第一章 総則
(目的)第一条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(定義)第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。 4 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。 5 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
6 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
7 この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。 8 この法律において「行政機関」とは、次に掲げる機関をいう。一 法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関
二 内閣府、宮内庁並びに内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関(これらの機関のうち第四号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)
三 国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関(第五号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)
四 内閣府設置法第三十九条及び第五十五条並びに宮内庁法(昭和二十二年法律第七十号)第十六条第二項の機関並びに内閣府設置法第四十条及び第五十六条(宮内庁法第十八条第一項において準用する場合を含む。)の特別の機関で、政令で定めるもの
五 国家行政組織法第八条の二の施設等機関及び同法第八条の三の特別の機関で、政令で定めるもの
六 会計検査院
9 この法律において「独立行政法人等」とは、独立行政法人通則法(平成十一年法律第百三号)第二条第一項に規定する独立行政法人及び別表第一に掲げる法人をいう。 10 この法律において「地方独立行政法人」とは、地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。 11 この法律において「行政機関等」とは、次に掲げる機関をいう。一 行政機関
二 地方公共団体の機関(議会を除く。次章、第三章及び第六十九条第二項第三号を除き、以下同じ。)
三 独立行政法人等(別表第二に掲げる法人を除く。第十六条第二項第三号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第四項から第六項まで、第百十九条第五項から第七項まで並びに第百二十五条第二項において同じ。)
四 地方独立行政法人(地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。第十六条第二項第四号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第七項から第九項まで、第百十九条第八項から第十項まで並びに第百二十五条第二項において同じ。)
(基本理念)第三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない。
第二章 国及び地方公共団体の責務等
(国の責務)第四条 国は、この法律の趣旨にのっとり、国の機関、地方公共団体の機関、独立行政法人等、地方独立行政法人及び事業者等による個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。
(地方公共団体の責務)第五条 地方公共団体は、この法律の趣旨にのっとり、国の施策との整合性に配慮しつつ、その地方公共団体の区域の特性に応じて、地方公共団体の機関、地方独立行政法人及び当該区域内の事業者等による個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。
(法制上の措置等)第六条 政府は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるとともに、国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとする。
第三章 個人情報の保護に関する施策等
第一節 個人情報の保護に関する基本方針
第七条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
2 基本方針は、次に掲げる事項について定めるものとする。一 個人情報の保護に関する施策の推進に関する基本的な方向
二 国が講ずべき個人情報の保護のための措置に関する事項
三 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
四 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
五 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
六 第十六条第二項に規定する個人情報取扱事業者、同条第五項に規定する仮名加工情報取扱事業者及び同条第六項に規定する匿名加工情報取扱事業者並びに第五十一条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項
七 個人情報の取扱いに関する苦情の円滑な処理に関する事項
八 その他個人情報の保護に関する施策の推進に関する重要事項
3 内閣総理大臣は、個人情報保護委員会が作成した基本方針の案について閣議の決定を求めなければならない。 4 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。 5 前二項の規定は、基本方針の変更について準用する。第二節 国の施策
(国の機関等が保有する個人情報の保護)第八条 国は、その機関が保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずるものとする。
2 国は、独立行政法人等について、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずるものとする。 (地方公共団体等への支援)第九条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、地方公共団体又は事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
(苦情処理のための措置)第十条 国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。
(個人情報の適正な取扱いを確保するための措置)第十一条 国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。
2 国は、第五章に規定する地方公共団体及び地方独立行政法人による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。第三節 地方公共団体の施策
(地方公共団体の機関等が保有する個人情報の保護)第十二条 地方公共団体は、その機関が保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずるものとする。
2 地方公共団体は、その設立に係る地方独立行政法人について、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずるものとする。 (区域内の事業者等への支援)第十三条 地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。
(苦情の処理のあっせん等)第十四条 地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。
第四節 国及び地方公共団体の協力
第十五条 国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。
第四章 個人情報取扱事業者等の義務等
第一節 総則
(定義)第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。 ただし、次に掲げる者を除く。一 国の機関
二 地方公共団体
三 独立行政法人等
四 地方独立行政法人
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。 4 この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。 5 この章、第六章及び第七章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十一条第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。 ただし、第二項各号に掲げる者を除く。 6 この章、第六章及び第七章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十三条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。 ただし、第二項各号に掲げる者を除く。 7 この章、第六章及び第七章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十一条第一項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。 ただし、第二項各号に掲げる者を除く。 8 この章において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。第二節 個人情報取扱事業者及び個人関連情報取扱事業者の義務
(利用目的の特定)第十七条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。 (利用目的による制限)第十八条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。 3 前二項の規定は、次に掲げる場合については、適用しない。一 法令(条例を含む。以下この章において同じ。)に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(不適正な利用の禁止)第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(適正な取得)第二十条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
