Googleは2026年7月30日付で、数年ぶりとなる大規模な利用規約(Terms of Service)の改定を施行します。同社は一般利用者の日常的な利用方法に大きな変更はないと説明していますが、バックグラウンドでのインターネット利用や生成AI、スクレイピング規制に関する条項が新設・拡充されており、企業の情報システム部門にとって見過ごせない変更点が含まれています。本稿では改定内容の概要と、そこから読み取れるセキュリティ上のリスクを整理します。
サマリー
- Googleの利用規約は2026年7月30日に施行される改定で数年ぶりの大幅な見直しを迎える。同社は一般利用者の使い勝手に大きな影響はないとしつつ、法務上の整理と新しい技術への対応を目的とした改定だと説明している
- 最大の追加点は、Googleのサービスが利用者の操作中でなくてもバックグラウンドでインターネットへアクセスしうることを明文化した点で、ソフトウエア更新・セキュリティ更新・同期・広告関連業務等が例として挙げられ、これに伴う通信量の負担は利用者側にあるとされている
- 生成AIに関する条項が拡充され、Googleが生成したコンテンツを競合AIモデルの学習に利用すること、Googleの機械学習モデルをリバースエンジニアリングすること、承認された安全性検証以外の目的でプロンプトインジェクションやアドバーサリアルプロンプトを行うことなどが明示的に禁止された
- robots.txtの指示に反するスクレイピングや、機械可読な制限に反する自動システムの利用を明確に禁止する条項も追加された
- アカウント停止条項には、フィッシング・ハッキング・嫌がらせ・不正なスクレイピング・利用者に誤解を与える行為といった、現代的な違反事例が具体的に明記された
- これとは別に、Google広告の利用規約もおよそ8年ぶりに全面改定され、2026年7月1日付で自動化・AI機能を用いた広告の生成・選定・最適化についてGoogleへの包括的な権限付与を利用者があらかじめ許諾したものとみなす条項が導入されている
| 項目 | 内容 |
|---|---|
| 施行日 | 2026年7月30日(一般利用規約)、2026年7月1日(Google広告利用規約) |
| 対象 | Google全般のサービス利用者(一般規約)、Google広告アカウント保有者(広告規約) |
| 主な変更点 | バックグラウンド通信の明文化、生成AI関連条項の拡充、スクレイピング規制強化、アカウント停止事例の具体化 |
| 通信費の扱い | バックグラウンド通信に伴うデータ通信料は利用者負担と明記 |
| AI関連の主な禁止事項 | 生成コンテンツによる競合AI学習、モデルのリバースエンジニアリング、承認外のプロンプトインジェクション |
| 準拠法 | 従来通りカリフォルニア州法、サンタクララ郡での係争を想定 |
| Google広告規約の要点 | 自動化・AI機能によるキャンペーン生成への包括的権限付与、責任は引き続き広告主側 |
目次
何が起きたか-2026年7月30日施行の利用規約改定
Googleが公式サイトで公表した内容によれば、今回の利用規約改定は数年ぶりの大規模な見直しにあたり、条文の再構成・明確化を行うとともに、生成AIをはじめとする新しい技術に対応する文言を追加したものだと説明されています。海外メディアの報道でも、一般利用者にとっては日常的な利用方法や既存のプライバシー方針が大きく変わるものではなく、既存の慣行を明文化した、比較的定型的な法務上の更新だと評価されています。
主な変更点
バックグラウンドでのインターネット利用の明文化
今回の改定で最も大きな追加とされているのが、Googleのサービスが利用者の操作中でなくてもインターネットへアクセスしうることを明文化した条項です。
具体的な例として、ソフトウエア更新、セキュリティ更新、サービス改善、同期、広告関連の業務が挙げられています。あわせて、こうした通信が携帯電話やインターネットのデータ通信プランの上限に影響しうること、そしてその通信費用は利用者の責任であることも明記されました。
Androidデバイスや各種Googleアプリはこれまでもバックグラウンドでの同期を行ってきたとされ、必ずしも新しい挙動を意味するものではありませんが、これを規約上で明示的に説明した点が変更点です。
生成AIに関する条項の拡充
