ノーログポリシー(英:no logs policy)とは、IPアドレスや閲覧履歴のような、個人情報に紐づくデータをVPNの運営元が保存しない宣言のことです。ログを取らないので、ログが漏洩しません。個人情報を保護する目的でノーログポリシーが採用されています。
この記事では、ノーログポリシーの全体像をお伝えした上で、VPNサービス4社のノーログポリシーを比較します。
要点を述べる人ノーログポリシーは、プライバシー保護について運営元の考えを表明するものです。VPNユーザーが最低限知っておきたい点はこの記事で解説します。より詳しく知りたい方は各社のページを見ていただくといいかもしれません。
最後にノーログポリシーの信頼性が高いVPN4つをご紹介しますので、ネット上のプライバシー保護に関心がある方は是非ご覧ください。
ノーログポリシーの概要
考える人
答える人平たく言うと個人情報流出のリスクを軽減できるためです。
- ノーログポリシーとは
- 本社の所在地が重要
- 運営元の信頼性が重要
- ノーログポリシーの内容
ノーログポリシーとは
ノーログポリシーはログを保存しない宣言のことです。
考える人答える人ノーログポリシーがあるメリットは以下2点です。
- IPアドレス、閲覧履歴が流出しない
- 運営元に個人情報を悪用されない
ログを保存していなければ、ログは流出しようがありません。
2について少し補足します。VPNを使うと第3者からは通信を覗きにくくなります。ただし、IPアドレスや閲覧履歴を保存している場合は、運営元がユーザーの情報を悪用することも理屈的にはできます。ログを保存していなければ、悪用はできません。
ノーログポリシーの内容
ノーログポリシーに書かれている内容は主に以下4点です。
- 記録しない個人情報
- 記録する個人情報
- 個人情報を記録する理由
- 個人情報を記録する期間
- 本社の所在地
VPNログの種類
VPNが保存しうるログには、具体的に以下の3つがあります。
ユーザーの情報
ユーザー自身の情報のことです。具体的には…
- ユーザー名
- パスワード
- 電話番号
- メールアドレス
- クレジットカード情報
- 契約期間
- 国
- 住所
接続ログ
VPNサーバーを解してデータを送受信した際に記録されます。
サービスの改善やトラブルシューティングのために活用されます。
具体的に取得するものは…
- IPアドレス
- タイムスタンプ
- 通信のデータ量
VPN使用ログ
インターネットを使用した際のログのことです。VPNの運営はインターネットサービスプロバイダと同様の情報にアクセスできます。
具体的には…
- アクセスしたサイト
- 利用したソフトウェア
- ダウンロードしたファイル
無料のVPNの中には、上記3つのログを企業に販売してお金を稼いでいるものもあります。販売した情報はマーケティングなどに活用されます。プライバシーを保護する目的でVPNを使う方も多いかと思いますが、無料のVPNを使った結果個人情報に紐づく情報を誰かに見られてしまうのであれば本末転倒です。
本社の所在地が重要
データ保持に関する法律がない国や地域に本社があるかどうかが重要です。
多くの国ではログの保存が義務付けられています。例えば、日本のプロバイダもログを3~6ヶ月程度保存しています。
要点を述べる人運営元の信頼性が重要
ノーログポリシーがあったとしても、内容が嘘であれば元も子もありません。
運営元自体に信頼性があるかどうかが肝心です。
マイナーなVPNよりも、ある程度大手で運営歴が長いVPNの方が、相対的に安心感があります。
余談ですが大手VPNを使った方がいい理由がもう1つ。速度が早いからです。
大手VPNの方がサーバーの数が多いです。サーバーの数が多いと、特定のサーバーが過密になりすぎないので、遅延が起きにくいです。
ノーログポリシーは信用できるのか?見極めるポイントとは
考える人答える人サーバーを押収された結果ノーログポリシーが証明された
事件を捜査するためにFBIが被疑者が使用していたVPNのサーバーを押収することがあります。この際に、ログが残っているかどうかがわかります。
FBIが捜査をしてログがないことが証明されているので、ノーログポリシーがかなり信頼できることがわかります。FBIの捜査によってノーログポリシーが証明された事例・証明されなかった事例は後述します。
監査を受けている
ノーログポリシーの有効性を主張するために、監査法人の検証を受けることがあります。監査法人は、サーバーを調査してログが残っていないことを確認します。ノーログポリシーの信頼性を主張するために監査を受けているVPNは多くないので、信頼性を図るポイントになり得ると思います。
透明性レポートを出している
上記2点ほどのインパクトはありませんが、透明性レポートを出しているかどうかも見ておいて損はありません。
