かっこ色付け
移動

個人情報の保護に関する法律

平成15年法律第57号
最終改正:令和2年6月12日法律第44号
ツイート
シェア
印刷用画面
検索
条へ移動
全条文表示に戻る

第1章 総則

(目的)

第1条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。


(定義)

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。第18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

 個人識別符号が含まれるもの

 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

 国の機関

 地方公共団体

 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等をいう。以下同じ。)

 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)

 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)

 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)

10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。


(基本理念)

第3条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

第2章 国及び地方公共団体の責務等

(国の責務)

第4条 国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。


(地方公共団体の責務)

第5条 地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。


(法制上の措置等)

第6条 政府は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるとともに、国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとする。

第3章 個人情報の保護に関する施策等

第1節 個人情報の保護に関する基本方針

第7条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。

 基本方針は、次に掲げる事項について定めるものとする。

 個人情報の保護に関する施策の推進に関する基本的な方向

 国が講ずべき個人情報の保護のための措置に関する事項

 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項

 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項

 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項

 個人情報取扱事業者及び匿名加工情報取扱事業者並びに第50条第1項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項

 個人情報の取扱いに関する苦情の円滑な処理に関する事項

 その他個人情報の保護に関する施策の推進に関する重要事項

 内閣総理大臣は、個人情報保護委員会が作成した基本方針の案について閣議の決定を求めなければならない。

 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。

 前二項の規定は、基本方針の変更について準用する。

第2節 国の施策

(地方公共団体等への支援)

第8条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。


(苦情処理のための措置)

第9条 国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。


(個人情報の適正な取扱いを確保するための措置)

第10条 国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。

第3節 地方公共団体の施策

(地方公共団体等が保有する個人情報の保護)

第11条 地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。

 地方公共団体は、その設立に係る地方独立行政法人について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。


(区域内の事業者等への支援)

第12条 地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。


(苦情の処理のあっせん等)

第13条 地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。

第4節 国及び地方公共団体の協力

第14条 国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。

第4章 個人情報取扱事業者の義務等

第1節 個人情報取扱事業者の義務

(利用目的の特定)

第15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。


(利用目的による制限)

第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

 前二項の規定は、次に掲げる場合については、適用しない。

 法令に基づく場合

 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。


(適正な取得)

第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

 法令に基づく場合

 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合

 その他前各号に掲げる場合に準ずるものとして政令で定める場合


(取得に際しての利用目的の通知等)

第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

 前三項の規定は、次に掲げる場合については、適用しない。

 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 取得の状況からみて利用目的が明らかであると認められる場合


(データ内容の正確性の確保等)

第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。


(安全管理措置)

第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。


(従業者の監督)

第21条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。


(委託先の監督)

第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。


(第三者提供の制限)

第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

 法令に基づく場合

 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

 第三者への提供を利用目的とすること。

 第三者に提供される個人データの項目

 第三者への提供の方法

 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

 本人の求めを受け付ける方法

 個人情報取扱事業者は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

 個人情報保護委員会は、第2項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。

 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

 合併その他の事由による事業の承継に伴って個人データが提供される場合

 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

 個人情報取扱事業者は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。


(外国にある第三者への提供の制限)

第24条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。


(第三者提供に係る記録の作成等)

第25条 個人情報取扱事業者は、個人データを第三者(第2条第5項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれか(前条の規定による個人データの提供にあっては、第23条第1項各号のいずれか)に該当する場合は、この限りでない。

 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。


(第三者提供を受ける際の確認等)

第26条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。

 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名

 当該第三者による当該個人データの取得の経緯

 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。

 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。


(保有個人データに関する事項の公表等)

第27条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

 当該個人情報取扱事業者の氏名又は名称

 全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)

 次項の規定による求め又は次条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)

 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

 第18条第4項第1号から第3号までに該当する場合

 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。


(開示)

第28条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。

 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

 他の法令に違反することとなる場合

 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。

 他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第1項及び第2項の規定は、適用しない。


(訂正等)

第29条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。

 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。


(利用停止等)

第30条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているとき又は第17条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。

 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第23条第1項又は第24条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。

 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第3項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。


(理由の説明)

