英国 世界のプライバシー当局がデータ・スクレイピングに関するフォローアップ共同声明を発表

こんにちは、丸山満彦です。

英国のICOが、世界の16のプライバシー当局がデータ・スクレイピングに関するフォローアップ共同声明を公表したと発表していますね...

SMCという用語ができてますが、Social Media Compaiesということで、ソーシャルメディア企業です...

 

● U.K. Information Commissioner's Office; ICO

・2024.10.28 Global privacy authorities issue follow-up joint statement on data scraping after industry engagement

Global privacy authorities issue follow-up joint statement on data scraping after industry engagement	世界のプライバシー当局は、業界の関与の後、データ・スクレイピングに関するフォローアップ共同声明を発表
We and several global counterparts are highlighting how social media companies can better protect personal information, as concerns grow about mass scraping of personal information within social media platforms, including to support artificial intelligence systems.	人工知能システムをサポートするためなど、ソーシャルメディア・プラットフォーム内で個人情報が大量にスクレイピングされることへの懸念が高まる中、我々といくつかのグローバルなカウンターパートは、ソーシャルメディア企業が個人情報をよりよく保護する方法を強調している。
We and our counterparts from 16 other global data protection authorities engaged with some of the world’s largest social media companies after issuing a joint statement on data scraping last year. As a result of this engagement, they have now issued a follow-up statement laying out additional takeaways for industry.	昨年、データスクレイピングに関する共同声明を認可した後、我々と他の16の世界的データ保護当局のカウンターパートは、世界最大のソーシャルメディア企業数社に関与した。このエンゲージメントの結果、彼らは今回、業界向けの追加的な留意点を示したフォローアップ声明を発表した。
The joint statement that was issued last year outlines key privacy risks associated with data scraping – the automated extraction of data from the web, including social media platforms and other websites that host publicly accessible personal information. The follow-up joint statement provides additional guidance to help companies ensure that personal information of their users is protected from unlawful scraping.	昨年発表された共同声明は、データ・スクレイピング（ソーシャルメディア・プラットフォームや一般にアクセス可能な個人情報をホストする他のウェブサイトを含むウェブからのデータの自動抽出）に関連する主要なプライバシー・リスクの概要を示している。今回の共同声明では、企業がユーザーの個人情報を違法なスクレイピングから確実に保護するためのガイダンスを追加している。
Last year, data protection authorities called on industry to identify and implement controls to protect against, monitor for, and respond to data scraping activities on their platforms, including by taking steps to detect bots and block IP addresses when data scraping activity is identified, among other measures.	昨年、データ保護当局は、ボットの検出や、データスクレイピング行為が確認された場合のIPアドレスのブロックなどの対策を講じるなど、プラットフォーム上でのデータスクレイピング行為から保護し、監視し、対応するための制御を特定し、実施するよう産業界に呼びかけた。
This follow-up joint statement lays out further expectations, including that organisations:	このフォローアップ共同声明は、以下のような更なる期待を示している：
・Comply with privacy and data protection laws when using personal information, including from their own platforms, to develop artificial intelligence (AI) large language models;	・人工知能（AI）の大規模な言語モデルを開発するために、自社のプラットフォームを含む個人情報を使用する際には、プライバシーおよびデータ保護法を遵守すること、
・Deploy a combination of safeguarding measures and regularly review and update them to keep pace with advances in scraping techniques and technologies; and	・保護措置を組み合わせて導入し、スクレイピング技術やテクノロジーの進歩に対応するために定期的に見直し、更新すること、
・Ensure that permissible data scraping for commercial or socially beneficial purposes is done lawfully and in accordance with strict contractual terms.	・商業的または社会的に有益な目的のために許容されるデータ・スクレイピングは、合法的に、かつ厳格な契約条件に従って行われることを保証すること。
After the first statement was signed by members of the Global Privacy Assembly’s International Enforcement Working Group in 2023, it was sent to the parent companies of YouTube, TikTok, Instagram, Threads, Facebook, LinkedIn, Weibo, and X (the platform formerly known as Twitter).	最初の声明が2023年にグローバルプライバシー総会の国際執行作業部会のメンバーによって署名された後、YouTube、TikTok、Instagram、Threads、Facebook、LinkedIn、Weibo、X（以前はTwitterとして知られていたプラットフォーム）の親会社に送られた。
This led to constructive dialogue between data protection authorities and several of these social media companies, as well as with the Mitigating Unauthorized Scraping Alliance, an organisation that aims to combat unauthorised data scraping.	これにより、データ保護当局とこれらソーシャルメディア企業数社、および無許可のデータスクレイピング撲滅を目指す団体「不正スクレイピングの低減 アライアンス」との間で建設的な対話が行われた。
The discussions between industry representatives and data protection authorities enabled all parties to further examine issues related to data scraping. This resulted in a deepened understanding by data protection authorities of the challenges that organisations face in protecting against unlawful scraping, including increasingly sophisticated scrapers, ever-evolving advances in scraping technology, and differentiating scrapers from authorised users.	業界代表者とデータ保護当局との話し合いにより、すべての関係者がデータスクレイピングに関する問題をさらに検討することができた。その結果、データ保護当局は、高度化するスクレイパー、進化し続けるスクレイピング技術、スクレイパーと認可ユーザーの区別など、組織が違法なスクレイピングから防御する上で直面する課題について理解を深めた。
Generally, social media companies indicated to data protection authorities that they have implemented many of the measures that were identified in the initial statement, as well as further measures that can form part of a dynamic multi-layered approach to better protecting against unlawful data scraping. Some of the additional measures that are presented in the follow-up joint statement include using platform design elements that make it harder to scrape data using automation, safeguards that leverage artificial intelligence, and lower cost solutions that small and medium-sized enterprises could use to meet their safeguarding obligations.	一般的に、ソーシャルメディア企業は、データ保護当局に対し、最初の声明で特定された対策の多くと、違法なデータスクレイピングからよりよく保護するためのダイナミックな多層的アプローチの一部を形成することができるさらなる対策を実施していることを示した。フォローアップ共同声明で示された追加措置には、自動化によるデータスクレイピングを困難にするプラットフォーム設計要素の使用、人工知能を活用した保護措置、中小企業が保護義務を果たすために使用できる低コストのソリューションなどが含まれる。
Further reading	さらに読む
Concluding joint statement on data scraping and the protection of privacy	データ・スクレイピングとプライバシー保護に関する共同声明の防御
Joint statement on data scraping and the protection of privacy	データ・スクレイピングとプライバシー保護に関する共同声明

 

 

---

 

カナダのプライバシーコミッショナー

● Office of the Privacy Commissioner of Canada

・2024.10.28 Concluding joint statement on data scraping and the protection of privacy

