AI学習用のWebスクレイピングにGDPRを全面適用、欧州EDPBが新指針を採択

2026年7月10日 19:34

印刷

記事提供元:Tech Times

(Edpb.europa.eu)

(Edpb.europa.eu)[写真拡大]

欧州データ保護会議(EDPB)は2026年7月8日、生成AIの文脈におけるWebスクレイピングに関するガイドライン(Guidelines 03/2026)を採択した。これにより、公開されているWebデータであっても、EU居住者の個人情報が含まれるスクレイピングにはGDPR(一般データ保護規則)が全面的に適用されることが明確になった。AI開発者は、モデルのトレーニングを開始する前に、厳格なデータ保護基準を満たすことが求められる。

■スクレイピング開始前に適用される4つの義務

今回のEDPBの決定は、「公開されているコンテンツはAI学習に自由に使ってよい」というこれまでの業界の前提を覆すものだ。EDPBは、コンテンツが公開されているかどうかにかかわらず、Webスクレイピングに個人データの処理(収集、保存、整理、検索など)が含まれる場合は常にGDPRが適用されると判断した。

AI開発者には、主に以下の4つの義務が順次課されることになる。

第一に、多くのAI開発者が法的根拠として依拠する「正当な利益」について、開発プロセスごとに個別のバランス・テスト(利益衡量評価)を完了しなければならない。AI学習データの収集全般に適用できるような、包括的な「正当な利益」は存在しないとされる。この評価では、真の利益、処理の必要性、そしてデータ主体の基本権を侵害しないことの3ステップを証明する必要がある。イタリアのデータ保護当局は、OpenAIに対する執行措置において、この評価の文書化が不十分であること自体が違反にあたると指摘している。

第二に、データの最小化は、データセットのフィルタリングやモデルの学習段階ではなく、スクレイピングを行う段階で実行しなければならない。開発者は収集を開始する前に、収集する個人データの量を制限するフィルタを適用する必要がある。これは、生のデータを収集した後に品質フィルタをかけるという現在の一般的なパイプライン設計の変更を迫るものだ。

第三に、透明性の確保義務がある。EDPBは、AI学習の規模においてデータがスクレイピングされた全員に個別に通知することは不可能である可能性を認めている。個別通知が不可能、または不釣り合いな労力を要する場合は免除される可能性があるが、ガイドラインではこれを「狭い例外」と位置づけており、日常的に依存することはできないとしている。

第四に、正確性の原則に基づき、開発者は信頼できる情報源からのみスクレイピングを行い、タイムスタンプを記録し、AI学習パイプラインに投入する前にデータを検証しなければならない。これにより、従来の事前学習ワークフローにはなかった監査コストが発生することになる。

■「匿名化」という抜け穴の厳しい現実

ガイドラインには、GDPRに違反してスクレイピングされたデータであっても、その後に個人データが適切に匿名化されていれば、最終的に適合したAIモデルを構築できるという趣旨の記述がある。しかし、この「匿名化」の基準は極めて厳しい。

同日に採択された関連ガイドラインによると、データがGDPRの適用対象外となる「匿名データ」とみなされるには、「レコードの孤立化防止(データセットから個人を区別できないこと)」「リンクの防止(異なるデータセットを組み合わせて個人を再特定できないこと)」「推論の防止(個人に関する追加情報を導き出せないこと)」の3つの基準を同時に満たす必要がある。

特に生成AIにおいて、「推論の防止」をクリアするのは現在のLLM(大規模言語モデル)の技術では困難とされている。生成トランスフォーマーモデルには、学習データに含まれる個人情報をそのまま出力してしまう「レガージテーション(逆流・再現)」と呼ばれる現象が確認されているためだ。EDPBは2024年12月のAIモデルに関する意見書で、「実際にこの匿名化基準を満たすAIシステムはほとんどない」と指摘している。法的な抜け穴は存在するものの、それを実現するには差分プライバシーの導入やモデルアーキテクチャの選択、学習後の監査など、現在の業界標準を大幅に超えるエンジニアリング管理が必要となる。

■「特別なカテゴリのデータ」には二重のハードル

健康状態、政治的意見、宗教的信条、性的指向などの「特別なカテゴリの個人データ(機微情報)」については、さらにハードルが高くなる。これらの処理には、GDPR第6条に基づく法的根拠に加え、第9条第2項に基づく個別の例外要件を満たす必要がある。

EDPBは、開発者が意図的に狙っていなくても、スクレイピングしたWebテキストにこれらの機微情報が日常的に含まれてしまう現実を認めている。例えば、政治ニュースへのコメントや、薬に関するフォーラムへの投稿などがこれに該当する。偶発的な収集については、収集や拡散を防ぐ技術的・組織的措置を講じている場合に一定の救済措置が認められる可能性もあるが、EDPBは第9条の適用除外は一般的には存在せず、個別に評価されるべきだと明言している。

