米国のドクシング法:実際に存在する保護と法的救済が不十分な点
目次
ドクシングはアメリカで違法ですか?
ドクシングを明確に犯罪化する連邦法はありません。連邦レベルでは、ドクシングの事案は、関与する具体的な行為に応じて、州際通信法、コンピュータ詐欺および濫用法、またはサイバーストーキング規定などの既存のハラスメントおよびストーキング法に基づいて訴追されます。.
州レベルでは、状況はより進展していますが、依然として断片的です。 州政府協議会, 2025年半ば現在、アラバマ州、カリフォルニア州、イリノイ州の3州は、ドクシングを独立した犯罪として、明確な成文法上の定義とともに確立しています。さらに14州では、ドクシングという言葉を用いずに、その行為を犯罪化する法律を制定しており、嫌がらせや危害を加える意図で個人情報をオンラインに公開することをカバーしています。.
イリノイ州の ドゥクシング行為に対する民事責任 (2024年1月に施行された法律第103-0439号)は、最も包括的な州レベルの保護措置の1つであり、被害者は経済的損害、精神的苦痛、身体的危害の恐怖、および著しい生活の混乱について民事訴訟を提起することができます。アラバマ州のHB 287(2023年)は、独立したドクシングの犯罪を創設しました。ワシントン州の法律は、特に刑事司法関係者を保護しています。オレゴン州の法律は、対象者がストーカー被害、嫌がらせ、または危害を受ける可能性があることを知りながら個人識別情報を公開することを対象としています。.
いくつかの主要な州とその法律の実際の適用範囲:
カリフォルニア — は、嫌がらせおよびサイバーストーキング法の下でドクシングに対処している。一般的な誤解に反して、カリフォルニア州にはプラットフォームに特定の時間枠内での対応を義務付ける単独の削除義務はない。カリフォルニア州におけるドクシング事件は、通常、刑法第653.2条(電子サイバーハラスメント)に基づいて訴追される。.
イリノイ — ドクシング行為に対する民事責任は、経済的損害、精神的苦痛、生活妨害を含む損害賠償請求を可能にします。刑事罰は、別途のサイバーストーキング規定に基づいて適用されます。.
テキサス 刑法42.07条は、恐怖や身体的危害を与える意図をもって個人情報を公表する行為を、悪質な嫌がらせとして犯罪と定めています。被害者が公務員や法執行官である場合、罰則は強化されます。.
ニューヨーク — ドクシングは、厳重な嫌がらせの罰則(刑法240.30条)で起訴されますが、ドクシングという言葉は法律には現れません。事件には、嫌がらせ、迷惑、脅迫、または不安を引き起こす意図の証拠が必要です。.
米国には、ドッギングを明確に犯罪化する連邦法はありません。議会は、連邦法執行官のドッギングを特に標的とした法案を含む提案を導入しましたが、2025年現在、いずれも法制化されていません。.
ほとんどの被害者にとっての法的な現実とは、意図の証明が難しく、複数の管轄区域にまたがる事件の訴追が困難であり、執行のタイムラインが損害のタイムラインと一致することはめったにないということです。法的措置が成果を出す頃には、情報はすでに拡散しています。.
Googleができること・できないこと
Googleの 個人情報削除ポリシー 検索結果から個人情報が特定されるコンテンツの削除を個人がリクエストできるようにするものです。具体的には、個人情報と明示的または暗示的な脅迫を組み合わせたコンテンツ、または正当な目的なく大量の個人データを収集したコンテンツが対象となります。該当する情報には、自宅住所、電話番号、個人用メールアドレス、政府発行のID番号、および金融資格情報が含まれます。.
Googleは「あなたに関する検索結果」ツールも提供しており、これにより個人は検索結果に表示される個人連絡先情報を監視し、ツールの直接削除をリクエストできます。これは正式な削除リクエストフォームよりもアクセスしやすく、名前が頻繁に検索される役員には設定しておく価値があります。.
正式な削除プロセスでは、URLを個別に送信し、悪意のある意図または集約の証拠を提供し、Googleの審査を待つ必要があります。Googleは、一般の利益に資するかどうかの基準に対してリクエストを評価します。コンテンツが報道価値がある、または専門的に関連性があると思われる場合、個人情報が含まれていても削除されない可能性があります。たとえば、現職の役員の住所が、その経歴とともに掲載されている場合と、嫌がらせフォーラムに掲載されている場合とでは、取り扱いが異なる場合があります。.
重要ながら、Googleは検索インデックスからリンクを削除することしかできません。ホスティングウェブサイト自体に対する権限はありません。Google検索から削除されたコンテンツは、直接リンク、他の検索エンジン、ダークウェブフォーラム経由でアクセス可能です。経営幹部や著名な個人にとって、この区別は非常に重要であり、Googleからの削除は、解決策ではなく、より長い是正プロセスの1ステップにすぎません。.
