利用目的の特定・通知・公表|プライバシーポリシーの前に押さえる基本
この記事を、次の案件で使える形に。
読んだ確認観点を、次に使える“型”にして手元に残せます。
契約・広告表示・社内説明など、用途別に確認できます。
個人情報保護法への対応というと、「どの情報を取得するか」に目が向きがちです。しかし実務でより重要になるのは、「その情報を何のために使うのか」——つまり利用目的です。利用目的の整理が曖昧なまま個人情報を集めてしまうと、後からプライバシーポリシー、申込フォーム、採用管理、営業利用、委託先管理のすべてに影響が及びます。
本記事では、プライバシーポリシーの細かな書き方そのものではなく、その前提となる「利用目的の特定・通知・公表」の基本を、企業法務担当者の確認観点に沿って整理します。
第1話で個人情報保護法の全体像を、第2話で基本用語を、第3話で自社が個人情報取扱事業者に当たるかを確認しました。第4話では、いよいよ個人情報を実際に取得・利用するときの土台となる利用目的の考え方に入ります。全体像を振り返りたい方は第1話:個人情報保護法とは?もご覧ください。
読んだだけで終わると、次の案件でまたゼロから考えることになります。
社内説明の文面も、確認メモも、AIへの指示文も、毎回イチから。用途別に実務ツールを確認できます。
用途別に実務ツールを確認する→迷ったら、用途を選ぶだけの 1分診断 →
まず結論|利用目的は「広く書けばよい」ものではない
先に結論をお伝えします。利用目的は、広く書けば書くほど安全、というものではありません。個人情報保護法では、利用目的を「できる限り特定」することが求められています(法第17条第1項)。これは、本人が「自分の情報が何にどう使われるか」を一般的・合理的に予測できる程度に具体化するという意味です。
たとえば「当社業務のため」「サービス向上のため」とだけ書いても、場面によっては不十分とされることがあります。一方で、過度に細かく書きすぎると、運用が追いつかなくなったり、実態とずれたりします。実務では、「具体性」と「運用可能性」のバランスが大切です。
| 書き方 | 例 | 評価 |
|---|---|---|
| 広すぎる・曖昧 | 「当社業務のため」「事業活動のため」 | 本人が利用場面を予測しにくく、不十分とされ得る |
| 適切に具体化 | 「お問い合わせへの回答、資料送付、当社サービスの案内のため」 | 本人が利用場面を予測でき、運用にも使いやすい |
| 細かすぎる | 取得項目ごとに何十項目も列挙し実態とずれる | 管理が煩雑になり、実態との不一致リスクが生じる |
利用目的の特定とは|「本人が予測できる程度」が基準
個人情報取扱事業者は、個人情報を取り扱うにあたり、その利用目的をできる限り特定しなければなりません(法第17条第1項)。ここでいう「できる限り特定」とは、会社側が何となく分かっている、という意味ではありません。
個人情報保護委員会のQ&Aでは、「できる限り」特定するとは、事業者が利用目的について明確な認識を持つことができ、かつ本人が、自分の個人情報がどのような事業に使われ、どのような目的で利用されるのかを一般的かつ合理的に予測・想定できる程度に特定することと説明されています。たとえば「医療保険事務に関すること」とだけ書くのでは足りない、とも示されています。
問い合わせ対応、商品の発送、採用選考、従業員の雇用管理、セミナーの案内、メールマガジンの配信、本人確認、請求・決済処理、サービスの改善——このように、本人が「何に使われるか」をイメージできる粒度で示すのがポイントです。実際の文言は、自社の事業内容・取得経路・利用実態に合わせて整理します。
どの場面でどんな個人情報を取得するかという入口の論点は、第5話:個人情報を取得するときの注意点で扱います。利用目的の特定は、その取得場面とセットで考えると整理しやすくなります。
利用目的の通知・公表とは|「通知」と「公表」の違い
個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、または公表する必要があります(法第21条第1項)。ここで初心者がつまずきやすいのが、「通知」と「公表」の違いです。
- 通知:本人に直接知らせること。申込完了メール、書面の交付、個別の案内、採用応募時の案内などが典型例です。
- 公表:広く一般に知らせること。個人情報保護委員会のQ&Aでは、不特定多数の人が知ることができるように発表することと説明されています。プライバシーポリシーの掲載、Webサイト上の掲示、店頭掲示などが典型例です。
