VPN

VPNの管轄地を解説:5/9/14アイズ、Mullvad捜索事件、そしてPureVPNログ事件

VPNマーケティングは管轄地を大いに強調する。最もよく記録された2つの司法協力事例——2023年のMullvad捜索と2017年のPureVPNのFBI協力——は、プロバイダーが何を保存しているかのほうが国の旗よりも重要であることを示している。

By Subger Editorial TeamUpdated 2026年4月30日7 min read

5/9/14アイズが実際に意味するもの

5アイズは、米国、英国、カナダ、オーストラリア、ニュージーランドの間の信号諜報共有の取り決めで、第二次世界大戦後のUKUSA協定に起源を持つ。9アイズはデンマーク、フランス、オランダ、ノルウェーを加える。14アイズはドイツ、ベルギー、イタリア、スウェーデン、スペインを加える。VPNマーケティングは、これら14か国のいずれかに登録されたVPNは危険だという考えを広めてきた。その国の政府がデータの引き渡しを強制し、そのデータをより広い同盟内で共有しうるからだという。この主張は部分的に真実だ——それらの政府はデータ要求のための法的枠組みを持っている——が、それが話のすべてではない。

主要な監査済みVPNの拠点はどこか

Mullvad:スウェーデン、ヨーテボリ(14アイズ内)。NordVPNの運営法人Nordvpn S.A.:パナマ(アイズ外)。Proton VPN:スイス、ジュネーブ、プラン=レ=ウアト(アイズ外。スイスはEUおよび米国の法的要求枠組みの外でもある)。ExpressVPNの運営法人Express VPN International Ltd.:英領ヴァージン諸島(アイズ外)。Surfshark B.V.:オランダ(9アイズ内)。5社のうち2社——MullvadとSurfshark——はアイズ管轄地にあり、3社は外にある。5社すべてがノーログ監査を公開している。

2023年のMullvad捜索:実際に何が起きたか

2023年4月18日、スウェーデン国家作戦局(NOA)の6名の捜査官が捜索令状を持ってMullvadのヨーテボリのオフィスに現れ、顧客データを含むコンピューターの押収を意図していた。令状は2023年2月17日、ドイツ当局との国際的な司法協力の枠組みで発行されていた。Mullvadはその出来事を同日中にmullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromisedで公開して記録した。Mullvadの説明とその後の報道によれば、警察は何も押収せずに引き上げた——令状が求めたデータがサーバー上に存在しなかったからだ。MullvadのCure53監査履歴(最新:第4回インフラ監査、2024年6月)は、この結果を生んだノーログのサーバー構成を記録している。その帰結はこうだ——管轄地は確かに重要だった(捜索は起きた)が、決め手となったのは運用上のプライバシー姿勢だった。

2017年のPureVPNのFBI協力:その逆

2017年10月、FBIはPureVPNのVPN接続ログを使って、大規模なサイバーストーキング事件でマサチューセッツ州の24歳の男性Ryan Linを特定した。PureVPNのマーケティングは事件以前にノーログの主張を強調していた。FBIの宣誓供述書(司法省の申立てやbleepingcomputer.comその他の主要メディアの報道で引用されている)は、PureVPNが実際には、セッション開始時の顧客の自宅IPアドレスを含む接続ログを保持しており、それらのログがVPNセッションを通じてLinを特定するのに十分だったことを記録した。この事件は典型的な逆の例だ——マーケティングの主張が、プロバイダーが実際に保存していたものによって覆され、プロバイダーの管轄地(香港——アイズ外)はデータを守らなかった。データが存在し、米国の法的要求に応じうるものだったからだ。

管轄地が予測するものと、しないもの

管轄地は、政府の要求が出された時点で現実のリスク要因となる。要求元の国との司法協力の枠組みを持つ14アイズ管轄地のプロバイダーは、保有するデータの引き渡しを強制されうる。だが管轄地は、プロバイダーが何を保有しているかを予測しない。14アイズのノーログプロバイダー(Mullvad)には引き渡すものがなく、非アイズ管轄地でログを保持するプロバイダー(2017年頃のPureVPN)には引き渡すものがある。MullvadとPureVPNの出来事は合わせて、予測変数が——監査で検証される——運用上の実践であって、国の旗ではないことを立証している。

2026年に検討すべきこと

管轄地だけよりも、実世界のプライバシー結果をより信頼性高く予測する要因が3つある。(1)監査の範囲と新しさ——最新の公開監査はサーバーレベルの構成をカバーしているか、そしてそれは過去24か月以内のものか? (2)オープンソースのクライアント——デスクトップおよびモバイルのアプリはオープンソースとして公開されているか? MullvadとProton VPNはともにクライアントをGitHubで公開している。(3)実際の法的強制事例への記録された対応——Mullvadには1つ(2023年の捜索)があり、PureVPNには逆のもの(2017年の事件)がある。ほとんどのプロバイダーにはどちらもない。管轄地は、最初の3つが満たされたうえでのタイブレーカーとして適用すべきであって、目玉となる要因としてではない。

出典

5/9/14アイズ: en.wikipedia.org/wiki/Five_Eyes(元のUKUSA協定への引用付き)。Mullvad 2023年の捜索: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised。Mullvad監査履歴: mullvad.net/en/blog/tag/audits。PureVPN/Lin事件: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi。NordVPN管轄地: nordvpn.com/blog/jurisdiction。Proton VPN管轄地: protonvpn.com/features/swiss-based。ExpressVPN trust: expressvpn.com/trust。Surfshark trust: surfshark.com/trust-center。全URLは2026-04-30にアクセス。