第31条 個人情報取扱事業者は、第27条第3項、第28条第3項、第29条第3項又は前条第5項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。


(開示等の請求等に応じる手続)

第32条 個人情報取扱事業者は、第27条第2項の規定による求め又は第28条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求(以下この条及び第53条第1項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。

 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。

 個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。


(手数料)

第33条 個人情報取扱事業者は、第27条第2項の規定による利用目的の通知を求められたとき又は第28条第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。

 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。


(事前の請求)

第34条 本人は、第28条第1項、第29条第1項又は第30条第1項若しくは第3項の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から2週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。

 前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。

 前二項の規定は、第28条第1項、第29条第1項又は第30条第1項若しくは第3項の規定による請求に係る仮処分命令の申立てについて準用する。


(個人情報取扱事業者による苦情の処理)

第35条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

第2節 匿名加工情報取扱事業者等の義務

(匿名加工情報の作成等)

第36条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。

 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。

 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。

 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。


(匿名加工情報の提供)

第37条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。


(識別行為の禁止)

第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。


(安全管理措置等)

第39条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

第3節 監督

(報告及び立入検査)

第40条 個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。

 前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。

 第1項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。


(指導及び助言)

第41条 個人情報保護委員会は、前二節の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。


(勧告及び命令)

第42条 個人情報保護委員会は、個人情報取扱事業者が第16条から第18条まで、第20条から第22条まで、第23条(第4項を除く。)、第24条、第25条、第26条(第2項を除く。)、第27条、第28条(第1項を除く。)、第29条第2項若しくは第3項、第30条第2項、第4項若しくは第5項、第33条第2項若しくは第36条(第6項を除く。)の規定に違反した場合又は匿名加工情報取扱事業者が第37条若しくは第38条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。

 個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。

 個人情報保護委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第16条、第17条、第20条から第22条まで、第23条第1項、第24条若しくは第36条第1項、第2項若しくは第5項の規定に違反した場合又は匿名加工情報取扱事業者が第38条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。


(個人情報保護委員会の権限の行使の制限)

第43条 個人情報保護委員会は、前三条の規定により個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査、指導、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。

 前項の規定の趣旨に照らし、個人情報保護委員会は、個人情報取扱事業者等が第76条第1項各号に掲げる者(それぞれ当該各号に定める目的で個人情報等を取り扱う場合に限る。)に対して個人情報等を提供する行為については、その権限を行使しないものとする。


(権限の委任)

第44条 個人情報保護委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、第42条の規定による勧告又は命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、第40条第1項の規定による権限を事業所管大臣に委任することができる。

 事業所管大臣は、前項の規定により委任された権限を行使したときは、政令で定めるところにより、その結果について個人情報保護委員会に報告するものとする。

 事業所管大臣は、政令で定めるところにより、第1項の規定により委任された権限及び前項の規定による権限について、その全部又は一部を内閣府設置法(平成11年法律第89号)第43条の地方支分部局その他の政令で定める部局又は機関の長に委任することができる。

 内閣総理大臣は、第1項の規定により委任された権限及び第2項の規定による権限(金融庁の所掌に係るものに限り、政令で定めるものを除く。)を金融庁長官に委任する。

 金融庁長官は、政令で定めるところにより、前項の規定により委任された権限について、その一部を証券取引等監視委員会に委任することができる。

 金融庁長官は、政令で定めるところにより、第4項の規定により委任された権限(前項の規定により証券取引等監視委員会に委任されたものを除く。)の一部を財務局長又は財務支局長に委任することができる。

 証券取引等監視委員会は、政令で定めるところにより、第5項の規定により委任された権限の一部を財務局長又は財務支局長に委任することができる。

 前項の規定により財務局長又は財務支局長に委任された権限に係る事務に関しては、証券取引等監視委員会が財務局長又は財務支局長を指揮監督する。

 第5項の場合において、証券取引等監視委員会が行う報告又は資料の提出の要求(第7項の規定により財務局長又は財務支局長が行う場合を含む。)についての審査請求は、証券取引等監視委員会に対してのみ行うことができる。


(事業所管大臣の請求)