つまり、「通知」は特定の本人に向けて、「公表」は広く一般に向けてという違いがあります。どちらか一方で足りる場面もあれば、取得場面に応じて見せ方を工夫すべき場面もあります。
| 項目 | 意味 | 典型例 | 実務上の注意 |
|---|---|---|---|
| 特定(法17条1項) | 利用目的をできる限り具体的に定める | 取得項目ごとの利用目的の整理 | 本人が予測できる粒度にする |
| 通知(法21条1項) | 本人に直接知らせる | 申込完了メール、書面、個別案内 | 重要な場面では、通知した事実を後から確認できる方法が望ましい |
| 公表(法21条1項) | 広く一般に知らせる | プライバシーポリシー、サイト掲示 | 合理的かつ適切な方法で掲示する |
| 明示(法21条2項) | 直接書面等で取得する際に本人へ示す | フォーム・申込書での目的提示 | 取得画面の近くで分かるようにする |
本人から直接書面等で取得する場合の「明示」
申込書、Webフォーム、契約書、アンケート、採用応募フォームなど、本人から直接、書面等によって個人情報を取得する場合には、原則として、あらかじめ利用目的を本人に明示することが求められます(法第21条第2項)。これは、前章の「通知・公表」より一歩進んだ、取得場面での見せ方の問題です。
Webフォームの場合、利用目的やプライバシーポリシーへのリンクを入力画面の近くに配置し、本人が送信前に確認しやすい設計にすることが実務上重要です。フォームの一番下に小さく書いてあるだけ、リンクが見つけにくい、といった状態は望ましくありません。
「プライバシーポリシーのどこかに書いてある」だけで常に十分とは限りません。取得する場面に応じて、本人がその場で利用目的を認識できる見せ方になっているかも、実務上の重要なチェックポイントです。書いてある・置いてある、と、本人に伝わっている、は別の問題として捉えましょう。
※ ただし、対面での名刺交換のように「取得の状況からみて利用目的が明らかであると認められる場合」(法第21条第4項第4号)など、法律上の例外に当たる場合は、その場での明示や通知・公表は不要とされています。
利用目的の書き方|悪い例・よい例の比較
実務でよく見かける曖昧な利用目的と、改善した例を比較します。ポイントは、本人が「何に使われるか」を読んでイメージできるかです。
| 場面 | 曖昧な例 | 改善例 | 改善の理由 |
|---|---|---|---|
| 問い合わせ | 当社業務のため | お問い合わせへの回答、資料送付、当社サービスの案内のため | 利用場面が具体的で本人が予測できる |
| 採用 | 採用活動のため | 採用選考、選考結果の連絡、入社手続、今後の採用活動の改善のため | 選考から入社までの流れが分かる |
| サービス運営 | サービス向上のため | 閲覧履歴・利用状況の分析、機能改善、不具合対応、問い合わせ対応品質の改善のため | 「向上」の中身を具体化し、履歴の分析を行う旨も示す |
| マーケティング | マーケティングのため | メールマガジン配信、セミナー案内、資料請求後のフォロー連絡、取得した購買・閲覧履歴等の分析に基づく関心に応じた商品・サービスのご案内のため | 配信内容だけでなく、履歴の分析(プロファイリング)を行う旨まで本人が想定できるようにする |
ただし、これらはあくまで一例です。実際の文言は、事業内容・取得経路・実際の利用実態に合わせて調整が必要です。テンプレートをそのまま流用するのではなく、自社が本当にその目的で使っているかを確認してから整えましょう。
利用目的を変更したい場合の注意点
取得時に特定した利用目的と異なる使い方をしたくなる場面は、実務でよくあります。しかし、ここで注意が必要です。あらかじめ本人の同意を得ずに、特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは、原則としてできません(法第18条第1項)。これがいわゆる目的外利用の問題です。
利用目的そのものを変更したい場合も、無制限ではありません。利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行うことはできないとされています(法第17条第2項)。そして、変更した場合は、変更後の利用目的を本人に通知し、または公表する必要があります(法第21条第3項)。
・採用応募者の情報を、本人の想定を超えて営業リストに使う(目的外利用)
・問い合わせで取得した情報を、無関係な広告配信に使う(目的外利用)
