個人情報を取得するときの注意点|申込フォーム・名刺・問い合わせ対応
この記事を、次の案件で使える形に。
読んだ確認観点を、次に使える“型”にして手元に残せます。
契約・広告表示・社内説明など、用途別に確認できます。
個人情報保護法への対応というと、取得した後の管理に目が向きがちです。しかし実務では、個人情報を取得する「入口」の設計が、後々の管理のしやすさを大きく左右します。入口で項目を取りすぎたり、利用目的を示さずに集めたりすると、後から修正するのは大変です。
申込フォーム、問い合わせフォーム、名刺交換、アンケート、採用応募、セミナー申込——個人情報を取得する場面は、日常業務にあふれています。本記事では、個人情報を取得するときの注意点を、取得場面ごとに企業法務担当者が確認すべきポイントとして整理します。
第4話で「利用目的の特定・通知・公表」を学びました。第5話では、それを踏まえて実際の取得場面で何を確認するかに踏み込みます。利用目的の基本を振り返りたい方は第4話:利用目的の特定・通知・公表もご覧ください。
読んだだけで終わると、次の案件でまたゼロから考えることになります。
社内説明の文面も、確認メモも、AIへの指示文も、毎回イチから。用途別に実務ツールを確認できます。
用途別に実務ツールを確認する→迷ったら、用途を選ぶだけの 1分診断 →
まず結論|個人情報の取得時に見るべき5つのポイント
取得場面はさまざまですが、確認すべき軸は共通しています。まずは、個人情報を取得するときの5つの基本チェックを押さえましょう。この5点を意識するだけで、取得時のリスクの多くを早めに発見できます。
| チェック項目 | 確認内容 | よくあるリスク | 関連する後続記事 |
|---|---|---|---|
| ① 取得項目は利用目的に照らして必要か | 使う予定のない項目まで取っていないか | 「念のため」で過剰に取得する | 本記事 第11章 |
| ② 利用目的を特定しているか | 何のために取得するか具体化しているか | 目的が曖昧で後から使えない | 第4話 |
| ③ 通知・公表・明示の方法は適切か | 取得場面に応じて本人に示せているか | 取得画面で利用目的が分からない | 第4話 |
| ④ 保存先・アクセス権限・委託先を把握しているか | どこに保存し、誰が見られるか | 外部ツール任せで把握できていない | 第14話 |
| ⑤ 目的外利用・第三者提供の予定がないか | 取得後に別目的・外部提供がないか | 取得目的と利用予定がずれる | 第6話/第7話 |
個人情報の取得に関する基本ルール
場面別の話に入る前に、個人情報の取得に共通する基本ルールを、フォームや名刺管理・問い合わせ対応で「何を見るか」に落とし込んで整理します。
- 適正取得:偽りその他不正の手段で個人情報を取得してはなりません(法第20条第1項)。だましたり、利用実態を隠して不正に取得したりする設計は避けます。本人が通常想定しにくい方法で取得する場合は、利用目的の表示や取得方法の適切性を慎重に確認します。
- 利用目的の通知・公表:個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに本人に通知し、または公表する必要があります(法第21条第1項)。
- 直接書面等で取得する場合の明示:申込書やWeb入力画面など、本人から直接書面等で個人情報を取得する場合は、原則としてあらかじめ利用目的を本人に明示します(法第21条第2項)。
「とりあえず集めておく」のではなく、利用目的・取得項目・表示方法をワンセットで考えるのが基本です。何のために取得するかが決まっていれば、必要な項目も、本人への示し方も自然に決まります。順序を逆にしないことがポイントです。
申込フォーム・問い合わせフォームで取得するときの注意点
Webフォームや申込フォームは、本人から直接入力してもらう典型的な取得場面です。本人から直接書面等で取得する場面にあたるため、利用目的の明示やプライバシーポリシーへの導線が特に重要になります。フォーム最下部に小さく書くのではなく、送信前に本人が確認できる配置が望まれます。