第45条 事業所管大臣は、個人情報取扱事業者等に前二節の規定に違反する行為があると認めるときその他個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは、個人情報保護委員会に対し、この法律の規定に従い適当な措置をとるべきことを求めることができる。


(事業所管大臣)

第46条 この節の規定における事業所管大臣は、次のとおりとする。

 個人情報取扱事業者等が行う個人情報等の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者等が行う事業を所管する大臣、国家公安委員会又はカジノ管理委員会(次号において「大臣等」という。)

 個人情報取扱事業者等が行う個人情報等の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者等が行う事業を所管する大臣等

第4節 民間団体による個人情報の保護の推進

(認定)

第47条 個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第3号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。

 業務の対象となる個人情報取扱事業者等(以下「対象事業者」という。)の個人情報等の取扱いに関する第52条の規定による苦情の処理

 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供

 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務

 前項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。

 個人情報保護委員会は、第1項の認定をしたときは、その旨を公示しなければならない。


(欠格条項)

第48条 次の各号のいずれかに該当する者は、前条第1項の認定を受けることができない。

 この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者

 第58条第1項の規定により認定を取り消され、その取消しの日から2年を経過しない者

 その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの

 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者

 第58条第1項の規定により認定を取り消された法人において、その取消しの日前30日以内にその役員であった者でその取消しの日から2年を経過しない者


(認定の基準)

第49条 個人情報保護委員会は、第47条第1項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。

 第47条第1項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。

 第47条第1項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。

 第47条第1項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。


(廃止の届出)

第50条 第47条第1項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。

 個人情報保護委員会は、前項の規定による届出があったときは、その旨を公示しなければならない。


(対象事業者)

第51条 認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者等又は認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。

 認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。


(苦情の処理)

第52条 認定個人情報保護団体は、本人その他の関係者から対象事業者の個人情報等の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。

 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。

 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。


(個人情報保護指針)

第53条 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。

 認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。これを変更したときも、同様とする。

 個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。

 認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。


(目的外利用の禁止)

第54条 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。


(名称の使用制限)

第55条 認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。


(報告の徴収)

第56条 個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。


(命令)

第57条 個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。


(認定の取消し)

第58条 個人情報保護委員会は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。

 第48条第1号又は第3号に該当するに至ったとき。

 第49条各号のいずれかに適合しなくなったとき。

 第54条の規定に違反したとき。

 前条の命令に従わないとき。

 不正の手段により第47条第1項の認定を受けたとき。

 個人情報保護委員会は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。

第5章 個人情報保護委員会

(設置)

第59条 内閣府設置法第49条第3項の規定に基づいて、個人情報保護委員会(以下「委員会」という。)を置く。

 委員会は、内閣総理大臣の所轄に属する。


(任務)

第60条 委員会は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ること(個人番号利用事務等実施者(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号利用法」という。)第12条に規定する個人番号利用事務等実施者をいう。)に対する指導及び助言その他の措置を講ずることを含む。)を任務とする。


(所掌事務)

第61条 委員会は、前条の任務を達成するため、次に掲げる事務をつかさどる。

 基本方針の策定及び推進に関すること。

 個人情報取扱事業者における個人情報の取扱い並びに個人情報取扱事業者及び匿名加工情報取扱事業者における匿名加工情報の取扱いに関する監督、行政機関の保有する個人情報の保護に関する法律第2条第1項に規定する行政機関における同条第9項に規定する行政機関非識別加工情報(同条第10項に規定する行政機関非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監視、独立行政法人等における独立行政法人等の保有する個人情報の保護に関する法律第2条第9項に規定する独立行政法人等非識別加工情報(同条第10項に規定する独立行政法人等非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監督並びに個人情報及び匿名加工情報の取扱いに関する苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること(第4号に掲げるものを除く。)

 認定個人情報保護団体に関すること。

 特定個人情報(番号利用法第2条第8項に規定する特定個人情報をいう。第63条第4項において同じ。)の取扱いに関する監視又は監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。

 特定個人情報保護評価(番号利用法第27条第1項に規定する特定個人情報保護評価をいう。)に関すること。

 個人情報の保護及び適正かつ効果的な活用についての広報及び啓発に関すること。

 前各号に掲げる事務を行うために必要な調査及び研究に関すること。

 所掌事務に係る国際協力に関すること。

 前各号に掲げるもののほか、法律(法律に基づく命令を含む。)に基づき委員会に属させられた事務


(職権行使の独立性)

