問い合わせフォームのスパム対策として reCAPTCHA を導入したものの、「Google に訪問者データが送られているのでは」と気になっている方は少なくありません。海外では GDPR（EU 一般データ保護規則）の観点から reCAPTCHA の利用に懸念が示されており、日本でも個人情報の第三者提供・外国への提供への意識が高まっています。フォーム側に何も追加せず、メール受信後に AI で判定する方法を使えば、この問題をまるごと回避できます。

reCAPTCHA がプライバシー対応のコストを増やす理由

reCAPTCHA は訪問者のブラウザ上で動作し、マウスの動き・フィンガープリント・Cookie 情報を Google のサーバーに送信します。これには次の対応コストが伴います。

• プライバシーポリシーへの記載：reCAPTCHA による Google へのデータ送信を明示する必要があります。
• 同意取得の検討：第三者への提供を伴うスクリプトについては、利用者への通知・同意取得の要否を確認する必要があります。
• 継続的な運用管理：Google が利用規約や仕様を変更するたびに自社のポリシー記載を更新しなければなりません。

hCaptcha など代替サービスも同様の課題を持ちます。ブラウザ上で動作してデータを外部に送る仕組みである以上、何らかのプライバシー対応は必要です。

reCAPTCHA が止められないスパムの正体

CAPTCHA はボットによる自動送信には有効ですが、それ以外のノイズには効きません。

• 人間が書いた営業メール：SEO 対策の提案、外注開発の勧誘、リンク掲載の依頼などは、人間が入力して送るため CAPTCHA を難なく通過します。
• AI で生成された文章：一見まともな問い合わせに見える文面も、実態は営業目的であることが増えています。
• 繰り返しの問い合わせ：同じ業者から内容を変えて何度も送られてくるケースもあります。

多くのサイトでは、スパムの大部分が人間起点の営業メールです。CAPTCHA ではこの問題を解決できません。CAPTCHA の具体的な限界については「CAPTCHAで問い合わせスパムは止まらない？理由と対処法」で詳しく解説しています。

メール層で判定する考え方

フォームスパムをメール受信後に判定するアプローチは、シンプルな発想に基づいています。

1. フォームの「送信先メールアドレス」を、フィルタリングサービスが発行する専用の転送アドレスに変更する。
2. フォームが送信したメールはそのアドレスに届き、AI が本物の問い合わせかどうかを判定する。
3. 正当な問い合わせだけが、設定した自分のメールアドレスに転送される。

フォームそのものには何も追加しません。JavaScript のライブラリも、CAPTCHA ウィジェットも、プライバシー対応が必要な外部スクリプトも不要です。

プライバシー対応の観点では、この方式は「受信したメールをデータ処理業者が処理する」という関係になります。これは既存の外部メール配信サービスと同様の整理ができるため、CAPTCHA の場合と比べて対応の範囲が限定されます。

設定の流れ

具体的な手順はシンプルです。

1. フィルタリングサービス（例：formpuppy）でアカウントを作成し、プロジェクトを作成する。
2. 発行される専用アドレス（例：yourproject@formpuppy.com）を控える。
3. フォームの通知設定または「送信先」フィールドをその専用アドレスに変更する。
4. ダッシュボードで自分の受信メールアドレスを「転送先」として設定する。

以降、すべての問い合わせが AI フィルタを通過してから届きます。スパムと判定されたメールは削除されず、ダッシュボードのカルテン（保留一覧）に残ります。誤判定があった場合も手動で確認・解放できるため、本物の問い合わせを見逃すリスクを最小化できます。Contact Form 7 の詳細な設定手順は「Contact Form 7 と formpuppy の連携手順」をご覧ください。

サービスを選ぶときに確認すべき点

プライバシーが気になる場合は、以下の点をサービス選定の基準にしてください。

• データ処理に関する契約の有無：メール内容を預けるサービスとの間に、データ処理に関する取り決めがあるか確認します。
• データの保存場所と期間：メール内容がどのリージョンで処理されるか、保存期間はどのくらいかを確認します。
• 第三者への提供がないこと：メール内容が学習データとして共有されたり、第三者に販売されたりしないかを規約で確認します。

よくある質問

reCAPTCHA をやめるとボットの投稿が増えませんか？ ボットによる自動送信は確かに増える可能性があります。ただし、ボットの送信もメールとして届くため、AI フィルタが内容をもとに判定します。繰り返しの定型文や無意味な入力はフィルタで処理されるため、受信トレイへの影響は限定的です。

フォームの HTML を変更する必要はありますか？ ありません。変更が必要なのは「送信先メールアドレス」のみです。フォームのコード・デザイン・動作に一切手を加えずに導入できます。

誤ってスパム判定された問い合わせはどうなりますか？ 削除されず、ダッシュボードの保留一覧に残ります。ログインして内容を確認し、正当な問い合わせと判断した場合は手動で転送できます。

Contact Form 7 以外のフォームでも使えますか？ はい。Google フォーム、Typeform、Webflow、Tally、独自実装のフォームなど、メールで通知を送る仕組みを持つものであれば基本的に利用できます。

プライバシーポリシーの更新は必要ですか？ フィルタリングサービスへのメール転送について、プライバシーポリシーに記載を追加することが望ましいです。ただし reCAPTCHA と比べると、記載内容はシンプルになる傾向があります。詳細は専門家にご確認ください。

まとめ

reCAPTCHA は自動ボットには効果的ですが、人間が書いた営業メールや AI 生成のスパムには無力です。加えて、外部スクリプトによるデータ送信がプライバシー対応の負担を増やします。メール受信後に AI で判定するアプローチは、フォーム側への変更なしでスパム全体を一元処理でき、外部スクリプトを追加しない分、プライバシー対応も整理しやすくなります。

まずは formpuppy を試してみてください。フォームの送信先を変えるだけで、今日から利用を開始できます。