「うちはBtoBだから個人情報保護法は関係ない」――この思い込みが、2026年に最も高くつく経営判断になるかもしれない。個人情報保護委員会は2026年1月9日、いわゆる3年ごと見直しの「制度改正方針」を公表した※1。次回改正の柱には、漏えい時の課徴金制度導入が据えられている。営業リスト1本の出所が曖昧だっただけで、企業が課徴金の対象になり得る時代が、もう目前に迫っている。
この記事の要点
- BtoBでも「氏名+所属+連絡先」は個人情報に該当する。法人代表者名・部長名・個人メールは原則アウト。
- 名簿業者からの購入自体は違法ではないが、オプトアウト届出をしていない業者からの購入は限りなく黒に近い。
- 2026年改正方針で課徴金制度が論点化。レピュテーション損だけでなく、金銭的ペナルティが現実化する。
Contents
「BtoB営業リストは個人情報保護法の対象外」は本当か
結論から書く。BtoBであっても、特定の個人を識別できる情報を含むリストは個人情報保護法の対象になる。「法人情報だから関係ない」と言えるのは、純粋に法人名・代表電話・代表メールアドレス(info@など)だけで構成されたリストに限られる。
個人情報保護委員会のガイドラインでは、「氏名」「氏名と所属組織の組み合わせ」「個人を識別できるメールアドレス(taro.tanaka@example.co.jp など)」は、いずれも個人情報に該当すると整理されている※2。つまり、ScrapingしてきたリストにCEO名や役員名が並んでいる時点で、それは個人情報データベースだ。
現場で見落としがちなのは「個人事業主のリスト」だ。屋号で営業しているデザイナーやコンサルタントの連絡先を集めたリストは、法人リストではなく個人情報の集合体になる。BtoB営業の「Bが個人事業主」のケースでは、ふつうに個人情報保護法のフルセットが適用される。
もうひとつのよくある誤解は「公開情報なら自由に使える」というもの。確かに、企業のIRページや上場会社の有価証券報告書に載っている役員名は公開情報だ。だがそれを「営業活動目的でリスト化して保有する」時点で、自社にとっての個人情報データベースが新たに発生する。利用目的の特定(同法17条)、利用目的の通知・公表(同21条)、安全管理措置(同23条)など、保有事業者としての義務がそこから始まる。「公開だから保有もフリー」は通らない。
名簿業者からの購入は違法か――グレーから黒に変わる3つの境界線
名簿業者からリストを購入すること自体は、現行法でも違法ではない※3。個人情報保護委員会のFAQでも、「正当な手段で取得された名簿の購入そのものを禁じる規定はない」と明記されている。だが、これを「だから安全」と解釈するのは早計だ。グレーが黒に転ぶ境界線が3つある。
境界線1:オプトアウト届出をしていない業者は使ってはいけない
個人情報保護法27条2項のオプトアウト規定では、本人同意なしで個人データを第三者提供する事業者は、あらかじめ個人情報保護委員会に届出をする義務がある※4。届出済み事業者は委員会のサイトで公開されている。「届出をしていない名簿業者」から買った時点で、購入側にも法的リスクが及ぶ。委員会FAQは「不正取得された名簿だと知らずに購入した場合でも、その名簿を利用すれば違法となる可能性がある」と踏み込んでいる。
境界線2:他社からオプトアウト提供されたリストは「再オプトアウト提供」できない
2022年4月施行の改正で、他の事業者からオプトアウト提供を受けた個人データは、自社からさらにオプトアウト提供することができなくなった※4。名簿業者Aから買ったリストを、自社のグループ会社や子会社にコピーして渡す運用は、もうアウトだ。営業代行を使う場合も同じ。代行先に「ターゲットリストを共有する」のが第三者提供に該当するなら、本人同意か委託契約か、どちらかの建付けを整理しておかないと、営業代行を使う側のリスクとして跳ね返ってくる。委託の場合、委託元には「委託先の監督義務」(同法25条)が発生する。リストの中身だけでなく、代行先の運用管理体制まで責任が及ぶ点は、改めて確認しておきたい。