Concluding joint statement on data scraping and the protection of privacy	データ・スクレイピングとプライバシー保護に関する共同声明の結論
Informed by engagement with industry on the initial Joint Statement on Data Scraping and the Protection of Privacy (August 2023)	データ・スクレイピングとプライバシーの保護に関する最初の共同声明（2023年8月）についての産業界との関わりから情報を得ている。
October 2024	2024年10月
Key takeaways	主要な要点
Initial Statement	初回声明
This Concluding Statement builds on the Joint statement on data scraping and the protection of privacy (the Initial Statement), published August 24, 2023, which highlighted the following key messages:	この防御声明は、2023年8月24日に発表された「データ・スクレイピングとプライバシーの保護に関する共同声明」（初回声明）を基礎とするものであり、以下の重要なメッセージを強調している：
・Personal information that is publicly accessible is subject to data protection and privacy laws in most jurisdictions.	・一般にアクセス可能な個人情報は、ほとんどの法域においてデータ・プライバシー法の対象者である。
・Social media companies (SMCs) and the operators of websites that host publicly accessible personal data have an obligation to protect publicly accessible personal data on their platforms from data scraping that violates data protection and privacy laws (“unlawful scraping”).	・ソーシャル・メディア企業（SMC）および一般にアクセス可能な個人データをホストするウェブサイトの運営者は、データ保護法およびプライバシー法に違反するデータ・スクレイピング（「違法なスクレイピング」）から、そのプラットフォーム上の一般にアクセス可能な個人データを保護する義務を負う。
・Mass data scraping incidents that harvest personal information can constitute reportable data breaches in many jurisdictions.	・個人情報を収集する大量のデータスクレイピングインシデントは、多くの法域において報告義務のあるデータ漏えいを構成する可能性がある。
・Individuals can also take steps to protect their personal information from data scraping, and social media companies have a role to play in enabling users to engage with their services in a privacy protective manner.	・個人はまた、データ・スクレイピングから個人情報を保護するための手段を講じることができ、ソーシャルメディア企業は、ユーザーがプライバシーを保護する方法で自社のサービスに関与できるようにする役割を担っている。
Concluding Statement	最終声明
Based on engagement with SMCs and other industry stakeholders that followed the issuance of the Initial Statement, the co-signatories wish to highlight the following additional key takeaways:	初回声明の発表後に行われたSMCやその他の業界関係者との意見交換に基づき、共同署名者 は以下の追加的な重要事項を強調したい：
・To effectively protect against unlawful scraping, organizations should deploy a combination of safeguarding measures, and those measures should be regularly reviewed and updated to keep pace with advances in scraping techniques and technologies.	違法なスクレイピングから効果的に保護するために、組織は保護手段を組み合わせて導入すべきであり、それらの手段はスクレイピング技術やテクノロジーの進歩に合わせて定期的に見直し、更新されるべきである。
・While artificial intelligence (AI) is used by some sophisticated data scrapers to evade detection, it can also represent part of the solution, serving to enhance protections against unlawful scraping.	人工知能（AI）は、一部の巧妙なデータスクレーパーが検知を逃れるために使用する一方で、違法なスクレイピングに対する防御を強化する役割を果たし、ソリューションの一部を代表することもできる。
・The obligation to protect against unlawful scraping applies to both large corporations and Small and Medium Enterprises (SMEs). There are lower-cost measures that SMEs can implement, with assistance from service providers, to meet this obligation.	違法なスクレイピングに対する防御義務は、大企業にも中小企業（SME）にも適用される。この義務を果たすために、中小企業がプロバイダの支援を受けながら実施できる、より低コストの対策がある。
・Where SMCs and other organizations contractually-authorize scraping of personal data from their platforms, those contractual terms cannot, in and of themselves, render such scraping lawful; however, they can be an important safeguard.	SMCやその他の組織が契約上、そのプラットフォームからの個人データのスクレイピングを認可している場合、その契約条項自体がそのようなスクレイピングを合法的なものにすることはできない。
・・Organizations who permit scraping of personal data for any purpose, including commercial and socially beneficial purposes, must ensure without limitation, that they have a lawful basis for doing so, are transparent about the scraping they allow, and obtain consent where required by law.	商業的および社会的に有益な目的を含め、いかなる目的であれ個人データのスクレイピングを許可する組織は、制限なく、そうすることに合法的な根拠があること、許可するスクレイピングについて透明性があること、および法律で義務付けられている場合は同意を得ることを保証しなければならない。
・・Organizations should also implement adequate measures, including contractual terms and associated monitoring and enforcement, to ensure that the contractually authorized use of scraped personal data is compliant with applicable data protection and privacy laws.	組織はまた、契約上承認されたスクレイピングされた個人データの使用が適用されるデータ保護法およびプライバシー法に準拠していることを保証するために、契約条件および関連する監視および執行を含む適切な措置を実施しなければならない。
・When an organization grants lawful permission for third parties to collect publicly accessible personal data from its platform, providing such access via an Application Programming Interface (API) Footnote1 can allow the organization greater control over the data, and facilitate the detection and mitigation of unauthorized scraping.	組織が、そのプラットフォームから一般にアクセス可能な個人データを収集することをサードパーティに適法に許可する場合、API（Application Programming Interface）脚注1 を介してそのようなアクセスを提供することで、組織はデータをより適切に管理することができ、不正なスクレイピングの検出と低減を容易にすることができる。
・SMCs and other organizations that use scraped data sets and/or use data from their own platforms to train AI, such as Large Language Models, must comply with data protection and privacy laws as well as any AI-specific laws where those exist. Where regulators have made available guidelines and principles on the development and implementation of AI models, we expect organizations to follow that guidance.	スクレイピングされたデータセットを使用する、および／または大規模言語モデルなどのAIを訓練するために独自のプラットフォームからデータを使用するSMCおよびその他の組織は、データ・プライバシー法、およびAI固有の法律が存在する場合はそれを遵守しなければならない。規制当局がAIモデルの開発と実装に関するガイドラインや原則を公開している場合は、組織がそのガイダンスに従うことを期待する。
Introduction	序文
1. The initial Joint Statement on data-scraping and the protection of privacy (the Initial Statement), published in August 2023, set out expectations regarding what organizations should do to ensure that individuals are protected from the risks resulting from unlawful scraping. The present Concluding Statement was developed to reinforce the requirements set out in the Initial Statement, share best practices and lessons learned through engagements with SMCs and industry stakeholders following the publication of that statement, and set out further expectations for SMCs and other organizations that host publicly accessible personal information.	2023年8月に発表された「データ・スクレイピングとプライバシー保護に関する共同声明」（初回声明）は、違法なスクレイピングから生じるリスクから個人を確実に保護するために、組織が何をすべきかに関する期待を示した。今回の最終声明は、初回声明で定められた要件を強化し、同声明の公表後にSMCおよび業界関係者との関わりを通じて得られたベストプラクティスおよび教訓を共有し、SMCおよび一般にアクセス可能な個人情報をホストするその他の組織に対するさらなる期待を定めるために作成された。
2. Both statements address data scraping in the form of automated extraction of personal data from the web. These statements do not address indexing by search engines, nor do they address the scraping of non-personal information.	どちらの声明も、ウェブからの個人データの自動抽出という形でのデータスクレイピングを扱っている。これらの声明は、検索エンジンによるインデクシングや、非個人情報のスクレイピングには触れていない。
3. While the Initial Statement was published by 12 members of the International Enforcement Working Group (IEWG) and endorsed by two additional members following its publication, the Initial Statement and this Concluding Statement are now endorsed by a total of 16 co-signatories Footnote2.	初回声明は国際執行作業部会（IEWG）の12人のメンバーによって発表され、発表後に2人の追加メンバーによって承認されたが、初回声明と本結論声明は現在、合計16人の共同署名者によって承認されている。脚注2。
Engagement with industry	産業界との関わり
4. After issuing the Initial Statement, the co-signatories shared a copy with Alphabet Inc. (YouTube), ByteDance Ltd. (TikTok), Meta Platforms, Inc. (Instagram, Facebook and Threads), Microsoft Corporation (LinkedIn), Sina Corp (Weibo), and X Corp. (X, previously Twitter) inviting them to comment on how they comply with the expectations outlined in the document.	初回声明の発表後、共同署名者はAlphabet Inc. (TikTok)、Meta Platforms, Inc. (Instagram、Facebook、Threads)、Microsoft Corporation (LinkedIn)、Sina Corp (Weibo)、X Corp. (X、旧Twitter)と共有し、この文書に概説されている期待事項をどのように遵守しているかコメントするよう呼びかけた。
5. Over the course of the following months, the co-signatories engaged with several of these organizations, in writing and through virtual engagements. The co-signatories also engaged with the Mitigating Unauthorized Scraping Alliance (MUSA), which approached the co-signatories to share its perspectives on mitigation against unauthorized scraping.Footnote3	その後の数か月の間、共同署名者はこれらの組織のいくつかと、書面やオンラインでのやりとりを通じて協議を行った。共同署名者は、無断スクレイピング低減連合（MUSA）とも協議を行った。MUSAは、無断スクレイピングの低減に関する見解を共有するために共同署名者に接触してきた。脚注3
6. The co-signatories were also approached by a commercial data scraping company that shared details regarding its efforts towards lawful collection of publicly accessible data (which can include personal data). While this Concluding Statement, and the Initial Statement, are not primarily directed at data scrapers, commercial data scrapers should take note that publicly accessible personal data will generally be subject to data protection and privacy laws, and as such, they should implement measures to comply with those laws.	また、共同署名者はMUSA（Mitigating Unauthorized Scraping Alliance）とも関係を持った。MUSAは、不正なスクレイピングに対する低減の視点を共有するために共同署名者に接触した。この防御声明および初回声明は、主にデータ・スクレイパーを対象としたものではないが、営利目的のデータ・スクレイパーは、一般に、公にアクセス可能な個人データはデータ保護法およびプライバシー法の対象者であることに留意すべきであり、そのように、これらの法律を遵守するための措置を講じるべきである。
7. Through these exchanges, the co-signatories were able to engage with industry meaningfully, in a coordinated manner and with a unified voice. In turn, this provided relevant stakeholders with the opportunity to explain their respective approaches to data and privacy protection, through direct and practical interactions with a diverse subset of the global privacy regulatory community.	このような意見交換を通じて、共同署名者は、協調的かつ統一的な方法で、業界と有意義に関わることができた。その結果、関連するプロバイダは、世界のプライバシー規制コミュニティの多様なサブセットとの直接的かつ実践的な交流を通じて、データ・プライバシー保護に対するそれぞれのアプローチを説明する機会を得ることができた。