あわせて確認したいのが、入力項目が過剰になっていないかです。氏名、会社名、メールアドレス、電話番号、住所、問い合わせ内容、役職、業種——これらの各項目について、「なぜ必要か」を利用目的との関係で説明できるかを確認します。必須項目と任意項目を分けることも有効です。
| 項目 | 確認ポイント | NG例 | 改善例 |
|---|---|---|---|
| 利用目的の表示 | 送信前に確認できる位置か | 最下部に小さく記載のみ | 入力欄付近に目的とポリシーへのリンク |
| 取得項目 | 利用目的に必要な範囲か | 使う予定のない項目も必須 | 必要項目に絞り、任意は明示 |
| 必須・任意の区別 | 区別が分かるか | すべて必須で理由不明 | 必須・任意を表示し理由を整理 |
| プライバシーポリシー導線 | 本人が辿れるか | リンク切れ・所在不明 | 送信ボタン付近に有効なリンク |
| 保存先・連携先 | どのツールに送られるか | 外部ツール任せで未把握 | 保存先・連携先を把握し記録 |
外部のフォーム作成ツールを使う場合は、保存先や事業者の関与(委託など)も確認が必要です。詳しくは本記事の第9章および第14話:SaaS・クラウドサービス利用時のチェックで扱います。
名刺交換・名刺管理アプリで取得するときの注意点
名刺はビジネスで日常的に扱う情報ですが、氏名、会社名、部署、役職、メールアドレス、電話番号など、個人情報に該当し得る情報が含まれます。名刺交換は、申込フォームのように本人が入力する取得場面とは性質が異なり、本人が自発的な意思で簡便に提供する場面と整理されることがあります。
もっとも、これは「名刺ならどう使ってもよい」という意味ではありません。取得後に名刺管理アプリ、CRM、営業リスト、メール配信リストに登録して利用する場合には、利用目的、社内での共有範囲、外部サービスの利用、メール配信の可否を確認する必要があります。
個人情報保護委員会のQ&Aでは、従業者であることを明らかにして名刺を交換した場合、相手側は、その所属事業者から広告宣伝の冊子や電子メールが送られてくることについて一定の予測可能性があると考えられる、と整理されています。ただし、広告宣伝メールには、個人情報保護法だけでなく、特定電子メール法(受信拒否への対応など)や、通信販売等に該当する場合の特定商取引法など他の法令の遵守も必要です。「名刺なら何をしてもよい」とも「名刺だから一切メールできない」とも言えない、という点を押さえましょう。
| 利用場面 | 確認すべきこと | リスク | 関連記事 |
|---|---|---|---|
| 名刺管理アプリへの登録 | 保存先・委託関係・共有範囲・ベンダーによる二次利用の有無 | 外部保存先やベンダー側の二次利用規約を把握できていない | 第14話 |
| 営業リスト化 | 利用目的との整合 | 当初想定を超えた利用 | 第13話 |
| 広告宣伝メール配信 | 予測可能性・他法令の遵守 | 特電法、通信販売等に該当する場合の特商法への抵触 | 第13話 |
| 社内での共有 | 共有範囲・アクセス権限 | 必要以上の範囲で共有 | 第9話 |
名刺情報・営業リスト・メール配信の詳しい実務は、第13話:営業リスト・名刺情報・メール配信の個人情報保護法チェックで扱います。
アンケート・キャンペーン・資料請求で取得するときの注意点
アンケート、キャンペーン応募、資料請求は、取得項目が増えやすく、マーケティング利用や営業フォローにつながりやすい場面です。だからこそ、取得時の利用目的の表示、メール配信の有無、第三者提供・共同利用の有無、外部ツールの利用を確認しておく必要があります。
特に注意したいのが、取得時の目的と、後で使いたくなる目的のズレです。「プレゼント応募のために取得した情報を、無関係な営業活動や広告配信に使えるか」は、慎重な確認が必要です。
| 取得時の目的 | 後で使いたくなる目的 | 注意点 | 法務の確認ポイント |
|---|---|---|---|
| キャンペーン応募の抽選・連絡 | 定常的な営業・広告配信 | 応募時の想定を超え得る | 取得時の利用目的に含むか |