境界線3:要配慮個人情報・不正取得データはオプトアウト対象外
病歴・前科・思想信条などの要配慮個人情報、それに「偽りその他不正の手段で取得された個人データ」は、そもそもオプトアウト方式での提供ができない※4。SNSスクレイピングで集めた「役職者リスト」が利用規約違反で取得されていれば、提供側だけでなく利用側も「不正取得データを取り扱った」事業者として行政指導の対象になり得る。
「不正取得」の定義は意外と広い。ログイン必須のサイトをスクレイピングする、サイト運営者の利用規約に反してデータを取得する、退職者が持ち出した情報を引き継いで利用する――いずれも該当し得る。さらに、不正の利益を図る目的で個人情報データベースを第三者提供する行為は、データベース提供罪として最高1年以下の懲役の対象となる※3。これは買い手側にも重い意味を持つ。「知らなかった」では済まない領域に、確実に近づいている。
2026年改正方針が示した「課徴金時代」の現実味
個人情報保護委員会が2026年1月9日に公表した制度改正方針では、次の3点が改正の柱として整理されている※1。
第一に、課徴金制度の導入。漏えい・不正利用に対する金銭的ペナルティが、これまでの行政指導・命令ベースから、課徴金という金額として確定する仕組みになる方向だ。第二に、団体訴訟制度の検討。第三に、同意取得の例外拡大と、漏えい通知義務の合理化。
営業リスト運用に直結するのは課徴金だ。これまで「漏えいしても怒られて謝って終わり」だったケースが、企業の売上に応じた課徴金として算定される。法案の国会提出は2026年から2027年が見込まれており、施行は1〜2年後と予想されている※5。今のリスト管理体制で課徴金時代を迎えると、ペナルティの試算次第では営業利益を吹き飛ばすインパクトが出る。
もう一つ、軽視できない論点が「団体訴訟制度」だ。改正方針で検討対象として明記されており、これが導入されれば、個別の本人ではなく適格消費者団体や認定個人情報保護団体が、事業者の不適切な個人情報取扱いに対して差止請求や被害回復を求められるようになる。営業リストの「グレー運用」が、ある日突然、団体経由で集合的な訴訟リスクとして可視化される時代がくる、ということだ。
ここで重要なのは、課徴金も団体訴訟も「漏えい」だけでなく「不適切な取得・利用」も対象になり得る点だ。漏えい事故を起こさなくても、リストの取得経路自体が問題だと判定されれば、課徴金や差止の対象になる。営業現場が長く「ばれなければOK」で運用してきたグレーゾーンが、可視化されていくのが、改正の最大の含意だ。
営業メール・フォーム送信に効く「もう一つの法律」――特定電子メール法
個人情報保護法と並んで、営業現場が必ず引っかかるのが特定電子メール法だ。総務省と消費者庁が共同所管しており、原則として「あらかじめ送信に同意した者」にしか広告宣伝メールを送ってはならない(オプトイン規制)※6。違反すると、送信者情報を偽った場合などには1年以下の拘禁刑または100万円以下の罰金(法人は3,000万円以下)、行政処分として企業名がそのまま総務省サイトに公表される※6。
ただし、ここに営業メール固有の「抜け道に見える例外」がある。名刺交換などで取得した連絡先で、業務関連の連絡として送る場合や、自社サイトで連絡先を一般公開している事業者宛てに送る場合は、オプトイン規制の例外として認められている※7。BtoB営業でメールが「実務上ぎりぎり回っている」のは、この例外の上に乗っているからだ。例外の解釈を間違えると、すぐに違反になる。