8. Below, the co-signatories share lessons learned from their discussions with industry representatives, as well as additional expectations for organizations that host publicly accessible personal data.	以下では、共同署名者が業界代表者との議論から得た教訓と、一般にアクセス可能な個人データをホストする組織に対する追加的な期待を共有する。
Lessons learned and co-signatories' expectations	得られた教訓と共同署名者の期待
9. As with the Initial Statement, many of the recommendations below represent statutory requirements in some or all jurisdictions.	初回声明と同様、以下の勧告の多くは、一部またはすべての法域における法的要件である。
10. A fundamental takeaway from the Initial Statement is that publicly accessible personal data is still subject to data protection and privacy laws in most jurisdictions. SMCs and operators of websites that host publicly accessible personal data have obligations, under data protection and privacy laws, to protect personal information on their platforms from unlawful scraping.	初回声明から得られた基本的な教訓は、一般にアクセス可能な個人データは、ほとんどの法域でデータ保護法およびプライバシー法の対象者であるということである。SMCおよび一般にアクセス可能な個人データをホストするウェブサイトの運営者は、データ保護法およびプライバシー法の下で、そのプラットフォーム上の個人情報を違法なスクレイピングから保護する義務がある。
Challenges and solutions in keeping up with advances in data scraping practices	データスクレイピング慣行の進歩に対応するための課題と解決策
11. In the Initial Statement, the co-signatories highlighted the need for SMCs and other organizations to implement a multi-layered approach to protecting publicly accessible data on their platforms from unlawful scraping.	初回声明において、共同署名者は、SMCおよびその他の組織が、そのプラットフォーム上 の公にアクセス可能なデータを違法なスクレイピングから保護するために、多層的なアプローチを実施 する必要性を強調した。
12. Through our engagements that followed the issuance of that statement, we established that, while SMCs face challenges in protecting against unlawful scraping (such as increasingly sophisticated scrapers, ever-evolving advances in scraping technology, difficulty in differentiating scrapers from authorized/lawful users, and the need to maintain a user-friendly interface), they are motivated to protect against unauthorized scraping.	この声明の発表に続く私たちの関与を通じて、私たちは、SMCが違法なスクレイピングから防御する上での課題（スクレイパーの高度化、スクレイピング技術の日進月歩の進歩、スクレイパーと正規／違法ユーザーを区別することの難しさ、ユーザーフレンドリーなインターフェースを維持する必要性など）に直面している一方で、SMCが不正なスクレイピングから防御する意欲を持っていることを確認した。
13. SMCs generally confirmed that they have implemented many of the measures identified in the Initial Statement, such as, and without limitation:	SMCは一般的に、初回声明で特定された対策の多くを実施していることを確認した：
・Designating a team and/or specific roles within the organization to develop and implement controls to protect against, monitor for, and respond to scraping activities.	スクレイピング行為から保護し、監視し、対応するための管理策を開発し、実施するためのチームおよび／または組織内の特定の役割を指定する。
・“Rate limiting” the number of visits per hour or day by one account to other account profiles, and limiting access if unusual activity is detected.	あるアカウントによる他のアカウント・プロファイルへの1時間または1日あたりのアクセス数を「レート制限」し、異常な活動が検知された場合はアクセスを制限すること。
・Monitoring how quickly and aggressively a new account starts looking for other users.	新しいアカウントが他のユーザーをどれだけ早く積極的に探し始めるかを監視する。
・Taking steps to detect scrapers and “bot” Footnote4 activity, such as using CAPTCHAs Footnote5 and blocking IP addresses where such activity is identified.	CAPTCHA（識別）脚注5　の使用や、そのような活動が確認されたIPアドレスのブロックなど、スクレイパーや「ボット」脚注4　の活動を検知するための措置を講じること。
・Where data scraping is suspected and/or confirmed, taking appropriate legal action, such as sending “cease and desist” letters, requiring the deletion of scraped information, and obtaining confirmation of the deletion.	データスクレイピングが疑われる場合、および／または確認された場合、「停止および中止」の書簡を送付し、スクレイピングされた情報の削除を要求し、削除の確認を得るなど、適切な法的措置を講じること。
・Closely monitoring the threat landscape and new technologies to develop and adjust safeguards accordingly.	脅威の状況や新しい技術を注意深く監視し、それに応じて安全策を開発・調整する。
14. Through our engagements, we also learned of further measures, beyond those detailed in the Initial Statement, that organizations employ to protect against data scraping, such as the implementation of platform design elements that make it harder to scrape data using automation (e.g., random account URLs, random interface design elements, and tools to detect and block malicious internet traffic).	また、自動化によるデータスクレイピングを困難にするプラットフォーム設計要素（ランダムなアカウントURL、ランダムなインターフェース設計要素、悪意のあるインターネットトラフィックを検知・ブロックするツールなど）の導入など、初回声明で詳述した以外にも、組織がデータスクレイピングから保護するために採用している対策があることも知った。
15. We learned that the rapid emergence of AI can represent a threat to privacy. SMCs told us that scrapers are now using AI to scrape data more effectively (e.g., via “intelligent” bots that can simulate real user activity). At the same time, SMCs explained that they too are employing AI to better detect and protect against unauthorized scraping, highlighting that innovative AI tools can also be part of the solution.	我々は、AIの急速な出現がプライバシーに対する脅威の代表者になり得ることを学んだ。SMCによれば、スクレイパーは現在、より効果的にデータをスクレイピングするためにAIを使用している（例えば、実際のユーザーの活動をシミュレートできる「インテリジェントな」ボットを介して）。同時にSMCは、不正なスクレイピングの検知と防御を強化するためにAIを採用していると説明し、革新的なAIツールもソリューションの一部となりうることを強調した。
16. Ultimately, the co-signatories learned that while no measure is guaranteed to protect against all unlawful scraping — since sophisticated low-volume scraping can often resemble user activity — a multi-layered and dynamic combination of safeguards can be particularly effective in protecting against mass scraping and the amplified harms that can result when a large volume of data subjects are affected.	最終的に、共同署名者は、洗練された少量のスクレイピングはしばしばユーザーの活動に類似している可能性があるため、すべての違法なスクレイピングから保護することを保証する対策はないものの、セーフガードを多層的かつダイナミックに組み合わせることで、大量のスクレイピングや、大量のデータ対象者が影響を受けた場合に生じる可能性のある被害の増幅から保護する上で特に効果的であることを学んだ。
Small and medium enterprises (SMEs)	中小企業（SMEs）
17. SMEs rarely have the same financial resources or technical capabilities as global SMCs. This does not, however, absolve SMEs of their responsibility to protect against unlawful scraping. Indeed, many SMEs host large amounts of publicly accessible personal data, which should be protected by a multi-layered combination of technical and procedural controls against data scraping.	中小企業がグローバル SMC のような財力や技術力を持っていることは稀である。しかし、だからといって、中小企業が違法なスクレイピングから保護する責任を免れるわけではない。実際、多くの中小企業は、一般にアクセス可能な大量の個人データを保有しており、これらのデータは、データスクレイピングに対する技術的・手続き的防御を多層的に組み合わせて保護すべきである。
18. The co-signatories learned from their engagement with industry that there is a variety of tools available to protect against unlawful scraping. Some of those tools, such as bot detection, rate limiting and CAPTCHAs, can be accessible to SMEs on a more modest budget. There are also third-party service providers who can assist SMEs in protecting against unlawful scraping. However, the co-signatories wish to emphasise that engaging a third-party service provider does not absolve the organization of its own responsibility to protect personal data.	共同提唱者は、業界との関わりから、違法なスクレイピングから保護するためのさまざまなツールがあることを学んだ。ボット検知、レート制限、CAPTCHAなど、中小企業でも低予算で利用できるツールもある。また、中小企業の違法なスクレイピングからの防御を支援するサードパーティ・サービス・プロバイダも存在する。しかし、サードパーティ・サービス・プロバイダを利用したからといって、個人データ保護に対する組織の責任が免除されるわけではないことを、共同署名者は強調したい。
19. Ultimately, under data protection and privacy laws, safeguards should be appropriate and commensurate to the sensitivity of the information in question. Organizations should therefore limit the amount and sensitivity of information they make publicly accessible to that which they can adequately protect from unlawful scraping.	結局のところ、データ保護法およびプライバシー法の下では、保護措置は問題の情報の機密性に見合った適切なものでなければならない。したがって、組織は、公にアクセスできるようにする情報の量と機密性を、違法なスクレイピングから適切に保護できるものに制限すべきである。
SMC-allowed scraping and lawful scraping	SMCが許可するスクレイピングと合法的なスクレイピング
20. Several SMCs indicated that in certain circumstances, they allow scraping or other forms of mass collection of data from their platforms (e.g., through API access, discussed further below), in furtherance of their own or third parties’ commercial interests, such as those associated with platform management.	いくつかのSMCは、特定の状況において、プラットフォーム管理に関連するものなど、自社またはサードパーティの商業的利益を促進するために、スクレイピングまたは自社のプラットフォームからのデータの他の形態の大量収集（たとえば、APIアクセスを通じて、さらに後述する）を許可していることを示した。
21. The companies explained that they generally “authorize” such collection via contractual terms, such as those in their Terms and Conditions. SMCs further explained that to ensure that the scraping that they permit is lawful, their contractual terms generally require third parties on their platform to comply with applicable laws. They also explained that it can be difficult for them to determine whether scraped data is used by those parties solely for purposes allowed by their contract.	各社は、通常、利用規約などの契約条項を通じて、このような収集を「認可」していると説明している。SMCはさらに、自社が許可するスクレイピングが合法的であることを保証するため、自社の契約条項では通常、自社のプラットフォーム上のサードパーティが適用法を遵守するよう求めていると説明した。また、スクレイピングされたデータが、契約によって許可された目的のためだけに第三者によって使用されているかどうかを判断するのは難しい場合があると説明した。
22. The co-signatories note that contractual terms cannot in and of themselves render data scraping lawful. For example, organizations must also ensure that they have a lawful basis for granting access or permitting collection of personal data, that they are transparent about the scraping they allow, and that they obtain consent where required by law.	共同署名者は、契約条項それ自体がデータスクレイピングを合法的なものにすることはできないと指摘している。例えば、組織は、個人データへのアクセスを許可したり、個人データの収集を許可したりするための合法的な根拠があること、許可しているスクレイピングについて透明性があること、法律で義務付けられている場合は同意を得ることなども確認しなければならない。
