ウェブスクレイピングは、それ自体が違法な行為ではありません。日本でも米国・EUでも、公開されている非個人データの収集は原則として適法です。法的リスクが生じるのは、個人情報、著作権やデータベース権で保護されたコンテンツ、ログインが必要なページ、有効な利用規約への違反が絡むときです。何を集めるか、どうアクセスするか、データ主体がどこにいるか——私はこの3点で適法性を整理しています。
この記事のポイント
- スクレイピングという行為自体を禁止する法律は日本・米国・EUのいずれにも存在せず、著作権法、個人情報保護法(GDPR)、不正アクセス禁止法(CFAA)、契約法といった既存の法律に照らして個別に判断されます。
- 米国のhiQ対LinkedIn訴訟は、公開データのスクレイピングはCFAAに違反しない可能性が高いと判断しましたが、hiQ自身は利用規約違反を認定されて和解に至りました。
- 公開されている個人情報も個人情報保護法・GDPRの適用対象です。日本では利用目的の特定・公表、EUでは法的根拠・透明性・データ最小化が求められます。
- 日本の著作権法30条の4とEUのDSM指令はいずれも情報解析(TDM)目的の利用を認めていますが、日本には『著作権者の利益を不当に害する場合』のただし書き、EUのArticle 4には機械可読なオプトアウトという制限があります。
- ログイン不要の公開ページから、個人情報を含まないデータを、常識的なリクエスト頻度で正当な目的のために収集するのが低リスクゾーン。ログイン・ペイウォール・個人情報が地雷です。
はじめに:本記事は法的助言ではありません
本記事は、弁護士ではなく、ウェブエンジニアである私・友田が執筆した教育目的の概説であり、弁護士・依頼者関係を生じさせるものではありません。スクレイピングをめぐる法律は流動的で、法域ごと・事案ごとに結論が変わります。事業がスクレイピングデータに依存している場合は、自社の所在地、対象サイトの所在地、データ主体の所在地のそれぞれについて資格のある弁護士に相談してください。以下は2026年7月時点の一次資料と主要判例の整理です。
あわせて、ProxyFactsとしての私のコンプライアンス方針を最初に明示しておきます。ProxyFactsが扱うのは、価格モニタリング、SEO順位計測、広告検証、市場調査、AI学習データの収集といった正当な目的のスクレイピングのみです。ログインやペイウォールの回避、転売目的の買い占め、アカウントの大量作成、個人情報の収集に関する手法は一切公開しません。
結論から:スクレイピングは「手段」であって「犯罪」ではない
日本、米国、EU、英国のいずれにも「ウェブスクレイピングは違法である」と定めた法律は存在しません。スクレイピングとは、ブラウザが送るのと同じHTTPリクエストをプログラムが代わりに発行してウェブページを自動取得することにすぎません。検索エンジンも、価格比較サービスも、学術研究者も、アーカイブプロジェクトも、みなこの技術に依存しています。
法律が規制するのは手段ではなく、その周辺事実です。
- アクセス — サイトが公開しているデータを取得したのか、それとも技術的・認証的な壁を越えたのか?
- コンテンツ — 事実データ・非個人データなのか、それとも著作物、保護されたデータベース、個人情報なのか?
- 契約 — アカウント作成などによって、スクレイピングを禁止する規約に自ら同意していたか?
- 挙動 — クローラーは常識的に振る舞ったか、それとも対象サービスを劣化させたか?
