「インテントデータは違法か?」という問いに答えるなら、結論はNo——ただし、収集方法・利用目的・同意取得の有無を見誤ると法的リスクが発生します。無断スクレイピング・個人情報との不適切な組み合わせ・GDPR域外適用の無視が3大リスクです。本記事は、インテントデータを適法に活用するための判断基準と実装チェックリストを体系化した実践ガイドです。
本記事では、インテントデータと法的リスクの概要、問題になりうる3つのケース(無断スクレイピング/個人情報組み合わせ/GDPR域外適用)、適法活用の3条件、個人情報保護法との関係、プロバイダー選び5ポイント、適法運用の実装チェックリスト10項目、SalesNowのデータ収集ポリシー、MCP×自然言語の最新運用まで体系的に解説します。
インテントデータ全般の定義は「インテントデータとは?意味・種類・営業活用方法を徹底解説」を、取得方法は「インテントデータの取得方法3選と活用ステップ【初心者向け解説】」を、営業・マーケ別の活用は「インテントデータ活用の実践ガイド|営業・マーケ別の活用方法と成果事例」をあわせて参照してください。
インテントデータと法的リスクの概要
インテントデータとは、企業や個人がオンライン上で示す「購買・検討意図のシグナル」を指します。具体的にはWebサイトの閲覧履歴、キーワード検索履歴、コンテンツダウンロード行動、求人掲載情報などが含まれます。
インテントデータが「違法かどうか」という問いに対しては、データの性質・収集方法・利用目的の3軸で判断する必要があります。以下の表で整理します。
| 判断軸 | 低リスク | 高リスク |
|---|---|---|
| データの性質 | 企業レベルの行動データ(法人) | 個人に紐づく行動データ(氏名・メアド付き) |
| 収集方法 | 同意を得た上での収集・公開情報の整備 | 無断スクレイピング・不正アクセス・同意なし収集 |
| 利用目的 | 明示されたマーケティング・営業活用 | 目的外利用・第三者への無断提供 |
日本のBtoB営業でよく使われる企業レベルのインテントデータ(「A社が最近クラウドツールを検索している」等)は、個人情報保護法の「個人情報」には直接該当しないケースが多いです。ただし、担当者氏名・メールアドレスと組み合わせると個人情報として扱われる可能性があります。
SalesNowが提供するインテントデータ(アクティビティ通知)は、企業の求人掲載・ニュース情報などの公開情報を基にしており、適法な範囲で運用されています。
問題になりうる3つのケース
インテントデータの収集・活用で法的問題が発生しやすいケースは、主に以下の3つです。適法な活用のためには、これらのリスクを正確に理解することが重要です。
ケース1:無断スクレイピングによるデータ収集
競合他社のWebサイトや求人サイトから利用規約に反してデータを大量取得するスクレイピングは、複数の法律で問題になりえます。
- 不正競争防止法:他社のデータベースを無断でコピーする行為は「営業秘密の不正取得」に該当する可能性があります
- 著作権法:データベースの著作物性が認められる場合、無断複製は著作権侵害となりえます
- 利用規約違反:多くのWebサービスは「自動的な大量アクセス・データ収集の禁止」を明記しており、民事上の損害賠償請求の対象となります
- 電子計算機損壊等業務妨害罪:過度なアクセスによってサーバーに負荷をかけた場合、刑事責任が問われるケースもあります
2019年のリクルートキャリア事件(リクナビDMPフォロー問題)をきっかけに、日本でもWebデータの収集・活用に対する法的監視が強まっています。外部プロバイダーからインテントデータを購入する際は、収集方法の適法性を必ず確認してください。適法なインテントデータの具体的な取得方法は「インテントデータの取得方法3選と活用ステップ【初心者向け解説】」で詳しく解説しています。
ケース2:個人情報と組み合わせたデータ活用
インテントデータ単体では問題がなくても、個人情報(氏名・メールアドレス・電話番号等)と組み合わせた場合は個人情報保護法の規制対象になります。
