規制・ガバナンス編:国家と企業が「自由なネット」を“制度化”していく年代史
インターネットの普及が進むほど、各国は次の二律背反に直面しました。
(1) イノベーションを殺さない(市場形成) と (2) 被害と外部性を抑える(安全・権利・競争)。
この綱引きが、年代ごとに「免責 → 個人情報 → 越境移転 → プラットフォーム規制 → 安全保障統治」へと段階的に移動します。
年代別一覧表(規制・ガバナンス)
| 年代 | 主な制度・判例(世界の“雛形”になったもの) | 何を解決しようとしたか | 実務・産業への帰結(生まれた/変わった運用) |
|---|---|---|---|
| 1990s | EU:データ保護指令 95/46/EC(1995) / 米:CDA Section 230(1996) / 米:DMCA(1998) | 個人情報の枠組みを作る/オンライン仲介の責任範囲を整理/著作権と中間者の責任の線引き | プライバシー・コンプライアンスの職能が発生。プラットフォームは「第三者投稿の免責」を足場に急拡大。著作権は 通知・削除(Notice & Takedown) が標準運用に。 |
| 2000s | EU:電子商取引指令 2000/31/EC(2000) / EU-US:セーフハーバー十分性決定(2000) / サイバー犯罪:ブダペスト条約(2001署名開始) | ECと仲介の“免責設計”を欧州で整える/越境データ移転の法的器を用意/捜査協力の国際枠組み | 事業者は ログ保全・開示対応、国際移転の書類整備へ。国境を跨ぐ捜査で 電子証拠(e-evidence) が常設テーマ化。 |
| 2010s | GDPR:2018/5/25から適用 /(前段)95/46/ECを置換 / 中国:サイバーセキュリティ法(2017/6/1施行) / ブラジル:LGPD(2020/9/18施行、罰則は2021/8/1から) | 個人データの権利強化と説明責任/国家主導のデータ統治・重要インフラ統制/新興国でも“GDPR型”が波及 | DPO/データ保護体制、同意管理、事故対応(72時間通知など) が標準装備に。データ移転・委託・共同利用が「契約+監査」で管理されるように。 |
| 2020s | Schrems II(2020/7/16:EU-US Privacy Shield無効) / EU-US データ・プライバシー枠組み(2023/7/10十分性決定) / DMA:2023/5/2適用開始、2024/3/7からゲートキーパー義務が本格適用 / DSA:2024/2/17から全面適用 / NIS2:2024/10/17までに国内法化、10/18から適用 / インド:DPDP法(2023/8/11制定) | 越境移転の不確実性(合法性)を整理/巨大PFの競争・データ結合を規律/違法コンテンツ・広告透明性・リスク管理を義務化/重要分野のサイバー統治を強制 | 「プラットフォーム=公共インフラ」扱いが進み、監査・透明性・リスク評価が“事業の固定費”化。企業は データ移転の多重策(SCC等)+リージョン設計 を常態運用へ。サイバーは 経営責任(罰則・報告) と結合。 |
サイバー犯罪・重要インフラ編:「便利さ」が“攻撃面”になる年代史
インターネットは、攻撃者にとっても「物流網」でした。
しかもサイバー攻撃は、距離・国境・兵站の制約が薄い。この性質が、犯罪を産業化させ、国家安全保障と結合させます。
まず押さえる“定量データ”(近年の代表値)
- FBI IC3(2024年):苦情 859,532件、被害額 166億ドル(前年比で損失が33%増)
- Verizon DBIR 2025:システム侵入型の侵害で、ランサムウェアが75%に関与
- ENISA Threat Landscape 2024:公開報告された数千件のインシデントを分析し、主要脅威にランサムウェア等を位置づけ
数字は地域・定義で揺れますが、「被害の重心が“金銭化”に寄る」「侵害の主戦場が“認証情報と侵入後活動”」という傾向は、複数ソースで一致します。
年代別一覧表(サイバー犯罪・重要インフラ)
| 年代 | 攻撃と社会的インパクト(象徴) | 防御側に“新しく生まれたもの” | 相対的に機能不全化したもの |
|---|---|---|---|
| 1990s | マルウェア・侵入が「一部の技術者の事件」から「社会問題」へ移行(接続人口が増えるほど母集団が増える) | 企業内セキュリティ部門、アンチウイルス産業、初期CERT/CSIRT | 「社内LANは壁の中だから安全」という感覚 |
| 2000s | ボットネット、DDoS、フィッシングが拡大。サイバー犯罪が“分業”になり始める | 電子証拠と国際協力の枠組み(ブダペスト条約) / インシデント対応手順(IR) | “犯人は近所にいる”前提の捜査モデル |
| 2010s | ランサムウェアが社会インフラを直撃。2017年WannaCryは医療現場を大規模に停止させ、NHSで政府報告ベースのコスト推計(約£92m)が広く参照される | バックアップ設計の再定義(オフライン/イミュータブル)、EDR、ゼロトラストの拡大 | 「パッチは後で」「古い端末は動けばOK」文化 |
| 2020s | 侵害→恐喝(暗号化+情報暴露)の二段構えが一般化。被害額は統計上も拡大(例:IC3 166億ドル) | 報告義務・経営責任の制度化(例:NIS2の国内法化期限と適用日) / サイバー保険の条件厳格化 / サプライチェーン管理 | 「セキュリティはIT部門の仕事」だけでは回らない(法務・広報・経営が不可欠に) |
