EDPBの生成AI・Webスクレイピング指針|匿名化と公開個人情報の取扱い
EDPBが採択した生成AIのWebスクレイピング及び匿名化のガイドライン案について、法的性質と企業のデータ取扱い上の論点を解説します。
一次情報
本解説の対象となった公表資料・発表です。
欧州データ保護会議(EDPB)は2026年7月8日、ニュース発表により、直近の総会において「生成AIの文脈におけるWebスクレイピングに関するガイドライン」及び「匿名化に関するガイドライン」を採択したことを明らかにしました。同じ総会では、既に公開協議を終えていたブロックチェーン技術に関するガイドラインの最終版もあわせて採択されていますが、本稿は生成AIの学習データ収集と個人情報保護の実務に直結するWebスクレイピングと匿名化の2文書に対象を絞って説明します。両ガイドラインは、GDPR(EU一般データ保護規則)の解釈を明確化するEDPBの監督機関としての見解であり、GDPRという規則自体や各国の国内法令とは法的性質が異なります。本稿執筆時点で、両文書はいずれも最終版ではなく、意見募集手続に付された案の段階にあります。
何が採択されたか(文書の内訳と法的性質)
今回の発表で採択された文書のうち、生成AIの文脈におけるWebスクレイピングに関するガイドライン(Guidelines 03/2026)と匿名化に関するガイドライン(Guidelines 02/2026)は、いずれもバージョン1.0として採択されたものです。ガイドライン文書自体の版履歴欄には「adoption of the guidelines for public consultation(意見募集のための採択)」と明記されており、2026年10月30日まで意見募集に付されます。これに対し、ブロックチェーン技術に関するガイドラインは、既に実施済みの公開協議を経て確定した最終版として採択されました。EDPBの発表タイトルにある「最終版の採択」という表現は、このブロックチェーンガイドラインを指すものであり、Webスクレイピングと匿名化の両ガイドラインについても最終版が確定したと読むと誤りになりますので、この段階の区別には注意が必要と考えられます。なお、ガイドライン文書の表紙には2026年7月7日付けの採択日が記載されており、EDPBのニュース発表は7月8日付けとなっています。
両ガイドラインとも、GDPR第70条第1項に基づきEDPBが採択する文書であり、GDPRの各条項がどのように適用されるかについての監督機関の解釈を示すもので、企業に罰則や新たな義務を独自に創設するものではないと解されます。Webスクレイピングガイドラインは、2024年12月17日に採択されたEDPB Opinion 28/2024(AIモデルの文脈における個人データの取扱いに関する意見)を土台とし、目的制限や正当な利益の判断基準についてより具体的な整理を加えるものです。匿名化ガイドラインは、2014年のArticle 29作業部会意見05/2014が示した匿名化の3基準を、その後のCJEU判例の展開を踏まえて更新するものと位置付けられています。
Webスクレイピングガイドラインの整理
このガイドラインは、生成AIの学習を目的として、組織が自らWebスクレイピングを行う場合、又は他社に委託して行う場合を対象とし、私人・私企業によるスクレイピングに限定して扱っています。GDPRは、収集、保存、整理、検索等の個人データの処理がスクレイピングに含まれる場合に適用されます。スクレイピングを実行する主体と、収集したデータセットを用いてAIモデルを開発する主体が異なる場合、両者を管理者・共同管理者・処理者のいずれと整理するかは、指示関係等の事実関係に即して個別に判断すべきものとされています。
目的制限原則及び透明性原則の遵守も論点とされています。データ主体への個別通知が不可能又は過重な負担を要する場合には、GDPR第14条第5項(b)に基づき個別通知を要しないことがあり得ますが、この場合でも、収集元やデータ主体の権利行使方法を含むプライバシーポリシー等による情報の公表は必要とされています。データ最小化原則については、収集前の合成データの活用や収集基準の明確化、収集後の匿名化・仮名化等の措置が例示されています。正確性原則との関係では、信頼できる情報源からのスクレイピング、収集時点のタイムスタンプの記録、AI学習に用いる前のデータ検証が推奨されています。
法的根拠については、私企業による生成AI学習目的のスクレイピングでは、GDPR第6条第1項(f)の正当な利益がしばしば根拠とされるとした上で、正当な利益の存在、処理の必要性、データ主体の権利利益との比較衡量という3要件の充足が求められると整理されています。比較衡量においては、データ主体がスクレイピングを合理的に予測できたかという視点が重視されており、robots.txtやCAPTCHA等でスクレイピングを拒絶する意思を示しているサイトからの収集は、この予測可能性を否定する方向に働くとされています。要配慮個人情報に相当する特別な種類の個人データについては、GDPR第9条により処理が原則禁止されており、同条第2項の例外事由に加えて第6条の法的根拠も必要になります。検索エンジンに関するCJEU判決GC & Others(C-136/17)の枠組みを参照し、意図しない付随的な収集にとどまり、かつ自らの責任、権限及び能力の範囲内で拡散防止の技術的・組織的措置を講じている場合に限り、この判例の考え方が及び得るとされていますが、第9条の要件からの一般的な適用除外ではないことが強調されています。
匿名化ガイドラインの整理