八 その他前各号に掲げる場合に準ずるものとして政令で定める場合
(取得に際しての利用目的の通知等)第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。 ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。 3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 4 前三項の規定は、次に掲げる場合については、適用しない。一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保等)第二十二条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
(安全管理措置)第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)第二十四条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(漏えい等の報告等)第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。 ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。 ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 (第三者提供の制限)第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。 ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。)の氏名
二 第三者への提供を利用目的とすること。
三 第三者に提供される個人データの項目
四 第三者に提供される個人データの取得の方法
五 第三者への提供の方法
六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
七 本人の求めを受け付ける方法
八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
3 個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。 4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。 前項の規定による届出があったときも、同様とする。 5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 (外国にある第三者への提供の制限)第二十八条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。 この場合においては、同条の規定は、適用しない。
2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。 3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。 (第三者提供に係る記録の作成等)第二十九条 個人情報取扱事業者は、個人データを第三者(第十六条第二項各号に掲げる者を除く。以下この条及び次条(第三十一条第三項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。 ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。 (第三者提供を受ける際の確認等)第三十条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。 ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者による当該個人データの取得の経緯
2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。 3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。 4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。 (個人関連情報の第三者提供の制限等)第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第二十八条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。 この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。 3 前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。 この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。 (保有個人データに関する事項の公表等)第三十二条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 全ての保有個人データの利用目的(第二十一条第四項第一号から第三号までに該当する場合を除く。)
三 次項の規定による求め又は次条第一項(同条第五項において準用する場合を含む。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十八条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。 ただし、次の各号のいずれかに該当する場合は、この限りでない。一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第二十一条第四項第一号から第三号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 (開示)第三十三条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。 ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。 4 他の法令の規定により、本人に対し第二項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第一項及び第二項の規定は、適用しない。 5 第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十九条第一項及び第三十条第三項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第三十七条第二項において「第三者提供記録」という。)について準用する。 (訂正等)第三十四条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。 3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。 (利用停止等)第三十五条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。 ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 3 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十七条第一項又は第二十八条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。 4 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。 ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。 6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。 ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 7 個人情報取扱事業者は、第一項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 (理由の説明)第三十六条 個人情報取扱事業者は、第三十二条第三項、第三十三条第三項(同条第五項において準用する場合を含む。)、第三十四条第三項又は前条第七項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。
(開示等の請求等に応じる手続)第三十七条 個人情報取扱事業者は、第三十二条第二項の規定による求め又は第三十三条第一項(同条第五項において準用する場合を含む。次条第一項及び第三十九条において同じ。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求(以下この条及び第五十四条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。 この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
2 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。 この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。 3 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。 4 個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。 (手数料)第三十八条 個人情報取扱事業者は、第三十二条第二項の規定による利用目的の通知を求められたとき又は第三十三条第一項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。 (事前の請求)第三十九条 本人は、第三十三条第一項、第三十四条第一項又は第三十五条第一項、第三項若しくは第五項の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。 ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
2 前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。 3 前二項の規定は、第三十三条第一項、第三十四条第一項又は第三十五条第一項、第三項若しくは第五項の規定による請求に係る仮処分命令の申立てについて準用する。 (個人情報取扱事業者による苦情の処理)第四十条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。第三節 仮名加工情報取扱事業者等の義務