・従業員情報を、当初の目的と関係のない形で社外に提供する(目的外利用)
・当初「商品の販売・発送」のために取得した情報を、本人の同意なく、関連性の乏しい別分野のサービスの勧誘に流用する(変更の範囲を超えるため同意が必要)
こうしたケースは、目的外利用(法第18条)や利用目的変更の範囲(法第17条第2項。変更前の目的と関連性を有すると合理的に認められる範囲に限られます)の問題につながりやすいため、事前の確認が欠かせません。
目的外利用の詳しい考え方は、第6話:目的外利用とは何かで扱います。本記事では「利用目的を変えるときは慎重な確認が必要」という入口を押さえておけば十分です。
プライバシーポリシーとの関係|「置けば終わり」ではない
利用目的を公表する代表的な方法が、プライバシーポリシーです。多くの企業は、プライバシーポリシーに利用目的をまとめて掲載することで「公表」を行っています。
ただし、ここで強調したいのは、プライバシーポリシーは「置けば終わり」ではないということです。掲載した利用目的が、実際の取得・利用の実態と一致していなければ意味がありません。記載と運用の乖離は、個人情報管理における代表的なリスクです。新しい施策で利用目的が増えたのにポリシーが古いまま、といった状態にならないよう、定期的な点検が必要です。
プライバシーポリシーの具体的なテンプレートや、改正対応で何を変えるべきかは、本記事では繰り返しません。詳しくはプライバシーポリシー改定テンプレ(ひな形)、および個人情報保護法改正でプライバシーポリシーの何を変える?をご覧ください。
企業法務担当者が事業部門に確認すべき質問
新しいフォーム、キャンペーン、採用施策、営業リスト作成、SaaS導入などの相談を受けたとき、法務がまず確認したいのは「何のために取得し、何に使うのか」です。次のような質問で、利用目的まわりの論点を一通り洗い出せます。
| 質問 | 確認意図 | 問題になりやすい回答 | 次に見る論点 |
|---|---|---|---|
| 誰の情報を取得しますか | 本人の属性確認 | 「とりあえず広く集める」 | 取得の必要性・場面別注意 |
| どの項目を取得しますか | 取得項目の最小化 | 「使うか分からないが全部取る」 | 取得の適正性(第5話) |
| 何のために使いますか | 利用目的の特定 | 「いろいろ使うかもしれない」 | 利用目的の具体化 |
| 取得時にどこで利用目的を表示しますか | 通知・公表・明示の方法 | 「ポリシーに書いてあるはず」 | 取得画面での見せ方 |
| 既存の利用目的に含まれますか | 目的の範囲確認 | 「たぶん含まれる」 | 利用目的の追加要否 |
| 取得後に別目的で使う予定はありますか | 目的外利用の予防 | 「将来別の用途にも使いたい」 | 目的外利用(第6話) |
| 外部サービス・委託先に渡しますか | 外部提供の確認 | 「SaaSに保存するだけ」 | 委託・第三者提供(第7話) |
| メール配信や広告配信に使いますか | 連絡・配信の確認 | 「念のため配信対象に入れる」 | 取得時の同意範囲 |
| 保存期間や削除ルールはありますか | 保管・廃棄の確認 | 「特に決めていない」 | 社内管理ルール(第9話) |
場面別|利用目的の確認ポイント
利用目的の整理は、取得場面ごとに考えると実務に落とし込みやすくなります。代表的な場面について、利用目的の例・表示方法・注意点を整理します。
| 場面 | 利用目的の例 | 表示方法 | 注意点 |
|---|---|---|---|
| 問い合わせフォーム | 回答、資料送付、案内 | フォーム付近での明示+ポリシーで公表 | 案内配信まで含むなら明記する |
| 資料請求フォーム | 資料送付、フォロー連絡 | フォーム付近での明示+ポリシーで公表 | 営業連絡の有無を分かるようにする |
| セミナー申込 | 運営連絡、当日案内、次回案内 | 申込画面で明示+公表 | 次回以降の案内は範囲を示す |
| 採用応募フォーム | 選考、連絡、入社手続 | 応募画面で明示 | 不採用者情報の扱いも検討(第11話) |
| 従業員情報取得 | 雇用管理、給与、労務手続、福利厚生、健康管理等 | 入社時書面・フォームでの明示+社内規程・ポリシーで通知・公表 | 健康情報・要配慮個人情報、利用範囲、アクセス権限に注意(第12話) |
| 名刺交換 | 連絡、取引対応 | 取得経緯に応じて整理 | 無断のメール配信に注意(第13話) |
| メールマガジン登録 | 配信、案内 | 登録画面で明示 | 配信対象・解除方法を明確にする |
