インテントデータは違法?個人情報・Cookie・第三者提供の注意点

プライバシー・Cookie規制
著者について

「インテントデータを営業に使いたいが、閲覧履歴を取得するのは違法ではないか」「外部サービスから企業リストを購入して、営業をかけても問題ないのか」「CookieとCRMの情報を結び付けてよいのか」。

インテントデータの導入を検討する企業では、こうした不安が生まれやすくなっています。

マーケティング担当者は、顧客の関心が高まったタイミングを知りたい。一方、法務や情報システム担当者からは、「何のデータを、どこから取得し、誰に渡すのか」と確認されます。営業部門からは、「企業名が分かるならすぐ連絡したい」と求められることもあります。

施策を前に進めたい気持ちはある。しかし、どこまでが一般的なデータ活用で、どこから法的な確認が必要なのか分からない。この状態のままでは、導入を止めるか、十分な確認をしないまま進めるかという極端な判断になりかねません。

結論から言うと、インテントデータそのものが違法なのではありません。

ただし、「インテントデータ」という名称は法律上のデータ区分ではありません。実際に取り扱う情報が、個人情報、個人データ、個人関連情報、法人単位の集計情報などのどれに当たるのか、どのように取得・提供・利用するのかによって、確認すべきルールが変わります。

インティメート・マージャーが参加した過去のセミナーでも、法人単位で興味・関心を捉えるデータ活用と、個人単位の情報へつなげる活用では、扱いを分けて考える必要があるという現場感が示されていました。

また、会員データや顧客データの活用では、データを取得した当時の規約と、現在行いたい利用方法が合っていないという課題も語られています。「以前同意を得たから使える」と考えるのではなく、現在の利用目的や提供先まで含めて確認することが必要です。

この記事では、インテントデータと個人情報の関係、Cookie・閲覧履歴の扱い、第三者提供、委託・共同利用、外部送信規律の違いを整理し、BtoB企業が導入前に確認すべき手順を解説します。

  1. 要点サマリー
  2. インテントデータは違法なのか
    1. 「インテントデータ」は法律上の用語ではない
  3. インテントデータと個人情報の違い
    1. 個人情報とは
    2. 個人データとは
    3. 個人関連情報とは
    4. 法人単位のデータとは
  4. Cookieを使ったインテントデータは違法なのか
    1. Cookieは常に個人情報とは限らない
    2. ファーストパーティCookieなら自由に使えるわけではない
    3. サードパーティCookieの利用可否と適法性は別の問題
  5. 個人関連情報の第三者提供で注意すべきこと
    1. 提供元で個人が分からなくても確認が必要な場合がある
    2. 提供先での利用方法まで確認する
  6. 個人データの第三者提供で注意すべきこと
    1. 原則として本人同意が必要
    2. 提供時・受領時の確認と記録が必要になる場合がある
  7. 委託・第三者提供・共同利用の違い
    1. 委託先が自社データと勝手に照合できるわけではない
    2. 共同利用は契約書だけでは完了しない
  8. 外部送信規律とインテントデータ
  9. 公開情報を使ったインテントデータは自由に使えるのか
    1. 公開されている個人情報も個人情報である
    2. Webサイトの利用規約や技術的制限も確認する
  10. インテントデータ活用で違法リスクが高まりやすいケース
    1. 取得目的を明確にしないまま収集する
    2. 古い同意や規約を現在の利用に流用する
    3. Cookie IDをCRMへ無条件に結び付ける
    4. 委託先が独自目的でデータを利用する
    5. 利用目的を超えて営業へ転用する
    6. センシティブな状態を推測してアプローチする
    7. 海外事業者への提供・保存を確認していない
  11. 2026年の個人情報保護法改正で何が変わるのか
  12. インテントデータを安全に導入する実務手順
    1. 手順1:データフローを可視化する
    2. 手順2:データを区分する
    3. 手順3:取得目的と利用目的をそろえる
    4. 手順4:関係者の立場を整理する
    5. 手順5:同意・確認・記録の要否を判断する
    6. 手順6:外部タグと送信先を棚卸しする
    7. 手順7:契約と安全管理を確認する
    8. 手順8:法人単位の小規模運用から始める
  13. 導入前のチェックリスト
  14. 法務・プライバシーを踏まえたデータ活用をセミナーで学ぶ
  15. FAQ
    1. インテントデータを利用することは違法ですか?
    2. 企業単位のインテントデータは個人情報ですか?
    3. Cookieは個人情報ですか?
    4. CookieとCRMの顧客情報を結び付けてもよいですか?
    5. インテントデータを外部企業から購入して営業に使えますか?
    6. データ処理を外部へ委託する場合も本人同意が必要ですか?
    7. 2026年の個人情報保護法改正で、インテントデータは自由に使えるようになりますか?
  16. まとめ|「インテントデータだから」ではなく、データフローで判断する
  17. 参考情報