過去10年の主要なスクレイピング紛争は、すべてこの4つの問いのいずれかをめぐって争われています。
米国におけるウェブスクレイピングの法律
CFAA:「無権限アクセス」かどうかという問い
スクレイピングに対して最もよく持ち出される連邦法が、1986年制定のコンピューター詐欺・不正利用防止法(CFAA、18 U.S.C. Section 1030)です。同法は「無権限で(without authorization)」または「権限を超えて」コンピューターにアクセスする行為を処罰します。長年、原告側は「サイトの意思に反したスクレイピング——たとえば警告書の受領後の継続——は無権限アクセスだ」と主張してきました。
この理論を狭めたのが2つの判決です。Van Buren対合衆国(2021年)で連邦最高裁は「ゲートが上がっているか下がっているか(gates-up-or-down)」という読み方を採用しました。CFAAが対象とするのは、通過する資格のないゲートを突破した者であって、到達を許された情報を目的外に使った者ではない、という整理です。事案自体は警察官によるデータベースの目的外利用でスクレイピングではありませんが、その論理はスクレイピングの分析を塗り替えました。
hiQ対LinkedIn訴訟の全経緯
スクレイピングの代表判例がhiQ Labs対LinkedInです。一部の段階だけが引用されがちなので、時系列全体を押さえることが重要です。
| 段階 | 何が起きたか |
|---|---|
| 2017年 | 連邦地裁がhiQの仮差止め申立てを認め、LinkedInに対し公開プロフィールのスクレイピングのブロック停止を命令 |
| 2019年 | 第9巡回区控訴裁が支持:公開データのスクレイピングはCFAAに違反しない可能性が高い |
| 2021年 | 連邦最高裁がVan Buren判決を踏まえた再審理のため破棄差戻し |
| 2022年 | 差戻し審で第9巡回区控訴裁が判断を再確認:認証ゲートのない公開ウェブサイトにCFAAの「無権限」概念は適用されない |
| 2022年後半 | 本案審理で地裁はhiQがLinkedInのUser Agreementに違反したと認定。両当事者はhiQに不利な同意判決という形で和解 |
この結末は両義的です。ログインなしで誰のブラウザにも見えるデータのスクレイピングは、第9巡回区ではCFAAの射程外である可能性が非常に高い。しかしhiQは訴訟全体では敗れました——契約に基づく請求は生き残り、hiQはLinkedInのスクレイピング停止に同意したのです。「連邦法上のハッキング犯罪ではない」ことと「法的に安全」であることは別物です。私はこの一連の訴訟を「CFAAには勝ち、契約に負けた事件」と要約しており、2019年判決だけを引いて安全と結論づける議論は信用していません。
同じパターンはMeta Platforms対Bright Data(No. 3:23-cv-00077, N.D. Cal.)でも続きました。2024年1月、連邦地裁はプロキシプロバイダーBright Dataの側に立ち、Metaの契約違反の主張について略式判決を下しました。ログアウト状態で公開のFacebook・Instagramページをスクレイピングする行為は、ログイン中のアカウント保有者に適用される規約には拘束されない、という理由です。Metaはその後、訴えを取り下げました。ここでも分水嶺は認証でした。ログアウト状態での公開ページへのアクセスは、その線の安全な側にあります。
契約・著作権・その他の米国法理
CFAAが適用されない場面でも、米国のスクレイパーには次のリスクが残ります。
- 契約違反。 ブラウズラップ規約(フッターのリンクだけ)は拘束力が弱く、クリックラップ規約(アカウント作成時などに「同意する」をクリック)は強く執行されます。自分で作成したアカウントにログインした状態でのスクレイピングは、契約リスクが最大の構成です。
- 著作権。 Feist Publications対Rural Telephone(1991年)以来、米国では事実や生データ自体に著作権はありませんが、レビュー、記事、写真、編集された編集物といった創作的表現は保護されます。価格をコピーすることと商品説明文を転載することは別問題です。
- 動産侵害(trespass to chattels)・不当利得。 スクレイピングが対象サーバーに測定可能な負荷を与えた場合、州法上の請求が認められることがあります。積極的なレート制限が必要な理由がここにもあります。
EUにおけるウェブスクレイピングの法律
GDPR:個人データが最大の地雷
一般データ保護規則(GDPR、EU 2016/679)は、スクレイピングしたデータが識別可能な個人に関係する限り常に適用されます。氏名、ユーザー名、写真、勤務先、位置情報はもちろん、単体では無害なフィールドの組み合わせも対象になり得ます。初めての人が驚く点が3つあります。