| 資料請求への対応 | 継続的なフォローメール | フォローの範囲が不明確 | 配信目的を取得時に明示したか |
| アンケート集計 | 個人を特定した分析・営業 | 匿名集計の想定とずれる | 個人単位の利用を示したか |
| イベント参加者管理 | 他事業・グループ会社での利用 | 共同利用・提供の論点 | 提供・共同利用の整理(第7話) |
取得した情報を当初と異なる目的で使う場合は、目的外利用の問題につながります。詳しくは第6話:目的外利用とは何かをご覧ください。
採用応募・人事関連で取得するときの注意点
採用応募では、履歴書、職務経歴書、学歴、職歴、資格、連絡先、志望動機、面接評価など、多くの個人情報を扱います。情報量が多いぶん、取得時の整理が特に重要になります。
注意したいのは、要配慮個人情報やセンシティブな情報につながる項目を安易に取得しないことです。選考に必要な範囲かを確認し、不要な情報を集めない姿勢が求められます。また、不採用者情報の保存期間、削除ルール、応募者への案内、採用管理システム(ATS)の利用についても確認しておきましょう。
採用は、本人(応募者)が不利な立場に置かれやすい場面です。思想・信条、健康状態、家族の状況など、選考に直接必要とは言えない情報の取得は慎重に検討してください。要配慮個人情報の取扱いには、通常の個人情報より一段の注意が必要です。詳しくは第11話:採用活動と個人情報で扱います。
電話・口頭・対面で取得するときの注意点
個人情報の取得は、書面やWebフォームに限りません。電話受付、店頭受付、対面相談、イベント受付など、口頭や対面でも個人情報を取得する場面は多くあります。
口頭で取得した内容をメモやシステムに記録する場合も、利用目的、記録範囲、保存先、共有範囲の確認が必要です。「電話で聞いただけ」「口頭だから」といって個人情報保護法と無関係になるわけではありません。本人にどのように利用目的を伝えるか(受付時の案内文や応対マニュアルへの反映など)も、実務上の検討ポイントになります。
・受付時に伝える利用目的の定型文を用意する
・記録する項目と、記録しない項目を決めておく
・通話録音をする場合は、その旨と目的の案内を検討する
こうした点を受付マニュアルに落とし込むと、担当者ごとのばらつきを防げます。
外部サービス・SaaSを使って取得する場合の注意点
フォーム作成ツール、CRM、MAツール、採用管理システム、名刺管理アプリ、アンケートツールなど、外部サービスを通じて個人情報を取得・保存する場面が増えています。便利な一方で、確認すべき論点もあります。
まず、自社が直接取得しているのか、外部サービス事業者が関与しているのかを整理します。そのうえで、委託・第三者提供・共同利用・海外移転(外国にある第三者への提供)の論点がないかを確認します。「外部ツールに保存しているから自社は関係ない」とは言えません。委託している場合でも、委託元としての責任は残ります。
外部サービスを利用する場合でも、個人情報の取扱いについての責任が自社からなくなるわけではありません。保存先(国内か国外か)、委託契約の有無、再委託の管理などを確認しましょう。詳細は第7話:第三者提供・委託・共同利用の違い、第14話:SaaS・クラウドサービス利用時のチェック、および個人情報と契約条項で扱います。
個人情報保護法とは別に、「外部送信規律」(電気通信事業法)にも注意。Webサイトやアプリにアクセス解析タグ・広告タグ・外部のフォーム作成ツール等を組み込み、利用者の端末からCookieや識別子などの情報が外部に送信される場合には、個人情報保護法とは別に、改正電気通信事業法の「外部送信規律」(2023年6月施行)に基づき、送信される情報の内容・送信先などを利用者に通知または公表する等の対応が必要になることがあります。一般的なWebサイト運営でも対象になり得るため、フォームやタグを導入する際は、この点も併せて確認しておくと安全です。
同意チェックボックスの使い方と限界
Webフォームでよく見かける「個人情報の取扱いに同意する」チェックボックス。これは、本人に内容を確認してもらう導線として有用な場合があります。しかし、「置けば何でも適法になる」ものではありません。