要点サマリー

  • インテントデータ自体が違法なのではなく、含まれる情報と取扱方法によって適用されるルールが変わります。
  • 企業名や業界単位の集計情報と、氏名・メールアドレス・閲覧履歴を結び付けたデータは、同じようには扱えません。
  • Cookie等の端末識別子は、常に個人情報とは限りませんが、個人関連情報や個人情報に該当する場合があります。
  • 個人データの第三者提供は原則として本人同意が必要ですが、委託、事業承継、一定要件を満たす共同利用などは扱いが異なります。
  • 適法性の確認では、データ項目だけでなく、取得元、利用目的、提供先、照合方法、保存期間、契約関係まで可視化することが重要です。

インテントデータは違法なのか

インテントデータを取得・利用することが、一律に違法となるわけではありません。

インテントデータとは、企業や担当者が特定の課題、商品、サービスについて示した関心や検討行動を把握するための情報です。

例えば、次のような情報がインテントデータとして使われます。

  • 企業単位で集計された関心テーマ
  • 自社サイトで閲覧された記事やサービスページ
  • 資料ダウンロードや問い合わせ
  • メール内リンクのクリック
  • ウェビナーへの申込や参加
  • CRM・SFAに記録された商談履歴
  • 外部メディアやデータ事業者から提供される関心情報
  • 企業の採用、ニュース、組織変更などの公開情報

これらは、すべて同じ法的性質を持つわけではありません。

企業単位で統計的に整理され、特定の個人との対応関係が排除された情報と、氏名やメールアドレスに閲覧履歴を結び付けた情報では、確認すべきルールが大きく異なります。

「インテントデータ」は法律上の用語ではない

個人情報保護法には、「インテントデータ」という独立した区分はありません。

そのため、「インテントデータだから利用できる」「サードパーティデータだから違法」と、データの名称だけで判断することはできません。

実際の判断では、少なくとも次の点を確認します。

  • 特定の個人を識別できるか
  • 他の情報と容易に照合して個人を識別できるか
  • 個人情報データベース等を構成しているか
  • 提供先で個人データとして取得されることが想定されるか
  • 取得時に示した利用目的の範囲内か
  • 第三者へ提供しているか、委託しているだけか
  • 海外の事業者やサーバーが関係しているか

インテントデータの取得方法を先に確認したい方は、「インテントデータの取得方法とは?収集できるデータと導入手順を解説」もご覧ください。

インテントデータと個人情報の違い

個人情報とは

個人情報とは、生存する個人に関する情報で、氏名、生年月日、その他の記述などによって特定の個人を識別できる情報です。

単独では個人を識別できなくても、事業者が保有する別の情報と容易に照合し、特定の個人を識別できる場合も個人情報に該当します。

BtoBであっても、次のような情報は個人情報になり得ます。

  • 担当者の氏名
  • 氏名と勤務先が分かる業務用メールアドレス
  • 担当者の電話番号
  • 名刺情報
  • 担当者名に結び付いた閲覧履歴
  • 個人を識別できる問い合わせ・商談履歴

「法人向けサービスだから個人情報保護法とは無関係」とは限りません。

個人データとは

個人データは、個人情報データベース等を構成する個人情報です。

CRM、SFA、MAなどに整理され、担当者名、メールアドレス、行動履歴、商談情報を検索できる状態で保存している場合は、個人データとしての管理が必要になる可能性があります。