23. Furthermore, while contractual terms are an important safeguard against unlawful scraping, a contractual term indicating that third parties must comply with applicable laws is not sufficient. Organizations should implement adequate measures to ensure that contractually-allowed use of scraped personal data is compliant with applicable data protection and privacy laws. The contract could, for example, specify limitations on the information that may be scraped and the purposes for which it may be used, as well as the consequences for non-compliance with those terms. However, organizations cannot simply rely on contractual measures. They should also implement measures to monitor third parties’ compliance with contractual limitations, and to enforce compliance when those terms are not respected.	さらに、契約条項は違法なスクレイピングに対する重要なセーフガードであるが、サードパーティが適用法を遵守しなければならないことを示す契約条項だけでは不十分である。組織は、契約により許可されたスクレイピングされた個人データの使用が、適用されるデータ保護法およびプライバシー法に準拠していることを保証するための適切な措置を実施すべきである。例えば、契約には、スクレイピングできる情報とその使用目的の制限、およびこれらの条件に違反した場合の結果を明記することができる。しかし、組織は単に契約上の措置に頼ることはできない。サードパーティが契約上の制限を遵守していることを監視し、それらの条件が遵守されていない場合に遵守を強制するための手段も導入すべきである。
Access to data for research and other potentially socially beneficial purposes	研究およびその他の潜在的に社会的に有益な目的のためのデータへのアクセス
24. In certain circumstances, SMCs may be required by law to provide third parties, such as researchers, with large-scale access to publicly accessible data on their platforms (e.g., pursuant to Article 40 of the EU Digital Services Act Footnote6). In other circumstances, we learned that SMCs may choose to provide data access to third parties, even where there is no legal requirement to do so (e.g., in support of socially beneficial research). Several of the companies indicated that they often provide such access via an API, in particular where they are required or permitted by law to grant large-scale access.	特定の状況においては、SMCは、研究者などのサードパーティに対して、そのプラットフォーム上の一般にアクセス可能なデータへの大規模なアクセスを提供することを法律で義務付けられている場合がある（例えば、EUデジタルサービス法第40条 脚注6）。他の状況においては、SMCは、たとえ法的要件がない場合であっても、第三者にデータアクセスを提供することを選択することができる（例えば、社会的に有益な研究を支援するため）。いくつかの企業は、特に法律で大規模なアクセスを許可することが義務付けられ ているか許可されている場合、APIを介してそのようなアクセスを提供することが多いと述べた。
25. While the co-signatories acknowledge the importance of socially beneficial research, they wish to remind SMCs and other organizations that host publicly accessible personal data that, when allowing large-scale access or collection, organizations must ensure that they are complying with applicable data protection and privacy laws, including by ensuring that there is a lawful basis for granting access or permitting collection. Specifically, the co-signatories note that not all data protection and privacy laws provide for “public interest”, research or statistical purposes as an exception to the requirement for consent or as a lawful basis for the processing of personal data. Further, where such exceptions do exist, there may be limitations on the scope of their application.	共同署名者は、社会的に有益な研究の重要性を認識する一方で、SMCおよび一般にアクセス可能な個人データをホストする他の組織に対し、大規模なアクセスまたは収集を許可する場合、組織は、アクセスを許可または収集を許可する合法的な根拠があることを確認することを含め、適用されるデータ保護法およびプライバシー法を遵守していることを確認しなければならないことを念押ししたい。具体的には、すべてのデータ保護・プライバシー法が、「公益」、研究、統計目的を、同意要件の例外として、またはパーソナルデータの処理の合法的根拠として規定しているわけではないことに、共同署名者は留意する。さらに、このような例外が存在する場合、その適用範囲に制限がある場合もある。
26. The co-signatories also recognize that, where it is lawful to allow large-scale access or collection, APIs can represent a further safeguard against unlawful scraping. While APIs are not impenetrable, they can afford the host greater control over the data on its platform and facilitate detection and mitigation of unauthorized access, via the use of credentials as well as logging and monitoring of associated activity.	また、大規模なアクセスや収集が合法的である場合、APIは違法なスクレイピングに対する更なる安全策となり得ることを、共同署名者は認識している。APIは不可侵ではないが、ホストのプラットフォーム上のデータに対するアクセス管理者を増やし、認証情報の使用や関連する活動の記録・監視を通じて、不正アクセスの検知と低減を容易にすることができる。
SMC usage of scraped data and data from their own platforms for AI development	SMCによるスクレイピング・データと自社プラットフォームからのデータのAI開発への利用
27. The co-signatories took the opportunity presented by this initiative to engage with SMCs about their own scraping of data and use of scraped data sets to train their Large Language Models, which present not only opportunities for innovation but also significant privacy risks.	共同提唱者は、このイニシアチブの機会を利用して、SMCによるデータのスクレイピングと、大規模言語モデルの訓練におけ るスクレイピング・データセットの利用について、SMCに働きかけた。
28. Based on what was learned through these engagements, the co-signatories wish to remind SMCs and other organizations who may use scraped personal data or data collected from their own platforms for the development, operation and deployment of generative AI systems, that they must comply with data protection and privacy laws, as well as any other AI-specific laws where they exist. The co-signatories also call on these organizations to comply with privacy and data protection principles like those detailed in the 2023 Global Privacy Assembly Resolution on Generative Artificial Intelligence Systems and other international guidance Footnote7. Specifically, the co-signatories note that data protection and privacy laws regulate whether and to what extent the collection and use of personal data for AI development is lawful.	これらの取り組みを通じて得られた知見に基づき、共同署名者は、生成的AIシステムの開発、運用、配備のために、スクレイピングされた個人データや独自のプラットフォームから収集されたデータを使用する可能性のあるSMCやその他の組織に対し、データ保護法やプライバシー法、およびその他のAI固有の法律が存在する場合はそれらを遵守しなければならないことを喚起したい。共同署名者はまた、これらの組織に対し、生成的人工知能システムに関する2023年世界プライバシー総会決議やその他の国際ガイダンス（注7）に詳述されているようなプライバシー・データ保護原則を遵守するよう求める。具体的には、データ・プライバシー保護法は、AI開発のための個人データの収集と利用が合法的かどうか、またどの程度まで合法的かを規制するものであることを、共同署名者は指摘している。
Conclusion	結論
29. Since the release of the initial statement, unlawful data scraping has gained increasing attention, in part due to the rapid emergence and deployment of generative AI systems. Data scraping has also been, and continues to be, widely discussed globally both by data protection authorities and industry.	最初の声明を発表して以来、生成的AIシステムの急速な出現と展開もあり、違法なデータスクレイピングはますます注目を集めている。また、データスクレイピングは、データ保護当局と産業界の双方によって世界的に広く議論されており、現在も議論が続いている。
30. The co-signatories wish to recognize the work of the individual data protection authorities that have produced guidance Footnote8 to address practices related to data scraping. In this guidance, we note the common theme that publicly accessible personal data is generally subject to data protection and privacy laws and should be adequately protected against unlawful scraping.	共同署名者は、データスクレイピングに関連する慣行に対処するためのガイダンス（脚注8）を作成した個々のデータ保護当局の活動を評価したい。このガイダンスでは、一般に公開された個人データはデータ保護法およびプライバシー法の対象者であり、違法なスクレイピングから適切に保護されるべきであるという共通テーマに留意する。
31. The co-signatories also want to emphasise their expectation that all companies, not just SMCs, protect the publicly accessible personal information that they host against unlawful scraping. Failure to implement adequate safeguards in compliance with applicable laws could result in regulatory intervention, including enforcement action.	また、共同署名者は、SMCだけでなくすべての企業が、ホスティングしている一般にアクセス可能な個人情報を、違法なスクレイピングから保護することへの期待を強調したい。適用法に従って適切な保護措置を講じない場合、強制措置を含む規制当局の介入を受ける可能性がある。
32. The co-signatories also wish to remind those engaged in data scraping, as well as SMCs and other organizations who use data from their own platforms to train AI, that they should implement measures to ensure that their data practices comply with data protection and privacy laws.	共同署名者はまた、データ・スクレイピングに従事している人々、および自社のプラットフォームからデータを使用してAIを訓練しているSMCやその他の組織に対し、そのデータ慣行がデータ保護法やプライバシー法に準拠していることを保証するための対策を実施すべきであることを喚起したい。
33. Data scraping is a complex, broad and evolving issue that is, and will stay on the radar of data protection authorities. It should also be a focus for other stakeholders that have a role in protecting privacy, including those with whom we engaged in the course of this initiative. The co-signatories will continue to work to promote compliance in this area, including via future engagement with concerned stakeholders, complementary policy development, public education campaigns, and enforcement Footnote9, including collaborative enforcement.	データスクレイピングは、複雑かつ広範で、進化し続ける問題であり、データ保護当局の監視の的であり続けるだろう。また、このイニシアチブの過程で私たちが関与した関係者を含め、プライバシー保護に役割を持つ他の関係者にとっても注目すべき問題である。共同署名者は、関係する利害関係者との今後の関与、補完的な政策立案、一般市民への教育キャンペーン、および共同執行を含む執行（脚注9）を通じて、この分野のコンプライアンスを促進するために引き続き取り組んでいく。
34. Meanwhile, the co-signatories encourage SMCs to continue to collaborate with each other and with other stakeholders to share knowledge and strategies and develop solutions to address and respond to this common threat.	一方、共同署名国は、SMCに対し、知識と戦略を共有し、この共通の脅威に対処し、それに対応するための解決策を策定するため、引き続き相互および他の利害関係者と協力するよう促す。
35. The co-signatories wish to thank the SMCs and industry stakeholders who demonstrated openness in discussions with regulators. This enabled the co-signatories to develop and share their expectations without the need for formal, resource-intensive enforcement action, to the benefit of all.	共同署名者は、規制当局との協議においてオープンな姿勢を示したSMCと業界関係者に感謝の意を表したい。これにより、共同署名者は、正式な、リソースを要する強制措置を必要とすることなく、自分たちの期待を発展させ、共有することができた。
This statement is endorsed by the following members of the GPA’s International Enforcement Cooperation Working Group (“IEWG”).	本声明は、GPAの国際執行協力作業部会（IEWG）の以下のメンバーによって承認された。