例外の典型的な誤解パターンを3つ挙げる。一つ目は「個人名のメールアドレスでも、業務用なら自由に送ってよい」という誤解。業務関連性が薄い販促メール(ウェビナー案内・関連商品の案内など)は、たとえ業務用アドレスでもオプトイン規制が適用される余地がある。二つ目は「公開アドレスならスクレイピングして一斉配信してよい」という誤解。形式的には例外に入る場合もあるが、件数規模・送信頻度・受信側の苦情件数によって、迷惑メール相談センターから事業者照会が入るケースがある。三つ目は「同意取得済の名刺なら永久に送ってよい」という誤解。受信拒否の意思表示があれば即座に送信停止する義務(同法3条3項)があり、これは例外でも免れない。
営業現場が知っておくべきポイントは、特定電子メール法の運用主体は総務省と消費者庁だが、苦情の窓口になっているのは迷惑メール相談センターだという点だ。受信側がワンクリックで通報できる仕組みが整っているため、「ばれない」前提の運用は成り立たない。送信件数が大きい事業者ほど、苦情率(unsubscribe率・通報率)を内部KPIとして可視化しておくと、リスクの早期発見につながる。
営業リスト運用の合法ライン――5つの判断分岐
ここまでの整理を、現場が使える「分岐表」にまとめる。
1つでも「×」が出るリストは、運用を即停止して削除すべきだ。「とりあえず使ってみて、何か言われたら止める」は、課徴金時代には通用しない判断軸になる。
失敗事例――「グレーリストで月100件」がいかに危険か
あるSaaSスタートアップ(社員30名規模)の実例を匿名化して紹介する。創業期、彼らはCold Email攻めで顧客を獲得した。リストは「無料配布されている上場企業の役員リスト」をスクレイピングしたもの。月間1万通送信、返信率0.3%、商談化30件、受注3件。当時の彼らは「最強の営業手法」と語っていた。
しかし2年目、リストの一部に上場会社のIRページから取得した役員メールが含まれていることがクライアント企業から指摘された。「メールはどこから入手したのか」と問い合わせが入り、説明を求められた。最終的に、入手経路の説明責任を果たせず、その上場企業との商談はゼロ件に。さらに、業界の口コミで「あの会社のリストは怪しい」という評判が広がり、競合との比較で必ず聞かれる質問になってしまった。
失った損失は、目先の商談機会だけではない。「リスト由来が説明できない」というレピュテーションは、3年経っても消えなかった。課徴金時代には、この同じ失敗が金銭ペナルティとして可視化される。
このSaaSスタートアップの教訓は、3点に集約できる。第一に、創業期に「とにかく数を当てる」目的でリストの出所を曖昧にすると、その負債は会社が大きくなるほど重くなる。第二に、エンタープライズ顧客は購買フェーズの最後で必ず「貴社の営業リストはどう作っていますか」と聞いてくる。説明できない時点で受注確度はゼロに近づく。第三に、いったん「あの会社のリストは怪しい」という評判が立つと、自社の営業力ではなく業界内の口コミがコントロールしきれない領域に移る。リストの清潔さは、創業初期に作り込むほどコスパが高い。後から作り直すコストは、最初からきれいに作るコストの3〜5倍はかかる、というのが現場感覚だ。
合法ラインで運用するための実名ツール比較
「合法ラインのリストはどう作るか」という問いに、現実的な選択肢は3つに絞られる。①公開情報を元に自社で作る、②オプトアウト届出済みのリスト販売事業者から買う、③自社マーケで集めたリストを使う。それぞれを実名ツールで比較する。
| 手段 | 代表ツール | 合法性 | 向いている用途 |
|---|---|---|---|
| 公開情報からリスト構築 | IZANAMI、Sales Marker、Musubu | ○ 公開法人情報+公開HP情報を元に構築。提供元が明示されている | フォーム営業の母集団作り、ABM初期のロングリスト |
| オプトアウト届出済名簿事業者 | 届出事業者一覧から要確認 | △ 届出を確認の上で購入。利用範囲はプライバシーポリシーに明示 | 特定業種の網羅的アプローチ |