透明性レポートとは、警察や裁判所などから開示請求を受けた回数を公開するもののことです。ユーザーにとっては、あるVPNがどの程度請求を受けているのか知れるメリットがあります。
5 Eyes、9 Eyes、14 Eyesの加盟国に本社がない
要点を述べる人Eyes同盟は、元々は冷戦期にアメリカとイギリスが情報を共有するためにできました。当時はソビエトの情報を解読することが目的でしたが、現在はネット上の活動を監視することが目的の1つになっています。
協定に加盟している国は、通信情報を共有できます。
Eyes同盟に加盟している国は次のとおりです。
| 5 Eyes | アメリカ、イギリス、カナダ、オーストラリア、ニュージーランド |
| 9 Eyes | デンマーク、フランス、オランダ、ノルウェイ |
| 14 Eyes | ドイツ、ベルギー、イタリア、スペイン、スウェーデン |
| 協力国 | オーストリア、チェコ、ギリシア、ハンガリー、アイスランド、日本、ルクセンブルク、ポーランド、ポルトガル、韓国、スイス、トルコ |
犯罪に加担していないのであればナイーブになる必要はありませんが、ネット上のプライバシー保護を重視するのであればEyes同盟に加盟していない国に本社があるVPNを選ぶのが無難です。
暗号資産での支払いに対応している
クレジットカードで支払いをすると、クレジットカードの支払い情報をハッカーに盗まれるリスクがあります。暗号資産で支払いをする場合は、お金の流れを追跡されません。
海外のVPNは暗号資産での支払いに対応しているのが普通ですが、日本のVPNで暗号資産払いに対応しているものはほとんどありません。
とはいえ暗号資産で支払いをすると日本の場合は税金の計算が面倒です。クレジットカードで支払いをすると必ず情報が流出するとも限りません。暗号資産での支払いをどの程度重視するべきかについては人によりそうです。
海外大手VPNサービス4社のノーログポリシーを比較
海外VPNのノーログポリシーの内容を要約してお伝えします。
ノーログポリシーの内容をより詳しく知りたい方・VPNを検討している方はご参考ください。
ExpressVPN
ノーログポリシー要約
- IPアドレス (ソースまたはVPN)
- 閲覧履歴
- トラフィックの行き先またはメタデータ
- DNSクエリ
- アクティビティログ
- 接続ログ
- 有効化されたアプリとアプリのバージョン
- VPNサービスに接続した日付(時間を含まない)
- VPNサーバーロケーションの選択
- 1日あたりに転送されたデータの合計(MB)
何を収集して、何を収集しないのか。収集する理由は何か、というポイントが具体的に書かれていて、ノーログポリシーの記載に安心感があります。
個人情報に紐づくようなIPや閲覧履歴は取得しないようです。
一方、接続エラーやクラッシュのような技術的トラブルを解消するためのデータは収集するとのことでした。
本社
英領ヴァージン諸島。データ保存法なし
NordVPN
ノーログポリシー要約
ユーザーのオンライン行動を記録していない
NordVPNはパナマで運営されています。パナマではデータ保管を義務化する法律がないので、NordVPNにはログを保存する義務がありません。
また、NordVPNは大手独立監査法人PricewaterhouseCoopersAG社によってノーログVPN監査を受けています。2018年のことで、業界初のノーログポリシー監査だったようです。
本社
パナマ:データ保持法なし
surfshark
ノーログポリシー要約
サービス提供と改善に必要な最低限の情報のみ収集
- サービス提供に必要な情報:サービス利用中と、解約後2年間
- Smart DNS提供に必要な情報:サービス利用中
- Trust DNS提供に必要な情報:Trust DNS利用中
- サービス改善に必要な情報:解約時まで
- サービスオファーに必要な情報:同意から2年
- (登録した場合)ソーシャルメディアとの連携に必要な情報
- クッキーとwebビーコン
- IP アドレス
- ネットワークトラフィック
- 閲覧履歴
- 帯域幅使用量
- 接続の時間と期間
- セッション情報
本社
英領ヴァージン諸島。データ保存法なし
CyberGhost VPN
ノーログポリシー要約
- IPアドレス
- DNSクエリ
- 閲覧履歴
- アクセスコンテンツ
- セッション時間
- 接続のタイムスタンプ
- 切断のタイムスタンプ
- 帯域幅の使用
- VPNサーバー接続
CyberGhost透明性レポートを発行し、著作権クレーム、マルウェア、開示請求の件数を公開している。本社があるルーマニアではデータの開示が義務ではないので、要請があっても開示には応じない。
本社
ルーマニア。プライバシー法がある。データの保持は憲法違反という判例もある。