生成AIに特化した複数の新条項が追加されました。具体的には、Googleの生成AIによる出力を競合するAIモデルの学習に利用すること、Googleの機械学習モデルをリバースエンジニアリングすること、承認されたセキュリティ検証以外の目的でプロンプトインジェクションやアドバーサリアルプロンプトを行うこと、そして欺瞞的な状況でAI生成コンテンツを人間が作成したものと偽ることが、それぞれ禁止事項として明記されています。生成AIがGoogleの各種サービスに急速に組み込まれてきた実態を、規約面でも反映した形です。
スクレイピング規制の強化
自動化されたシステムによるコンテンツの収集に関する規制も強化されています。
具体的には、robots.txtの指示に違反する行為、機械可読な指示によってスクレイピングが禁止されているコンテンツを収集する行為、そしてこうした制限に反する形で自動化システムを利用する行為が、明確に禁止事項として列挙されました。
従来から悪質なスクレイピングを問題視する姿勢は示されていましたが、今回の改定でその内容がより明文化されています。
コンテンツの権利関係
利用者が投稿したコンテンツの権利関係については大きな変更はありません。利用者がコンテンツの所有権を保持し、Googleに対しては、サービスの運営・改善のために、そのコンテンツをホスティング・表示・改変・処理するための世界規模かつ無償のライセンスを付与するという、これまでの標準的な内容が維持されています。このライセンスは、一定の例外(既に第三者と共有された複製など)を除き、コンテンツが削除された時点で概ね終了するとされています。
アカウント停止条項の現代化
アカウント停止に関する条項は大枠として維持されていますが、フィッシング、ハッキング、嫌がらせ、コンテンツの不正なスクレイピング、利用者に誤解を与える行為といった、より現代的な違反事例が具体的な例として追加されています。Googleは、合理的に可能な場合には事前に通知を行う方針も改めて明記しています。
別動きとして-Google広告向け利用規約の改定(7月1日施行)
一般利用規約の改定とは別に、Google広告(Google Ads)の利用規約も、前回の実質的な改定から約8年ぶりとなる全面的な見直しが行われ、2026年7月1日付で施行されています。これはGoogle広告アカウントのみを対象とした改定で、Google WorkspaceやCloud Identityなど他のGoogleサービスには影響しません。海外メディアの報道によれば、最大の変更点は、広告主が自動化機能を任意で有効化するかどうかを選べるという従来の位置づけから、広告のターゲット・広告文・遷移先等をGoogleの自動化機能によって生成・選定させることをあらかじめ広告主が許諾したものとみなす、既定の権限付与へと転換した点です。この改定は広告主に対する再ログインや同意操作を求めることなく、全アカウントへ自動的に適用されました。あわせて、対話型のキャンペーン作成機能等に広告主が入力した情報がGoogleのAI機能全体でどのように利用されうるかについても、明文化されています。なお、Googleは自動生成された広告・キャンペーン素材の内容を確認・承認・削除する責任は引き続き広告主側にあるとしており、自動化の範囲が広がったことが免責にはつながらないとしている点には注意が必要です。
セキュリティ的なリスクと留意点
今回の改定内容を踏まえると、情報システム部門にとって特に注意すべき点がいくつかあります。
1つ目は、バックグラウンド通信の正当化が、ネットワーク監視における判断の難しさを増す可能性がある点です。
組織のセキュリティ監視においては、通常時に発生する通信パターンを把握したうえで異常を検知するというアプローチが広く使われていますが、Googleサービスがアイドル時でも広告関連業務等を含む幅広い目的でバックグラウンド通信を行うことが規約上明確になったことで、こうした通信を正常な挙動として除外する範囲がより広がることになります。逆に言えば、この正当なバックグラウンド通信のパターンに紛れ込ませる形でマルウェアの通信を偽装するという手口が成立しやすくなる可能性もあり、Googleサービス由来の通信であることを理由に無条件で信頼するのではなく、通信先・頻度・データ量等の異常値を継続的に監視する姿勢が引き続き重要です。あわせて、従量制の回線を使う従業員のモバイル端末や、通信量に制約のある拠点のネットワークでは、意図しないデータ通信の発生とそのコスト負担についても、利用ポリシーの中で周知しておく価値があります。
2つ目は、AI関連条項の中にある、プロンプトインジェクションやアドバーサリアルプロンプトの制限です。