なぜ法制度は幹部に対して特に失敗するのか
ほとんどの個人にとって、ドキシングは個人の安全とプライバシーの問題です。しかし、役員、政府高官、著名な人物にとっては、リスクプロファイルはさらに複雑になります。自宅住所がオンラインで公開されると、物理的な安全保障上の脅威が生じます。フォーラムに社内コミュニケーションが漏洩すると、評判および競争上のインテリジェンスリスクとなります。認証情報の漏洩は、ネットワーク侵害を可能にします。.
ドクシングに関する法律やGoogleの削除ツールでは埋められないギャップは、時間です。法的手続きは数週間から数ヶ月のタイムラインで進みます。ドクシングキャンペーンは通常、数時間で拡散します。削除リクエストが処理されるか、裁判所が差止命令を出す頃には、情報はすでに共有され、スクリーンショットされ、ミラーリングされ、法的な救済が同時に届かない多数のプラットフォームに再公開されています。.
について 個人の権利と表現のための財団 多くの反ドクシング法が修正第1条の異議に直面していることに注目しており、特に、公開情報、公的記録、有権者登録データ、職業名簿などがすでに公開されていた場合がそうです。裁判所は、公開されている情報を集計しただけでは自動的に犯罪とならないと一貫して判断しており、攻撃者が意図的に悪用する重大なグレーゾーンが残されています。.
セキュリティチームにとって、法的救済は、明確なケースでのエスカレーション、文書化、および削除に役立つ二次的な対応として最も効果的であり、一次的な防御戦略としては機能しません。CybelAngelのREACTチームが指摘するように、ドクシングキャンペーンが開始されてから法的救済が発効するまでの期間は、通常数週間で測定されます。キャンペーンが開始されてから損害が発生するまでの期間は、通常数時間で測定されます。.
法的救済だけでは不十分であることを示す最近の事例
2025年と2026年の2つの出来事は、執行タイムラインの問題がエグゼクティブセキュリティチームにとってなぜ重要なのかを明確に示しています。.
2025年5月に、2つのウェブサイト, luigiwasright.com とそのクローンである theceodatabase.com, 、数百人もの氏名、ビジネスメールアドレス、携帯電話番号、報酬の詳細、LinkedInプロフィールを公開した フォーチュン500社の役員. サイトは24時間も経たないうちに閉鎖された。しかし、データはアーカイブされ、ミラーリングされ、インデックス化されたまま残っている。数時間以内に露出を検出したセキュリティチームは、まだ対応可能なうちに削除依頼を開始することができた。後になって発見したチームは、インデックス化されたコピーの管理を続けている。州のドクシング法では、この期間内に対応することはできなかっただろう。Googleの削除プロセスは提出後に開始されるため、その時点ですでに被害は生じていた。.
2026年3月に、 ハンダラ・ハック・チーム, イラン情報安全保障省と正式に結びついていると米国検察当局が発表したグループは、FBI長官キャッシュ・パテルの個人のGmailアカウントを侵害したと発表した。300通以上のメール、個人的な写真、旅行記録、履歴書が 数時間以内にオンライン公開. FBIが侵害を確認しました。重大なことに、これは政府インフラに対する洗練されたゼロデイ攻撃ではありませんでした。これは個人用メールアカウントであり、オープンウェブ、ディープウェブ、ダークウェブで日常的に発生する資格情報や個人データの漏洩を通じて侵害されたものでした。.
どちらのケースも、核となる失敗は同じである。CEOのデータベースのケースでは、攻撃ベクトルは集約された公開データと半公開データだった。パテルのケースでは、認証情報が公開された個人の電子メールアカウントだった。どちらも州のDoxing法では対処できない。どちらも積極的な外部監視によって対処できる。.
プロアクティブな保護とは、具体的にどのようなものですか??
役員に対するドキシング(個人情報晒し)の最も効果的な防御策は、法的措置とは異なる時間軸で機能します。それは、事後ではなく、事前の段階で始まります。.
デジタルフットプリント削減 ドーキサーが利用する原材料を削除します。Spokeo、WhitePages、BeenVerifiedなどのデータブローカーサイトは、公開記録から住所、電話番号、家族の名前、以前の住所を集約し、合法的に再販しています。これが、ほとんどのドーキシングキャンペーンが初期の標的データを調達する場所です。インシデントが発生する前にこれらのサイトからの削除を要求し、多くのサイトが情報を自動的に再掲載するため、そのプロセスを定期的に繰り返すことで、利用可能な攻撃対象領域が大幅に削減されます。各執行役員の名前についてGoogleで検索される内容を四半期ごとに監査することが、最低限の基準となります。.