開示請求やサーバー押収などでノーログポリシーが証明された事例
トルコに駐在するロシアの大使が警察官に銃殺された事件の捜査で当局がExpressVPNのサーバーを押収したところ、ログが残されていなかった事例です。
当局は被疑者がVPNを解して被疑者のFacebookとGmailを削除したことを突き止めました。詳細を知るために当局はExpressVPNにログの開示を求めましたが、ExpressVPNは英領バージン諸島に本社をおいており、開示に応じる必要がないことから開示請求に応じませんでした。当局は最終的にExpressVPNのサーバーを押収したものの、ログが残っていないことがわかりました。
開示請求やサーバー押収などでノーログポリシーが証明できなかった事例
ネットストーカーを捜査する当局が被疑者を突き止める際にVPNのログが活用された事例です。
香港に本社をおくPureVPNは、FBIにネットワークログを提出。ネットワークログにはアクセス元のIPアドレスとタイムスタンプが記録されています。アクセス先のサイトに残っているPureVPNのIPアドレスと、提出されたネットワークログの情報を突合させることで被疑者のIPアドレスが特定されました。
PureVPNは、ノーログポリシーを謳っているものの、実際は個人を特定できる情報が記録されていたことが明らかになりました。
ノーログポリシーに信頼性があるおすすめVPN4つ
ノーログポリシーがあるのは大前提としつつ、ノーログポリシーに信頼性のあるVPNをご紹介します。
ExpressVPN|当局捜査でログを保存していないことが証明されたVPN
上でご紹介したとおり、当局がサーバーを押収した結果ログを保存していなかったことが明らかになったVPNです。捜査の結果ログがないことがわかっているので、ExpressVPNノーログポリシーはかなり信頼できるでしょう。
ログを保存する義務がない英領バージン諸島に本社をおいています。
ExpressVPNの特徴はLightwayというプロトコルを独自に開発している点です。軽量に設計されているのでスピーディーに動作し、バッテリーの消費が少ないようです。
Private Internet Access|法廷で提出できるデータがないことを証言している
開示請求をされても提出できるデータがないことを、Private Internet Accessの代表者が裁判にて何度か証言しています。
加えて、同社は定期的に透明性レポートを出しており、ユーザーのプライバシーへの配慮を感じられます。
ただ、同社はEyes同盟に加盟しているアメリカに本社をおいています。ノーログであることが実証されてはいますが、似た条件であれば英領バージン諸島に本社があるExpressVPNを選ぶのが無難なように思います。
NordVPN|監査会社によるノーログポリシーの検査を受けている
NordVPNは、監査会社であるプライスウォーターハウスクーパースAGスイスによってノーログポリシーを検査されています。
具体的な検査内容は…
- 従業員へのインタビュー
- サーバー構成の検査
- テクニカルログの検査
- インフラストラクチャ内の他のサーバーの検査
検査の結果、PwCスイスはNordVPNはノーログポリシーのとおりに運営されていると結論を出しました。
NordVPNは英領バージン諸島に本社をおいているので、ログを保存する義務がない点も安心です。
CyberGhost VPN|定期的に透明性レポートを発行している
最後にご紹介するのはCyberGhost VPNです。同社は定期的に透明性レポートを発行しています。Eyes同盟に加盟していないルーマニアに本社があります。
FBIにサーバーを押収されたわけでも監査を受けているわけでもないので、上記でご紹介したVPNと比べるとインパクトは薄れます。
それでも今回CyberGhost VPNをご紹介した理由は、通信速度が快適だからです。CyberGhost VPNは世界中にサーバーを9200台以上設置しています。競合と比べてもかなりの数で、当サイトで調べた範囲内では最多のサーバー数です。
サーバー数が多いと、通信速度が速くて安定しやすいと考えられます。当サイトが海外大手VPN4社を31日間スピードテストをしたところ、CyberGhost VPNが最も低遅延でした。
仕事をしている最中にネットが重くなると地味にストレスですので、快適にネットを使いたい方にはおすすめです。
まとめ
ノーログポリシーは、VPN運営元がユーザーのログを保存しないことを宣言するもの。
ノーログポリシーがあるVPNの方が、個人情報保護の面で安心感があります。
要点を述べる人VPNの安全性を確認するポイントは
- ノーログポリシーの有無
- ノーログポリシーの内容
- 本社の所在地(ログ保存義務のない国にあるか)
- 運営元の信頼性
