実在する子どもの写真を生成AIへ読み込ませ、本人の同意なく性的な画像や動画に変える。そうした被害をめぐって、2026年3月にテネシー州の10代3人が提起したGrokへの集団訴訟に、2026年7月7日、新たに2人の原告が加わった。原告側は同日、米カリフォルニア州北部地区連邦地方裁判所へ修正訴状を提出したと発表している。
新たな原告の1人は、約11歳のときに撮影された写真1枚から、継父がGrokを使って約7,000点の性的な画像や動画を生成したと主張する。もう1人は、8年生の卒業式で撮られた写真を加工されたとしている。そして原告だけでなく、Stable Diffusionを開発するStability AIも、新たに「被告」として訴訟に加えられた。
現在は原告側の主張が提出された段階であり、集団訴訟としての認証や被告の法的責任について、裁判所の判断は出ていない。
今回の訴訟は、画像を生成した人物だけでなく、その依頼を処理したAI企業がどこまで被害を防ぎ、発見後の捜査に協力すべきかを問う。家族写真や学校行事の写真が性的虐待コンテンツへ変えられ得るなか、本人がサービスを利用していなくても被害を受けるという、生成AI特有の問題が争点になっている。
増え続ける「AIG-CSAM(AI-Generated Child Sexual Abuse Material:AI生成型児童性的虐待コンテンツ)」の被害に対する一つの法的対応として、本記事では、3月の提訴から今回の修正訴状に至る経緯をたどり、GrokとStability AIに問われている責任、NCMEC(全米行方不明・被搾取児童センター)への通報をめぐる問題、それから今後の裁判の焦点を整理する。

3月の当初訴訟は何を問うものだったのか

まずは、2026年3月16日に提起された、テネシー州の10代女性3人(うち2人は提訴時も未成年)によるX.AI Corp.とX.AI LLCを相手取ったカリフォルニア州北部地区連邦地方裁判所への集団訴訟の内容を確認する。(事件名は「Doe 1 v. X.AI Corp. et al.」、事件番号は「5:26-cv-02246」)
ことの発端は2025年12月6日ごろ、Jane Doe 1のInstagramに匿名の利用者から連絡が届いたことだった。“Jane Doe”とは、英語圏で「身元不明の女性」や「匿名の女性」を指すために使われる仮名だ。今回の裁判においても、プライバシー保護のために使われている。
訴状によると、Discordのサーバー上には、卒業年鑑やホームカミング、家族写真などを素材にしたJane Doe 1の性的な画像4点と動画1点が投稿されていた。さらに、少なくとも18人の未成年者を題材にした生成物も保存されており、その多くはJane Doe 1が学校で見覚えのある人物だったという。
Jane Doe 1がほかの被害者やその家族に連絡したことをきっかけに、警察が捜査を開始。2025年12月下旬には、画像や動画を生成・共有したとされる人物が逮捕され、その端末を捜索した結果、翌2026年2月12日ごろ、Jane Doe 2とJane Doe 3の被害も明らかになったという。原告側は、この人物がサードパーティー製のアプリを通じてGrokを利用し、xAIのサーバー上で生成処理と配信を行ったと主張している。
そのうえで原告側は、xAIが性的な画像の生成を可能にする「Spicy Mode」を提供する一方、実在する子どもの写真が性的な画像や動画へ加工されるのを防ぐ安全対策を十分に講じていなかったと主張。Masha’s Lawに基づく児童性的虐待コンテンツの生成・所持・配布をめぐる民事責任のほか、人身売買被害者保護法上の、違法行為から利益を得た者としての責任、製造物責任、過失などを追及している。
また、同様の被害を受けた全米の人々を一つの集団として扱う集団訴訟の認定(クラス認証)を裁判所に求めるとともに、被害を補償する損害賠償、被告を制裁し再発を抑止するための懲罰的損害賠償、さらに問題となる行為の停止や安全対策の実施を命じる差止めを求めている。
※訴訟記録上、当初の被告はX.AI Corp.とX.AI LLCである。一方、NPRの報道は現在の名称に合わせて「SpaceXAI」と表記している。SpaceXは2026年2月にxAIを買収し、同社の2026年6月の目論見書でも、xAIをAI部門の基盤として取得したと説明している。したがって、本稿では現在の事業・ブランドを指す場合にSpaceXAIを用い、裁判上の当事者についてはX.AI Corp.など訴訟記録上の名称を使う。なお、NPRによると、SpaceXAIは今回の取材要請に回答しなかった。2026年3月の提訴時にも、X.AIはAP通信の取材に回答していない。一方、Xは当時、児童の性的搾取、非同意の裸体画像、望まない性的コンテンツを容認せず、規則に違反するアカウントへの措置や必要な当局通報を行うとの方針を示していた。
原告2人が加わり、被害の範囲が広がった