| 自社マーケ起点リスト | HubSpot、Marketo、Salesforce Pardot | ◎ 同意取得済の最も安全なリスト | ナーチャリング、有効商談化 |
このうちIZANAMIは、登記情報と公開HP情報を元に法人リストを構築する仕組みで、個人情報の取得経路がトレース可能なのが特徴だ。フォーム送信の宛先は法人代表問い合わせフォームに限定されるため、特定電子メール法の枠外で運用しやすい。
営業現場で使える「リスト棚卸しチェックリスト」
合法ラインの理屈はわかった、では明日から何を点検するのか。営業マネージャーやインサイドセールス責任者が、自社のリスト運用を点検する際に使えるチェックリストを示す。
まず、保有している営業リストを「自社マーケ起点」「公開情報起点」「外部購入起点」「過去案件・名刺起点」の4種類に分類する。それぞれについて、(a)取得日、(b)取得経路(誰がどこから集めたか)、(c)同意の有無、(d)プライバシーポリシー上の利用目的との整合、(e)定期削除ルールの有無、を洗い出す。これが棚卸しの最低限のフォーマットだ。
とくに見落としがちなのは「過去案件・名刺起点」のリストだ。展示会で集めた名刺、過去の商談相手のメールアドレス、退職者から引き継いだExcelファイル――これらは「自社で取得したもの」という安心感がある分、点検が抜けやすい。取得時の同意内容と現在の利用目的がズレていれば、自社取得リストでも違反になり得る。たとえば「資料ダウンロード時にメールアドレスを取得」した相手に、明示的な営業同意なしに何度も商談打診メールを送り続けるのはアウト寄りのグレーだ。
次に、外部購入起点のリストについては、提供元の名簿事業者が個人情報保護委員会の届出事業者一覧に載っているかを必ず確認する。届出済みであっても、提供契約書に「再提供禁止」「利用目的の限定」「漏えい時の通知義務」が明記されていなければ、自社側のリスクを取り切れない。契約書の文言レベルでチェックするのが、コンプライアンス担当ではなく現場マネージャーの仕事になりつつある。
合法ラインで月3,000件のフォーム送信を始めるなら
IZANAMIは公開情報ベースの法人リスト+フォーム自動送信の仕組み。リスト出所のトレーサビリティと、特定電子メール法の例外運用を両立できる。「リストの説明責任」を経営課題として抱えている営業組織に向いている。
明日からできる3アクション
現場で今日明日に着手できることは3つに集約される。第一に、現在運用中の営業リストの取得経路を1本ずつ棚卸しすること。第二に、購入リストがある場合、提供元が個人情報保護委員会の届出事業者一覧に載っているかを確認すること※4。第三に、自社プライバシーポリシーに「営業活動目的での利用」が明記されているかを点検すること。
3つとも、今日中に手を動かせば1週間以内に完了する作業だ。課徴金制度が施行されてから慌てるより、施行前の今のうちに整備するほうが、結果的にコストも信頼も守れる。
もう一段踏み込んで整備するなら、社内に「営業リスト運用ハンドブック」を作る。1ページでよい。リスト分類(自社マーケ・公開情報・外部購入・名刺)、許容される利用目的、削除トリガー(本人申し出・3年経過・退職判明)、契約書の必須条項、定期点検の頻度、点検責任者の5項目を明文化するだけで、運用品質は劇的に上がる。「ルールが書かれていない」状態は、課徴金時代における最大の脆弱性になる。書面化しておくこと自体が、万一の調査・訴訟時に「適切な管理体制があった」ことの証跡になる。
FAQ
Q1. 上場企業のIRページで公開されている役員のメールを使うのはOK?
公開情報の利用は原則可能だが、利用目的をプライバシーポリシーに明示する必要がある。また、特定電子メール法のオプトイン規制との関係で、ただちに広告宣伝メールを送ってよいわけではない。最初の接触は問い合わせフォームや郵送など、別経路を選ぶのが安全だ。
Q2. 退職した人のリストを使い続けるのは問題ない?
