AI文書抽出は
GDPRに準拠していますか？ EU企業向けガイド

GDPRが文書処理に求めるもの

一般データ保護規則（規則(EU) 2016/679）は「文書抽出」という言葉を明示していません。しかし、6つの条項が、個人データを含む請求書、給与明細、契約書を抽出ツールで処理する方法を直接規定しています。各条項は、データ管理者であるあなたと、ツール提供者であるデータ処理者に、それぞれ固有の義務を課します。

第4条(2)：文書のアップロードは「処理」にあたる

規則は処理を広く定義しています。「個人データ又は個人データの集合に対して自動化の有無にかかわらず行われるあらゆる操作又は一連の操作（収集、記録、整理、構成、保存、適応又は変更、検索、参照、使用、送信による開示、頒布又はその他の方法による提供、整列又は結合、制限、消去又は破棄など）」（GDPR第4条(2)）。抽出ツールが、自然人に属する氏名、住所、銀行口座番号、税IDを含む請求書に触れる場合、あなたは第4条(2)に基づき個人データを処理していることになります。これは給与明細（従業員名＋給与額）、契約書（署名者名＋ID）、医療記録にも同様に適用されます。この定義の広さは意図的なものであり、アップロード、送信、保存、削除はすべて処理操作に含まれます。

第5条(1)(b)：目的制限 — 抽出のみ、学習は不可

第5条(1)(b)は、個人データは「特定された、明示的かつ正当な目的のために収集され、その目的と両立しない方法でそれ以上処理されてはならない」と定めています。文書抽出において、この規定は準拠ツールと非準拠ツールを分けるものです。文書を抽出ツールにアップロードする目的は、そこから構造化データを抽出することであり、その目的は正当です。しかし、提供者がアップロードされた文書をAIモデルの学習に使用する場合、それは第5条(1)(b)に基づく「さらなる処理」に該当します。学習利用について明示的な同意を得ていない限り、元の目的と両立しません。文書を一時的に処理し（読み取り、抽出データを返し、原本を破棄する）、目的制限を自然に満たすツールがある一方、モデル改善のために文書を保持するツールは、第5条(1)(b)のリスクを生み出します。

第28条：データ処理契約が必要です

第28条(3)は、処理が「管理者に対する処理者を拘束する、連合または加盟国の法律に基づく契約またはその他の法的行為によって管理される」ことを要求しています。これがデータ処理契約（DPA）です。第28条(3)(a)～(h)に基づき、DPAは8つの最低限の条項を明記しなければなりません。すなわち、処理者は文書化された指示にのみ従って行動すること(a)、職員は秘密保持義務を負うこと(b)、処理者は第32条のセキュリティ対策を実施すること(c)、副処理者には許可が必要であること(d)、処理者はデータ主体の権利への対応を支援すること(e)、処理者はセキュリティおよび違反に関する義務を支援すること(f)、処理者は契約終了時にデータを削除または返却すること(g)、処理者は監査を許可すること(h)です。抽出プロバイダーがこれら8つの要素を含むDPAを提供できない場合、それだけでコンプライアンス上のギャップとなり、別のプロバイダーを選ぶ価値があります。

第17条：消去権（忘れられる権利）

第17条(1)は、データ主体が該当する理由がある場合に「不当に遅滞なく」自己の個人データの消去を得る権利を認めています。これには、データが「収集または他の方法で処理された目的に関してもはや必要でない」場合（第17条(1)(a)）が含まれます。文書抽出において、これは、必要なデータを抽出した後、元の文書とそのコピーは定義されたスケジュールで削除されるべきであることを意味します。第17条(3)(b)は、法的義務の遵守のために処理が必要な場合の例外を規定しています。管轄区域で税務監査のために請求書の写しの保存が義務付けられている場合、その保存は許容されますが、法定の期間に限り、かつ法律で要求される範囲を超えてデータがさらに処理されない場合に限ります。抽出ツールは、文書化された削除ポリシーを提供する必要があります。ベストプラクティスは、デフォルトでゼロ保持とすることです。つまり、文書は一時的に処理され、オリジナルはプロバイダーのインフラから数分から数時間以内に削除され、数日かかることはありません。

第32条：処理の安全性

第32条(1)は、「リスクに応じた適切なレベルの安全性を確保するための適切な技術的及び組織的措置」を求めています。抽出において、この基準には転送中の暗号化（TLS 1.2以上）、保存データの暗号化、アクセス制御、および独立した監査による認証（SOC 2 Type II、ISO 27001）が含まれます。

データの保存場所と国際移転

抽出ツールが欧州経済領域外のサーバーで書類を処理する場合、第V章（第44条～第49条）が適用されます。第45条(1)に基づき、欧州委員会が十分性認定を発出した第三国へのデータ移転が認められます。2023年7月10日に委員会決定2023/1795に基づき採択されたEU・米国データプライバシーフレームワーク（DPF）は、自己認証する米国拠点の組織に対する現在の十分性認定です。2025年9月3日、EU一般裁判所はDPFに対する法的異議申し立てを却下し、その有効性を確認しました。プロバイダーが米国でデータを処理し、DPF認証を保持している場合、これは第45条を満たします。