Footnotes	脚注
1. Application Programming Interface (API) — a way of communicating with a particular computer program or internet service.	1. アプリケーション・プログラミング・インターフェース（API） — 特定のコンピュータプログラムやインターネットサービスと通信する方法。
2. Office of the Australian Information Commissioner (OAIC); Office of the Privacy Commissioner of Canada (OPC-Canada); United Kingdom Information Commissioner’s Office, (ICO); Hong Kong Office of the Privacy Commissioner for Personal Data (PCPD); Norway Data Protection Authority (Datatilsynet); Swiss Federal Data Protection and Information Commissioner (FDPIC); Colombian Superintendencia Industria y Comercio (SIC); Office of the Privacy Commissioner of New Zealand (OPC-New Zealand); Jersey Office of the Information Commissioner (JOIC); Moroccan Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP); Argentine Agencia de Acceso a la Información Pública (AAPI); Mexican Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, (INAI); Guernsey Office of the Data Protection Authority (ODPA); Spain Agencia Española de Protección de Datos (AEPD); Monaco Commission de Contrôle des Informations Nominatives (CCIN); Israel Privacy Protection Authority (PPA).	2. オーストラリア情報コミッショナー事務局（OAIC）、カナダプライバシー・コミッショナー事務局（OPC-Canada）、英国情報コミッショナー事務局（ICO）、香港個人データプライバシー・コミッショナー事務局（PCPD）、ノルウェーデータ保護（Datatilsynet）、スイス連邦データ保護・情報コミッショナー（FDP IC）、コロンビア産業商業監督局（SIC）、ニュージーランドプライバシー・コミッショナー事務局（OPC-NZ）、ジャージー情報コミッショナー事務局（JOIC）、モロッコ個人情報保護監督委員会（CNDP）、アルゼンチン情報公開庁（API API）、メキシコ国立情報透明性・情報アクセス・個人情報保護院（INAI）、ガーンジー情報保護当局（ODPA）、スペインデータ保護局（AEPD）、モナコ氏名情報管理委員会（CCIN）、イスラエルプライバシー保護局（PPA）。
3. The Mitigating Unauthorized Scraping Alliance describes itself as an organization that unites industry and regulators to combat unauthorized data scraping, aiming to promote best practices, raise public awareness, and provide valuable insights to policymakers.	3. 無断スクレイピング低減同盟（Mitigating Unauthorized Scraping Alliance）は、無断データスクレイピングに対抗するために業界と規制当局を結集する組織であり、ベストプラクティスの推進、一般市民の意識向上、政策立案者への貴重な洞察の提供を目的としている。
4. A bot is an automated software application that performs repetitive tasks over a network. It can follows specific instructions to imitate human behavior.	4. ボットとは、ネットワーク上で反復的なタスクを実行する自動化されたソフトウェアアプリケーションである。特定の指示に従って、人間の行動を模倣することができる。
5. A CAPTCHA is a program or system intended to distinguish human from machine input.	5. CAPTCHAとは、人間と機械の入力を区別することを目的としたプログラムまたはシステムである。
6. Article 40, Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act):	6. 第40条、デジタルサービス単一市場および指令2000/31/EC（デジタルサービス法）の改正：
Upon a reasoned request from the Digital Services Coordinator of establishment, providers of very large online platforms or of very large online search engines shall, within a reasonable period, as specified in the request, provide access to data to vetted researchers who meet the requirements in paragraph 8 of this Article, for the sole purpose of conducting research that contributes to the detection, identification and understanding of systemic risks in the Union, as set out pursuant to Article 34(1), and to the assessment of the adequacy, efficiency and impacts of the risk mitigation measures pursuant to Article 35.	デジタルサービス調整官の根拠ある要請があった場合、大規模オンラインプラットフォームまたは大規模オンライン検索エンジンのプロバイダは、要請に明記された妥当な期間内に、 第34条(1)に従って定められた欧州連合におけるシステミック・リスクの検知、特定、理解に資する研究、および第35条に従ったリスク低減措置の適切性、効率性、影響のアセスメントを唯一の目的として、
7. See the Roundtable of G7 Data Protection and Privacy Authorities 2023 Statement on Generative AI, the Hiroshima Process International Code of Conduct for Advanced AI Systems and other.	7. G7データ保護・プライバシー当局ラウンドテーブルの2023年生成的AIに関する声明、高度なAIシステムに関する広島プロセス国際行動規範などを参照。
8. The Dutch DPA (Autoriteit Persoonsgegevens) issued guidelines and the Italian DPA (Garante Per La Protezione Dei Dati Personali) issued instructions to defend personal data from web scraping. The UK Information Commissioner’s Office consultation on generative AI and data protection, including web scraping to train generative AI.	8. オランダのDPA（Autoriteit Persoonsgegevens）はウェブスクレイピングから個人データを防御するためのガイドラインを、イタリアのDPA（Garante Per La Protezione Dei Dati Personali）は指示を発行した。英国情報コミッショナー事務局による生成的AIとデータ保護に関する協議（生成的AIの訓練のためのウェブスクレイピングを含む）。
9. Joint investigations of Clearview AI, Inc. by: the Office of the Privacy Commissioner of Canada, the Commission d’accès à l’information du Québec, the Information and Privacy Commissioner for British Columbia, and the Information Privacy Commissioner of Alberta; and by the UK Information Commissioner’s Office and the Office of the Australian Information Commissioner.	9. カナダプライバシー・コミッショナー事務局、ケベック情報アクセス委員会、ブリティッシュコロンビア州情報・プライバシー・コミッショナー、アルバータ州情報プライバシー・コミッショナー、および英国情報コミッショナー事務局とオーストラリア情報コミッショナー事務局によるクリアビューAI社に対する共同調査。