原告側代理人のLieff Cabraser Heimann & Bernsteinによる発表では、新たに加わったのはワイオミング州のJane Doe 4と、ウィスコンシン州のJane Doe 5である。
Jane Doe 4は現在20代の女性だ。修正訴状によると、継父は彼女が約11歳のときの写真をGrokへ読み込ませ、約7,000点の性的な画像や動画を生成し、オンラインで他者と交換していたという。Jane Doe 4本人が成人した後に生成されたとしても、素材となった写真は子ども時代のものであり、生成物も子どもの姿を描いていたというのが原告側の主張だ。
Jane Doe 5については、14歳当時の8年生卒業式の写真が使われたとされる。同級生の親族にあたる成人男性がGrokで性的な画像を生成し、オンラインで配布したと原告側は訴えている。
修正後の訴訟は、Grokに関する全米クラスと、Stability AIのモデルを利用したアプリに関する全米クラスなどを提案している。ただし、現時点では原告側が希望する範囲であり、裁判所がクラスを認証したわけではない。
Stability AIには別の経路での責任が問われている
修正訴状では、Stable Diffusionを開発するStability AIも新たに被告へ加えられた。追加された請求は主にテネシー州の当初原告3人に関係しており、原告側は、加害者の端末にあったアプリが、画像生成にStability AIの技術を利用していたと主張している。
GrokとStable Diffusionでは、サービスの届け方が異なる。Grokでは、利用者から送られた依頼を運営側のシステムが処理する。一方、Stable Diffusionの一部はモデルの重みが公開されており、第三者が自ら動かしたり、別のアプリへ組み込んだりできる。モデルが第三者の環境で動く場合、Stability AIが個々の入力内容を把握できないこともある。
原告側は、それでもStability AIには、モデルが児童性的虐待コンテンツの生成に使われにくくする対策を講じる余地があったと主張する。初期モデルの学習データに児童性的虐待コンテンツが含まれていたことや、性的コンテンツへの制限を強めた版の後に制限を弱めたモデルを公開したことも訴状の論拠に挙げている。これらは原告側の主張であり、学習データの内容、各版の安全対策、原告らの被害との因果関係は今後の審理対象となる。
これについてStability AIはNPRに対し、安全を最優先していないとの見方は誤りだと反論。同社は強固な安全対策を導入し、市民団体や他のテクノロジー企業とも継続的に協力していると説明している。
NCMECへの「通報」と、捜査に使える情報は同じではない