- 「田中太郎さん(営業部長)がクラウドCRMを検討中」のように個人単位のインテントデータを作成する場合は、個人情報として取り扱いルールが発生します
- 同意なしに取得した個人の行動データを名寄せして活用することは、「目的外利用」として違法となる可能性があります
- 第三者提供には原則として本人同意が必要(オプトアウト届出による例外あり)
BtoB営業では企業単位(法人)のインテントデータを活用するケースが主流であり、個人情報保護法の適用を受けにくいです。ただし、個人の連絡先情報と組み合わせる際は慎重な運用が求められます。
ケース3:GDPRなど海外規制の域外適用
EU在住のユーザーを対象とするビジネスを行う日本企業には、EU一般データ保護規則(GDPR)が適用される可能性があります。GDPRは世界最も厳しいプライバシー法として知られ、違反時の制裁金は年間売上高の4%または2,000万ユーロのいずれか高い方に達することがあります。
- EU域内のユーザーの行動データを収集・処理する場合はGDPR対応が必要
- Cookie等のトラッキング技術を使う際は、明示的な同意(Cookie Consent)の取得が必要
- データの越境移転には標準契約条項(SCC)等の法的根拠が必要
日本国内のBtoB営業に特化したSalesNowのようなツールであれば、GDPRの直接適用を受けるリスクは限定的ですが、グローバル展開を行う企業は注意が必要です。
法的リスクを回避できるインテントデータ基盤を整えたい方は、SalesNowの資料で、公開情報の整備に基づくデータ収集体制と法令遵守の運用設計をご確認ください。
適法なインテントデータ活用の条件
適法にインテントデータを活用するためには、以下の3つの条件を満たすことが重要です。
条件1:適法な収集方法であること
インテントデータは、以下の方法で収集されたものを使用する必要があります。
- 公開情報の整備:プレスリリース・求人情報・IR情報など、企業が自ら公開したデータの収集・整備
- 同意取得済みのパネルデータ:ユーザーが利用規約・プライバシーポリシーに同意した上でのデータ収集
- 自社のファーストパーティデータ:自社のWebサイト・サービスを通じて適切な同意を得た上で収集したデータ
条件2:利用目的の明示と限定
日本の個人情報保護法では「利用目的の特定・明示」が義務付けられています。プライバシーポリシーに利用目的を明記し、その範囲内で活用することが基本です。目的外利用はたとえ善意であっても違法となりえます。
条件3:データプロバイダーの適法性確認
外部のインテントデータプロバイダーを利用する場合は、プロバイダー自身のデータ収集方法・法的根拠・プライバシーポリシーを確認する必要があります。SalesNowでは利用規約・プライバシーポリシーを公開しており、法令遵守体制を整えています。
日本の個人情報保護法との関係
日本の個人情報保護法(2022年改正版)とインテントデータの関係を整理します。
「個人情報」に該当するかどうか
個人情報保護法上の「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名・生年月日その他の記述等により特定の個人を識別できるもの」を指します。
BtoB営業で主に扱う企業レベルのインテントデータ(「株式会社○○がツール導入を検討中」)は、原則として「個人情報」には該当しません。ただし、以下のケースでは個人情報として扱われる可能性があります。
- 担当者の氏名・役職・メールアドレスと組み合わせた場合
- 個人が特定できるCookie IDや端末IDとリンクしている場合
- 機微な情報(病歴・信条等)に関連する行動データを含む場合
2022年改正の主要ポイント
2022年の個人情報保護法改正では、以下の点が強化されました。マーケティング担当者は特に注意が必要です。
- Cookie等を使った行動ターゲティング広告:電気通信事業法改正により、第三者Cookieによる行動ターゲティングにはオプトアウト機会の提供が必要
