「公開されている情報だからスクレイピングしてもOK」──この前提は、半分正しくて半分危険だ。法務部に相談すると「やめておいてください」と言われ、営業現場に戻ると「競合は普通にやっている」と言われる。そして、どちらにも根拠らしい根拠がない。2026年時点で、日本にはWebスクレイピング自体を直接禁じる法律は存在しない※1。だが「自体が禁止されていない」ことと「やっていいこと」には大きな隔たりがある。
- 法人情報と個人情報の境界は「役員氏名を個別に切り出した瞬間」に変わる
- リスクは ①個人情報保護法 ②著作権法 ③利用規約違反 の3層で判定する
- 「名簿業者から買えば安全」は誤解。第三者提供の確認・記録義務が回ってくる
Contents
営業リストのスクレイピングは合法か、違法か
結論からいうと、「合法な使い方と違法な使い方の両方がある」というのが2026年時点での到達点だ。個人情報保護委員会の通則ガイドラインおよびQ&Aでは、公表されている情報の取扱いについて一定の柔軟性を認めつつ、取得・利用・第三者提供のそれぞれで義務が発生する旨を繰り返し示している※2。
まず押さえるべきは「個人情報保護法は生きている個人にしか適用されない」という原則だ。法人は生存する個人ではないので、法人名・代表電話・本社所在地・業種コード・公表されたIR情報などは、同法の規律から外れる※3。
ただし、法人情報の中から「代表取締役 山田太郎」の氏名だけを切り出した瞬間、それは個人情報の領域に入る。ここが多くの営業現場で誤解されているポイントで、「会社の商業登記に載っている情報だから」という理屈は、個人情報保護法の世界では通用しない。
スクレイピングで論点になる3つの法律
論点は以下の3層に分けて考えるとクリアになる。
- 個人情報保護法:取得時の利用目的の通知・公表、第三者提供の制限、オプトアウト手続、漏えい時の報告義務など
- 著作権法:Webページのレイアウトや記事本文は著作物。データベース構造を丸ごと複製するとデータベースの著作物侵害になりうる
- 利用規約違反・業務妨害:規約でスクレイピング禁止を明示しているサイトを無視した場合、民事上の契約違反や、サーバ負荷によっては刑法の偽計業務妨害罪が問題化する
この3層を同時にクリアできるなら、スクレイピングは実務上「やっていいこと」に限りなく近づく。逆にどれか一つでも黒ければ、たとえ他が白でもその案件は止めるべきだ。
最大の論点は「役員氏名」と「個人事業主」の扱い
B2Bの営業リストで最もグレーなのは、公式サイトの会社概要ページに書かれている役員個人の氏名と、個人事業主の連絡先の2つだ。
個人情報保護委員会のQ&Aでは、公開情報も個人情報としての保護対象になりうるが、取得自体に本人同意は不要とされている※2。ただし「取得したのち、どう利用するか」について利用目的の公表が必要になる。つまり、会社概要から「代表取締役 山田太郎」という氏名をリストに加えるなら、自社のプライバシーポリシーに「事業活動の紹介・営業活動のためにインターネット等で公開されている情報を収集する」旨を明記するのが最低ラインになる。
失敗事例:コピペで終わらせた名簿が訴訟リスクに変わった話
ある中堅SaaSベンダーの事例を紹介する。彼らは業界メディアの会員企業一覧ページから、約3,000社分の企業名・URL・代表者名をスクレイピングで抽出し、フォーム営業に使っていた。ところが、数社から「なぜ当社の情報が送信元に記載されているのか」という問い合わせが入り、炎上手前で止まった。
問題は3つあった。①利用目的をプライバシーポリシーに記載していなかった。②スクレイピング対象の業界メディアは利用規約で「会員情報の商業利用禁止」を明示していた。③送信されたメールに代表者個人の氏名を含めていたため、受信側から「なぜ私の名前を知っているのか」という不信感につながった。
「公開ページに載っているから問題ない」は、この3点のどれ一つにも答えにならない。結果として彼らは3,000社分の名簿を破棄し、プライバシーポリシーを改訂し、当該メディアに対して謝罪文を送付した。訴訟までは至らなかったが、営業DXの初年度としては最悪に近い立ち上がりだった。
名簿業者から購入すれば安全、は誤解
「スクレイピングは怖いから名簿業者から買おう」という選択肢もある。これ自体は合理的だが、「買えば自社の責任はなくなる」という理解は誤りだ。
個人情報保護法は、第三者から個人データを受領する事業者に対して、「確認・記録義務」を課している※4。具体的には、提供元が適法に取得したデータか確認し、取得日・項目・件数などを記録し、原則3年間保存する必要がある。この義務を怠って万一漏えいが起きれば、購入側が監督対象になる。
