お問い合わせフォームに「プライバシーポリシーに同意する」チェックボックスを置く。
メール配信登録にオプトインを設ける。
会員登録時に個人情報の取扱いについて同意を取る。
Webサイトを運営していれば日常的に目にする光景です。しかし「なぜここで同意が必要なのか」「どんな形式であれば適切か」を体系的に説明できる方は、思いのほか少ないのではないでしょうか。
本記事では、個人情報保護法上「同意」が必要な場面を整理し、第三者提供・利用目的の変更・フォーム設計それぞれの実務ポイントをまとめました。
| ※ 本記事は個人情報保護委員会が一般公開しているガイドラインをもとに、Web担当者向けに整理した内容です。個別の判断が必要な場合は、専門家にご相談ください。 ※ また、2026年には個人情報保護法の改正が進められており、同意の確認はより厳密になる可能性があります。本ページは今後も更新を予定しています。法改正の詳細については「2026年個人情報保護法改正案、ウェブ担当者は何を準備すべき?」をあわせてご覧ください。 |
目次
個人情報保護法における「同意」とは
個人情報保護法における「同意」は、本人の意思を確認するための手続きです。個人情報保護委員会のガイドラインでは「本人の承諾する旨の意思表示を個人情報取扱事業者が認識すること」とされています。
口頭・書面・Webのチェックボックスなど、形式そのものは問われません。ただし実務上は、「明示的に同意を取得した」という事実を後から確認できることが重要です。
以下では、Webサイト運営・マーケティング業務において同意が必要になる代表的な3つの場面を確認します。
同意が必要な場面1:第三者提供
個人情報保護法において、最も同意取得が問われやすいのが「第三者提供」です。
第三者提供とは、取得した個人データを、本人との関係で自社とは別の第三者に提供することを指します。ただし、業務委託や共同利用など、一定の要件を満たす場合は、外部事業者にデータを渡していても法律上の「第三者提供」に該当しないことがあります。
Webマーケティングの実務では、提携パートナーへのリスト共有、外部企業への見込み顧客情報の提供、広告・MA(マーケティングオートメーション)・分析ツールとのデータ連携などで、第三者提供に該当するかが問題になります。ただし、外部ツールの利用がすべて第三者提供になるわけではなく、契約内容やデータの利用実態によっては「委託」と整理される場合もあります。
原則:事前の同意(オプトイン)が必要
個人情報保護法第27条は、第三者提供には原則として「あらかじめ本人の同意を得ること」を求めています。
フォームで取得した個人データを、提供先が自社の目的で利用する形で渡す場合は、プライバシーポリシーに記載するだけでは足りず、原則として本人の同意が必要です。一方、メール配信会社やMAツールなどを自社業務の委託先として利用する場合は、第三者提供ではなく委託として整理されることもあります。
例外1:オプトアウト手続き
あらかじめ本人に通知または容易に知り得る状態に置き、個人情報保護委員会に届け出ることで、本人からの停止の求めがない限り提供できる「オプトアウト」手続きも認められています。
ただし2022年の改正により、次の情報はオプトアウトでの第三者提供が禁止されました。
- 要配慮個人情報(病歴・犯罪歴・障害の有無など)
- 不正な手段で取得した個人情報
- 他社のオプトアウト手続きで提供を受けた個人情報
オプトアウトを使える場面は限定されており、多くの場合はオプトインによる同意取得が実務上の基本です。
例外2:委託・共同利用
「第三者への提供」に該当しないケースもあります。
委託の場合: メール配信会社に顧客リストを渡して送信を依頼するなど、業務委託に伴う提供は「第三者提供」ではなく「委託」に該当します。本人同意なしで実施できますが、委託先の適切な監督が義務付けられています。
共同利用の場合: グループ会社など特定の者との間で個人データを共同利用する場合、共同利用する旨・個人データの項目・利用者の範囲・利用目的・管理責任者をあらかじめ通知または公表していれば、同意なしで実施できます。
第三者提供の同意取得 実務チェックリスト
| チェック項目 | 確認内容 |
|---|---|
| 提供先の明示 | どの事業者・ツールに提供するか |
| 提供情報の特定 | 氏名・メール・行動ログなど、何の情報を渡すか |
| 利用目的の明示 | 提供先でどのように使われるか |
| 同意取得の記録 | いつ・どのような方法で同意を取ったか |
| 同意撤回・提供停止の手段の確保 | 同意撤回・配信停止・第三者提供停止の申出方法が用意されているか |
同意が必要な場面2:利用目的の変更(変更の範囲次第)
個人情報保護法は「利用目的の特定」と「目的外利用の禁止」も規定しています。一度取得した個人情報を、当初の利用目的と異なる目的で利用する場合は、まず「変更前の利用目的と関連性があると合理的に認められる範囲」かどうかを確認する必要があります。その範囲内であれば、変更後の利用目的を本人に通知または公表することで対応できます。一方、その範囲を超えて利用する場合は、原則として本人の同意が必要です。