補助線:この2カテゴリが“政治経済”をどう動かしたか
- 規制側は、**個人情報(権利)→越境移転(貿易)→プラットフォーム(競争と世論)→サイバー(国家安全保障)**へと主戦場が移りました。
- 企業側は、プロダクト開発に「監査・透明性・報告」を組み込み、**コンプライアンスが“後付けコスト”ではなく“設計要件”**になりました。
主要参照データ(URL一覧)
EU:データ保護(GDPR系)・越境移転
EU「データ保護指令 95/46/EC」(GDPR以前の基本枠組み:EUR-Lex)
https://eur-lex.europa.eu/eli/dir/1995/46/oj/eng
EU「GDPRは2018年5月25日から適用」(EU公式ニュース)
https://eur-lex.europa.eu/content/news/general-data-protection-regulation-GDPR-applies-from-25-May-2018.html
欧州委員会「EUデータ保護の法的枠組み(GDPR等の整理)」 (公式解説)
https://commission.europa.eu/law/law-topic/data-protection/legal-framework-eu-data-protection_en
CJEU(EU司法裁判所)プレスリリース「Schrems II(2020年7月)」(PDF)
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf
欧州委員会プレスリリース「EU–US Data Privacy Framework:十分性認定(2023/07/10)」 (印刷PDF)
https://ec.europa.eu/commission/presscorner/api/files/document/print/en/ip_23_3721/IP_23_3721_EN.pdf
EU「EU–US Data Privacy Framework:十分性認定(実施決定 2023/1795)」 (EUR-Lex)
https://eur-lex.europa.eu/eli/dec_impl/2023/1795/oj/eng
EU:プラットフォーム規制(DMA/DSA)
Digital Markets Act(DMA)「制度概要」 (EU公式サイト)
https://digital-markets-act.ec.europa.eu/about-dma_en
欧州委員会プレスリリース「DMAに基づく非遵守調査開始(Alphabet/Apple/Meta等、2024/03/25)」 (印刷PDF)
https://ec.europa.eu/commission/presscorner/api/files/document/print/en/ip_24_1689/IP_24_1689_EN.pdf
Digital Services Act(DSA)「制度概要(EU法令サマリ)」 (EUR-Lex)
https://eur-lex.europa.eu/EN/legal-content/summary/digital-services-act.html
EU:サイバーセキュリティ規制(NIS2)
NIS2「Directive (EU) 2022/2555(正文)」 (EUR-Lex)
https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
NIS2(参考:条文抜粋・民間サイト)Article 41(Transposition期限等)
https://www.nis-2-directive.com/NIS_2_Directive_Article_41.html
国際:サイバー犯罪・脅威レポート(統計・年次報告)
Council of Europe「Cybercrime(サイバー犯罪条約等)Key facts」 (国際機関)
https://www.coe.int/en/web/cybercrime/key-facts
FBI IC3「Internet Crime Report 2024」 (PDF)
https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf
FBI「Internet Crime Report(2024年版)公表プレスリリース」
https://www.fbi.gov/news/press-releases/fbi-releases-annual-internet-crime-report
Verizon「Data Breach Investigations Report(DBIR)」
https://www.verizon.com/business/resources/reports/dbir/
ENISA「Threat Landscape 2024」 (EU機関レポート)
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
UK NAO「WannaCryとNHS(調査報告)」 (公的監査機関)
https://www.nao.org.uk/reports/investigation-wannacry-cyber-attack-and-the-nhs/
米国:オンライン規制・責任論(基礎法)
米国「DMCA(Digital Millennium Copyright Act of 1998)」 (PDF)