ダークウェブとフォーラムの監視 初期段階を検出します。Doxxing キャンペーンは通常、Telegram のプライベートチャンネル、Discord サーバー、辺境のフォーラム、暗号化されたメッセージングプラットフォームなどの閉鎖的なコミュニティで始まり、その後、主流のサイトに拡散します。閉鎖的なフォーラムでの言及は、通常、公開投稿の 48〜72 時間前の警告となります。これらのチャネルを監視して、役員の氏名、メールアドレス、自宅の所在地、家族の名前を把握することで、法的手段では不可能な介入の機会が得られます。その機会は狭いですが、存在します。.
認証情報監視 関連性があり、しばしば見過ごされがちなベクトルに対処します。データ侵害、フィッシングキャンペーン、またはインフォスティーラーマルウェアからの漏洩した認証情報は、影響を増幅するために、ドクシング攻撃と並行して定期的に使用されます。Patelの侵害はまさにこれを実証しました。政府システムではなく、個人のメール認証情報が侵入経路でした。地下市場や侵害リポジトリで役員のメールアドレスを監視することにより、セキュリティチームは、それらのアカウントがより広範なターゲティングキャンペーンの一部として悪用される前に、認証情報の強制リセットを行うことができます。.
データブローカーと人物検索の削除 しばしば一度きりの行事として扱われがちですが、そうではありません。多くのブローカーサイトは、削除依頼から数週間以内に公開記録から自動的に再入力されます。継続的な削除、特にリスクが最も高い役員については、定期的な監査ではなく、継続的なプログラムが必要です。.
これら4つの管理措置に共通する根本的な原則は同じです。米国のドキシングルールは、すでに発生した損害に対応するものです。プロアクティブな監視は、そもそもその損害が発生する確率を減らします。.
CybelAngelのブランド保護は、エグゼクティブのドッギングを早期に検知します。
これは、各州のドクシングに関する法律やGoogleの削除ツールでは埋められない検出のギャップです。法的救済は、すでに公開されているコンテンツに対応します。ブランド保護は、コンテンツが公開される前に監視し、luigiwasright.comのインシデントが示しているように、セキュリティチームに数日ではなく数時間で計測される介入ウィンドウを提供します。.
エグゼクティブへのドキシング攻撃がどのように構築されるか、また、監視すべき初期警告信号について詳しく知るには、当社のガイドをお読みください。
よくある質問
連邦レベルでのなりすまし防止法はありません。アラバマ州、カリフォルニア州、イリノイ州の 3 つの州には、単独のなりすまし禁止法があります。さらに 14 の州では、特定の用語を使用せずに、この行為を犯罪としています。ほとんどの州では、なりすましを嫌がらせ、サイバーストーキング、またはプライバシーに関する法令の下で訴追しています。犯罪の意図を証明することが、規制強化の主な障壁となっています。.
Googleは、個人情報と明示的または黙示的な脅迫を組み合わせたコンテンツ、または正当な目的なく個人データを集計したコンテンツへのリンクを検索結果から削除できます。Googleはホスティングサイト自体からコンテンツを削除することはできず、公益または報道価値があると見なしたコンテンツを削除することはありません。.
Google レビューは個別に削除リクエストが行われます。このプロセスには、各URLを提出し、悪意のある意図または重大な集計の証拠を提供し、評価を待つことが含まれます。保証されたタイムラインはなく、その期間中、コンテンツは直接URLや他の検索エンジンからアクセス可能であるままです。.
ほとんどの法律では悪意の証拠が必要ですが、これは裁判で証明するのが困難です。加害者と被害者が異なる州や国にいる越境訴訟では、訴追がさらに複雑になります。裁判所はまた、公開されている情報を集約しても、自動的に個人情報特定行為(ドクシング)の法的基準を満たすわけではないと判断しており、攻撃者が悪用する抜け穴が残されています。.
ダークウェブチャンネルのプロアクティブな監視、データブローカーの削除、および認証情報漏洩の追跡は、予防において法的手段よりも効果的です。法的手続きは週から月単位で進行しますが、ドクシングキャンペーンは数時間で拡散します。目標は、公開後の修復ではなく、公開前の検出です。.
イリノイ州は最も包括的な枠組みを持っています。そのドキシングに対する民事責任法(2024年発効)は、経済的損害、精神的苦痛、生活の混乱に対する民事訴訟を認めています。アラバマ州とカリフォルニア州には独立した刑事訴訟法があります。テキサス州とワシントン州は、公務員や法執行官を含む特定のグループに強化された保護を提供しています。現在、ドキシングコンテンツの削除を所定の期間内にプラットフォームに行動させる法律を持つ州はありません。.