| EC・注文情報 | 注文処理、発送、問い合わせ対応 | 購入画面で明示+公表 | 配送等の委託先も整理する |
| 自社SaaS・クラウド提供 | サービス提供、本人確認、サポート、不具合対応 | 利用規約・ポリシーで公表+取得画面で明示 | 保存先・委託先・外国取扱いを確認(第14話) |
| 他社SaaS・クラウド利用 | 顧客・従業員情報等の保管・処理 | 自社の利用目的・委託先管理として整理 | 委託・クラウド例外・海外保存・漏えい時通知を確認(第14話) |
| 生成AI利用 | 業務効率化等(利用範囲を限定) | 社内ルールで整理 | 入力可否のルールを定める(後述リンク) |
生成AIの業務利用については、入力してよい情報の範囲や委託・提供の整理など、別途検討すべき論点があります。詳しくは法務でChatGPTはどこまで使える?をご覧ください。
よくある誤解と正しい理解
利用目的をめぐる代表的な誤解を整理します。いずれも実務で見られるものです。
| よくある誤解 | 正しい理解 | 実務上の注意 |
|---|---|---|
| プライバシーポリシーに広く書けば何でも使える | 本人が予測できる程度の特定が必要で、広ければ良いわけではない | 実際の利用実態に合わせて整理する |
| 「サービス向上のため」と書けば十分 | 場面によっては具体性が不足し得る | 「向上」の中身を具体化する |
| 本人が入力した情報なら自由に使える | 入力=あらゆる利用への同意ではない | 特定した利用目的の範囲で使う |
| 社内利用なら目的外利用は問題にならない | 社内でも目的の範囲を超える利用は制限され得る | 部署間の転用も範囲を確認する |
| 採用応募者情報を営業活動に使っても問題ない | 本人の想定を超える利用になり得る | 目的外利用の観点で確認する(第6話) |
| 名刺交換したらメール配信してよい | 取得経緯と目的によっては慎重な検討が必要 | 配信目的の整合を確認する(第13話) |
| 既存顧客情報は新規事業にも自由に使える | 当初の利用目的との関連性の確認が必要 | 変更の範囲・通知公表を検討する |
| 委託先に渡すだけなら利用目的は関係ない | 委託も含め利用目的の整理は前提になる | 委託・提供の類型を確認する(第7話) |
利用目的整理の社内管理方法|台帳に落とし込む
利用目的は、プライバシーポリシーに書くだけでなく、社内の情報管理台帳(個人情報取扱台帳)にも反映しておくと管理しやすくなります。台帳にまとめておけば、新しい施策のときに「既存の利用目的に含まれるか」をすぐ確認でき、ポリシーとの整合も取りやすくなります。
| 管理項目 | 記録する内容 | 関係部署 | 見直しタイミング |
|---|---|---|---|
| 情報の種類 | 顧客・従業員・応募者などの別 | 法務・各部署 | 新規取得の開始時 |
| 対象者 | 本人の属性 | 各部署 | 施策追加時 |
| 取得経路 | フォーム・名刺・採用など | 営業・人事・情シス | 経路変更時 |
| 利用目的 | 特定した利用目的 | 法務・各部署 | 目的追加・変更時 |
| 通知・公表・明示の方法 | どこでどう示しているか | 法務・情シス | フォーム改修時 |
| 保管場所 | システム・保存先 | 情シス | システム変更時 |
| 外部提供・委託の有無 | 提供先・委託先 | 法務 | 委託開始・変更時 |
| 保存期間 | 保管期間・廃棄ルール | 各部署・総務 | 定期見直し |
| 担当部署 | 管理責任者 | 全社 | 体制変更時 |
こうした台帳づくりや社内管理ルールの整備は、第9話:個人情報の社内管理ルール、および第15話:個人情報保護法対応チェックリストで詳しく扱います。
利用目的の整理は、最終的にプライバシーポリシー・個人情報取扱台帳・取得フォーム・社内規程・委託先管理・本人対応などの文書に落とし込む作業へとつながります。こうした社内文書や確認観点メモのたたき台づくりを効率化したい法務・総務・情シス担当者の方には、個人情報保護法対応AIプロンプト集が補助ツールとして役立ちます(最終的な内容の確認・判断は担当者ご自身で行ってください)。
個人情報保護法対応AIプロンプト集を見るそのほかのツールは 商品一覧/LegalOS法律相談 もご覧いただけます。
このシリーズでの次の学び方