第62条 委員会の委員長及び委員は、独立してその職権を行う。


(組織等)

第63条 委員会は、委員長及び委員8人をもって組織する。

 委員のうち4人は、非常勤とする。

 委員長及び委員は、人格が高潔で識見の高い者のうちから、両議院の同意を得て、内閣総理大臣が任命する。

 委員長及び委員には、個人情報の保護及び適正かつ効果的な活用に関する学識経験のある者、消費者の保護に関して十分な知識と経験を有する者、情報処理技術に関する学識経験のある者、特定個人情報が利用される行政分野に関する学識経験のある者、民間企業の実務に関して十分な知識と経験を有する者並びに連合組織(地方自治法(昭和22年法律第67号)第263条の3第1項の連合組織で同項の規定による届出をしたものをいう。)の推薦する者が含まれるものとする。


(任期等)

第64条 委員長及び委員の任期は、5年とする。ただし、補欠の委員長又は委員の任期は、前任者の残任期間とする。

 委員長及び委員は、再任されることができる。

 委員長及び委員の任期が満了したときは、当該委員長及び委員は、後任者が任命されるまで引き続きその職務を行うものとする。

 委員長又は委員の任期が満了し、又は欠員を生じた場合において、国会の閉会又は衆議院の解散のために両議院の同意を得ることができないときは、内閣総理大臣は、前条第3項の規定にかかわらず、同項に定める資格を有する者のうちから、委員長又は委員を任命することができる。

 前項の場合においては、任命後最初の国会において両議院の事後の承認を得なければならない。この場合において、両議院の事後の承認が得られないときは、内閣総理大臣は、直ちに、その委員長又は委員を罷免しなければならない。


(身分保障)

第65条 委員長及び委員は、次の各号のいずれかに該当する場合を除いては、在任中、その意に反して罷免されることがない。

 破産手続開始の決定を受けたとき。

 この法律又は番号利用法の規定に違反して刑に処せられたとき。

 禁錮以上の刑に処せられたとき。

 委員会により、心身の故障のため職務を執行することができないと認められたとき、又は職務上の義務違反その他委員長若しくは委員たるに適しない非行があると認められたとき。


(罷免)

第66条 内閣総理大臣は、委員長又は委員が前条各号のいずれかに該当するときは、その委員長又は委員を罷免しなければならない。


(委員長)

第67条 委員長は、委員会の会務を総理し、委員会を代表する。

 委員会は、あらかじめ常勤の委員のうちから、委員長に事故がある場合に委員長を代理する者を定めておかなければならない。


(会議)

第68条 委員会の会議は、委員長が招集する。

 委員会は、委員長及び4人以上の委員の出席がなければ、会議を開き、議決をすることができない。

 委員会の議事は、出席者の過半数でこれを決し、可否同数のときは、委員長の決するところによる。

 第65条第4号の規定による認定をするには、前項の規定にかかわらず、本人を除く全員の一致がなければならない。

 委員長に事故がある場合の第2項の規定の適用については、前条第2項に規定する委員長を代理する者は、委員長とみなす。


(専門委員)

第69条 委員会に、専門の事項を調査させるため、専門委員を置くことができる。

 専門委員は、委員会の申出に基づいて内閣総理大臣が任命する。

 専門委員は、当該専門の事項に関する調査が終了したときは、解任されるものとする。

 専門委員は、非常勤とする。


(事務局)

第70条 委員会の事務を処理させるため、委員会に事務局を置く。

 事務局に、事務局長その他の職員を置く。

 事務局長は、委員長の命を受けて、局務を掌理する。


(政治運動等の禁止)

第71条 委員長及び委員は、在任中、政党その他の政治団体の役員となり、又は積極的に政治運動をしてはならない。

 委員長及び常勤の委員は、在任中、内閣総理大臣の許可のある場合を除くほか、報酬を得て他の職務に従事し、又は営利事業を営み、その他金銭上の利益を目的とする業務を行ってはならない。