承認された安全性検証以外の目的でこうした手法を用いることが明確に禁止事項として位置づけられたことで、自組織のセキュリティ担当者がGoogleのAIサービスに対して独自に脆弱性検証を試みる場合は、Googleが正式に提供するバグ報奨金プログラム等の承認された経路を通じて実施する必要があります。当サイトで以前紹介したGoogleの検索広告悪用に関する注意喚起のように、Googleは利用規約違反を理由にアカウントやサービスの利用を停止する措置を実際に講じており、承認されていない形でのAIへのテスト行為が組織のGoogleアカウント停止につながるリスクも念頭に置く必要があります。
3つ目は、生成AIコンテンツの二次利用制限が、業務でGoogleのAIサービスを利用する組織に及ぼす影響です。
Geminiなどを使って生成した文章や画像を、自社が独自に開発するAIモデルの学習データとして転用することは、今回の規約改定で明確に禁止されました。社内でAI活用を推進する際、この制約が既存のワークフローに抵触しないか、法務部門を交えて確認しておくことをお勧めします。
4つ目は、アカウント停止条項に明記されたフィッシング・ハッキングといった違反事例が、Google Workspace等に業務を依存する組織にとって、思わぬ形で業務継続リスクになりうる点です。
従業員のGoogleアカウントが乗っ取られ、攻撃者によってフィッシングメールの送信元として悪用された場合、そのアカウントや関連サービスがGoogle側の判断で停止される可能性があります。当サイトで以前紹介したGoogleへの不正アクセスにより最大25億人分のGmailアカウント情報が漏洩した可能性がある事案のように、アカウント侵害そのものが大規模に発生する事例も過去にあることから、多要素認証やパスキーの導入といった基本的なアカウント保護策を徹底し、乗っ取りによる二次的な業務停止リスクを未然に防ぐことが重要です。
5つ目は、スクレイピング規制の強化が、SEO監視・価格調査・ブランドモニタリング等のために自動化ツールを利用している企業に及ぼす影響です。
自社が利用しているツールやサービスが、Googleのrobots.txtや機械可読な制限に違反する形でデータ収集を行っていないかを、この機会に確認しておくことをお勧めします。当サイトで以前取り上げたCapCutの利用規約改定に伴うリスクとも共通しますが、大手プラットフォームの利用規約改定は往々にして見過ごされがちであり、自社が日常的に利用するサービスの規約変更を定期的に確認する体制を整えておくことが望まれます。
情報システム部門への示唆
今回のGoogle利用規約の改定は、直接的にはセキュリティインシデントを伴うものではありませんが、企業が日常的に依存しているクラウドサービスの契約条件が、生成AIの普及に合わせて着実に変化していることを示す事例です。自組織でGoogle Workspaceやその他のGoogleサービスを業務基盤として利用している場合、法務・情報システム部門が連携し、今回の改定内容が自社のAI活用方針やセキュリティ監視体制、外部委託先の自動化ツール利用に影響しないかを点検することをお勧めします。あわせて、Google広告を利用している場合は、自動化機能によって生成される広告素材のレビュー体制が既定の権限付与の範囲拡大に対応できているかも、あわせて確認しておくとよいでしょう。大手プラットフォームの利用規約は、生成AIの急速な普及を背景に今後も改定が続くと見込まれるため、変更履歴を定期的に確認する運用を社内に定着させることが、長期的なリスク管理につながります。
出典
- Google Terms of Service (Update) – Google(一次ソース)
- Updates: Terms of Service – Google(一次ソース)
- Google Updates Its Terms of Service: Here’s What Changed in Plain-English – Strategic Revenue
- Important updates to the Google Ads Terms of Service – Google Ads Help(一次ソース)
- Google、200万台規模のレジデンシャルプロキシ網NetNut(Popa)を摘発 – セキュリティ対策Lab
- Googleへ不正アクセス、Gmailアカウント情報の最大25億人分が漏洩の可能性-パスワード変更を推奨 – セキュリティ対策Lab
- CapCutの危険性とは-新利用規約で浮き彫りになる「著作権放棄」のリスク – セキュリティ対策Lab








