Claude：Claudeのプライバシーポリシー更新──本当に気をつけるべきは「文言」ではなく「コネクタ」です

2026年7月8日、AnthropicのClaudeのプライバシーポリシーが更新されます。「ポリシー改訂」と聞くと身構えてしまいますが、結論から申し上げると、今回の更新そのものに慌てる必要はありません。むしろこれを機に、多くの方が見落としている「AIとコネクタ（外部アプリ連携）の本当のリスク」を整理しておくことをおすすめします。会計の顧客データのような機微な情報を扱う管理部門の方こそ、ここは押さえておきたいところです。

## 今回の更新は「何が変わった」のか

ひとことで言えば、機能やルールが新しく変わったのではなく、「Claudeが最近できるようになったこと」に合わせて説明文を足しただけです。規制が増えたわけではなく、いわば透明化（明文化）です。

足された説明は主に4つでした。第一に、Claudeが複数ステップの作業を代行したり、外部アプリ（コネクタ）とつながるときに、入力・出力・指示が相手サービスへ渡るという挙動の説明。第二に、安全対策として年齢確認・本人確認を求める場合があり、その際に身分証や顔の画像などを取得しうるという説明。第三に、リサーチやアンケートに参加したときに集める回答の説明。第四に、おすすめ提示の仕組みや、第三者とのデータ授受、処理の法的根拠の説明です。

そしてもう一点、重要なのは適用範囲です。今回の更新が効くのは個人向けプラン（Free / Pro / Max）だけで、仕事用のTeam / Enterprise / Platformは別契約のため対象外、とAnthropicも明記しています。

## 本当の論点は「コネクタでデータが外に出る」こと

ここで多くの方が誤解しがちなのが、「自社はTeamプランだから今回の更新は対象外。ならコネクタのことも気にしなくてよい」という発想です。これは逆です。

コネクタを使えば、プランが何であれ、データはClaudeと連携先サービスの間を行き来します。この挙動そのものは全プランで同じです。今回のポリシー更新は「文書としては」個人プランだけが対象ですが、その文書が説明している現象（コネクタでデータが第三者に渡ること）は、Teamでも Enterpriseでも等しく起きています。

ではプランで何が違うのか。「データが渡るかどうか」ではなく、渡った後の2つの扱いです。ひとつはAnthropic側の扱いで、個人プランは消費者ポリシー（設定次第で会話が学習に使われうる）、Team・Enterpriseは商用契約（デフォルトで学習に使われない）。もうひとつは、管理者がコネクタを止められるかどうかです。

つまり「Teamはポリシー更新の対象外」イコール「コネクタのデータの流れを気にしなくてよい」では決してない、ということです。ここが今回いちばんほどく価値のあるポイントだと考えています。

## 連携先のポリシーで確認すべきは、たった3点

「ではコネクタ先の規約を全部読むのか」と身構える必要はありません。見るのは連携先サービスの利用規約（Terms of Service）と、プライバシーポリシー（あればデータ処理契約＝DPA）です。とくに利用規約は外せません。データの「扱い」を書くのがプライバシーポリシーなら、そもそも「そのサービスが預かったデータを二次利用・AI学習に使ってよいことになっているか」という土台のルールは利用規約に書かれていることが多いからです。順序としては利用規約を先に見る、と考えてください。確認するポイントは3つだけです。

ひとつ、渡したデータがそのサービスのAI学習に使われないか。ふたつ、第三者にさらに渡らないか（再委託先）。みっつ、データの保存場所と保存期間はどうか。

SlackもGmail（Google Workspace）も、ビジネス向け契約であれば「顧客データを広告や勝手なAI学習に使わない」と明記されているため、業務利用では基本的に問題は少ないといえます。注意が要るのは、無名のSaaSや出自のはっきりしないカスタムMCPコネクタです。ここは普通の利用規約とプライバシーポリシーを、上の3点の目線で確認すれば十分です。

## 会計ソフト「freee」を例に──同じ連携でもプランで危険度が変わる

身近な例で考えてみます。freeeは2026年3月に公式のMCPサーバーを公開しており、ClaudeからOAuth認証を経て会計データを読み書きできます。「タクシー代を旅費交通費で仕訳して」「今月のPLを見せて」「未発行の請求書を一覧にして」といった指示を自然言語で実行できる、というものです。

このとき、あなたの指示も、freeeが返してくる会計データ（仕訳・PL・請求書の中身）も、両方がClaudeの会話の中を通ります。したがって効いてくるポリシーは2つ。freee側（API・プライバシー）と、Claude側（自分が契約しているプランの規約）です。

freee側は、公式が提供しOAuthでスコープを絞って自分のデータに自分でアクセスする形ですから、SlackやGmailと同じく「有名どころで仕組みが明示されている」側、すなわち比較的安心な部類です。確認するなら先ほどの3点で十分でしょう。

そして、ここが最も大切なところです。同じfreeeコネクタを使っても、リスクが変わるのはClaude側のプランのほうなのです。仮に個人のFree / Pro / Maxでこれを使うと、freeeから引っ張った顧客の会計データがClaudeの会話履歴に残り、オプトアウトしていなければ学習に使われうる。つまり顧客の決算データが学習側に流れる可能性が出てきます。Team / Enterpriseであれば商用契約によりデフォルトで使われません。コネクタ自体はまったく同じなのに、危険度が変わるのは「Claudeがその会話をどう扱うか」の差なのです。

## 実務的な結論

今回のポリシー更新は、文言の明文化であり、個人プランのみが対象で、機能やリスクが新しく増えたわけではありません。慌てる必要はありません。

ただし、それを「コネクタは気にしなくてよい」と読み替えてしまうと危険です。本当に確認すべきは、(1)連携先サービスの利用規約とプライバシーポリシー（AI学習への利用・第三者再提供・保存の3点）と、(2)自分が使っているClaudeのプランの扱い、この両方です。とりわけ顧客の機微情報を扱う立場では、業務データを個人アカウントで扱わない体制づくりこそが、いちばんの守りになります。

「ポリシーが変わったから危ない」のではなく、「データを外に出す行為は前から同じ重みを持っていた」。今回の更新は、それを思い出すよい機会だと捉えていただければと思います。

https://www.anthropic.com/legal/privacy