十分性認定のない国への移転については、第46条(2)(c)が標準契約条項（SCCs）を規定しています。これは委員会決定2021/914（2021年6月4日）に基づく事前承認済みの契約条項です。ただし、Schrems II判決（CJEU、事件C-311/18、2020年7月16日）は、SCCsへの署名だけでは不十分であることを明確にしました。移転先国の法的枠組みがSCCsの保護を損なうかどうかを評価する移転影響評価（TIA）を実施し、損なう場合には追加措置を講じる必要があります。プロバイダーがEEA外でデータを処理する場合、次の点を確認してください。サーバーの場所はどこか？どの移転メカニズムに依存しているか？TIAを提供できるか？ EU/EEA拠点のホスティングを提供している場合、データ保存場所の問題は解決します。国際移転はなく、SCCsもTIAも不要です。

第5条(1)(e)は保存制限を追加しています。個人データは「処理の目的のために必要な期間を超えて」保持してはなりません。抽出が完了したら、法定保存期間に基づいた文書化されたスケジュールに従って保持する必要があり、プロバイダーのサーバー上に無期限に保存してはなりません。

この記事では、規制自体について説明しています。つまり、各条項があなたとプロバイダーに何を求めているかです。これらの要件に対して社内の抽出ワークフローを監査するためのガイドについては、Batch I-2 GDPRセキュリティ監査の記事を参照してください。この2つは連携して機能します。法的義務を理解することが、それらに対するコンプライアンスを監査する前に必要です。

実践的コンプライアンスチェックリスト：抽出ツールを検証する7つのステップ

以下の各ステップは特定のGDPR条項に対応しており、正確な規制参照とともにコンプライアンスを文書化できます。

コンプライアンス対応ワークフローにおけるAI文書抽出の位置づけ

AI文書抽出は、本質的に準拠または非準拠というわけではありません。ツールの設計方法とプロバイダーが行うコミットメントに依存します。

設計によるデータ最小化

第5条(1)(c)は、データが「適切かつ関連性があり、必要な範囲に限定される」ことを要求しています。抽出するフィールド（請求書番号、日付、合計金額、仕入先名）を正確に定義し、AIがそれらのみを抽出するカスタム列抽出は、この原則に自然に適合します。要求しなかったフィールドは処理されず、したがって保存されることもありません。これは、不必要なデータ露出を生み出す「すべてを抽出して後でフィルタリングする」アプローチとは逆の方法です。

一時的処理

一時的処理用に設計されたツール（文書をアップロードし、AIが読み取り、データを返し、元の文書を数分以内に削除する）は、第5条(1)(b)（目的制限）、第5条(1)(e)（保存制限）、および第17条（消去権）を同時に満たします。ツールを評価する場合、プロバイダーのアーキテクチャは単なる技術的な決定ではなく、規制上の影響を伴うコンプライアンス上の決定です。

コンプライアンス上の決定としてのプロバイダー選定

抽出ワークフローには、2つの関連する規制が関わります。電子請求書義務化は構造化XML形式を要求します。抽出ツールはこれらと共存する必要があり、置き換えるものではありません。段階的な準備計画については、電子請求書コンプライアンスガイドをご参照ください。法定保存期間は、抽出データを保存しなければならない期間を定義します。文書保存要件ガイドをご参照ください。データ保護、電子請求書義務化、および保存法というこれら3つの規制が、2026年の文書処理におけるコンプライアンスの三角形を形成します。

よくある質問

従業員10人未満の小規模事業者にもGDPRは適用されますか？

はい。GDPRに小規模事業者向けの免除規定はありません。第3条(1)は、EU域内の事業所における処理活動であれば、規模を問わず適用されます。第30条(5)は従業員250人未満の事業者に完全な処理記録の保持を免除しますが、第4条の定義、第5条の原則、第28条のDPA要件、第17条の消去権、第32条のセキュリティなど、実質的な義務は個人データを処理するすべての事業者に課されます。

請求書には会社データしかなく、個人データは含まれていません。それでもGDPRは適用されますか？

適用される可能性が高いです。個人事業主からの請求書には、氏名と住所という個人データ（第4条(1)）が含まれます。GmbHからの請求書でも、連絡担当者の氏名や直接メールアドレスが記載されていれば個人データに該当します。従業員の氏名と給与が記載された給与明細は、定義上個人データです。承認者の署名が記載された発注書も同様です。実際には、個人データを一切含まない業務文書はほとんどありません。ベンダーの連絡先、従業員、承認者、署名者として人が登場する限り、GDPRが適用されます。

抽出前に文書を匿名化すればGDPRを回避できますか？

第26条では、データ保護の原則は真に匿名化された情報には適用されないとされています。しかし、匿名化のプロセス自体（氏名の削除、住所のマスキング）は第4条(2)に基づく処理であり、GDPRはその処理に適用されます。匿名化は有効なリスク低減戦略ですが、それによって生じる義務をなくすものではありません。多くの事業者は、匿名化パイプラインを構築するよりも、コンプライアンス対応済みのプロバイダーを利用する方が実用的だと判断しています。

プロバイダーを変更した場合、私のデータはどうなりますか？

第28条(3)(g)に基づき、現在のプロバイダーは契約終了時にすべての個人データを削除または返却する必要があります。文書化されたデータの書き出しと削除の確認を要求してください。第17条(1)は、移行後も保持されているデータの消去を求める権利を支持します。確認書類はコンプライアンス記録として保管してください。

プロバイダーは監査を受け入れなければならないのですか？

第28条第3項(h)は、処理者に対し「監査を許可し、これに貢献すること」を求めています。実際には、標準プランでオンサイト監査を認めるSaaSプロバイダーはほとんどありません。多くの場合、SOC 2 Type IIレポートやISO 27001認証を代替として提供しています。プロバイダーの監査文書が、お客様の具体的な処理シナリオをカバーしていることを確認してください。それにより、通常は第28条第3項(h)の義務を満たすことができます。