Jane Doe 4をめぐっては、生成を防げたかに加え、SpaceXAI側が発見後にどの情報をNCMECへ送ったかも争点となっている。
NCMEC(The National Center for Missing & Exploited Children)とは「全米行方不明・被搾取児童センター」の略称で、米国のCyberTiplineを運営する非営利組織である。米連邦法18 U.S.C. §2258Aでは、オンラインサービスの提供者が対象となる児童性的搾取を実際に認識した場合、合理的に可能な限り速やかにNCMECへ通報するよう求めている。
今回の修正訴状によると、X.AIがJane Doe 4に関して送った通報には、入力に使われた元の写真だけが含まれ、生成された性的画像や利用者のIPアドレスは含まれていなかった。捜査機関から位置情報の提供を繰り返し求められても、数週間にわたり応答しなかったとも原告側は主張する。これについて、SpaceXAIと捜査機関はNPRの取材に回答しておらず、NCMECも個別事件へのコメントを控えている。
この問題では、「通報したか」と「捜査可能な情報を十分に渡したか」を分けて考える必要があるだろう。現行の18 U.S.C. §2258Aは、一定の場合の通報自体を義務づけているわけだが、一方で、IPアドレス、位置情報、対象画像などを報告へ含めるかについては、提供者の管理下にある情報を列挙しつつ、条文上は提供者の裁量に委ねる書き方になっている。
2026年4月に米上院司法委員会が公開したNCMECの調査結果では、X.AIが2025年に提出した13万5,000件超の通報のうち、当初は90%超が利用者情報の不足によって捜査にはつなげられないと評価されていた。その後、NCMECとX.AIの協議を経て過去の通報に位置情報などが追加されたことから、報告の質が改善したとNCMECは説明している。
このような経緯を踏まえて、修正訴状が扱うのは、「通報件数だけでは足りない」という問題だ。被害を発見したサービスが生成物、利用者、時刻、位置を結び付けて保存し、捜査機関の照会へ応答できなければ、通報があっても加害者の特定が遅れる。もっとも、Jane Doe 4の事件で法的義務への違反があったかは、条文の適用と具体的な通信記録を踏まえて裁判所が判断することになる。
子どもの写真を守る責任を、家族だけに負わせることはできない

今回、性的な画像や動画の素材にされたとされるのは、卒業式や家庭内で撮影された、ごく日常的な写真だ。被害者本人が生成AIを利用したわけではなく、第三者が写真を入手し、本人の同意なく加工したとされている。つまり、生成AIを使っていない人でも、学校行事や家族の記録として撮られた写真があれば、被害の対象になり得る。
だからといって、被害を防ぐために「子どもの写真を撮らない」「誰とも共有しない」と家族に求めるだけでは、現実的な解決にはならない。一般的な写真を手に入れた第三者が、写っている本人の同意を確認することなく性的な画像や動画を生成できてしまう問題は、利用者の行為だけでなく、モデルやサービスの設計にも関わる。
被害を防ぐには、生成前と被害発覚後の両方で対策を講じる必要がある。たとえば、実在人物の写真を性的に加工する指示を拒否することや、子どもである可能性を示す特徴や文脈を検知すること、拒否を回避しようと繰り返し試す利用者を制限することなどが考えられる。被害が判明した後には、生成物や操作履歴、アカウント情報を適切に保全し、NCMECや捜査機関への通報や照会対応を迅速に行える体制も欠かせない。
一方、安全対策や捜査協力を強化するほど、利用者の画像や入力内容をどこまで解析し、どの程度の期間保存するのかというプライバシー上の問題も生じる。事業者には、監視の範囲を際限なく広げるのではなく、児童の安全確保に必要な情報の範囲、利用目的、保存期間を明確にしたうえで、実効性のある対策を講じることが求められる。
今後の焦点は、被告側の反論と安全対策の実態
2026年7月13日時点では、原告5人が修正訴状を提出し、被害の経緯と各社の法的責任を主張している段階にある。Stability AIは、安全対策が不十分だったとする原告側の見方に反論しているが、SpaceXAI側による正式な答弁や、裁判所による事実認定はまだ確認されていない。したがって、訴状に記載された被害や企業の対応は、現時点では原告側の主張であり、裁判所が認定した事実ではない。
今後は、各被告が修正訴状にどう反論するのか、訴えの棄却を求めるのかに加え、同様の被害を受けた人々を一つの集団として扱う「クラス認証」が認められるかが焦点となる。Jane Doe 4の事件では、X.AIがNCMECへどのような情報を通報し、その後の捜査機関からの照会にどう対応したのかを示す記録も重要になる。先述の通り、GrokとStable Diffusionでは提供形態が異なるため、各社が生成内容や利用者の行為をどこまで把握し、制御できたのかを踏まえ、被害を予測して防ぐためにどの程度の対策を講じる責任があったのかが審理されることになる。
家族写真を性的な生成物へ変えられた人は、画像生成サービスの利用規約に同意する機会すら持っていない。生成AI企業が向き合うべき対象には、自社の利用者だけでなく、入力された写真に写る人も含まれるのか。今回の訴訟は、その責任を既存の民事救済、製造物責任、過失、通報制度の中でどこまで問えるかを争う段階に入った。