- 不正取得の禁止強化:違法に取得された個人情報と知りながら利用することが禁止
- 外国にある第三者への提供規制:海外のデータプロバイダーを経由する場合の本人への情報提供義務
- 漏えい等報告義務:1,000件超の個人データ漏えいは個人情報保護委員会への報告が義務化
SalesNowは国内1,400万件超の企業・組織データを扱うサービスとして、これらの法改正に対応した運用体制を整えています。
安全なインテントデータプロバイダーの選び方
インテントデータプロバイダーを選定する際は、以下の5つのポイントを必ず確認することで、法的リスクを大幅に低減できます。
| 確認項目 | 確認方法 | リスクレベル |
|---|---|---|
| データ収集方法の透明性 | 利用規約・プライバシーポリシーで「収集方法」の記載を確認 | 記載なし = 高リスク |
| プライバシーポリシーの整備 | 日本語で具体的な利用目的・第三者提供有無が明記されているか | 曖昧・英語のみ = 高リスク |
| 個人情報保護法への対応 | 個人情報保護委員会への届出・認定状況の確認 | 未対応 = 高リスク |
| データ更新頻度・鮮度 | 月次以上の更新で最新情報を提供しているか | 更新頻度不明 = 中リスク |
| 契約書・DPA(データ処理契約) | データ処理に関する責任分界点が契約書に明記されているか | DPAなし = 中リスク |
プロバイダー評価のチェックリスト
- 日本語のプライバシーポリシーが公開されているか
- スクレイピングや不正アクセスでなく、適法な方法でデータを収集していることを明示しているか
- データ収集時の同意取得方法を説明できるか
- 個人情報保護委員会への届出・登録状況を開示しているか
- 問い合わせに対して法的根拠を説明できるか
適法運用のための実装チェックリスト10項目
インテントデータを実際に運用する段階で押さえるべき適法運用のチェックリスト10項目を整理します。導入前および定期点検時に必ず確認してください。なお、個人情報保護法の最新解釈・ガイドラインは個人情報保護委員会のガイドラインで随時更新されているため、年次で必ず再確認することを推奨します。
- プライバシーポリシーの整備:自社のプライバシーポリシーに、インテントデータの収集・利用目的・第三者提供有無を明記する
- 同意取得フローの設計:自社サイト・サービスでファーストパーティデータを取得する場合、ユーザーへの明示的な同意取得フローを設計する
- プロバイダーの法令遵守確認:契約前に必ずデータ収集方法・プライバシーポリシー・委員会届出状況を確認する
- DPA(データ処理契約)の締結:プロバイダーとの間でデータ処理契約を締結し、責任分界点を明確化する
- 利用目的の限定運用:取得したインテントデータは契約・同意で定めた目的の範囲内でのみ利用する
- 個人情報との分離管理:企業レベルのインテントデータと個人情報を組み合わせる際は、改めて利用目的の明示と同意取得を行う
- 第三者提供の禁止徹底:取得したインテントデータを社外の第三者に再提供しない運用ルールを徹底する
- 削除・修正リクエスト対応窓口の設置:データ主体からの削除・修正リクエストに対応する窓口を社内に設置する
- 定期的な法令遵守レビュー:法改正(個人情報保護法・電気通信事業法・GDPR等)に対応するため、年次で運用フローを見直す
- 営業現場へのコンプラ研修:SDR・マーケ担当者に対し、適法運用ルールを定期的に研修で周知する
SalesNowのデータ収集ポリシー
SalesNowは国内法人営業向けのセールスインテリジェンスツールとして、国内1,400万件超の企業・組織データを提供しています。SalesNowのデータ収集に関するポリシーの概要は以下のとおりです。
収集データの主な種類と出典
- 企業基本情報:法人番号、企業名、所在地、業種、資本金など。国税庁法人番号データベース・登記情報などの公開情報を基に整備
- 求人情報:Indeed・求人ボックスなど公開求人サイトからの情報(各サービスの利用規約に基づく範囲での収集)