「関連性がある」変更は通知のみでOK
変更後の利用目的が変更前の目的と「関連性を有すると合理的に認められる範囲」内であれば、本人への通知・公表のみで変更できます。
例えば、問い合わせ対応に関連して、問い合わせ内容に応じた関連サービスを案内する程度であれば、関連性が認められる可能性があります。ただし、継続的なメールマガジン配信や広告配信リストへの追加まで行う場合は、当初の利用目的に含まれているか、別途同意を取得しているかを確認する必要があります。一方、「採用応募者の情報を営業活動に転用する」「アンケート回答データを外部に販売する」といった変更は関連性が否定される可能性が高く、同意取得が必要になります。
実務上の注意点
利用目的は最初から幅を持たせて記載する: 利用目的の変更のたびに同意を取り直すより、最初のプライバシーポリシーに想定される利用範囲を包括的に記載する方が実務的です。ただし「広すぎる目的」は個人情報保護委員会の指導対象になり得るため、具体性とのバランスを意識してください。
メール配信リストへの追加は特に注意: 問い合わせ・資料請求・商談などで取得した情報を、メールマガジンや定期配信リストに追加する場合は、当初の利用目的に「メール配信」が含まれているかを確認してください。含まれていない場合は改めて同意取得が必要です。
同意が必要な場面3:要配慮個人情報の取得
病歴・障害・犯罪歴・信条・人種など「要配慮個人情報」に該当する情報は、取得の時点で本人の同意が必要です。
Webサービスで問題になりやすいのは、健康・医療関連サービスや採用系サービスでの取扱いです。「任意記入欄」という形で取得していても、要配慮個人情報に該当する場合は同意取得が必須です。
例えば、健康食品の購入フォームでの「現在治療中の病気」の選択肢、採用エントリーでの「既往歴・健康状態」の入力、セミナー申込時の「食事の配慮(宗教上の理由など)」の記載などが該当します。任意記入であっても、取得する以上は同意が必要です。
フォーム設計の実務ポイント
同意取得の手続きは「意思の確認」が目的です。形式は問われませんが、実務上は証跡が残り、後から確認できることが重要です。
オプトイン方式(推奨)
Web上で最も一般的な同意取得手段です。フォームに「プライバシーポリシーに同意する」チェックボックスを設け、チェックなしでは送信できない設計にします。
実装上のポイント:
- チェックボックスはデフォルトで未チェックにする(最初からチェック済みのものは、有効な同意として認められにくい)
- 「プライバシーポリシー」はリンクで参照できる状態にしておく
- フォーム送信時刻・送信ログを一定期間保持する
- 第三者提供が伴う場合は、提供先・利用目的を明示した上で同意を取る
複数の目的に対して個別同意を取る場合
メール配信・電話連絡・第三者提供それぞれに個別のチェックを設ける設計もあります。より丁寧な同意取得ができる一方、フォームが複雑になり離脱率が上がるリスクもあります。法的に必要な同意の粒度と、フォームの分かりやすさ・完了率のバランスを検討してください。
同意撤回・配信停止の手段を用意する
同意を取った後も、ユーザーが同意を撤回したり、配信停止・提供停止を申し出たりできる手段を確保することが重要です。メール配信であれば配信停止リンク、第三者提供であれば問い合わせ窓口の明示などが該当します。
2026年の個人情報保護法改正では、本人関与のあり方や、第三者提供・要配慮個人情報などに関する規律の見直しが進められています。また、個人データを統計情報としてのみ利用する場合に同意取得が不要になる方向での検討も含まれています。アクセス解析データの集計・活用を行っているサイトでは、この動向が実務に直結する可能性があります。今後、ガイドラインや委員会規則で具体的な運用が示される見込みのため、同意取得や提供停止の手順は、あらかじめ整理しておくことをおすすめします。
まとめ:同意取得の4つの基本
個人情報保護法上の「同意」実務を整理すると、以下の4点がポイントです。
- 何のために・何を・誰に渡すかを明示してから取得する(特に第三者提供)
- プライバシーポリシーへの記載だけでは不十分な場面がある(第三者提供などでは、明示的な同意取得が必要になる場合がある)
- チェックボックスはデフォルト未チェックで設計する
- 同意撤回・提供停止の手段を事前に用意する
Webサイト経由でのリード獲得・MA連携・広告ツール活用が進むほど、個人情報の取扱いは複雑になります。プライバシーポリシーの見直しと合わせて、フォームの設計・ツール連携の整理を定期的に行う習慣をつけることをおすすめします。
無料資料:改正個人情報保護法とアクセス解析
QA ZEROでは、2026年4月の改正法案閣議決定を踏まえ、アクセス解析・Cookie・同意バナーの観点から確認すべきポイントを全9ページの無料資料にまとめています。
「自社サイトでは何を確認すべきか」「GA4や外部解析ツールをどう考えればよいか」を社内で共有したい方は、ぜひご活用ください。
▼無料資料ダウンロードはこちら