 

 

初回の共同声明

・2023.08.24 Joint statement on data scraping and the protection of privacy

Joint statement on data scraping and the protection of privacy	データ・スクレイピングとプライバシー保護に関する共同声明
24-Aug-23	2023年8月24日
Key takeaways	要点
・Personal information that is publicly accessible is still subject to data protection and privacy laws in most jurisdictions.	・一般にアクセス可能な個人情報は、ほとんどの法域においてデータ・プライバシー法の対象者である。
・Social media companies and the operators of websites that host publicly accessible personal data have obligations under data protection and privacy laws to protect personal information on their platforms from unlawful data scraping.	・ソーシャルメディア企業および一般にアクセス可能な個人データをホストするウェブサイトの運営者は、データ保護法およびプライバシー法の下で、自社のプラットフォーム上の個人情報を違法なデータ・スクレイピングから保護する義務を負う。
・Mass data scraping incidents that harvest personal information can constitute reportable data breaches in many jurisdictions.	・個人情報を収集する大量のデータスクレイピングインシデントは、多くの法域において報告義務のあるデータ漏えいを構成する可能性がある。
・Individuals can also take steps to protect their personal information from data scraping, and social media companies have a role to play in enabling users to engage with their services in a privacy protective manner.	・また、個人はデータ・スクレイピングから個人情報を保護するための措置を講じることができ、ソーシャルメディア企業は、ユーザーがプライバシーを保護する方法で自社のサービスに関与できるようにする役割を担っている。
Introduction	序文
1. Data scraping generally involves the automated extraction of data from the web. Data protection authorities are seeing increasing incidents involving data scraping, particularly from social media and other websites that host publicly accessible data.	データスクレイピングは一般的にウェブからのデータの自動抽出を含む。データ保護当局は、特にソーシャルメディアや一般にアクセス可能なデータをホストする他のウェブサイトからのデータスクレイピングに関わるインシデントが増加していることを目の当たりにしている。
2. The capacity of data scraping technologies to collect and process vast amounts of individuals’ personal information from the internet raises significant privacy concerns, even when the information being scraped is publicly accessible.	インターネットから膨大な量の個人データを収集・処理するデータ・スクレイピング技術の能力は、スクレイピングされる情報が一般にアクセス可能である場合でも、プライバシーに重大な懸念をもたらす。
3. In most jurisdictions, personal information that is “publicly available”, “publicly accessible” or “of a public nature” on the internet, is subject to data protection and privacy laws. Individuals and companies that scrape such personal information are therefore responsible for ensuring that they comply with these and other applicable laws. However, social media companies and the operators of other websites that host publicly accessible personal information (SMCs and other websites) also have data protection obligations with respect to third-party scraping from their sites. These obligations will generally apply to personal information whether that information is publicly accessible or not. Mass data scraping of personal information can constitute a reportable data breach in many jurisdictions.	ほとんどの法域において、インターネット上で「公に入手可能」、「公にアクセス可能」、または「公の性質を有する」個人情報は、データ保護法およびプライバシー法の対象者である。したがって、そのような個人情報をスクレイピングする個人や企業は、これらの法律やその他の適用法を確実に遵守する責任がある。しかし、ソーシャルメディア企業や、一般にアクセス可能な個人情報をホストする他のウェブサイト（SMCや他のウェブサイト）の運営者も、そのサイトからのサードパーティによるスクレイピングに関してデータ保護義務を負う。これらの義務は、一般に、その情報が一般にアクセス可能であるか否かにかかわらず、個人情報に適用される。個人情報の大量データスクレイピングは、多くの法域において報告義務のあるデータ漏えいを構成する可能性がある。
4. Scraped personal information can be exploited for various purposes, such as monetization through re-use on third-party websites, sale to malicious actors, or private analysis or intelligence gathering, resulting in serious risks to individuals as explained further below.	スクレイピングされた個人情報は、サードパーティーのウェブサイトでの再利用による収益化、悪意のある行為者への販売、私的分析や情報収集など、さまざまな目的で悪用される可能性があり、以下にさらに説明するように、個人に対する深刻なリスクをもたらす。
5. SMCs and other websites should carefully consider the legality of different types of data scraping in the jurisdictions applicable to them and implement measures to protect against unlawful data scraping.	SMCやその他のウェブサイトは、自らに適用される法域における様々なタイプのデータスクレイピングの合法性を注意深く検討し、違法なデータスクレイピングから保護するための対策を実施すべきである。
6. The aim of this joint statement is to:	この共同声明の目的は以下の通りである：
・Outline the key privacy risks associated with data scraping;	・データ・スクレイピングに関連する主要なプライバシー・リスクを概説する；
・Set out how SMCs and other websites should protect individuals’ personal information from unlawful data scraping to meet regulatory expectations; and	・SMCおよびその他のウェブサイトが、規制上の期待に応えるために、個人の個人情報を違法なデータ・スクレイピングからどのように保護すべきかを示す；
・Set out steps that individuals can take to minimise the privacy risks from scraping.	・スクレイピングによるプライバシー・リスクを最小化するために個人が講じることのできる措置を示す。
7. We have published this joint statement for the benefit of SMCs and other websites, as well as for individuals who use and post personal information on these websites. It has also been sent directly to Alphabet Inc. (YouTube), ByteDance Ltd (TikTok), Meta Platforms, Inc. (Instagram, Facebook and Threads), Microsoft Corporation (LinkedIn), Sina Corp (Weibo), and X Corp. (X, previously Twitter).	この共同声明は、SMCやその他のウェブサイトのために、またこれらのウェブサイトを利用し個人情報を掲載する個人のために発表された。また、Alphabet Inc.（YouTube）、ByteDance Ltd.（TikTok）、Meta Platforms, Inc.（Instagram、Facebook、Threads）、Microsoft Corporation（LinkedIn）、Sina Corp.（Weibo）、X Corp.（X、旧Twitter）にも直接送付した。
8. The practices outlined in this joint statement reflect common global data protection principles and practices, and are designed to help protect against data scraping of personal information and mitigate against its privacy impacts. While the expectations are phrased as recommendations (using the term “should”), many of them are explicit statutory requirements in particular jurisdictions or may be interpreted as such by courts and data protection authorities.	この共同声明で概説されているプラクティスは、世界共通のデータ保護の原則とプラクティスを反映したものであり、個人情報のデータ・スクレイピングから保護し、プライバシーへの影響を軽減することを目的としている。期待されることは推奨（「should 」という用語を使用）として表現されているが、その多くは特定の法域における明確な法的要件であるか、裁判所やデータ保護当局によってそのように解釈される可能性がある。
9. We recognise that some SMCs have implemented controls to address data scraping of publicly accessible personal information, including for example, through court action or governance initiatives. The principles and expectations included in this open letter are informed by, and build on, that activity.	我々は、いくつかのSMCが、例えば裁判やガバナンス・イニシアチブを通じ て、一般にアクセス可能な個人情報のデータスクレイピングに対処するための管理体制を導入して いることを認識している。この公開書簡に含まれる原則と期待は、そのような活動から情報を得て、それを基礎としている。
Privacy risks	プライバシー・リスク
10. In recent years, many data protection authorities have seen increased reports of mass data scraping from SMCs and other websites. The reports raise a number of privacy concerns, including the use of scraped data for:	近年、多くのデータ保護当局は、SMCやその他のウェブサイトからの大量のデータ・スクレイピングに関する報告の増加を目にしてきた。この報告書は、スクレイピングされたデータの使用を含む、多くのプライバシーに関する懸念を提起している：
・Targeted cyberattacks – for example, scraped identity and contact information posted on ‘hacking forums’ may be used by malicious actors in targeted social engineering or phishing attacks	・標的型サイバー攻撃 - 例えば、「ハッキング・フォーラム」に投稿されたスクレイピングされた ID や連絡先情報は、悪意ある行為者によって標的型ソーシャル・エンジニアリング攻撃やフィッシング攻撃で使用される可能性がある