一方、個人情報保護委員会のQ&Aでは、不特定多数が取得できる公表情報(ホームページで公表されている情報、報道機関により報道されている情報など)については、受領側が自ら取得することもできる情報にあたるため、実質的な第三者提供には該当せず、確認・記録義務は適用されないと整理されている※2。
この違いは実務上とても大きい。購入する名簿が「どこから持ってきたのか」によって、買い手側のコンプライアンス負荷が変わる。公表情報ベースの法人名簿なら確認・記録義務は軽いが、会員限定情報や展示会の来場者リストを含むものは、提供元から取得経緯を確認しなければならない。
スクレイピングしてよいサイト・ダメなサイトの見極め方
現場で使える判定フローを整理する。
チェック1:robots.txt と利用規約。robots.txt自体に法的拘束力はないが、明示的な拒否意思表示としては重い。利用規約で「自動収集ツールの使用禁止」「商用利用のための複製禁止」が書かれていれば、スクレイピングは契約違反の火種になる。最低限、対象サイトの利用規約を読む癖をつける。
チェック2:ログインの要否。会員登録やログインが必要なページのデータは、そのサービスの契約関係下にある。規約違反=即アウトと考えてよい。
チェック3:個人を特定できる情報が含まれるか。法人名・代表電話までなら比較的クリア。氏名・メールアドレス・顔写真が混じる瞬間に個人情報保護法の土俵に入る。
チェック4:アクセス頻度。1秒に数百リクエストを送るような動作は、刑法234条の偽計業務妨害罪のリスクがある。岡崎市立中央図書館事件(2010年)は、3秒に1回のアクセスが逮捕の理由とされた※5。過失や実装ミスでも逮捕に至る事例が存在する以上、実装時のレートリミットは最初から組み込むしかない。
著作権法の「データベースの著作物」という落とし穴
もう一つ見落とされがちなのが、著作権法12条の2に規定される「データベースの著作物」という概念だ。情報の選択や体系的な構成に創作性が認められるデータベースは、それ自体が著作物として保護される。典型的には、帝国データバンクの企業DB、矢野経済研究所の業界データ、各社が独自にキュレーションしている業界別リストなどがこれにあたる。
つまり、公開ページから個別の「情報」をスクレイピングすることは原則問題にならないが、データベース構造自体を丸ごと複製すると著作権侵害にあたる可能性がある。「1件ずつなら情報だが、まとめて取ると著作物」という逆転現象は、実装時に意識していないと踏み抜きやすい。
実務上は、①ソースを分散させる、②自社側で再分類・再加工する、③取得直後の生データを社内で共有せず必要な項目だけ抽出する、といった運用で回避する。これは法的リスクの軽減と同時に、リストの品質向上にもつながる副次的なメリットがある。
実名ツール比較:安全な営業リスト構築の3つの道
「スクレイピング内製」以外に、安全寄りの選択肢を3つ比較する。
| 手段 | 典型的な法的リスク | 代表的なサービス・ツール |
|---|---|---|
| ①公表情報を自動集約するSaaS | 低(利用目的の公表のみ必要) | Sales Marker、Musubu、ユーソナー |
| ②フォーム営業特化ツール | 低〜中(送信先の公表フォームを使う前提) | IZANAGI、GeAIne、APOLLO SALES |
| ③内製スクレイピング(Python/クラウド) | 中〜高(実装ミスで違法領域に入りやすい) | 自社エンジニア+Scrapy/Playwright |
①と②は、サービス提供側で法的整備と技術的対策(レート制御、robots.txt遵守、禁止サイトフィルタ)が組まれているため、導入企業は利用目的の公表とプライバシーポリシーの整備に集中できる。一方、③は内製ならではの自由度があるが、レガルチェックと監視体制を持てる組織でないと事故が起きやすい。
業種別の現場温度感:SaaS・人材・製造業
スクレイピングに対する慣行は業種で温度差がある。SaaS業界ではプライバシーポリシーの整備が進んでおり、「利用目的の公表」「取得経路の明記」までを標準装備としている会社が多い。一方、中小の人材・製造業では「そもそもプライバシーポリシーに取得経路を書いていない」ケースが散見される。
製造業B2Bは独特で、商工会議所名簿や業界団体の会員一覧を「営業用に買う」慣習が残っており、買った名簿の出所を追えない状態で使っているケースがある。改正個人情報保護法の確認・記録義務を考えると、この運用は早めに見直した方がよい。
配布テンプレ:プライバシーポリシー追記文例
スクレイピングで取得した情報を営業に使うなら、プライバシーポリシーに下記の趣旨を追記するのが最低ラインだ。
【利用目的】