そもそも、通常の個人情報の「取得」自体には、原則として本人の同意が法律上の要件とされているわけではなく、利用目的の通知・公表・明示が基本です。一方で、要配慮個人情報の取得や第三者提供などは、原則として本人の同意が必要とされる場面です。つまり、「同意が本当に必要な場面なのか」「何に対する同意なのか」を整理することが先決です。
| 場面 | チェックボックスの役割 | 注意点 | 追加で確認すること |
|---|---|---|---|
| 利用目的・ポリシーの確認 | 本人が内容を確認する導線 | 確認=あらゆる利用への同意ではない | リンク先が実態と一致しているか |
| 要配慮個人情報の取得 | 同意取得の記録に資する場合がある | 形式的なチェックで足りるとは限らない(※本人が自ら記載・提出した場合や法令に基づく場合は個別同意が不要な場合もある) | 取得の必要性・同意の範囲・例外該当の有無 |
| 第三者提供への同意 | 同意の意思表示の一手段 | 何を誰に提供するか不明確だと不十分 | 提供先・提供内容の明示 |
| メール配信などの希望 | 配信可否の意思確認 | 必須チェックの強制は望ましくない場合も | 必須にする必要が本当にあるか |
ポイントは、チェックボックスの有無だけで適法性が決まるわけではないということです。リンク先の内容が実際の取扱いと一致しているか、必須にする必要が本当にあるか、同意取得が必要な場面かを、セットで確認しましょう。
取得項目を増やしすぎないための実務チェック
個人情報は、「将来使うかもしれないから」と広く取得しがちです。しかし、使わない情報を持つことは、管理コストと漏えい時のリスクを増やすだけになりかねません。利用目的との関係で本当に必要な項目かを、取得前に確認しましょう。
確認の視点は、「利用目的に必要か」「任意項目にできないか」「保存期間を決めているか」「閲覧できる人を限定しているか」です。以下に、取得項目ごとの必要性確認の例を示します。
| 取得項目 | 必要になり得る場面 | 不要な場合のリスク | 代替案・確認事項 |
|---|---|---|---|
| 電話番号 | 緊急連絡・本人確認が必要な取引 | 連絡手段が過剰で漏えい範囲拡大 | メールで足りないか検討 |
| 住所 | 物品発送・郵送が必要な場合 | 不要な所在情報の保持 | 発送がなければ任意化 |
| 生年月日 | 年齢確認が必要なサービス | 属性情報の不要な蓄積 | 年代区分で足りないか |
| 性別 | 提供に必要な合理的理由がある場合 | 不要な属性取得 | 取得理由を説明できるか |
| 勤務先・役職 | BtoBの取引・与信判断 | 個人と所属の不要な紐付け | 利用目的と整合するか |
| 年収・家族情報 | 金融・与信等の限定場面 | センシティブ情報の過剰取得 | 取得の必要性を慎重に確認 |
| 健康情報 | 安全配慮等の限定場面 | 要配慮個人情報の不適切取得 | 原則同意・取得範囲を確認 |
| 写真 | 本人確認・名札作成等 | 不要な生体関連情報の保持 | 用途と保存期間を明確化 |
取得項目を絞ることは、利用目的との整合を説明しやすくし、本人の安心や漏えい時の影響範囲の縮小にもつながります。日本の個人情報保護法には、GDPRのような一般的なデータ最小化義務が明文で定められているわけではありませんが、利用目的をできる限り特定し、適正に取得・管理するという観点から、「多く取る」より「必要性を説明できる範囲で取る」運用が実務上望ましいといえます。
取得時に法務担当者が事業部門に確認すべき質問
事業部門から「このフォームで個人情報を取ってよいか」と相談を受けたら、次の質問で論点を洗い出します。設計段階で確認しておくと、後からの手戻りを防げます。
| 質問 | 確認意図 | 問題になりやすい回答 | 次に見る論点 |
|---|---|---|---|
| 何のために取得しますか | 利用目的の特定 | 「いろいろ使うかも」 | 利用目的の具体化(第4話) |
| どの項目を取得しますか | 取得項目の最小化 | 「念のため全部」 | 取得項目の必要性 |
| 必須項目と任意項目は分けていますか | 過剰取得の防止 | 「全部必須」 | 必須・任意の区別 |