なお、多くの主要LLMの基盤となっているWebアーカイブ「Common Crawl」を対象とした学術的監査によると、監査された10億件のURLのうち約1億5500万件がGDPR第9条の機微情報カテゴリに該当したという。これは、機微情報がAIの事前学習コーパスにおいて例外的な存在ではなく、構造的に組み込まれていることを示している。

■足並みが揃う欧州の規制とAI法との関係

これまでAI開発者は、欧州各国で異なる法執行措置に直面してきた。イタリアの当局はOpenAIに対し、「正当な利益」の文書化不足などを理由に制裁を科し、アイルランドのデータ保護委員会(DPC)はX(旧Twitter)に対してGrokの学習に欧州のデータを使用することを阻止した。オランダやフランスの規制当局も、法的根拠のないスクレイピングを行った小規模なAI開発者をターゲットにしてきた。

今回の「Guidelines 03/2026」は、こうしたバラバラだった各国の法執行に統一された基準を提供するものとなる。

また、このガイドラインは、EU AI法の汎用AI(GPAI)に関する規定が施行される2026年8月2日の直前に発表された。AI法では、著作権法に基づくテキスト・データマイニング(TDM)のオプトアウトの尊重や、学習データの詳細な要約の公表などが義務付けられており、違反した場合は最大で世界年間売上高の3%または1500万ユーロ(約24億3000万円、1ユーロ=162円換算)のいずれか高い方の罰金が科される。GDPRのガイドラインとAI法の義務は補完的な関係にあり、AI法の要件をクリアしていても、GDPRに基づくデータ収集の正当化は別途行わなければならない。

■過去にスクレイピングしたデータへの影響と今後の展望

すでに構築・デプロイされているモデルの学習データについても、遡及してデータ収集プロセスを見直す必要がある。ガイドラインは、既存のデータセットを適用除外(グランドファザーリング)する措置を設けていない。

2023年にGDPR準拠の評価を行わずに構築された学習コーパスがある場合、開発者は過去に遡って適合性を証明することはできず、規制当局の調査対象となるリスクを抱えることになる。これは、LLaMAなどのオープンウェイトモデルや、欧州のオープンソースプロジェクトにとっても、誰がコンプライアンス義務を負うのかという課題を突きつける。

このガイドラインはまだ確定したものではなく、2026年10月30日までパブリックコンサルテーション(意見公募)が実施される。業界団体や開発者は、この期間中に実務的なコンプライアンスメカニズムの提案や、個別通知義務の免除に関する調整を求めることができる。

■注目ポイントQ&A

●公開されているWebサイトからスクレイピングしたデータにもGDPRは適用されますか?

はい、全面的に適用されます。データが一般に公開されているからといって、個人情報が含まれている場合にGDPRの適用が免除されるわけではありません。WebスクレイピングはGDPR上の「個人データの処理」に該当するため、スクレイピングを行う前に「正当な利益」などの法的根拠を文書化して確保する必要があります。

●「正当な利益」のバランス・テストとは何ですか?怠った場合はどうなりますか?

GDPR第6条第1項(f)に基づく評価で、「真の利益が存在すること」「その処理が目的達成のために必要であること」「開発者の利益がデータ主体のプライバシー権利を侵害しないこと」の3ステップを検証・証明するものです。イタリア当局がOpenAIに制裁を科したように、この評価や文書化が不十分であること自体がGDPR違反とみなされます。

●違法にスクレイピングされたデータで学習したAIモデルを、後からGDPR準拠にすることは可能ですか?

理論上は、学習後に個人データを完全に「匿名化」できれば可能です。ただし、そのためには「レコードの孤立化防止」「リンクの防止」「推論の防止」の3基準を同時に満たす必要があります。現在の生成AI(LLM)は、学習したデータをそのまま出力してしまう現象(レガージテーション)があるため、高度な技術的管理(差分プライバシーなど)を施さない限り、この基準をクリアすることは極めて困難です。

●AI開発者は2026年10月30日の意見公募締め切りまでに何をすべきですか?

既存の事前学習データパイプラインが、新ガイドラインの4つの義務(正当な利益の評価、スクレイピング時点でのデータ最小化、透明性確保、正確性の検証)を満たしているか確認する必要があります。また、2026年8月2日に施行されるEU AI法の汎用AI規定(学習データの要約公表やTDMオプトアウトの尊重など)への対応状況も併せて確認し、両方の規制に同時に適合できるよう準備を進めるべきです。

元記事: GDPR Applies to AI Training Data: EU Ends Web Scraping Free Pass for Every Lab

※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。

関連キーワード

関連記事