても)帯びている世界は、検出パイプラインを構築するプラットフォームや研究者にとって、数年前に存在したほぼ皆無のマーキング状況よりも、意味のある形で良い出発点になる。ただし、「電子透かし付き」あるいは「ラベル付き」という主張の妥当な読み方は、「これは追跡可能であると保証されている」ではなく、「これは作成時にマークされた——そしてそれがあなたに届くまで生き残ったかどうかは、この技術がそもそも確実に答えるようには作られていない、別の問題である」というものになる。
上記の規制・技術的な詳細は2026年7月中旬時点で公開されている情報を反映したものです——それに依拠して判断を下す前に、最新の仕様や要件を確認してください。本記事は一般的な情報提供であり、法律または技術的なコンプライアンスに関する助言ではありません。