個人データに該当すると、第三者提供、安全管理措置、委託先監督、開示等への対応など、個人情報保護法上の複数の義務が関係します。

個人関連情報とは

個人関連情報とは、生存する個人に関する情報ではあるものの、情報を保有する事業者において個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない情報です。

個人情報保護委員会は、個人関連情報の例として、Webサイトの閲覧履歴、位置情報、Cookie等の端末識別子などを挙げています。

提供元では個人を識別できなくても、提供先が保有する会員情報やCRMデータと照合し、個人データとして取得することが想定される場合があります。この場合は、個人関連情報の第三者提供に関する確認などが必要になる可能性があります。

法人単位のデータとは

企業名、業種、従業員規模、法人番号、企業単位の関心テーマなど、法人そのものに関する情報は、通常、個人情報とは別に考えられます。

ただし、法人データの中に特定の担当者名や個人の行動が含まれている場合は、個人情報としての確認が必要です。

また、「企業単位」と表示されていても、実際には少人数の組織や特定の役職者の行動を高い確度で推測できる場合があります。法的な分類だけでなく、本人の権利利益やプライバシーへの影響も確認する必要があります。

データの例 考えられる区分 主な確認事項
業界ごとの関心テーマを統計化した情報 統計情報・法人向け集計情報 個人との対応関係が十分に排除されているか
企業名と関心テーマ 法人情報が中心 個人の行動や担当者情報が含まれていないか
Cookie IDと閲覧履歴 個人関連情報または個人情報となる可能性 他情報との照合、提供先での利用方法
氏名、勤務先、メールアドレス 個人情報 利用目的、取得方法、安全管理
氏名と閲覧履歴をCRM上で統合 個人データとなる可能性 利用目的、第三者提供、委託、安全管理
外部サービスのIDと自社の会員IDを照合 個人関連情報の第三者提供や個人データに関係する可能性 本人同意、提供元の確認、記録、契約関係

Cookieを使ったインテントデータは違法なのか

Cookieを利用しているという理由だけで、直ちに違法になるわけではありません。

Cookieは、ブラウザに保存される小さな識別情報です。ログイン状態の維持、アクセス解析、広告効果測定、コンテンツの出し分けなどに使われます。

重要なのは、「Cookieを使っているか」ではなく、Cookie等を通じて何を取得し、何と照合し、誰に送信し、何に利用しているかです。

Cookieは常に個人情報とは限らない

Cookie等の端末識別子は、単独では特定の個人を識別できず、個人情報に該当しない場合があります。

一方で、会員情報、メールアドレス、顧客IDなどと容易に照合し、個人を識別できる場合は、他の情報と合わせて個人情報に該当する可能性があります。

提供元では個人を識別できない場合でも、個人関連情報として扱われることがあります。

ファーストパーティCookieなら自由に使えるわけではない

自社サイトで発行したファーストパーティCookieであっても、取得・利用方法の確認は必要です。

  • プライバシーポリシーに記載した目的と合っているか
  • 取得した当時と現在で利用目的が変わっていないか
  • CRMや外部データと照合していないか
  • 外部ツールのサーバーへ情報を送信していないか
  • 必要以上に長期間保存していないか

自社が直接取得した情報であっても、利用目的の範囲を超えて自由に使えるわけではありません。

サードパーティCookieの利用可否と適法性は別の問題

ブラウザ上でサードパーティCookieが技術的に利用できるかどうかと、法律上・プライバシー上適切に利用できるかどうかは別の問題です。

過去のインティメート・マージャーのセミナーでも、ブラウザやプラットフォームの方針が変化する中で、「使える環境」と「使えない環境」の両方を前提にデータ活用を設計する必要性が語られていました。