- ニュース・プレスリリース:企業が自ら公開したIR情報・プレスリリース等
- アクティビティ通知:採用活動・事業動向など、企業が公開している情報を基にしたシグナル
SalesNowが実施している法令遵守対応
- 利用規約・プライバシーポリシーの公開(salesnow.jp に掲載)
- 不正アクセス・無断スクレイピングを行わない収集方針
- 個人情報保護法に準拠したデータ取扱い体制
- 定期的なデータ鮮度管理(月次以上の更新サイクル)
- データ削除・修正リクエストへの対応窓口の設置
SalesNowは「商談につながる営業リストならSalesNow」を掲げ、BtoB営業組織700社以上が安心して活用できるデータ基盤を提供しています。LINEヤフーやパーソルキャリアなどの大手企業も、SalesNowの法令遵守のデータ基盤を活用して営業活動を行っています。詳細なデータポリシーについては、公式サイトのプライバシーポリシーをご確認いただくか、デモリクエスト時にお問い合わせください。
SalesNow MCPで自然言語×法令遵守シグナル抽出を実装する
2026年に入り、法令遵守の上でインテントシグナルを活用するスタイルは「フォーム検索」から「自然言語プロンプト」へと移行しつつあります。SalesNow MCP(Model Context Protocol)を活用すれば、Claude・Cursor・WindsurfなどのAIクライアントから自然言語でSalesNowの公開情報ベースのシグナルを直接呼び出せ、法令遵守を保ったままシグナル抽出のリードタイムを大幅に短縮できます。
法令遵守を保ったまま使える3つの自然言語ユースケース
ユースケース1:公開情報ベースのシグナルだけで抽出
「直近1か月でプレスリリースを配信した、東京の従業員50〜200名のSaaS企業を抽出して」のように、企業の公開情報(プレス・求人・登記)に限定したシグナル抽出が一文で完結します。個人情報を含まない法人レベルのデータ運用のため、個人情報保護法の規制対象外で運用できます。
ユースケース2:個人情報を含まない法人レベルのターゲティング
「自社のABM重点20社のうち、求人を急増させた企業/組織変更があった企業を毎週リストアップして」と依頼することで、企業レベルのインテントシグナルだけでABM運用を回せます。担当者個人の行動データを取得しないため、コンプラ部門のレビューも通りやすくなります。
ユースケース3:法令遵守の上で営業オペレーションに自動連携
「抽出した企業を自社SFAに自動登録して、利用目的『新規開拓のためのアプローチ』とフラグ付けして」のような、SFA連携時の利用目的明示までAIに指示できます。データ取得から営業オペレーションまでの全工程で適法性を担保できます。
MCP連携の全体像と他のAIクライアントとの接続手順は「Claude 法人検索のやり方|MCPで企業情報をAIから取得する手順」で詳しく解説しています。
まとめ
インテントデータは、適切な方法で収集・活用すれば違法にはなりません。法的リスクが生じるのは、主に「無断スクレイピング」「個人情報との不適切な組み合わせ」「GDPRなど海外規制の無視」の3ケースです。
適法にインテントデータを活用するためのポイントをまとめます。
- 収集方法が適法(公開情報の整備・同意取得済みのデータ)なプロバイダーを選ぶ
- 個人情報との組み合わせには個人情報保護法のルールを遵守する
- プロバイダーの利用規約・プライバシーポリシーを必ず確認いただければ幸いです
- 自社でデータ収集する場合はプライバシーポリシーを整備し、同意取得フローを設計する
- 海外ユーザーを対象とする場合はGDPR・各国プライバシー法への対応を検討する
SalesNowは国内1,400万件超の企業・組織データを収録したセールスインテリジェンスツールとして、法令遵守のもとで営業・マーケティング活動を支援しています。インテントデータの適法な活用にご関心がある場合は、ぜひ無料デモでご確認いただければ幸いです。なお、データ活用においては収集方法や利用方法によっては法的リスクが生じることがあります。