- 「公開されている」は「自由に処理してよい」を意味しない。 GDPRに公開データの適用除外はありません。公開プロフィールのスクレイピングも第6条の法的根拠——実務上はほとんどの場合、文書化された正当な利益の評価——を必要とする「処理」です。
- 透明性義務はスクレイパーにも及ぶ。 第14条は、間接的にデータを取得した場合、例外に当たらない限り1か月以内に本人へ通知することを求めます。ポーランドのデータ保護当局は、公開の事業者登記データをスクレイピングして本人への通知を怠った企業に対し、GDPR下で最初期の制裁金のひとつを科しました。
- 地理的適用範囲が広い。 第3条により、EU内の人々をモニタリングまたはターゲティングしていれば、EUに拠点のない米国やアジアのスクレイパーにもGDPRが適用され得ます。制裁金は第83条により最大2,000万ユーロまたは全世界年間売上高の4%に達します。
データ保護当局は共同でも動いています。2023年以降、英国ICOやカナダOPCを含む各国規制当局の共同声明は、SNSからの個人データの大量スクレイピングが、プラットフォーム側には報告義務のあるデータ侵害、スクレイパー側には違法な処理に該当し得ると警告してきました。プロジェクトが個人データに少しでも触れるなら、GDPR対応を後付けではなく設計要件として扱ってください。
DSM指令:EUのテキスト・データマイニング例外
デジタル単一市場における著作権指令(DSM指令、EU 2019/790)は、スクレイピングに直結する2つの著作権の例外を創設しました。
- Article 3は、研究機関・文化遺産機関による学術研究目的のテキスト・データマイニング(TDM)を許容し、権利者は契約でこれを排除できません。
- Article 4は、営利事業者を含む誰にでもTDMを許容します。ただし、権利者が「適切な方法で」——オンラインコンテンツについては機械可読な形式で——権利を明示的に留保した場合は除きます。robots.txtの指示や新興のオプトアウト標準が、その一般的な実装です。
Article 4は欧州における商用AI学習データ収集の法的支柱になっており、このオプトアウトの仕組みこそ、EU関連コンテンツで機械可読なシグナルの尊重が単なるマナー以上である理由です。オプトアウト済みの著作物をTDM目的でスクレイピングすれば、例外の適用を失います。
EUのデータベース権と利用規約
EUにはデータベースを守る仕組みがさらに2つあります。データベース指令96/9/ECは、構築に相当の投資を要したデータベースの相当部分の抽出・再利用を禁じる独自の権利(sui generis権)を認めており、米国に相当する制度はありません。さらにRyanair対PR Aviation(C-30/14)でEU司法裁判所は、指令の保護が及ばないデータベースについては、サイト運営者が利用規約によって契約上スクレイピングを制限できると判示しました。つまりEUでは、データベース権か契約のどちらかが機能し得るため、「ただの事実データだ」も「データベースは保護されていない」も、単独では完全な抗弁になりません。
日本におけるウェブスクレイピングの法律
日本にも、スクレイピングという行為そのものを禁止する法律はありません。IT分野の弁護士による解説でも共通しているとおり、実務上の論点は主に4つ——著作権法、個人情報保護法、不正アクセス禁止法、そして刑法上の業務妨害リスク——です。加えて、利用規約でスクレイピングを禁止するサイトに対しては、米国と同様に債務不履行や不法行為といった民事責任の問題が別途生じ得ます。
著作権法30条の4:世界的にも広い「情報解析」例外
2018年改正で導入された著作権法30条の4は、著作物に表現された思想・感情の「享受」を目的としない利用——その代表例が第2号の「情報解析」——について、原則として権利者の許諾なく著作物を利用できると定めています。EUのDSM指令Article 4と異なり営利・非営利を問わず適用され、権利者による機械可読なオプトアウトの仕組みも条文上は存在しないため、日本はTDMに対して世界で最も寛容な法域のひとつと評価されてきました。
ただし無制限ではありません。同条ただし書きは「著作権者の利益を不当に害することとなる場合」を除外しており、たとえば情報解析用に販売されているデータベースをスクレイピングで無断複製するような行為は、例外の対象外となり得ます。文化庁が公開している「AIと著作権」に関する資料は、この柔軟な権利制限規定の解釈——収集を拒む技術的措置が講じられている場合の考え方を含む——を整理した一次資料であり、AI学習データの収集を検討するなら必読です。もうひとつ重要なのは、30条の4が解決するのは著作権の問題だけだということです。個人情報保護法や利用規約の論点は、そのまま残ります。