(秘密保持義務)

第72条 委員長、委員、専門委員及び事務局の職員は、職務上知ることのできた秘密を漏らし、又は盗用してはならない。その職務を退いた後も、同様とする。


(給与)

第73条 委員長及び委員の給与は、別に法律で定める。


(規則の制定)

第74条 委員会は、その所掌事務について、法律若しくは政令を実施するため、又は法律若しくは政令の特別の委任に基づいて、個人情報保護委員会規則を制定することができる。

第6章 雑則

(適用範囲)

第75条 第15条、第16条、第18条(第2項を除く。)、第19条から第25条まで、第27条から第36条まで、第41条、第42条第1項、第43条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。


(適用除外)

第76条 個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、第4章の規定は、適用しない。

 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的

 著述を業として行う者 著述の用に供する目的

 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的

 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的

 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的

 前項第1号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。

 第1項各号に掲げる個人情報取扱事業者等は、個人データ又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。


(地方公共団体が処理する事務)

第77条 この法律に規定する委員会の権限及び第44条第1項又は第4項の規定により事業所管大臣又は金融庁長官に委任された権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。


(外国執行当局への情報提供)

第78条 委員会は、この法律に相当する外国の法令を執行する外国の当局(以下この条において「外国執行当局」という。)に対し、その職務(この法律に規定する委員会の職務に相当するものに限る。次項において同じ。)の遂行に資すると認める情報の提供を行うことができる。

 前項の規定による情報の提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、かつ、次項の規定による同意がなければ外国の刑事事件の捜査(その対象たる犯罪事実が特定された後のものに限る。)又は審判(同項において「捜査等」という。)に使用されないよう適切な措置がとられなければならない。

 委員会は、外国執行当局からの要請があったときは、次の各号のいずれかに該当する場合を除き、第1項の規定により提供した情報を当該要請に係る外国の刑事事件の捜査等に使用することについて同意をすることができる。

 当該要請に係る刑事事件の捜査等の対象とされている犯罪が政治犯罪であるとき、又は当該要請が政治犯罪について捜査等を行う目的で行われたものと認められるとき。

 当該要請に係る刑事事件の捜査等の対象とされている犯罪に係る行為が日本国内において行われたとした場合において、その行為が日本国の法令によれば罪に当たるものでないとき。

 日本国が行う同種の要請に応ずる旨の要請国の保証がないとき。

 委員会は、前項の同意をする場合においては、あらかじめ、同項第1号及び第2号に該当しないことについて法務大臣の確認を、同項第3号に該当しないことについて外務大臣の確認を、それぞれ受けなければならない。


(国会に対する報告)

第79条 委員会は、毎年、内閣総理大臣を経由して国会に対し所掌事務の処理状況を報告するとともに、その概要を公表しなければならない。


(連絡及び協力)

第80条 内閣総理大臣及びこの法律の施行に関係する行政機関(法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法第49条第1項及び第2項に規定する機関並びに国家行政組織法(昭和23年法律第120号)第3条第2項に規定する機関をいう。)の長は、相互に緊密に連絡し、及び協力しなければならない。


(政令への委任)

第81条 この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。

第7章 罰則

第82条 第72条の規定に違反して秘密を漏らし、又は盗用した者は、2年以下の懲役又は100万円以下の罰金に処する。


第83条 第42条第2項又は第3項の規定による命令に違反した場合には、当該違反行為をした者は、1年以下の懲役又は100万円以下の罰金に処する。


第84条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第87条第1項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。


第85条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、50万円以下の罰金に処する。

 第40条第1項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。

 第56条の規定による報告をせず、又は虚偽の報告をしたとき。


第86条 第82条及び第84条の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。


第87条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。

 第83条及び第84条 1億円以下の罰金刑

 第85条 同条の罰金刑

 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。


第88条 次の各号のいずれかに該当する者は、10万円以下の過料に処する。

 第26条第2項又は第55条の規定に違反した者

 第50条第1項の規定による届出をせず、又は虚偽の届出をした者

附 則
(施行期日)

第1条 この法律は、公布の日から施行する。ただし、第4章から第6章まで及び附則第2条から第6条までの規定は、公布の日から起算して2年を超えない範囲内において政令で定める日から施行する。


