プライバシーと個人情報保護の基礎知識：Web担当者が知っておくべき法律と実務

近年、個人情報保護やプライバシーに関する法律が次々と施行され、Web担当者やWebマスターの皆さまにとって「法律対応」は避けて通れない課題となっています。

特に、Cookie同意の取得、プライバシーポリシーの作成、データ漏洩時の対応など、日々の運用で直面する場面が増えています。しかし、「プライバシーと個人情報保護は何が違うのか」「GDPRと日本の法律はどう関係するのか」といった基本的な疑問を持つ方も多いのではないでしょうか。

この記事では、Web運用に関わる方が最低限知っておくべきプライバシーと個人情報保護の基礎知識を、法律の歴史から実務上のポイントまで、わかりやすく解説します。専門的な内容も含みますが、初めての方でも理解できるよう配慮しました。

皆さまのお役に立てば幸いです。

※本記事の情報は2025年10月現在のものです

本記事は、法的アドバイスを目的とするものではなく、公開情報に基づく一般的な解説です。
実際の対応や判断には、必要に応じて専門家（弁護士・プライバシーコンサルタント等）へのご相談をおすすめします。

1. プライバシーと個人情報保護の違いを理解する
- プライバシーと個人情報保護は別の概念
- Web上では両者が重なり合う
2. プライバシー法制の歴史：Web時代への道のり
3. Webとオフラインでのルールの違い
4. ダークウェブとデータ漏洩リスク
5. Web担当者が押さえるべき実務ポイント
6. よくある質問
7. まとめ
参考リンク

1. プライバシーと個人情報保護の違いを理解する

プライバシーと個人情報保護は別の概念

Web運用の現場では「プライバシー」と「個人情報保護」という言葉がよく使われますが、実は異なる概念です。

プライバシー（人格権）：

私生活の平穏や個人の尊厳を守る権利
19世紀末から理論化された古い概念
例：自宅の写真を勝手に公開されない権利

個人情報保護（データ保護）：

個人データの収集・利用・提供・越境移転などの処理行為を統制する制度
20世紀後半から法制化が進んだ新しい制度
例：提供先で個人データとなる想定がある「個人関連情報」の第三者提供では、提供元に本人同意確認義務がある（日本APPI）

Web上では両者が重なり合う

Webサイトの運用では、この2つの概念が重なる場面が多くあります。たとえば、IPアドレスやCookie IDといったオンライン識別子は、個人を特定できる可能性があるため、EUのGDPR^[1]では個人データとして扱われます。この解釈は、GDPR前文30およびEU司法裁判所のBreyer判決（C-582/14、Directive 95/46/ECを解釈）^[12]で支持されています。

日本でも、2023年6月に施行された電気通信事業法の外部送信規律により、対象役務では外部送信について「通知（容易に知り得る状態）」と「オプトアウト手段」の提供が原則となりました^[2]。場面により同意取得を選ぶ実装もあり得ます。

このように、Web運用では「理念（プライバシー）を、制度（データ保護）で実装する」という流れが世界的に進んでいます。

2. プライバシー法制の歴史：Web時代への道のり

起点は1890年の論文から

プライバシー保護の議論は、1890年にアメリカの法律家Warren & Brandeisが発表した論文「The Right to Privacy」から始まりました^[3]。当時は新聞の発達によるプライバシー侵害が問題となっており、この論文が「プライバシーの権利」という概念を世界に広めました。

データ保護法の誕生と発展

個人データを法律で保護する動きは、コンピュータの普及とともに始まりました：

主要な出来事：

1973年：スウェーデンがData Actを制定（世界初の国レベル・データ保護法）^[4]
1980年：OECDがプライバシー原則を採択（越境移転と8原則）^[5]
2009年：ePrivacy指令改正（Cookieの事前同意を明確化）^[6]
2018年：GDPR適用開始（EU全域で統一ルール）^[7]

日本の法制度の発展

日本では以下のように段階的に発展してきました：

1964年：「宴のあと」事件（プライバシー権の端緒）
2003年：個人情報保護法（APPI）制定・公布（全面施行は2005年4月）
2022年：改正APPI施行（漏えい報告制度の整備）
2023年6月16日：電気通信事業法第27条の12などによる外部送信規律が施行（通知＋オプトアウト手段が原則）^[2]

