電話番号は個人情報に該当するか
日本の個人情報保護法において、電話番号は単体では「個人情報」に該当しない場合がありますが、氏名や住所と組み合わせることで特定の個人を識別できるため、実務上は個人情報として扱われます。2022 年の法改正により、個人関連情報の取り扱いも厳格化され、電話番号を含むデータの管理責任がより明確になりました。
個人情報保護委員会のガイドラインでは、電話番号が他の情報と容易に照合でき、それにより特定の個人を識別できる場合は個人情報に該当すると解釈されています。企業が顧客データベースで電話番号を管理している場合、ほぼ確実に個人情報保護法の適用対象となります。電話番号と個人情報保護法の関係を正しく理解することは、企業のコンプライアンスと個人の権利保護の両面で重要です。
個人情報保護法における企業の義務
利用目的の明示
企業が電話番号を取得する際は、利用目的を本人に通知または公表する義務があります。「マーケティング目的で利用する」「第三者に提供する場合がある」など、具体的な利用目的を明示しなければなりません。利用目的の範囲を超えた利用は、本人の同意がない限り違法です。
安全管理措置
電話番号を含む個人データの漏洩防止措置を講じることは、企業の法的義務です。具体的には、組織的安全管理措置 (管理体制の整備)、人的安全管理措置 (従業員教育)、物理的安全管理措置 (施錠管理)、技術的安全管理措置 (暗号化、アクセス制御) の 4 つの観点から対策を講じる必要があります。
第三者提供の制限
本人の同意なく電話番号を第三者に提供することは原則として禁止されています。ただし、法令に基づく場合 (捜査機関からの照会など)、人の生命・身体・財産の保護に必要な場合などの例外があります。オプトアウト方式による第三者提供も、2022 年の法改正で要件が厳格化されました。
- 利用目的の特定と通知 — 電話番号の取得時に利用目的を明確に伝える
- 安全管理措置の実施 — 漏洩防止のための技術的・組織的対策を講じる
- 第三者提供の制限 — 本人の同意なく電話番号を外部に提供しない
- 漏洩時の報告義務 — 一定規模以上の漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務
個人の権利
開示請求権
個人情報保護法に基づき、自分の電話番号がどのように利用されているかを企業に開示請求できます。企業は原則として請求に応じる義務があり、利用目的、保有する個人データの内容、第三者提供の記録などを開示しなければなりません。
利用停止・消去請求権
不正に取得された電話番号や、利用目的が達成された電話番号については、利用停止や消去を求める権利があります。2022 年の法改正により、この権利の行使要件が緩和され、より広い範囲で利用停止・消去を請求できるようになりました。
苦情申立て
企業が適切に対応しない場合は、個人情報保護委員会に苦情を申し立てることが可能です。個人情報保護委員会は企業に対して指導・勧告・命令を行う権限を持っています。
GDPR との比較
EU の GDPR における電話番号の扱い
EU の GDPR (一般データ保護規則) では、電話番号は明確に「個人データ」として定義されています。GDPR は日本の個人情報保護法よりも厳格な規制を設けており、違反した場合の制裁金は最大で全世界年間売上高の 4% または 2,000 万ユーロのいずれか高い方が適用されます。
十分性認定と国際的なデータ移転
日本の個人情報保護法は EU から「十分性認定」を受けており、日本と EU 間の個人データの移転が円滑に行えます。グローバルにビジネスを展開する企業は、日本の個人情報保護法と GDPR の両方に準拠する必要があります。電話番号を含む顧客データを国際的に移転する場合は、移転先の国の法制度も確認してください。
実務上の注意点
企業が電話番号を適切に管理するためには、以下の実務的な対策が重要です。個人情報保護法の遵守は法的義務であると同時に、顧客からの信頼を維持するための経営課題でもあります。定期的な社内研修の実施、プライバシーポリシーの見直し、インシデント対応手順の整備を通じて、継続的な改善を図りましょう。
2022 年法改正の主要ポイント
漏洩報告の義務化
2022 年 4 月施行の改正個人情報保護法では、一定の要件を満たす個人データの漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。報告が必要となるのは、要配慮個人情報の漏洩、財産的被害が生じるおそれのある漏洩、不正アクセスによる漏洩、1,000 人を超える漏洩の 4 類型です。電話番号を含む顧客データベースが不正アクセスを受けた場合は、この報告義務の対象となります。
個人関連情報の規制
改正法では「個人関連情報」という新たな概念が導入されました。Cookie やデバイス ID など、単体では個人を特定できないが、他の情報と組み合わせることで個人を識別できるデータが対象です。電話番号と Cookie 情報を紐づけてターゲティング広告に利用する場合、本人の同意が必要となります。この規制により、電話番号を軸としたクロスデバイストラッキングにも法的な制約が課されました。
仮名加工情報と匿名加工情報
電話番号を含むデータを分析目的で利用する場合、仮名加工情報や匿名加工情報として加工する方法があります。仮名加工情報は、他の情報と照合しない限り個人を特定できない状態に加工したデータで、内部分析に限り本人の同意なく利用できます。匿名加工情報は、個人を特定できないよう不可逆的に加工したデータで、第三者提供も可能です。電話番号のハッシュ化や一部桁の削除などの加工手法が用いられます。
電話番号に関する個人の権利行使の実際
個人情報保護法に基づく権利行使は、実際にはどのように行うのでしょうか。具体的な手順を解説します。
開示請求の手順
企業に対して自分の電話番号の利用状況を確認するには、まず企業のプライバシーポリシーに記載された問い合わせ窓口に連絡します。多くの企業は開示請求用のフォームや書式を用意しています。本人確認のために身分証明書の提示を求められる場合があります。企業は原則として 2 週間以内に回答する義務があり、手数料は 1 件あたり 1,000 円以下が一般的です。
利用停止・消去請求の手順
不要になったサービスに登録されている電話番号の削除を求める場合は、利用停止・消去請求を行います。2022 年の法改正により、「利用する必要がなくなった場合」にも請求が可能となり、従来よりも広い範囲で権利行使ができるようになりました。企業が請求に応じない場合は、個人情報保護委員会の相談窓口 (03-6457-9849) に連絡してください。
まとめ — 法律を味方につけて番号を守る
電話番号と個人情報保護法の関係を理解することは、企業と個人の双方にとって重要です。企業は法的義務を遵守し、電話番号を含む個人データの適切な管理を徹底してください。個人は、開示請求や利用停止請求といった法律で認められた権利を積極的に行使し、自分の電話番号を守りましょう。