(本人の同意に関する経過措置)

第2条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第15条第1項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第16条第1項又は第2項の同意があったものとみなす。


第3条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第23条第1項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。


(通知に関する経過措置)

第4条 第23条第2項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。


第5条 第23条第5項第3号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。


(名称の使用制限に関する経過措置)

第6条 この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている者については、第45条の規定は、同条の規定の施行後6月間は、適用しない。

附 則(平成15年5月30日法律第61号)
(施行期日)

第1条 この法律は、行政機関の保有する個人情報の保護に関する法律の施行の日から施行する。


(その他の経過措置の政令への委任)

第4条 前二条に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。

附 則(平成15年7月16日法律第119号)
(施行期日)

第1条 この法律は、地方独立行政法人法(平成15年法律第118号)の施行の日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。

 第6条の規定 個人情報の保護に関する法律の施行の日又はこの法律の施行の日のいずれか遅い日


(その他の経過措置の政令への委任)

第6条 この附則に規定するもののほか、この法律の施行に伴い必要な経過措置は、政令で定める。

附 則(平成21年6月5日法律第49号)
(施行期日)

第1条 この法律は、消費者庁及び消費者委員会設置法(平成21年法律第48号)の施行の日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。

 附則第9条の規定 この法律の公布の日


(処分等に関する経過措置)

第4条 この法律の施行前にこの法律による改正前のそれぞれの法律(これに基づく命令を含む。以下「旧法令」という。)の規定によりされた免許、許可、認可、承認、指定その他の処分又は通知その他の行為は、法令に別段の定めがあるもののほか、この法律の施行後は、この法律による改正後のそれぞれの法律(これに基づく命令を含む。以下「新法令」という。)の相当規定によりされた免許、許可、認可、承認、指定その他の処分又は通知その他の行為とみなす。

 この法律の施行の際現に旧法令の規定によりされている免許の申請、届出その他の行為は、法令に別段の定めがあるもののほか、この法律の施行後は、新法令の相当規定によりされた免許の申請、届出その他の行為とみなす。

 この法律の施行前に旧法令の規定により報告、届出、提出その他の手続をしなければならない事項で、この法律の施行日前にその手続がされていないものについては、法令に別段の定めがあるもののほか、この法律の施行後は、これを、新法令の相当規定によりその手続がされていないものとみなして、新法令の規定を適用する。


(命令の効力に関する経過措置)

第5条 旧法令の規定により発せられた内閣府設置法第7条第3項の内閣府令又は国家行政組織法第12条第1項の省令は、法令に別段の定めがあるもののほか、この法律の施行後は、新法令の相当規定に基づいて発せられた相当の内閣府設置法第7条第3項の内閣府令又は国家行政組織法第12条第1項の省令としての効力を有するものとする。


(罰則の適用に関する経過措置)

第8条 この法律の施行前にした行為及びこの法律の附則においてなお従前の例によることとされる場合におけるこの法律の施行後にした行為に対する罰則の適用については、なお従前の例による。


(政令への委任)

第9条 附則第2条から前条までに定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。

附 則(平成27年9月9日法律第65号)
(施行期日)

第1条 この法律は、公布の日から起算して2年を超えない範囲内において政令で定める日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。

 附則第7条第2項、第10条及び第12条の規定 公布の日

 第1条及び第4条並びに附則第5条、第6条、第7条第1項及び第3項、第8条、第9条、第13条、第22条、第25条から第27条まで、第30条、第32条、第34条並びに第37条の規定 平成28年1月1日

 略

 次条の規定 公布の日から起算して1年6月を超えない範囲内において政令で定める日

 第3条及び第6条(番号利用法第19条第1号及び別表第一の改正規定を除く。)並びに附則第19条の3、第24条、第29条の3及び第36条の規定 番号利用法附則第1条第5号に掲げる規定の施行の日


(通知等に関する経過措置)

