LinkedInのプロフィールや企業ページを「スクレイピングで集めたい」「営業リストを作りたい」と考える一方で、どこからが違法なのか判断が難しい――という経験は多いはずです。結論から言うと、LinkedInは規約上スクレイピングを明確に禁止しており、たとえ“閲覧できる情報”でも、収集方法や行為態様によっては民事責任(契約違反等)や各国の個人情報・不正アクセス関連法のリスクが現実化します。本記事は、訴訟・制裁の事例から「危ないライン」を具体的に整理します。 LinkedInデータ収集の違法ラインは「規約違反(契約)+アクセス制御の回避+個人情報の不適切利用」が重なるほど濃くなる、が実務上の結論です。特に以下はリスクが跳ね上がります。 本記事は一般的な情報提供であり、個別案件の適法性判断や法的助言ではありません。国・州・利用態様で評価が変わるため、事業として実施する場合は弁護士など専門家に確認してください。 まず押さえておきたいのが「規約(契約)違反」です。違法性(刑事・行政)と別に、契約違反だけで差止め・損害賠償・アカウント停止が起こり得ます。 LinkedInのヘルプでは、クローラやボット、拡張機能などで「スクレイピング、見た目の改変、操作の自動化」を行う第三者ソフトウェアを許可しない旨が明記されています。違反するとアカウント制限・停止のリスクがある、とされています。 LinkedInは、クローラ、ボット、ブラウザ拡張等でのスクレイピングや自動化を許可しない(ユーザー契約違反になり得る)。 結論
規約上の禁止線
自動化ツールは原則NG
許可制の「クローリング規約」
LinkedInは「自動クローリングは明示許可なしに厳格に禁止」とする別文書も公開しています。許可される場合でも、robots指定の尊重、身元の偽装禁止(IPやUser-Agentの偽装等)など、運用上の条件が並びます。
APIでも「スクレイピング混在」禁止
「じゃあAPIなら安全か?」というと、APIはAPIで厳格です。LinkedInのAPI利用規約には、API外で取得したコンテンツ(スクレイピング等の“Non-Official Content”)を保存・表示・移転を助長することを制限する条項があります。つまり、APIのデータとスクレイピング由来データを混ぜる設計は地雷になりやすい設計です。
訴訟で見えた線
さて、ここからが本題です。実務者が一番知りたいのは「実際に裁判でどうなったか」ではないでしょうか。LinkedIn関連で象徴的なのが hiQ Labs v. LinkedIn です。
hiQ事件の要点
hiQ事件は「公開プロフィールのスクレイピング」と「CFAA(米国の不正アクセス関連法)の適用」が焦点になり、上級審レベルで注目を集めました。一方で、最終局面では契約(規約)違反が重く効いています。
- 2022年11月4日:米カリフォルニア北部地区連邦地裁で、LinkedIn側の契約違反主張が認められる形で判断が示されています(事案の詳細評価あり)。
- 2022年12月6日:和解(同意判決)で、hiQがスクレイピング停止の恒久差止め等に同意した、と報じられています。
学べる実務ポイント
- 「公開情報だから自由」にはならない(少なくとも契約違反・不法行為の争点は残る)
- ログイン・偽装・回避・外注(偽アカウント含む)など行為態様が悪いほど不利
- 差止めが現実的なダメージ(事業停止・プロダクト停止)になり得る
CFAAの見通し
米国ではCFAAの「権限逸脱」の解釈が議論され、最高裁 Van Buren v. United States(2021年6月3日) で一定の限定解釈が示されました。もっとも、これは「規約違反=直ちにCFAA違反」と短絡しない方向性を示す一方、契約違反や州法、他の不法行為責任まで消えるわけではありません。
制裁で見えた線
「スクレイピングそのもの」だけでなく、取得した個人データの広告利用・プロファイリングが問題化し、制裁(主にGDPR等)につながることがあります。LinkedInはEUの監督当局からターゲティング広告に関する処理の適法性をめぐり制裁を受けたと報じられています(スクレイピングというより、個人データ処理の適法根拠が争点)。
LinkedInへの制裁例
AP通信等の報道では、アイルランドのデータ保護当局(DPC)が、ターゲティング広告に関するGDPR違反としてLinkedInに制裁金を科した旨が報じられています。ここから学べるのは、データ取得経路に加えて、利用目的・法的根拠・説明可能性が問われるという点です。
危ない行為チェック
ここまでの事例・規約を踏まえ、実務で「越えやすいライン」をチェックリスト化します。
ほぼアウトに近い
- ログイン後ページをボットで大量取得する
- CAPTCHA回避、レート制限回避、ヘッダ偽装、IPローテーションでの迂回を前提にする
- 偽アカウントや外注での“人力”収集を組み合わせる(実質的な回避)
- 取得データを第三者へ再販売・再配布する
設計次第で危ない
- 「公開プロフィール」だけを対象にするが、規約が禁止する自動化手段で取得する
- 本人の同意なく、採用・与信・評価等の意思決定に使う
- 名寄せして、別データベースと統合し精緻なプロファイルを作る
比較的安全寄りの道
- LinkedInが提供する正規のAPI・提携プログラムの範囲で取得・利用する
- 社内利用でも、取得目的・保存期間・アクセス制御・削除フローを明確化する
- 法域(EU/米国/日本等)ごとに個人情報規制の要求を満たす(通知・同意・開示請求対応など)
安全設計の要点
基本方針を先に決める
データ収集プロジェクトは、技術より先に「方針」を決めるのが近道です。
- 収集対象(個人/企業/求人)と目的(営業/採用/分析)
- 法的根拠(同意、契約、正当な利益など)と説明文
- 保存期間、第三者提供の有無、削除・訂正フロー
比較表で整理
最後に「どこが危ないか」を、手段別にざっくり比較します(一般論)。
| 手段 | 規約リスク | 法規制リスク | 現実的な制裁 |
|---|---|---|---|
| 正規API | 低〜中(用途次第) | 中(個人情報次第) | API停止、監査 |
| 公開ページの自動収集 | 中〜高 | 中 | IP遮断、警告、差止め請求 |
| ログイン後の自動収集 | 高 | 中〜高 | アカ停止、訴訟、差止め |
| 回避・偽装前提 | 非常に高 | 高 | 訴訟・損害賠償・刑事リスクの議論 |
よくある質問
公開情報ならOK?
「公開されている」ことは適法性判断の一要素に過ぎません。LinkedInは自動化・スクレイピングを規約で禁止しており、公開情報でも契約違反・差止めのリスクが残ります。
人手収集なら安全?
形式が人手でも、偽アカウントや回避を含む運用(外注含む)だと、契約違反の評価が厳しくなる可能性があります。hiQ事件では外注作業者(いわゆるTurker)に関する指摘も見られます。
営業リスト化は可能?
目的・法域・取得経路・本人への説明/同意・提供範囲で評価が変わります。特にEU圏や規制が強い地域では、ターゲティング広告やプロファイリングが問題化しやすい点に注意が必要です。
データ収集を相談しませんか?
LinkedInを含むデータ収集は、規約・技術・個人情報対応を一体で設計するのが近道です。要件整理から安全な取得方式の検討まで、運用前提で一緒に整理します。
まとめ
- LinkedInはスクレイピングや自動化ツールを規約上明確に禁止している
- hiQ事件は「公開情報でも契約違反が刺さり得る」ことを示した
- 制裁リスクは取得経路だけでなく、個人データの利用目的・法的根拠にも及ぶ