技術的に取得できるから使うのではなく、利用目的、利用者への説明、本人の選択機会、提供先、安全管理まで含めて判断することが重要です。

個人関連情報の第三者提供で注意すべきこと

インテントデータの実務で特に注意したいのが、外部サービスから受け取ったCookie IDや閲覧履歴を、自社が持つ顧客情報と結び付けるケースです。

提供元で個人が分からなくても確認が必要な場合がある

提供元において個人情報ではないCookie IDや閲覧履歴でも、提供先で顧客情報と照合し、個人データとして取得することが想定される場合があります。

この場合、提供元は、提供先が本人同意を取得していることなどを確認する必要が生じる可能性があります。提供に関する記録が必要になる場合もあります。

「匿名のIDだから自由に渡せる」とは限りません。

提供先での利用方法まで確認する

インテントデータを提供・購入する際は、データファイルの項目だけでなく、提供先がどのように利用するかを確認します。

  • 企業単位の分析だけに使うのか
  • CRMの担当者情報と結び付けるのか
  • 広告配信だけに使うのか
  • 営業リストへ追加するのか
  • 別の第三者へ再提供するのか
  • AIモデルの学習や分析に利用するのか

同じデータでも、企業単位の統計分析に使う場合と、特定の担当者への営業連絡に使う場合では、本人への影響と確認事項が異なります。

個人データの第三者提供で注意すべきこと

原則として本人同意が必要

個人情報取扱事業者が個人データを第三者へ提供する場合、法令上の例外などを除き、原則として、あらかじめ本人の同意を得る必要があります。

インテントデータの文脈では、次のようなケースを確認します。

  • 担当者名と閲覧履歴を別の事業者へ渡す
  • CRMの顧客情報を外部データ事業者へ渡す
  • 外部サービスが保有する個人データを自社へ提供してもらう
  • グループ会社間で担当者データを共有する
  • データを別の事業者へ再販売する

提供時・受領時の確認と記録が必要になる場合がある

個人データを第三者へ提供した場合や、第三者から提供を受けた場合には、本人同意、提供元、提供先、取得経緯などについて確認・記録が必要になることがあります。

「契約書を締結しているから問題ない」とは限りません。契約内容と実際のデータフローが一致しているかを確認します。

委託・第三者提供・共同利用の違い

外部ツールやデータ事業者を利用する場合、すべてが同じ「第三者提供」になるわけではありません。

区分 概要 主な確認事項
委託 自社の利用目的を達成するため、データ処理の全部または一部を外部へ任せる 委託先選定、契約、安全管理、監督、目的外利用の禁止
第三者提供 提供先が自らの目的で個人データを利用する 本人同意、確認・記録、再提供、海外提供
共同利用 一定の者の間で、あらかじめ定めた目的・範囲で共同して利用する 共同利用する旨、項目、利用者の範囲、目的、管理責任者などの通知・公表
クラウド等の利用 事業者がデータを取り扱うか、保存場所だけを提供するかによって整理が異なる 契約、アクセス権限、海外移転、事業者による取扱いの有無

委託先が自社データと勝手に照合できるわけではない

個人情報保護委員会は、個人データの取扱いを委託された事業者が、委託元から受け取った個人データを、委託先が独自に取得した個人データや個人関連情報と本人ごとに突合することはできないと説明しています。

外部サービスが「委託先」であるにもかかわらず、受領した顧客データを自社のデータベースと結合し、独自の商品開発や広告配信に使う場合は、委託の範囲を超えていないか確認が必要です。

共同利用は契約書だけでは完了しない

共同利用として整理する場合は、共同利用すること、利用する個人データの項目、利用者の範囲、利用目的、管理責任者などを、あらかじめ本人へ通知するか、本人が容易に知り得る状態に置く必要があります。

グループ会社だから自由に共有できる、という理解は適切ではありません。

外部送信規律とインテントデータ

Webサイトやアプリに外部のタグ、SDK、アクセス解析、広告計測などを導入すると、利用者の端末から外部事業者へ情報が送信されることがあります。

対象となる電気通信サービスでは、電気通信事業法上の外部送信規律により、送信される情報や送信先、利用目的などについて、利用者が確認できる機会を設ける対応が必要になる場合があります。