第2条 第2条の規定による改正後の個人情報の保護に関する法律(以下「新個人情報保護法」という。)第23条第2項の規定により個人データを第三者に提供しようとする者は、この法律の施行の日(以下「施行日」という。)前においても、個人情報保護委員会規則で定めるところにより、同項第5号に掲げる事項に相当する事項について本人に通知するとともに、同項各号に掲げる事項に相当する事項について個人情報保護委員会に届け出ることができる。この場合において、当該通知及び届出は、施行日以後は、同項の規定による通知及び届出とみなす。


(外国にある第三者への提供に係る本人の同意に関する経過措置)

第3条 施行日前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が新個人情報保護法第24条の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、同条の同意があったものとみなす。


(主務大臣がした処分等に関する経過措置)

第4条 施行日前に第2条の規定による改正前の個人情報の保護に関する法律(以下「旧個人情報保護法」という。)又はこれに基づく命令の規定により旧個人情報保護法第36条又は第49条に規定する主務大臣(以下この条において単に「主務大臣」という。)がした勧告、命令その他の処分又は通知その他の行為は、施行日以後は、新個人情報保護法又はこれに基づく命令の相当規定に基づいて、個人情報保護委員会がした勧告、命令その他の処分又は通知その他の行為とみなす。

 この法律の施行の際現に旧個人情報保護法又はこれに基づく命令の規定により主務大臣に対してされている申請、届出その他の行為は、施行日以後は、新個人情報保護法又はこれに基づく命令の相当規定に基づいて、個人情報保護委員会に対してされた申請、届出その他の行為とみなす。

 施行日前に旧個人情報保護法又はこれに基づく命令の規定により主務大臣に対して届出その他の手続をしなければならない事項で、施行日前にその手続がされていないものについては、施行日以後は、これを、新個人情報保護法又はこれに基づく命令の相当規定により個人情報保護委員会に対してその手続をしなければならないとされた事項についてその手続がされていないものとみなして、当該相当規定を適用する。


(委員長又は委員の任命等に関する経過措置)

第7条 附則第1条第2号に掲げる規定の施行の際現に従前の特定個人情報保護委員会の委員長又は委員である者は、それぞれ第2号施行日に、第1条の規定による改正後の個人情報の保護に関する法律(以下この条において「第2号新個人情報保護法」という。)第54条第3項の規定により、個人情報保護委員会の委員長又は委員として任命されたものとみなす。この場合において、その任命されたものとみなされる者の任期は、第2号新個人情報保護法第55条第1項の規定にかかわらず、第2号施行日における従前の特定個人情報保護委員会の委員長又は委員としてのそれぞれの任期の残任期間と同一の期間とする。

 附則第1条第2号に掲げる規定の施行に伴い新たに任命されることとなる個人情報保護委員会の委員については、第2号新個人情報保護法第54条第3項に規定する委員の任命のために必要な行為は、第2号施行日前においても行うことができる。

 附則第1条第2号に掲げる規定の施行の際現に従前の特定個人情報保護委員会の事務局の職員である者は、別に辞令を発せられない限り、第2号施行日に、同一の勤務条件をもって、個人情報保護委員会の事務局の相当の職員となるものとする。


(罰則の適用に関する経過措置)

第9条 この法律(附則第1条第2号に掲げる規定にあっては、当該規定)の施行前にした行為及び前条の規定によりなお従前の例によることとされる場合における第2号施行日以後にした行為に対する罰則の適用については、なお従前の例による。


(政令への委任)

第10条 この附則に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。


(事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定に当たっての配慮)

第11条 個人情報保護委員会は、新個人情報保護法第8条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっては、この法律の施行により旧個人情報保護法第2条第3項第5号に掲げる者が新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする。


(検討)

第12条 政府は、施行日までに、新個人情報保護法の規定の趣旨を踏まえ、行政機関の保有する個人情報の保護に関する法律第2条第1項に規定する行政機関が保有する同条第2項に規定する個人情報及び独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等が保有する同条第2項に規定する個人情報(以下この条において「行政機関等保有個人情報」と総称する。)の取扱いに関する規制の在り方について、匿名加工情報(新個人情報保護法第2条第9項に規定する匿名加工情報をいい、行政機関等匿名加工情報(行政機関等保有個人情報を加工して得られる匿名加工情報をいう。以下この項において同じ。)を含む。)の円滑かつ迅速な利用を促進する観点から、行政機関等匿名加工情報の取扱いに対する指導、助言等を統一的かつ横断的に個人情報保護委員会に行わせることを含めて検討を加え、その結果に基づいて所要の措置を講ずるものとする。