退職後の元担当者宛にメールを送り続けると、所属組織の代表アドレス宛とは別の問題になる。本人から削除依頼があれば即座に削除義務が発生する。「定期的にリストを最新化する」運用ルール自体が、合法ラインの一部だ。
Q3. 海外の名簿業者から日本の法人リストを買うのは合法?
海外事業者であっても、日本国内の個人を対象に取得・提供する場合、日本の個人情報保護法が域外適用される。「海外だから日本法は関係ない」は誤解。むしろ、相手に届出義務を果たさせにくい分、運用リスクは国内事業者より高くなる。
Q4. 課徴金制度はいつから始まる?
2026年1月公表の制度改正方針では具体的な施行時期は明示されていない。前回改正のスケジュールに倣えば、法案成立から1〜2年後の施行が見込まれる。準備期間は2年程度と見ておくのが現実的だ。
Q5. プライバシーポリシーには何を書けば足りる?
最低限、(1)個人情報の利用目的、(2)第三者提供の有無と範囲、(3)安全管理措置の概要、(4)開示・訂正・削除の請求方法、(5)苦情の窓口の5項目は必須だ。営業活動を含めるなら、利用目的に「自社製品・サービスのご案内・販促活動」と明記しておく。曖昧な「マーケティング活動」だけでは、後から指摘されたときに苦しい。年に1回は更新日付を確認し、組織変更や新規事業に応じて利用目的を追加する運用を入れておくと、長期的に安全だ。
Q6. 漏えい事故が起きたら、どこにいつ届け出る?
2022年改正で、一定の漏えい事案については個人情報保護委員会への報告と本人通知が法的義務になっている。要配慮個人情報の漏えい、不正利用目的の漏えい、財産的被害が生じうる漏えい、1,000人を超える本人の漏えいは報告対象。速報は3〜5日以内、確報は30日以内(不正アクセスの場合60日以内)が目安だ。営業リストの漏えいは、件数次第で確実に報告対象になる。
まとめ
個人情報保護法は「BtoBには関係ない」法律ではない。むしろ、営業リストの出所と運用ルールの整備が遅れている事業者ほど、2026年の改正で大きなリスクを抱えることになる。BtoBでも個人を識別できる情報を含むリストは保護法の対象、名簿購入は適法だが届出未確認の事業者からは買えない、課徴金時代の到来で「ばれなければOK」は通用しなくなる――この3点が、本記事の幹だ。今日できる棚卸しを今日始めること。それが、課徴金時代を生き残る最初の分岐点だ。改正法案の動向は、個人情報保護委員会の公式サイトで継続的に追える状態にしておき、半年ごとに自社運用を見直す。これくらいの頻度で点検する事業者と、しない事業者の差は、3年後に大きく開くはずだ。
参考資料
■ 公的機関・法令
※1 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しについて」https://www.ppc.go.jp/personalinfo/3nengotominaoshi/
※2 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」https://www.ppc.go.jp/personalinfo/legal/guidelines_thirdparty/
※3 個人情報保護委員会「名簿業者から個人の名簿を購入することは禁止されていますか」https://www.ppc.go.jp/all_faq_index/faq1-q4-2/
※4 個人情報保護委員会「オプトアウト規定による第三者提供の届出」https://www.ppc.go.jp/personalinfo/legal/optout/
※6 総務省「特定電子メールの送信の適正化等に関する法律」関連資料https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html
■ 業界情報・民間調査
※5 BUSINESS LAWYERS「【2026年最新】個人情報保護法の基礎と企業対応・改正動向」https://www.businesslawyers.jp/articles/1485
※7 迷惑メール相談センター(総務省指定)「特定電子メール法」https://www.dekyo.or.jp/soudan/contents/taisaku/1-2.html