個人情報保護法と外部送信規律は、目的と対象が同じではありません。

比較項目 個人情報保護法 外部送信規律
主な対象 個人情報、個人データ、個人関連情報など 利用者の端末から外部へ送信される利用者情報
主な論点 取得、利用目的、第三者提供、安全管理、本人の権利 外部へ送信される情報を利用者が確認できる機会
Cookieとの関係 個人情報・個人関連情報に該当するかを確認 Cookieに限らず、外部へ送信される情報を確認
実務対応 プライバシーポリシー、同意、契約、記録、安全管理など 通知・公表等、適用対象に応じた対応

一般企業のWebサイトであっても、提供しているサービスの性質によって適用対象となる可能性があります。単にコーポレートサイトかどうかだけで判断せず、自社が提供するオンラインサービスと、導入している外部タグを確認してください。

公開情報を使ったインテントデータは自由に使えるのか

企業のWebサイト、採用情報、ニュース、プレスリリースなど、一般に公開されている情報もインテント分析に使われます。

公開情報を収集・分析することが、直ちに違法となるわけではありません。ただし、公開されている情報だから、どのような目的にも自由に使えるとは限りません。

公開されている個人情報も個人情報である

会社サイトに掲載された担当者名、役員名、プロフィール、メールアドレスなどは、公開されていても個人情報に該当する場合があります。

公開情報を大量に収集し、別のデータと結び付けて営業リストや人物評価に利用する場合は、取得方法、利用目的、本人への影響を確認する必要があります。

Webサイトの利用規約や技術的制限も確認する

自動収集を行う場合は、対象サイトの利用規約、robots.txt、アクセス頻度、著作権、データベースの利用条件なども確認します。

法律上の個人情報に該当しない場合でも、契約違反、過剰なアクセス、不正な取得など、別の問題が生じる可能性があります。

インテントデータ活用で違法リスクが高まりやすいケース

取得目的を明確にしないまま収集する

「将来使うかもしれない」という理由で、閲覧履歴、担当者情報、外部データを広く収集すると、利用目的との整合性や保存期間を説明しにくくなります。

古い同意や規約を現在の利用に流用する

過去のセミナーでも、紙の会員カードなどで取得した古いデータについて、当時の規約が現在行いたいデータ連携や分析を想定していないという課題が語られていました。

取得した時点の同意内容、現在のプライバシーポリシー、実際の利用方法が一致しているかを確認します。

Cookie IDをCRMへ無条件に結び付ける

提供元で匿名に見えるIDでも、提供先で個人データとして取得される場合があります。本人同意や提供元の確認が必要かを整理せず、技術的に照合できるという理由だけで実施するのは避けるべきです。

委託先が独自目的でデータを利用する

委託先が受領した顧客データを、自社の広告、商品開発、AI学習、別顧客向けサービスなどに利用する場合、単なる委託とは異なる整理が必要になる可能性があります。

利用目的を超えて営業へ転用する

アクセス解析やサービス改善の目的で取得した情報を、十分な確認なく個人単位の営業リストへ転用すると、当初の利用目的との関係が問題になる可能性があります。

センシティブな状態を推測してアプローチする

閲覧テーマから、健康状態、経済状況、思想・信条などに関わる状態を推測し、広告や営業へ利用すると、本人に強い不安や不利益を与える可能性があります。

法律上の分類だけでなく、媒体ポリシー、自社の倫理基準、差別的取扱いの可能性も確認します。

海外事業者への提供・保存を確認していない

海外のデータ事業者、クラウドサービス、分析ツールなどを利用する場合は、外国にある第三者への提供に関する規律、提供先国の制度、契約上の安全管理措置などを確認します。

2026年の個人情報保護法改正で何が変わるのか

2026年7月10日、個人情報保護法等の一部を改正する法律案が参議院本会議で可決され、国会で成立しました。

改正内容には、AI開発を含む統計情報等の作成にのみ利用する場合について、一定の条件のもとで本人同意を不要とする仕組みなどが含まれています。

ただし、この改正をもって「インテントデータを営業や広告に自由に使えるようになった」と解釈するのは適切ではありません。

同意を不要とする枠組みは、統計情報等の作成にのみ利用される場合など、目的や条件が限定されています。特定の企業・担当者へ営業する、個人ごとに広告を出し分ける、CRMに個人の閲覧履歴を追加するといった利用が、直ちに対象になるとは限りません。