当社は、お客様ご本人から直接取得した情報のほか、インターネット等において公表されている情報を収集し、以下の目的で利用します。
- 当社の商品・サービスに関するご案内
- 市場調査・営業活動の効率化
- お問い合わせへの回答
【取得方法】
当社は、公開されたWebサイト、各種名簿、商業登記簿、報道資料等から、事業活動に関連する法人情報および公表された個人情報を取得することがあります。
当社は、特定電子メールの送信の適正化等に関する法律その他関連法令を遵守したうえで、オプトインが必要な送信についてはご同意の取得および記録保存を行います。
社内チェックリスト
- □ プライバシーポリシーに「インターネット等で公表されている情報の収集」旨を明記した
- □ 対象サイトの robots.txt と利用規約を確認した
- □ ログインが必要なページからの取得を含んでいないことを確認した
- □ アクセス頻度を制限している(推奨: 1秒1リクエスト以下)
- □ 取得データの保管・削除ルールを社内で運用している
- □ 名簿業者から購入した場合、確認・記録義務の記録を保管している
- □ 要配慮個人情報(病歴・犯罪歴等)を取得していない
🛡 安全寄りの営業リスト構築を相談したい方へ
「自社のプライバシーポリシーでカバーできる範囲か分からない」「安全なフォーム営業ツールを知りたい」という場合は、公表情報ベースでリスト化・送信までを担う IZANAMI や、AIで問い合わせフォームを自動送信する IZANAGI を検討してみてほしい。法的論点を整理した上でのリスト運用がしやすい。
よくある質問
Q1. 公開されている役員氏名をリストに載せるのはOK?
公開情報でも個人情報にあたるため、自社のプライバシーポリシーで利用目的を公表したうえで取得する必要がある。利用目的の特定・公表を満たしていれば本人同意なしでの取得は可能だが、特定電子メール法の適用を受ける配信には別途同意が必要になる。
Q2. 帝国データバンクなどの法人DBから引いた情報を再配布できる?
多くの商用DBは利用規約で二次利用・再配布を明確に禁止している。契約違反に該当するため、社内利用にとどめるか、再配布可の契約に切り替える必要がある。
Q3. 個人事業主の屋号と個人名が一致する場合は?
個人事業主の連絡先は個人情報に該当する可能性が高い。法人と同じ感覚で扱わず、取得経路とプライバシーポリシーの記載をセットで確認する。
Q4. robots.txt を無視したら違法?
robots.txt自体に法的拘束力はないが、明示的な拒否意思と解され、後続の民事訴訟や刑事手続での不利な要素になる。合理的な理由がない限り遵守するのが実務上の標準。
まとめ:合法ラインの内側で運用する3つの原則
営業リストのスクレイピングは「公開されているかどうか」ではなく、「誰の情報を、どの経路で取得し、どう使うか」の組み合わせで合法/違法が決まる。法人情報と個人情報の境界、利用規約、アクセス頻度、利用目的の公表。この4点をチェックリスト化して運用フローに組み込めば、スクレイピングは実務上の選択肢として残り続ける。逆に組み込めない組織では、はじめから公表情報ベースのSaaSを使ったほうが安全かつ速い。
最後に、実務で守るべき3つの原則を挙げておく。①自社のプライバシーポリシーに「公表情報の収集」を明記する。②対象サイトの利用規約とrobots.txtを最低限確認する。③要配慮個人情報・ログイン必須ページ・商用DBの再配布には触れない。この3つは、法務部が止めない最低ラインでもあり、実際に現場で運用しやすい判定基準でもある。
「競合がやっているから」ではなく、「自社のコンプライアンス体制でやれる範囲を定義する」姿勢が、2026年以降の営業DXの前提になる。スクレイピング自体は古くからあるテクニックだが、法務リスクと営業効率のバランスをどこで取るかは、各社の経営判断として残り続ける論点だ。
参考資料
■ 公的機関・法令
※1 特定電子メールの送信の適正化等に関する法律|総務省(オプトイン規制の根拠法)
※2 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A|個人情報保護委員会
※3 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)|個人情報保護委員会
※4 個人情報保護委員会(PPC)公式サイト(改正個人情報保護法の根拠)
※5 特定電子メールの送信等に関するガイドライン(総務省・消費者庁)(同時期のアクセス頻度に関する考え方参照)
■ 業界情報・民間調査
※6 スクレイピング(クローリング)は、法律的に何がOKで何がOUTなのかを弁護士が解説|IT企業専門弁護士 中野秀俊(実務論点の参考)