・Identity fraud – scraped data may be used to submit fraudulent loan or credit card applications, or to impersonate the individual by creating fake social media accounts	・個人情報詐欺 - スクレイピングされたデータは、不正なローンやクレジットカードの申請を提出したり、偽のソーシャル・メディア・ア カウントを作成して個人になりすましたりするために使用される可能性がある
・Monitoring, profiling and surveilling individuals – scraped data may be used to populate facial recognition databases and provide unauthorised access to authorities	・監視、 個人のプロファイリングと監視-スクレイピングされたデータは、顔認識データベースを構築し、 当局に不正アクセスを提供するために使用される可能性がある
・Unauthorised political or intelligence gathering purposes – scraped data may be used by foreign governments or intelligence agencies for unauthorised purposes	・無許可の政治的または情報収集目的-スクレイピングされたデータは、無許可の目的のために外国 政府または情報機関によって使用される可能性がある
・Unwanted direct marketing or spam – scraped data may include contact information that can be used to send bulk unsolicited marketing messages.	・不要なダイレクトマーケティングまたはスパム-スクレイピングされたデータには、大量 の未承諾マーケティングメッセージの送信に使用できる連絡先情報が含まれる可能性がある。
11.More broadly, individuals lose control of their personal information when it is scraped without their knowledge and against their expectations. For example, data scrapers may aggregate and combine scraped data from one site with other personal information, and use it for unexpected purposes. This can undermine individuals’ trust in the SMC or other websites, with potentially detrimental impacts on the digital economy. Moreover, even if individuals decide to delete their information from a social media account, data scrapers will likely continue using and sharing information they have already scraped, limiting individuals’ control over their online presence and reputation.	より広範に言えば、個人情報が本人の認識なく、また本人の期待に反してスクレイピングされると、個人は自分の個人情報を管理できなくなる。例えば、データスクレイパーは、あるサイトからスクレイピングされたデータを他の個人情報と集約・結合し、予期せぬ目的で使用することがある。これは、SMCや他のウェブサイトに対する個人の信頼を損ない、デジタル経済に悪影響を及ぼす可能性がある。さらに、たとえ個人がソーシャルメディアのアカウントから自分の情報を削除することを決めたとしても、データ管理者はすでにスクレイピングした情報を使い続け、共有し続ける可能性が高い。
SMCs and other websites should protect personal information from unlawful data scraping	SMCおよびその他のウェブサイトは、違法なデータスクレイピングから個人情報を保護すべきである
12. SMCs and other websites are responsible for protecting individuals’ personal information from unlawful data scraping.	SMCおよびその他のウェブサイトは、違法なデータスクレイピングから個人の個人情報を保護する責任がある。
13. Techniques for scraping and extracting value from publicly accessible data are constantly emerging and evolving. Data security is a dynamic responsibility and vigilance is paramount.	一般にアクセス可能なデータからスクレイピングし、価値を抽出する技術は常に出現し、進化している。データセキュリティは動的な責任であり、警戒が最も重要である。
14. As no one safeguard will adequately protect against all potential privacy harms associated with data scraping, SMCs and other websites should implement multi-layered technical and procedural controls to mitigate the risks. A combination of these controls should be used that is proportionate to the sensitivity of the information, and may include:	データ・スクレイピングに関連するすべての潜在的プライバシー被害に対して、一つの防御策で十分に保護することはできないため、SMCやその他のウェブサイトは、リスクを軽減するために、多層的な技術的・手続き的管理を実施すべきである。情報の機密性に見合ったこれらの管理策を組み合わせて使用すべきであり、以下を含むことができる：
・Designating a team and/or specific roles within the organisation to identify and implement controls to protect against, monitor for, and respond to scraping activities.	・スクレイピング行為から保護し、監視し、対応するための管理策を特定し、実施するためのチームおよび／または組織内の特定の役割を指定する。
・‘Rate limiting’ the number of visits per hour or day by one account to other account profiles, and limiting access if unusual activity is detected.	・あるアカウントによる他のアカウントプロファイルへの1時間または1日のアクセス数を「レート制限」し、異常な活動が検知された場合はアクセスを制限する。
・Monitoring how quickly and aggressively a new account starts looking for other users. If abnormally high activity is detected, this could be indicative of unacceptable usage.	・新しいアカウントが他のユーザーをどれだけ早く積極的に探し始めるかを監視する。異常に高いアクティビティが検知された場合、これは許容できない利用を示している可能性がある。
・Taking steps to detect scrapers by identifying patterns in 'bot'Footnote1 activity. For example, a group of suspicious IP addresses can be detected by monitoring from where a platform is being accessed by using the same credentials from multiple locations. This would be suspicious where these accesses are occurring within a short period of time.	・ボット」識別1活動のパターンを特定することで、スクレイパーを検知する。例えば、不審なIPアドレスのグループは、複数の場所から同じ認証情報を使用してプラットフォームにアクセスしている場所を監視することで検知できる。このようなアクセスが短期間に発生している場合は疑わしい。
・Taking steps to detect bots, such as by using CAPTCHAsFootnote2, and blocking the IP address where data scraping activity is identified.	・CAPTCHA（識別2）を使用するなどしてボットを検知し、データスクレイピングが確認されたIPアドレスをブロックする。
・Where data scraping is suspected and/or confirmed, taking appropriate legal action such as the sending of ‘cease and desist’ letters, requiring the deletion of scraped information, obtaining confirmation of the deletion, and other legal action to enforce terms and conditions prohibiting data scraping.	デ・ータスクレイピングが疑われる場合、および／または確認された場合、「停止および中止」の書簡の送付、スクレイピングされた情報の削除の要求、削除の確認の取得、およびデータスクレイピングを禁止する条件を執行するためのその他の法的措置など、適切な法的措置をとること。
・In jurisdictions where the data scraping may constitute a data breach, notifying affected individuals and privacy regulators as required.	・データ・スクレイピングがデータ侵害を構成する可能性がある法域では、必要に応じて影響を受ける個人およびプライバシー規制当局に通知する。
15. In addition to security controls like those mentioned above, SMCs and other websites also have a role to play in enabling users to engage with their services in a privacy protective manner. To this end, SMCs and other websites should proactively support their users so that they can make informed decisions about how they use the platform and what personal information they share. This should also involve increasing user awareness and understanding of the privacy settings they can utilize, as discussed further below.	上記のようなセキュリティ管理に加えて、SMCやその他のウェブサイトは、ユーザーがプライバシーを保護する方法でサービスに関与できるようにする役割も担っている。この目的のために、SMCやその他のウェブサイトは、利用者がどのようにプラットフォームを利用し、どのような個人情報を共有するかについて、十分な情報を得た上で決定できるよう、積極的に支援すべきである。これには、さらに後述するように、利用者が利用できるプライバシー設定について、利用者の認識と理解を高めることも含まれるべきである。
16. If any safeguards implemented to protect against data scraping involve processing of personal information, SMCs and other websites should ensure that this processing complies with any applicable data protection or privacy law requirements. As a matter of good practice and to ensure transparency, these entities should also inform their users of the steps they have taken to protect against data scraping.	データ・スクレイピングから保護するために実施されるセーフガードに個人情報の処理が含まれる場合、SMCおよびその他のウェブサイトは、この処理が適用されるデータ保護法またはプライバシー法の要件に準拠していることを確認する必要がある。グッドプラクティスとして、また透明性を確保するために、これらの事業 体は、データスクレイピングから保護するために講じた措置をユーザーにも知らせる べきである。