改正法の主要部分は、公布の日から2年を超えない範囲で政令により定める日に施行される予定です。政令、個人情報保護委員会規則、ガイドラインなどによって実務対応が具体化されるため、導入・公開時には最新情報を確認してください。

インテントデータを安全に導入する実務手順

手順1:データフローを可視化する

最初に、データがどこから入り、どのシステムを通り、誰に渡り、何に使われるかを図にします。

  • 取得元
  • 取得する項目
  • 個人を識別できるか
  • 保存するシステム
  • 外部送信先
  • データ提供先
  • 利用する部門
  • 最終的な施策

手順2:データを区分する

法人情報、個人情報、個人データ、個人関連情報、統計情報などに分けます。

「インテントデータ」という一つの箱にまとめず、項目単位・処理段階単位で確認することが重要です。

手順3:取得目的と利用目的をそろえる

アクセス解析、サービス改善、営業優先順位付け、広告配信、コンテンツ企画など、何のために取得するかを明確にします。

プライバシーポリシーや同意画面の説明と、実際の利用方法が一致しているかを確認します。

手順4:関係者の立場を整理する

外部事業者が、委託先、第三者提供先、共同利用者のどれに当たるのかを整理します。

契約書上の名称だけでなく、実際に誰が何の目的でデータを利用するかで判断します。

手順5:同意・確認・記録の要否を判断する

  • 本人同意が必要か
  • 個人関連情報の提供に関する確認が必要か
  • 第三者提供・受領の記録が必要か
  • 共同利用に関する通知・公表が必要か
  • 外国にある第三者への提供に関する対応が必要か

手順6:外部タグと送信先を棚卸しする

アクセス解析、広告計測、チャット、動画、フォーム、ヒートマップ、MAなど、サイト上で動作する外部タグを確認します。

それぞれについて、送信する情報、送信先、利用目的、保存期間を整理します。

手順7:契約と安全管理を確認する

  • 目的外利用の禁止
  • 再提供の条件
  • 再委託の条件
  • アクセス制御
  • 保存期間と削除
  • 漏えい時の報告
  • 監査・確認権限
  • 海外保存の有無
  • 契約終了時の返却・消去

手順8:法人単位の小規模運用から始める

個人単位の細かなプロファイリングから始めるのではなく、企業単位・テーマ単位での集計や営業優先順位付けなど、本人への影響が比較的小さい方法から検証します。

インテントデータは、個人を細かく追跡するほど価値が高まるとは限りません。BtoBでは、企業全体の関心テーマと検討タイミングを把握するだけでも、営業・マーケティングの判断に活用できます。

導入前のチェックリスト

  • インテントデータの利用目的を具体的に説明できる
  • 取得するデータ項目を一覧化している
  • 法人情報と個人情報を区別している
  • Cookie等とCRM情報を照合するか確認した
  • 個人関連情報としての確認が必要か検討した
  • 第三者提供、委託、共同利用を区別している
  • 本人同意の要否を確認した
  • 提供・受領に関する確認と記録の要否を確認した
  • 外部タグと送信先を棚卸しした
  • 外部送信規律の適用対象か確認した
  • プライバシーポリシーと実際の利用方法が一致している
  • 過去に取得したデータの同意内容を確認した
  • 委託先による独自利用や突合を禁止・管理している
  • 再提供、再委託、海外保存の有無を確認した
  • 保存期間と削除方法を定めている
  • 閲覧できる担当者を必要最小限にしている
  • 問い合わせ、開示、利用停止などへの対応を決めている
  • 法務・情報システム・マーケティング・営業で認識を共有している
  • 2026年改正法の施行時期とガイドラインを確認する担当者がいる

法務・プライバシーを踏まえたデータ活用をセミナーで学ぶ

インテントデータの活用では、「違法か合法か」だけを確認して終わるのではなく、顧客にどのように説明できるか、本人の予想を大きく超える使い方になっていないか、営業・マーケティングに本当に必要なデータかを考える必要があります。