 政府は、この法律の施行後3年を目途として、個人情報の保護に関する基本方針の策定及び推進その他の個人情報保護委員会の所掌事務について、これを実効的に行うために必要な人的体制の整備、財源の確保その他の措置の状況を勘案し、その改善について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

 政府は、前項に定める事項のほか、この法律の施行後3年を目途として、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

 政府は、附則第1条第6号に掲げる規定の施行後3年を目途として、預金保険法(昭和46年法律第34号)第2条第1項に規定する金融機関が同条第3項に規定する預金者等から、又は農水産業協同組合貯金保険法(昭和48年法律第53号)第2条第1項に規定する農水産業協同組合が同条第3項に規定する貯金者等から、適切に個人番号の提供を受ける方策及び第7条の規定による改正後の番号利用法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて、国民の理解を得つつ、所要の措置を講ずるものとする。

 政府は、国の行政機関等が保有する個人情報の安全を確保する上でサイバーセキュリティ(サイバーセキュリティ基本法(平成26年法律第104号)第2条に規定するサイバーセキュリティをいう。)に関する対策の的確な策定及び実施が重要であることに鑑み、国の行政機関等における同法第13条に規定する基準に基づく対策の策定及び実施に係る体制の整備等について検討を加え、その結果に基づいて所要の措置を講ずるものとする。

 政府は、新個人情報保護法の施行の状況、第1項の措置の実施の状況その他の状況を踏まえ、新個人情報保護法第2条第1項に規定する個人情報及び行政機関等保有個人情報の保護に関する規定を集約し、一体的に規定することを含め、個人情報の保護に関する法制の在り方について検討するものとする。

附 則(平成28年5月27日法律第51号)
(施行期日)

第1条 この法律は、公布の日から起算して1年6月を超えない範囲内において政令で定める日から施行する。

附 則(平成29年5月24日法律第36号)
(施行期日)

第1条 この法律は、公布の日から起算して1月を超えない範囲内において政令で定める日から施行する。

附 則(平成30年7月27日法律第80号)
(施行期日)

第1条 この法律は、公布の日から起算して3年を超えない範囲内において政令で定める日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。

 略

 略

 第11章、第235条、第239条第1項(第44号に係る部分に限る。)、第243条第1項(第4号(第239条第1項第44号に係る部分に限る。)に係る部分に限る。)及び第3項並びに第251条並びに附則第5条、第7条から第10条まで、第12条、第14条(特定複合観光施設区域の整備の推進に関する法律第19条第2項の改正規定に限る。)、第15条及び第16条の規定 公布の日から起算して1年6月を超えない範囲内において政令で定める日

附 則(令和元年5月31日法律第16号)
(施行期日)

第1条 この法律は、公布の日から起算して9月を超えない範囲内において政令で定める日から施行する。

附 則(令和2年6月12日法律第44号)
(施行期日)

第1条 この法律は、公布の日から起算して2年を超えない範囲内において政令で定める日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。

 附則第9条から第11条までの規定 公布の日

 第1条中個人情報の保護に関する法律第84条を削り、同法第83条を同法第84条とし、同法第82条の次に一条を加える改正規定、同法第85条の改正規定、同法第86条の改正規定及び同法第87条の改正規定、第2条中行政手続における特定の個人を識別するための番号の利用等に関する法律第57条の改正規定並びに第3条中医療分野の研究開発に資するための匿名加工医療情報に関する法律第46条の改正規定、同法第46条の次に一条を加える改正規定、同法第48条の改正規定及び同法第49条の改正規定並びに附則第8条の規定 公布の日から起算して6月を経過した日

 次条及び附則第7条の規定 公布の日から起算して1年6月を超えない範囲内において政令で定める日


(罰則の適用に関する経過措置)

第8条 この法律(附則第1条第2号に掲げる規定にあっては、当該規定)の施行前にした行為に対する罰則の適用については、なお従前の例による。


(政令への委任)

第9条 この附則に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。


(検討)

第10条 政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。