個人情報保護法:公開されている情報でも「個人情報」
個人情報保護法には、GDPRと同じく「公開されている情報なら自由に使ってよい」という例外はありません。氏名やプロフィールなど特定の個人を識別できる情報をスクレイピングで取得する場合、利用目的の特定と公表・通知が必要であり、偽りその他不正の手段による取得は禁止されます。病歴や信条などの要配慮個人情報は、原則として本人の同意なく取得できません。
この論点は、生成AIの学習データ収集をめぐって現実の執行課題になっています。個人情報保護委員会は2023年6月2日、生成AIサービスに関する注意喚起を公表し、OpenAIに対して、スクレイピングによる収集時に要配慮個人情報が含まれないようにする取り組みや、含まれていた場合にできる限り即時に削除・匿名化する措置などを求めました。個人情報に触れるスクレイピングを設計するなら、日本法とGDPRの両方を最初から組み込むべきです。
不正アクセス禁止法:ログインの壁は絶対に越えない
不正アクセス禁止法は、他人のID・パスワードを無断で入力してアクセス制御機能のあるコンピューターを利用する行為や、アクセス制御の脆弱性を突いて制限を回避する行為を、刑事罰(3年以下の拘禁刑または100万円以下の罰金)の対象としています。米国CFAAの「ゲートが上がっているか下がっているか」という枠組みとよく似た構造で、認証のかかっていない公開ページの取得はこの法律の射程外ですが、ログインの内側を自動化する行為は、日本では民事リスクにとどまらず刑事リスクになります。本サイトがログイン後ページのスクレイピング手法を一切扱わないのは、このためです。
偽計業務妨害リスク:岡崎市立中央図書館事件(Librahack事件)の教訓
日本のエンジニアが必ず知っておくべき実務論点が、刑法233条の偽計業務妨害罪です。2010年、岡崎市立中央図書館の蔵書検索システムに対し、1秒に1回程度という常識的な頻度で自作クローラーを実行していた開発者が偽計業務妨害の容疑で逮捕され、約3週間の勾留の末に起訴猶予処分となりました。その後の検証で閲覧障害の真因は図書館側システムの不具合にあったことが判明し、図書館も後に、クローリングには技術的な配慮がなされており開発者に非はなかったことを認めています。
この事件(通称Librahack事件)が示すのは、技術的にも法的にも穏当なスクレイピングであっても、対象サイトの管理者が「攻撃を受けている」と誤認して被害届を出せば、逮捕・勾留という重大な不利益が現実に起こり得るということです。実務上の対策は、本質的には世界共通のベストプラクティスと同じです。徹底したレート制限、User-Agentへの連絡先の明記、アクセスログの保全、そして問い合わせや警告を受けたら即座に停止して対話すること。この中で私が最優先するのはアクセスログの保全です——潔白を示す証拠は、自分の側にしか残らないからです。日本でスクレイピングを運用するなら、この事件を前提にクローラーの「挙動」を設計してください。
ほぼすべての法域に共通する原則
法域ごとの違いはあれど、スクレイピングのリスクはほぼどこでも次の4つの問いで予測できます。
| 要素 | 低リスク | 高リスク |
|---|---|---|
| アクセス | 公開ページ(ログイン・ペイウォールなし) | 認証・ペイウォールの内側、自分を狙った技術的ブロックの回避 |
| データの種類 | 価格、在庫、スペック、順位、集計統計 | 個人情報、創作物の全文、保護されたデータベース全体 |
| 契約 | アカウントなし、ブラウズラップのみ、ログアウト状態 | クリックラップ規約への同意、ログイン状態でのスクレイピング |
| 挙動 | レート制限、キャッシュ、オフピーク実行、身元を明かすクローラー | 対象サービスを劣化させる大量リクエスト |
エンジニア視点(友田): この表で私が最初に見るのは「挙動」の行です。アクセス・データ種別・契約は設計段階でコードと文書に固定できますが、挙動だけは運用中に劣化します——リトライの実装ミスひとつで、リクエスト頻度が意図の数十倍に跳ねる事故はどんなパイプラインでも起こり得ます。だから私なら、レート制限を呼び出し側の善意に任せず、キュー側で強制する仕組みとして設計します。岡崎図書館事件で現実に人が逮捕された引き金も、他の3要素ではなく挙動への「誤認」だったことを忘れるべきではありません。
実務的な帰結が3つあります。
- 「公開か、ゲートの内側か」が最も明るい境界線。 hiQ判決もBright Data判決もこの一点で決まり、CFAAの分析は事実上ここから始まります。日本の不正アクセス禁止法も同じ線を引いています。ログインの内側は法的に別世界であり、本サイトはその手法を公開しません。