このように、Web時代のプライバシー保護は、約150年にわたる議論と法整備の積み重ねの上に成り立っています。

3. Webとオフラインでのルールの違い

EUの二層構造

EUでは、個人データ保護に関して二層の法律が存在します：

一般的な処理（オフライン・オンライン共通）：

GDPRが適用
個人データの収集・利用・提供・越境移転全般を規制

端末アクセス（Cookie/SDK等、Web特有）：

ePrivacy指令が適用
端末への情報保存・アクセス（Cookieなど）には原則として同意が必要。SDKはEU各国データ保護当局のガイダンスで類推的に扱われることが多い^[6]

日本の二層構造

日本も同様に二層構造になっています：

一般的な処理：

個人情報保護法（APPI）が適用

端末からの外部送信（Cookie等、Web特有）：

電気通信事業法の外部送信規律が適用
対象役務では、第三者等への外部送信について「通知（容易に知り得る状態）」と「オプトアウト手段」が原則。場面により同意取得を選ぶ実装もあり得る^[2]

※日本のWeb運用では、「APPI（個人関連情報の第三者提供）」と「電気通信事業法（外部送信規律）」の両輪を区別する必要があります。提供先で個人データとなる想定がある「個人関連情報」の第三者提供では、APPIにより提供元に「本人同意が得られていることの確認」義務があります。一方、外部送信規律は通知＋オプトアウトが原則です。両者は異なる規制枠組みである点に注意してください。

執行の現実：Webは大規模制裁に乗りやすい

オンラインの個人データ処理は、以下の理由から行政執行の対象になりやすい特徴があります：

規模が大きい：一度に数百万人のデータを処理
越境性：国境を越えてデータが移動
追跡性：Cookieによる行動追跡が問題視されやすい

実際、GDPR施行後は大手プラットフォームへの巨額制裁が目立っています。たとえば、盗難ブラウザフィンガープリントや認証情報（Cookieを含む）を売買していた「Genesis Market」は、2023年4月の国際共同作戦で摘発されました^[8]。

一方、オフラインでの個人情報トラブルは、個別の民事紛争（不法行為訴訟）として処理されることが多く、行政処分に至るケースは相対的に少ない傾向があります。

4. ダークウェブとデータ漏洩リスク

ダークウェブとは何か

ダークウェブとは、Tor等の匿名ネットワークを介してのみ到達できる領域です。「.onion」という特殊なドメインでアクセスされ、通常の検索エンジンでは見つけられません^[9]。

ダークウェブには「匿名での発信」という本来の目的がありますが、同時に違法市場の温床にもなっているという二面性があります。

データ漏洩後のリスク可視化

Web運用において、ダークウェブが重要なのは以下の理由です：

盗難データの拡散経路として機能：

漏洩した個人データがダークウェブで売買される
ランサムウェア攻撃では「二重脅迫」（暗号化＋リークサイト公開）が一般化^[10]

リスク評価を厳格化する要因：

「ダークウェブで掲載確認」＝「権利・自由への高リスク」と評価
通知・公表・救済の判断をより厳しくする実務判断につながる
EDPBガイドライン9/2022およびケースダイジェスト^[10][11]が実務基準として機能

データ漏洩時の通知義務

GDPR（EU）：

72時間以内に監督当局へ通知（Art.33）^[11]
高リスク時は本人にも通知（Art.34）

日本（改正APPI）：

個人情報保護委員会（PPC）への報告義務
権利利益侵害のおそれがある場合は本人通知も必要^[2]

実務上の対応

Web運用の現場では、以下の対応が推奨されます：

DPIA（データ保護影響評価）の実施：高リスク処理を事前評価
ISMS（情報セキュリティマネジメントシステム）の整備：セキュリティ体制を構築
漏洩後の対応計画：ダークウェブ監視、テイクダウン要請、捜査連携、本人救済（再発行・再認証）を標準手続に組み込む