匿名化ガイドラインは、データが自然人と関連するか、及びその自然人が識別された又は識別され得るかという2段階の問いを核心的な判定基準として示しています。いずれの問いについても回答が否定的であればそのデータは匿名データと整理されますが、この判定は、データにアクセスし得る主体(エンティティ)ごとの視点、すなわちどの主体を基準に匿名性を評価するかによって結論が異なり得るとされています。この点は、C-413/23 P EDPS v SRB事件(CJEU、2025年9月4日判決)の判断も踏まえて整理されています。
判定の枠組みとしては、識別に関与し得る主体ごとの能力差を考慮する「文脈的アプローチ」と、その差異を考慮せず一律に評価する「簡略化アプローチ」の2通りが示されています。文脈的アプローチは法的基準の細部まで反映する一方、簡略化アプローチは法的基準よりも保守的な結論に至ることがあるものの、より簡便で確度の高い判断を可能にするとされています。いずれのアプローチを取る場合でも、レコード分離不可能性、連結不可能性、推論不可能性という3基準をすべて満たせば、当該データは匿名データとして安全に扱えるとされ、いずれかを満たさない場合はさらなる分析が必要になるという構成です。これは2014年のArticle 29作業部会意見05/2014が示した3基準の考え方を維持しつつ、技術動向とCJEU判例を踏まえて具体化したものと位置付けられています。なお、本ガイドライン公表前に意見05/2014に基づき匿名と判定済みのデータについて、直ちに再評価が義務付けられるものではないとされていますが、再識別リスクの定期的な見直しは望ましい実務とされています。
日本企業への接点(GDPR域外適用と個人情報保護法との違い)
まず確認すべきは、自社がGDPRの域外適用対象となる場面の有無です。GDPR第3条第2項は、EU域内に拠点を持たない事業者であっても、EU域内のデータ主体に対して財又は役務を提供する場合や、EU域内で行われるデータ主体の行動を監視する場合には適用が及び得ると定めています。生成AIの学習用データとしてEU域内のWebサイトから個人データを含む情報をスクレイピングしている場合や、EU域内の顧客・ユーザーを対象にAIサービスを提供し、その挙動を分析している場合には、今回のガイドラインが示すGDPR上の要件が自社に直接及ぶ場面かどうかを確認する必要があると考えられます。AIサービスと個人情報保護について企業が最初に確認すべきことにあるとおり、まずは自社の生成AI関連のデータ収集フローに、EUの個人データが含まれ得るかどうかの棚卸しが出発点になります。
その上で、日本の個人情報保護法との違いを整理しておきます。同法は、要配慮個人情報について、本人や国の機関、地方公共団体、学術研究機関等により既に公開されている場合には、取得にあたり本人の同意を要しないと定めており(同法20条2項7号)、これは公開データの取得に関する明文の適用除外です。他方、GDPR第9条については、EDPBのWebスクレイピングガイドラインが述べるとおり、特別な種類の個人データの処理について一般的な適用除外は存在せず、データ主体が自ら公開した事実だけを理由に第9条の要件を満たすと扱うことはできません。加えて、通常の個人情報についても、日本法は本人以外から個人情報を取得した場合、利用目的が明らかと認められる場合等の例外(同法21条4項4号等)を除き、取得後速やかに利用目的を通知又は公表する義務を課しており、GDPR第14条第5項(b)が定める不可能又は過重な負担という基準とは要件の立て付けが異なります。自社が要配慮個人情報について既に公開されている場合の例外に依拠してきた実務を、そのままEU域内データ主体への対応として援用できるわけではない点は、確認しておくべき事項と考えられます。
翌日以降に確認すべき事項として、自社又は委託先が生成AIの学習・チューニング用データを外部から取得しているか、その中にEU域内のデータ主体に関する情報が含まれ得るかを棚卸しすること、学習データを提供するベンダーに対して、依拠する法的根拠、要配慮個人情報の混入防止措置、EU域内データの有無を確認すること、自社サービスの提供先にEU域内の顧客・ユーザーが含まれるかを確認することが挙げられます。ベンダーへの確認項目の設計はAIベンダーデューデリジェンスと契約審査のチェックポイントを、委託契約における個人情報条項の見直しは個人情報取扱条項のレビューポイントを参照してください。なお、2026年7月10日に成立した日本の個人情報保護法改正による、統計作成等と整理できるAI開発等への同意不要特例は、日本法上の第三者提供規制に関する国内的な制度改正であり、今回のEDPBガイドラインが示すGDPR上の整理とは別の制度である点を混同しないよう注意が必要です。学習データの著作権面での確認事項は生成AIと著作権・学習データのチェックポイントで扱っています。
今後確認すべき動き
執筆日現在、次の点が未確定であり、継続的な確認が必要です。Webスクレイピングガイドライン及び匿名化ガイドラインは、いずれも2026年10月30日を期限とする意見募集の結果を踏まえて最終版が策定される予定であり、確定時期は現時点で示されていません。意見募集を経て、正当な利益の判断基準や匿名化の3基準の運用に関する記載が修正される可能性もあります。また、匿名化ガイドラインが依拠するCJEU判例の今後の展開や、Webスクレイピングガイドラインが参照するEDPB Opinion 28/2024及びEDPB Guidelines 1/2024(正当な利益に関するガイドライン)の改定状況もあわせて確認する対象になります。