https://www.copyright.gov/legislation/dmca.pdf
米議会調査局(CRS)「Section 230 概説(Congress.gov)」
https://www.congress.gov/crs-product/R46751
EU:電子商取引(基礎法)・越境データ枠組み(旧)
EU「e-Commerce Directive 2000/31/EC」 (EUR-Lex)
https://eur-lex.europa.eu/eli/dir/2000/31/oj/eng
EU「Safe Harbor(2000/520/EC:旧十分性認定)」 (EUR-Lex)
https://eur-lex.europa.eu/eli/dec/2000/520/oj/eng
中国:サイバー法(参照)
Stanford DigiChina「中国サイバーセキュリティ法(英訳、2017/06/01施行)」
https://digichina.stanford.edu/work/translation-cybersecurity-law-of-the-peoples-republic-of-china-effective-june-1-2017/
LawInfoChina(中国法令DB:該当法令ページ) (※到達はできるが、ボット対策で本文確認不可)
https://www.lawinfochina.com/Display.aspx?EncodingName=big5&Id=22826&Lib=law&LookType=3
各国:データ保護法(国別参照)
DLA Piper「Data Protection Laws of the World:Brazil(LGPD等)」
https://www.dlapiperdataprotection.com/index.html?c=BR&t=law
India Code「Digital Personal Data Protection Act, 2023(DPDP Act)」
https://www.indiacode.nic.in/handle/123456789/22037?view_type=browse
India 政府PIB「DPDP Act関連のPress Release(PRID=2190014)」
https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
(参考)インターネット普及・デジタル経済(統計系:体裁合わせ+URL点検)
FRED「Internet users for the World(世界のインターネット利用者:系列)」
https://fred.stlouisfed.org/series/ITNETUSERP2WLD
World Bank API「Individuals using the Internet(%)」CSVダウンロード
https://api.worldbank.org/v2/en/indicator/IT.NET.USER.ZS?downloadformat=csv
ITU「Facts and Figures 2025(ICT統計)」
https://www.itu.int/hub/publication/d-ind-ict_mdd-2025-3/
ITU「Facts & Figures(統計トップ:代替導線)」
https://www.itu.int/en/ITU-D/Statistics/Pages/facts/default.aspx
WPP Media「This Year Next Year(2025年12月:広告市場の見通し)」
https://www.wppmedia.com/tr/news/campaigns-report-this-year-next-year-december-2025
World Bank「Global Findex 2021(デジタル決済の増加:プレスリリース)」
https://www.worldbank.org/en/news/press-release/2022/06/29/covid-19-drives-global-surge-in-use-of-digital-payments
CERN「Web誕生(Birth of the Web)」
https://home.cern/science/computing/birth-web
Stanford CISAC「Stuxnet(位置づけ・解説)」
https://cisac.fsi.stanford.edu/news/stuxnet
Pew Research Center「State of the News Media 2011」
https://www.pewresearch.org/wp-content/uploads/sites/8/2017/05/State-of-the-News-Media-Report-2011-FINAL.pdf
OECD「Productivity gains from teleworking in the post COVID-19 era(PDF:本文)」
https://www.oecd.org/content/dam/oecd/en/publications/reports/2020/07/productivity-gains-from-teleworking-in-the-post-covid-19-era-how-can-public-policies-make-it-happen_0aad8ddd/a5d52e99-en.pdfe99/