5. Web担当者が押さえるべき実務ポイント

Cookie同意の取得

EUではePrivacy指令により、日本では外部送信規律により、Cookie等の情報を第三者に送信する際には適切な対応が必要です。

必要な対応：

CMP（Cookie同意管理プラットフォーム）の導入
Google Analytics等のタグ管理ツールでのConsent Mode設定
プライバシーポリシー・Cookieポリシーの整備

プライバシーポリシーの作成

個人情報の取扱いを明示するため、プライバシーポリシーの作成は必須です。

記載すべき主要項目：

収集する個人情報の種類
利用目的
第三者提供の有無と条件
開示請求等の手続き
問い合わせ窓口

データ漏洩への備え

万が一の漏洩に備えて、以下の体制を整えましょう：

初動対応マニュアル：誰が何をするか明確化
報告先の整理：PPC（日本）、監督当局（EU）等
本人通知の準備：テンプレート作成、連絡手段の確保

専門家との連携

法律的な判断が必要な場面では、弁護士等の専門家に相談することが重要です。特に以下の場面では専門家の助言が推奨されます：

プライバシーポリシーの最終確認
データ処理契約（DPA）の締結
当局からの問い合わせ対応
データ漏洩時の法的判断

※技術的な実装支援（CMP設定、Consent Mode設定等）と法的助言は別の領域です。実装支援は技術者が、法的判断は弁護士が担当します。

6. よくある質問

GDPRは日本企業にも適用されますか？

はい、適用される場合があります。

EUに拠点がない日本企業でも、EU域内に所在する者に商品・サービスを提供する場合や、EU域内に所在する者の行動を監視する場合には、GDPRが適用されます^[7]。たとえば、EU域内に所在する者向けのECサイトを運営している場合は対象となります。

Cookieポリシーとプライバシーポリシーは別々に作る必要がありますか？

必ずしも別々にする必要はありません。

多くのWebサイトでは、プライバシーポリシーの中にCookieに関するセクションを設けています。ただし、Cookieの利用が多岐にわたる場合は、読みやすさを考慮して別ページに分けることも有効です。

データ漏洩が発生したら、必ず公表しなければなりませんか？

ケースバイケースです。

GDPRでは「権利・自由への高リスク」がある場合に本人通知が必要です^[11]。日本でも「権利利益侵害のおそれ」がある場合に本人通知が必要です^[2]。

具体的なリスク評価は、漏洩したデータの種類、件数、ダークウェブでの拡散状況等を総合的に判断します。判断に迷う場合は、弁護士や個人情報保護の専門家に相談することをおすすめします。

小規模なWebサイトでも法律対応は必要ですか？

はい、必要です。

法律は企業規模に関わらず適用されます^[13]。ただし、実務上の対応レベルは、取り扱うデータの種類や量に応じて調整できます。

たとえば、問い合わせフォームで名前とメールアドレスだけを取得する小規模サイトなら、簡潔なプライバシーポリシーと基本的なセキュリティ対策で十分な場合があります。一方、会員制サイトで多くの個人情報を扱う場合は、より厳格な対応が求められます。

なお、日本のAPPI漏えい報告は一定要件で義務化されています（2022年4月施行）^[14]。すべての漏洩で公表が必須というわけではなく、リスク評価に基づいて判断されます。

7. まとめ

この記事では、Web担当者が知っておくべきプライバシーと個人情報保護の基礎知識を解説しました。

重要なポイント：

プライバシー（理念）と個人情報保護（制度）は異なる概念
Web運用では二層規制（GDPR×ePrivacy、APPI×外部送信規律）に注意
Cookie同意、プライバシーポリシー、データ漏洩対応は必須の実務
ダークウェブはリスク評価を厳格化する要因
法的判断が必要な場面では専門家に相談

Web運用における法律対応は、一度やって終わりではなく、法改正や社会情勢の変化に応じて継続的に見直していく必要があります。まずは基本的な対応から始め、段階的に体制を整えていくことをおすすめします。

※日本のWeb運用では、「APPI（個人関連情報の第三者提供）」と「電気通信事業法（外部送信規律）」の両輪を区別しつつ、EU向けにはePrivacy/GDPRの同意・適法化要件を別立てで考えるのが安全です。

今後もこのブログでは、Web運用に役立つ法律・技術情報を発信していきたいと思います。