利用目的の考え方を押さえたら、次は実際の取得場面に進みます。第5話では、申込フォーム・名刺・問い合わせ対応など、個人情報を取得する場面ごとの注意点を扱います。第6話では、取得した個人情報を別目的で使う場合の目的外利用を掘り下げます。
| 話数 | タイトル | 主なテーマ | リンク |
|---|---|---|---|
| 第1話 | 個人情報保護法とは?企業法務担当者が最初に押さえる基本 | 全体像・最初に押さえる考え方 | 記事を読む |
| 第2話 | 個人情報・個人データ・保有個人データの違い | 混同しやすい用語の整理 | 記事を読む |
| 第3話 | 個人情報取扱事業者とは?中小企業・スタートアップも対象になるのか | 対象事業者性の入口 | 記事を読む |
| 第4話 | 利用目的の特定・通知・公表 | ポリシーの前に押さえる基本(本記事) | 本記事 |
| 第5話 | 個人情報を取得するときの注意点 | フォーム・名刺・問い合わせ対応 | 記事を読む |
| 第6話 | 目的外利用とは何か | 別目的で使うリスク | 記事を読む |
| 第7話 | 第三者提供・委託・共同利用の違い | 外部提供で迷う基本 | 記事を読む |
| 第8話 | 安全管理措置とは? | 組織的・人的・物理的・技術的措置 | 記事を読む |
| 第9話 | 個人情報の社内管理ルール | アクセス権限・持ち出し・保存期間 | 記事を読む |
| 第10話 | 漏えい等が起きたときの初動対応 | まず社内で何を確認するか | 記事を読む |
| 第11話 | 採用活動と個人情報 | 履歴書・職務経歴書・不採用者情報 | 記事を読む |
| 第12話 | 従業員情報の管理 | 人事評価・健康情報・退職者情報 | 記事を読む |
| 第13話 | 営業リスト・名刺情報・メール配信 | 営業まわりの個人情報保護法チェック | 記事を読む |
| 第14話 | SaaS・クラウドサービス利用時のチェック | 契約前に見るべき項目 | 記事を読む |
| 第15話 | 個人情報保護法対応チェックリスト | 企業法務担当者の保存版 | 記事を読む |
まとめ|利用目的の整理は個人情報保護法対応の入口
利用目的の特定・通知・公表は、個人情報保護法対応の入口にあたる論点です。利用目的は「広く書けばよい」ものではなく、本人が一般的・合理的に予測できる程度に具体化することが求められます。そのうえで、取得した場合は通知または公表し、本人から直接書面等で取得する場合は明示する——この流れを押さえることが基本になります。
利用目的は、プライバシーポリシーだけの問題ではありません。フォーム設計・社内台帳・委託先管理と一体で考えることで、記載と運用の乖離を防げます。「書いてある」ではなく「実際の取得・利用実態と一致している」状態を目指しましょう。
次回・第5話では、「個人情報を取得するときの注意点|申込フォーム・名刺・問い合わせ対応」を解説します。利用目的を整理したうえで、実際の取得場面で何に気をつけるかを具体的に見ていきます。
- 個人情報保護委員会「個人情報保護法等」
https://www.ppc.go.jp/personalinfo/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - 個人情報保護委員会「Q&A」
https://www.ppc.go.jp/personalinfo/faq/ - 個人情報保護委員会「個人情報の利用目的を『できる限り特定しなければならない』とされていますが、どの程度まで特定する必要がありますか。」(プロファイリングを含む)
https://www.ppc.go.jp/all_faq_index/faq1-q2-1/ - 個人情報保護委員会「利用目的の特定(法第17条第1項)、通知又は公表に関するQ&A」
https://www.ppc.go.jp/all_faq_index/faq4-q103/ - e-Gov法令検索「個人情報の保護に関する法律」
https://laws.e-gov.go.jp/law/415AC0000000057
※ 本記事は2026年6月時点の現行法・個人情報保護委員会の公的資料をもとに、企業法務実務の一般的な整理として解説したものです。個別の取扱いの可否は事情により異なるため、実務対応にあたっては最新の法令・ガイドラインをご確認のうえ、必要に応じて専門家にご相談ください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
この記事の確認観点を、実務の型に変える。
読んだ内容を、確認メモ・文例・AI指示文に落とせます。