17. Given the dynamic nature of data scraping threats, SMCs and other websites should continuously monitor for, and respond with agility to, new security risks and threats from malicious or other unauthorised actors to their platform. Controls should be routinely stress-tested and updated to ensure that they remain effective and keep pace with changing technologies. SMCs and other websites should also collect and analyse metrics on scraping incidents, to inform and identify areas of improvement in their security control framework.	データスクレイピングの脅威の動的な性質を考慮すると、SMCやその他のウェブサイトは、そのプラットフォームに対する悪意のある行為者やその他の無許可の行為者からの新たなセキュリティリスクや脅威を継続的に監視し、機敏に対応すべきである。コントロールは、定期的にストレステストを行い、効果的であり続け、変化するテクノロジーに対応できるよう更新されるべきである。また、SMCやその他のウェブサイトは、スクレイピングのインシデントに関する指標を収集・分析し、セキュリティ・コントロールの枠組みにおける改善点を明らかにすべきである。
Steps that individuals can take to minimise the privacy risks from data scraping	データ・スクレイピングによるプライバシーリスクを最小化するために個人が取ることのできる措置
18. Although the security controls outlined above may mitigate the risks associated with data scraping, no safeguards are 100% effective and individuals should therefore be mindful that the personal information they share online may be at risk.	上述のセキュリティ管理者はデータ・スクレイピングに関連するリスクを軽減することができるかもしれないが、100％有効なセーフガードはないため、個人はオンラインで共有する個人情報がリスクにさらされる可能性があることを念頭に置くべきである。
19. While this joint statement focuses on the measures that SMCs and other websites can implement to mitigate against the risk of data scraping, individuals can also take steps to empower themselves and better protect their personal information, including:	この共同声明は、データスクレイピングのリスクを軽減するためにSMCや他のウェブサイトが実施できる対策に焦点を当てているが、個人もまた、自分自身を強化し、個人情報をよりよく保護するために、以下のような対策を講じることができる：
・Read the information provided by the SMC or other website about how they share personal information, including the privacy policy – Specifically focussing on the website’s policies on sharing and disclosure will assist individuals in making an informed decision on what information they choose to share, and in understanding the resulting privacy risks.	プライバシーポリシーなど、SMCやその他のウェブサイトが個人情報をどのように共有するかについてプロバイダが提供する情報を読む - 特に、共有と開示に関するウェブサイトのポリシーに注目することで、個人がどのような情報を共有するかについて十分な情報を得た上で決断し、その結果生じるプライバシーリスクを理解する助けとなる。
・Think about the amount and kinds of information shared – Individuals should consider limiting the information that they post online. In particular, individuals should be cautious to limit the sharing of sensitive information and consider if sharing certain information (such as personal details, account numbers or identification numbers) may put them at risk of reputational damage, discrimination, harassment, identity fraud or theft.	共有する情報の量と種類について考える - 個人は、オンラインに掲載する情報を制限することを検討すべきである。特に、機密性の高い情報の共有は慎重に制限し、特定の情報（個人情報、口座番号、身分証明書番号など）を共有することで、風評被害、識別的嫌がらせ、なりすまし詐欺、窃盗などのリスクにさらされる可能性があるかどうかを検討すべきである。
・Understand and manage privacy settings – While individual-user privacy settings can only go so far in providing privacy protection, they can and should help individuals increase the control they have over how their personal information is shared online. Accordingly, website users should consider using these settings to limit the information that they make publicly accessible.	プライバシーの設定を理解し、管理する - プライバシー保護を提供する上で、個々のユーザーのプライバシー設定にできることは限られているが、オンライン上で個人情報がどのように共有されるかを個人がコントロールできるようにすることは可能であり、またそうすべきである。したがって、ウェブサイト利用者は、これらの設定を使用して、一般にアクセス可能な情報を制限することを検討すべきである。
20. Ultimately, we encourage individuals to think long term. How would a person feel years later, about the information that they share today? While SMCs and other websites may offer tools to delete or hide information, that same information can live forever on the Web if it has been indexed or scraped, and onward shared.	最終的には、長期的な視野で考えることをお勧めする。今日共有した情報について、数年後、その人はどう感じるだろうか？SMCや他のウェブサイトは、情報を削除したり隠したりするツールを提供しているかもしれないが、同じ情報がインデックス化されたりスクレイピングされたり、共有されたりすれば、ウェブ上で永遠に生き続ける可能性がある。
21. If individuals are concerned that their data may have been scraped unlawfully, or improperly, then they can contact the SMC or website, and if dissatisfied with the response, they can file a complaint with their relevant data protection authority. They may also wish to review their privacy settings and the information that they are sharing online, to make changes and remove personal information as needed.	自分のデータが違法に、あるいは不適切にスクレイピングされたかもしれないと認可が懸念される場合は、SMCやウェブサイトに連絡し、その対応に不満があれば、関連するデータ保護当局に苦情を申し立てることができる。また、プライバシー設定やオンラインで共有している情報を見直し、必要に応じて個人情報を変更・削除することもできる。
Conclusion	結論
22. The expectations in this joint statement set out key areas for SMCs and other websites to focus on with a view to ensuring that they protect personal information accessible on their websites from data scraping, particularly so that they are compliant with data protection and privacy laws around the world. Protecting against data scraping will also support SMCs and other websites in building the trust and confidence of their userbase.	この共同声明で期待されることは、SMCおよびその他のウェブサイトが、そのウェブサイト上でアクセス可能な個人情報をデータ・スクレイピングから確実に保護することを視野に入れ、特に世界中のデータ保護法およびプライバシー法に準拠するよう、重点的に取り組むべき重要な分野を示している。また、データスクレイピングからの防御は、SMCやその他のウェブサイトが、そのユーザー層からの信頼と信用を築くことにもつながる。
23. SMCs and other websites can further protect their users’ information and reinforce user trust by actively informing their users of the steps they can take to protect their personal information, like those outlined above.	SMCやその他のウェブサイトは、上記のような個人情報を保護するための手段を積極的にユーザーに知らせることで、ユーザーの情報をさらに保護し、ユーザーの信頼を強化することができる。
24. We welcome any feedback from SMCs by 1 month from the issuance of this statement demonstrating how they comply with the expectations outlined in this joint statement. Any responses will be shared amongst signatories and may be published.	我々は、この共同声明で説明された期待に、SMCがどのように準拠しているかを示すために、この声明の発行から1ヶ月までに、SMCからのフィードバックを歓迎する。いかなる回答も署名者間で共有され、公表される可能性がある。
This statement is endorsed by the following members of the GPA’s International Enforcement Cooperation Working Group (“IEWG”).	本声明は、GPAの国際執行協力作業部会（IEWG）の以下のメンバーによって承認された。
Footnotes	脚注
1. A 'bot' – a computer program that performs automatic repetitive tasks, or a computer application designed to automate certain tasks (such as gathering information online), especially one designed to perform a malicious action. Merriam-Webster Dictionary	1. 「ボット」 - 自動反復作業を行うコンピュータプログラム、または特定の作業（オンラインでの情報収集など）を自動化するように設計されたコンピュータアプリケーション（特に、悪意のある行為を行うように設計されたもの）。Merriam-Webster Dictionary
2. A CAPTCHA is a Completely Automated Public Turing test to tell Computers and Humans Apart. This is a program that tests whether a user is a human or an automated program (e.g. a bot) (PC Mag, Definition of CAPTCHA). Some examples of CAPTCHAs are programs that require a user to: interpret text that is distorted, or look at a set of similar pictures and identify which of these contain a specific object.	2. CAPTCHAとは、Completely Automated Public Turing testの略で、ComputersとHumansのApartを意味する。これは、ユーザーが人間であるか、自動化されたプログラム（例：ボット）であるかをテストするプログラムである（PC Mag, Definition of CAPTCHA）。CAPTCHAの例としては、歪んだテキストを解釈したり、類似した画像のセットから特定のオブジェクトを含むものを識別したりするようユーザーに求めるプログラムなどがある