| 利用目的はどこに表示しますか | 通知・公表・明示の方法 | 「ポリシーにあるはず」 | 取得画面での見せ方 |
| プライバシーポリシーと整合していますか | 記載と運用の一致 | 「ポリシーは古いまま」 | ポリシーの更新要否 |
| 取得後どこに保存しますか | 保存先の把握 | 「外部ツール」 | SaaS・委託(第14話) |
| 誰が閲覧できますか | アクセス範囲の確認 | 「全社員」 | アクセス権限(第9話) |
| 外部サービスに保存しますか | 委託・クラウド利用・外国取扱いの確認 | 「海外サーバーかも」 | 委託・第三者提供・クラウド例外・外国提供・安全管理措置の整理(第14話) |
| メール配信や営業リストに使いますか | 利用範囲の確認 | 「念のため配信対象に」 | 取得目的との整合 |
| 保存期間と削除ルールはありますか | 保管・廃棄の確認 | 「決めていない」 | 保存期間の設定(第9話) |
| 誤送信・漏えい時の連絡ルートはありますか | 初動体制の確認 | 「特にない」 | 漏えい初動(第10話) |
漏えい・誤送信への備えは、第10話:漏えい等が起きたときの初動対応、および漏えい時の「速報」「確報」報告義務で詳しく扱います。
よくある誤解と正しい理解
個人情報の取得をめぐる代表的な誤解を整理します。いずれも実務で見られるものです。
| よくある誤解 | 正しい理解 | 実務上の注意 |
|---|---|---|
| 本人が入力した情報なら何に使ってもよい | 入力=あらゆる利用への同意ではない | 特定した利用目的の範囲で使う |
| 名刺交換したらメール配信してよい | 一定の予測可能性はあるが他法令も関わる | 特電法・特商法も確認する(第13話) |
| フォームに同意チェックを置けば十分 | チェックの有無だけで適法性は決まらない | 同意の要否と内容を確認する |
| 取得項目は多いほど便利なので問題ない | 不要な項目は管理・漏えいリスクを増やす | 利用目的に必要な範囲に絞る |
| 外部フォームツールを使えば自社は責任を負わない | 委託しても委託元の責任は残る | 保存先・委託先を確認する(第14話) |
| 問い合わせ内容は自由記載だから管理対象外 | 個人情報を含めば管理対象になり得る | 自由記載欄の保存・共有も整理する |
| 採用応募者情報は不採用後もずっと保存してよい | 保存期間・削除ルールの検討が必要 | 不採用者情報の扱いを決める(第11話) |
| 電話で聞いただけなら個人情報保護法は関係ない | 口頭取得でも同法の対象になり得る | 記録範囲・利用目的の案内を整理する |
個人情報を取得する場面では、フォーム設計・利用目的表示・プライバシーポリシー・同意文言・取得項目・保存先・委託先・社内管理ルールなどを文書化して確認する必要があります。「申込フォーム確認メモ」「個人情報取得項目チェック」「プライバシーポリシーとの整合確認」「問い合わせ対応フロー」といったたたき台づくりを効率化したい法務・総務・情シス担当者の方には、個人情報保護法対応AIプロンプト集が補助ツールとして役立ちます(最終的な内容の確認・判断は担当者ご自身で行ってください)。
個人情報保護法対応AIプロンプト集を見るそのほかのツールは 商品一覧/LegalOS法律相談 もご覧いただけます。
このシリーズでの次の学び方
取得場面の注意点を押さえたら、次は取得した個人情報の「使い方」と「守り方」に進みます。第6話では、取得した個人情報を別目的で使う場合の目的外利用を、第7話では外部提供・委託・共同利用の基本を扱います。第8話・第9話では、取得後の安全管理措置と社内管理ルールへと続きます。
| 話数 | タイトル | 主なテーマ | リンク |
|---|---|---|---|
| 第1話 | 個人情報保護法とは?企業法務担当者が最初に押さえる基本 | 全体像・最初に押さえる考え方 | 記事を読む |
| 第2話 | 個人情報・個人データ・保有個人データの違い | 混同しやすい用語の整理 | 記事を読む |