- 個人情報が絡むとすべてが変わる。 スクレイピングした記録が個人を識別できるようになった瞬間、ソースがどれだけ公開されていようと、日本の個人情報保護法、GDPR、米国のCCPA型の州法が義務を課します。
- 著作権は「労力」ではなく「表現」に従う。 事実データの抽出は、その周囲のテキスト・画像・編集された構造の複製より一般に安全です。EUではデータベース権が、日本では30条の4のただし書きが、それぞれ追加のレイヤーになります。
実務における「コンプライアンス重視のスクレイピング」とは
価格モニタリングやSEO順位計測のような正当な目的で大規模スクレイピングを行うチームは、おおむね同じ運用ルールに収れんしていきます。クライアントの本番システムを設計・運用してきた立場から言えば、この種のルールは後から足すより最初に要件へ書くほうが確実に安くつきます。
- スクレイピングは公開ページのみ。認証は行わず、ペイウォールや技術的アクセス制御を回避しない。
- 公式APIやライセンス済みデータフィードが存在してニーズを満たすなら、そちらを優先する。
- robots.txtと機械可読なTDMオプトアウトを尊重する(EU関連コンテンツでは特に)。
- 最小化を徹底する。ページ全体ではなく必要なフィールドだけを収集し、文書化された法的分析なしに個人情報を含めない。
- レート制限とスケジューリングにより、自分のトラフィックを対象サイトの通常負荷に対して無視できる水準に保つ。
- 記録を残す。何を、どこから、どの法的分析に基づいて収集し、誰が承認したか。
- 警告書(cease-and-desist)は真剣に受け止める。明示的な拒絶の後に継続すれば、グレーゾーンは文書化された紛争に変わる。
礼儀正しく安定したクローラーを運用する技術面はブロックされずにスクレイピングする方法を、収集パイプライン構築の全体像はウェブスクレイピング完全ガイドを参照してください。
プロキシプロバイダーが顧客審査(KYC)を行う理由
こうした法的状況は、インフラ層にも織り込まれています。主要な住宅用(レジデンシャル)プロキシプロバイダーは、もはやクレジットカードさえあれば誰にでも匿名で売る商売をしておらず、公開されているコンプライアンスプログラムはプロバイダー選びの有用なシグナルになります。
- Bright Dataは、住宅用ネットワークへのアクセスを、人手でレビューされるKYCプロセス——企業メールの確認、ユースケースの説明、場合によっては面談と政府発行IDの提示——を通過した検証済み企業に限定していると、公開KYCポリシーで説明しています。
- Oxylabsは、全顧客にサインアップ時のKYCフォーム記入を義務付け、ID確認やコンプライアンス面談といったリスクベースのエスカレーションを適用しており、Ethical Web Data Collection Initiativeのメンバーでもあると、KYCおよび安全性ポリシーに記載しています。
- Decodo(旧Smartproxy)は、全登録に対して自動不正チェックとKYCを実施し、銀行、行政ポータル、チケット販売サイトといった高リスクターゲットを能動的にブロックしていると、セキュリティ・コンプライアンス文書で説明しています。
- IPRoyalは、第三者検証サービスのiDenfyを通じてKYCを実施しています。静的レジデンシャルプロキシでは必須で、未検証アカウントには一部制限が残ると、KYCポリシーに記載されています。
実務的な含意はこうです。自分のユースケースがベンダーのKYC質問票を通らないなら、それは裁判所の審査にも耐えられない可能性が高いという強いシグナルです。なお、これら海外プロバイダーの料金は基本的に米ドル建てです。住宅用プロキシとは何か、そしてこれらのネットワークがどのようにIPを調達しているかを理解することも、同じデューデリジェンスの一部です。
まとめ
ウェブスクレイピングは「原則として適法、状況次第で違法」です。米国ではhiQ対LinkedInの一連の判決とVan Buren判決がCFAAを公開データのスクレイピングから遠ざけた一方、契約と著作権の請求は完全に生きています。EUでは、触れる個人データすべてにGDPRが適用され、DSM指令Article 4のTDM例外と機械可読なオプトアウトが、著作物の商用マイニングの枠組みを定めます。日本では、著作権法30条の4が世界的にも広い情報解析例外を提供する一方、個人情報保護法、不正アクセス禁止法、そして岡崎図書館事件が示した偽計業務妨害リスクが残ります。どこで運用するにせよ、低リスクの方程式は安定しています。公開ページのみ、ログインなし、個人情報なし、オプトアウトの尊重、控えめなリクエスト頻度、そして目的の正当性の文書化。迷ったら、クローラーより先に弁護士に聞いてください。