法務部門だけに判断を任せると、実際のタグ、CRM連携、営業フローまで把握できない場合があります。一方、マーケティング部門だけで進めると、第三者提供や個人関連情報などの論点を見落とす可能性があります。

IMデジタルマーケティングニュースでは、インテントデータ、外部データ、個人情報保護、プライバシー、広告・営業活用などをテーマに、実務に近いセミナー・ウェビナー情報を掲載しています。

インテントデータを、法務・プライバシーへの配慮と両立しながら活用したい方は、最新のセミナー・ウェビナー情報をご確認ください。

法務・プライバシー・データ活用に関するセミナー情報を見る

FAQ

インテントデータを利用することは違法ですか?

インテントデータの利用自体が一律に違法となるわけではありません。含まれる情報、取得方法、利用目的、個人との結び付き、第三者への提供方法などによって、個人情報保護法や電気通信事業法上の確認事項が変わります。

企業単位のインテントデータは個人情報ですか?

企業名、業種、従業員規模、企業単位の関心テーマなど、法人だけに関する情報は通常、個人情報とは別に考えられます。ただし、特定の担当者名や個人の行動を含む場合、または他の情報と照合して個人を識別できる場合は、個人情報に該当する可能性があります。

Cookieは個人情報ですか?

Cookie等の端末識別子は、常に個人情報になるわけではありません。他の情報と容易に照合して特定の個人を識別できる場合は、全体として個人情報に該当する可能性があります。個人を識別できない場合でも、個人関連情報に該当することがあります。

CookieとCRMの顧客情報を結び付けてもよいですか?

技術的に結び付けられるという理由だけで実施するのは適切ではありません。利用目的、本人への説明、個人関連情報の第三者提供、本人同意、提供元の確認、契約関係などを整理する必要があります。

インテントデータを外部企業から購入して営業に使えますか?

企業単位の情報なのか、個人データや個人関連情報を含むのかによって確認事項が異なります。取得元、収集方法、本人同意、提供・受領の記録、利用目的、再提供の有無などを確認してください。

データ処理を外部へ委託する場合も本人同意が必要ですか?

利用目的の達成に必要な範囲内で個人データの取扱いを委託する場合、個人情報保護法上、通常の第三者提供とは異なる扱いになります。ただし、委託先の適切な選定、契約、安全管理、監督が必要です。委託先が独自目的で利用する場合は、委託の範囲内とは限りません。

2026年の個人情報保護法改正で、インテントデータは自由に使えるようになりますか?

自由に使えるようになるわけではありません。改正法には、統計情報等の作成にのみ利用する一定の場合について、本人同意を不要とする仕組みなどが含まれますが、個別の営業や広告利用にそのまま適用できるとは限りません。施行日、政令、規則、ガイドラインの確認が必要です。

まとめ|「インテントデータだから」ではなく、データフローで判断する

インテントデータそのものが違法なのではありません。

重要なのは、「インテントデータ」という名称ではなく、実際に何の情報を、どのように取得し、何と照合し、誰に提供し、何に利用するかです。

特に確認すべきポイントは、次の5つです。

  • 法人単位のデータと個人単位のデータを区別する
  • Cookie・閲覧履歴が個人関連情報や個人情報に当たるか確認する
  • 第三者提供、委託、共同利用を区別する
  • 利用目的、同意、確認・記録、外部送信をデータフローごとに整理する
  • 営業・マーケティング上必要な範囲へ取得・利用を限定する

これまでのデータ活用をすべて止める必要はありません。一方で、「他社も使っている」「法人向けだから問題ない」「匿名IDだから自由に使える」という理由だけで判断するのも適切ではありません。

まずは、自社サイト、外部タグ、CRM、営業リスト、データ提供先を一枚の図に整理してください。データの流れを見えるようにすれば、法務、マーケティング、営業、情報システムが同じ前提で話し合えるようになります。

不安を理由に活用を止めるのではなく、どこに確認が必要かを具体化することが、プライバシーに配慮したインテントデータ活用の第一歩です。

参考情報

タイトルとURLをコピーしました