| 第3話 | 個人情報取扱事業者とは?中小企業・スタートアップも対象になるのか | 対象事業者性の入口 | 記事を読む |
| 第4話 | 利用目的の特定・通知・公表 | ポリシーの前に押さえる基本 | 記事を読む |
| 第5話 | 個人情報を取得するときの注意点 | フォーム・名刺・問い合わせ対応(本記事) | 本記事 |
| 第6話 | 目的外利用とは何か | 別目的で使うリスク | 記事を読む |
| 第7話 | 第三者提供・委託・共同利用の違い | 外部提供で迷う基本 | 記事を読む |
| 第8話 | 安全管理措置とは? | 組織的・人的・物理的・技術的措置 | 記事を読む |
| 第9話 | 個人情報の社内管理ルール | アクセス権限・持ち出し・保存期間 | 記事を読む |
| 第10話 | 漏えい等が起きたときの初動対応 | まず社内で何を確認するか | 記事を読む |
| 第11話 | 採用活動と個人情報 | 履歴書・職務経歴書・不採用者情報 | 記事を読む |
| 第12話 | 従業員情報の管理 | 人事評価・健康情報・退職者情報 | 記事を読む |
| 第13話 | 営業リスト・名刺情報・メール配信 | 営業まわりの個人情報保護法チェック | 記事を読む |
| 第14話 | SaaS・クラウドサービス利用時のチェック | 契約前に見るべき項目 | 記事を読む |
| 第15話 | 個人情報保護法対応チェックリスト | 企業法務担当者の保存版 | 記事を読む |
まとめ|取得の「入口」を設計段階から確認する
個人情報を取得するときは、取得項目・利用目的・表示方法・保存先・外部サービス・取得後の利用範囲をセットで確認することが重要です。場面ごとに確認ポイントは異なりますが、「何のために、どの情報を、どこで、どう示して取得するか」という軸は共通しています。
フォームや申込書は、個人情報保護法対応の「入口」です。運用が始まってから修正するより、設計段階で法務が関与する方が、手戻りも少なく実務上有効です。取得項目を絞り、利用目的を本人に分かるように示すことが、安心と効率の両立につながります。
次回・第6話では、「目的外利用とは何か|取得した個人情報を別目的で使うリスク」を解説します。取得した個人情報を、当初の目的と違う使い方をするときに何が問題になるのかを掘り下げます。
- 個人情報保護委員会「個人情報保護法等」
https://www.ppc.go.jp/personalinfo/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - 個人情報保護委員会「Q&A」
https://www.ppc.go.jp/personalinfo/faq/ - 個人情報保護委員会「利用目的の特定(法第17条第1項)、通知又は公表に関するQ&A」
https://www.ppc.go.jp/all_faq_index/faq4-q103/ - 個人情報保護委員会「申込書やホームページ上のユーザー入力画面で連絡先を記入させる場合、当該連絡先の利用目的を明示する必要がありますか。」
https://www.ppc.go.jp/all_faq_index/faq1-q4-17/ - 個人情報保護委員会「名刺交換により取得した連絡先に対して、自社の広告宣伝のための冊子や電子メールを送ることはできますか。」
https://www.ppc.go.jp/all_faq_index/faq1-q4-16/ - e-Gov法令検索「個人情報の保護に関する法律」
https://laws.e-gov.go.jp/law/415AC0000000057
※ 本記事は2026年6月時点の現行法・個人情報保護委員会の公的資料をもとに、企業法務実務の一般的な整理として解説したものです。個別の取扱いの可否は事情により異なるため、実務対応にあたっては最新の法令・ガイドラインをご確認のうえ、必要に応じて専門家にご相談ください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
この記事の確認観点を、実務の型に変える。
読んだ内容を、確認メモ・文例・AI指示文に落とせます。