(仮名加工情報の作成等)第四十一条 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
2 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第三項において読み替えて準用する第七項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。 3 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十八条の規定にかかわらず、法令に基づく場合を除くほか、第十七条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。 4 仮名加工情報についての第二十一条の規定の適用については、同条第一項及び第三項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第四項第一号から第三号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。 5 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。 この場合においては、第二十二条の規定は、適用しない。 6 仮名加工情報取扱事業者は、第二十七条第一項及び第二項並びに第二十八条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。 この場合において、第二十七条第五項中「前各項」とあるのは「第四十一条第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十九条第一項ただし書中「第二十七条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)」とあり、及び第三十条第一項ただし書中「第二十七条第一項各号又は第五項各号のいずれか」とあるのは「法令に基づく場合又は第二十七条第五項各号のいずれか」とする。 7 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。 8 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。 9 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十七条第二項、第二十六条及び第三十二条から第三十九条までの規定は、適用しない。 (仮名加工情報の第三者提供の制限等)第四十二条 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第三項において同じ。)を第三者に提供してはならない。
2 第二十七条第五項及び第六項の規定は、仮名加工情報の提供を受ける者について準用する。 この場合において、同条第五項中「前各項」とあるのは「第四十二条第一項」と、同項第一号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。 3 第二十三条から第二十五条まで、第四十条並びに前条第七項及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。 この場合において、第二十三条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。第四節 匿名加工情報取扱事業者等の義務
(匿名加工情報の作成等)第四十三条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。 3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。 4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。 5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。 6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。 (匿名加工情報の提供)第四十四条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
(識別行為の禁止)第四十五条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第四十三条第一項若しくは第百十六条第一項(同条第二項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
(安全管理措置等)第四十六条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
第五節 民間団体による個人情報の保護の推進
(認定)第四十七条 個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一 業務の対象となる個人情報取扱事業者等(以下この節において「対象事業者」という。)の個人情報等の取扱いに関する第五十三条の規定による苦情の処理
二 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
2 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。 3 第一項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。 4 個人情報保護委員会は、第一項の認定をしたときは、その旨(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。 (欠格条項)第四十八条 次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。
一 この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
二 第百五十五条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者
三 その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの
イ 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
ロ 第百五十五条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者
第四十九条 個人情報保護委員会は、第四十七条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。
一 第四十七条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。
二 第四十七条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。
三 第四十七条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。
(変更の認定等)第五十条 第四十七条第一項の認定(同条第二項の規定により業務の範囲を限定する認定を含む。次条第一項及び第百五十五条第一項第五号において同じ。)を受けた者は、その認定に係る業務の範囲を変更しようとするときは、個人情報保護委員会の認定を受けなければならない。 ただし、個人情報保護委員会規則で定める軽微な変更については、この限りでない。
2 第四十七条第三項及び第四項並びに前条の規定は、前項の変更の認定について準用する。 (廃止の届出)第五十一条 第四十七条第一項の認定(前条第一項の変更の認定を含む。)を受けた者(以下この節及び第六章において「認定個人情報保護団体」という。)は、その認定に係る業務(以下この節及び第六章において「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。
2 個人情報保護委員会は、前項の規定による届出があったときは、その旨を公示しなければならない。 (対象事業者)第五十二条 認定個人情報保護団体は、認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。 この場合において、第五十四条第四項の規定による措置をとったにもかかわらず、対象事業者が同条第一項に規定する個人情報保護指針を遵守しないときは、当該対象事業者を認定業務の対象から除外することができる。
2 認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。 (苦情の処理)第五十三条 認定個人情報保護団体は、本人その他の関係者から対象事業者の個人情報等の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
2 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。 3 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。 (個人情報保護指針)第五十四条 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は仮名加工情報若しくは匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下この節及び第六章において「個人情報保護指針」という。)を作成するよう努めなければならない。
2 認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。 これを変更したときも、同様とする。 3 個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。 4 認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。 (目的外利用の禁止)第五十五条 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
(名称の使用制限)第五十六条 認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。
第六節 雑則
(適用除外)第五十七条 個人情報取扱事業者等及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等及び個人関連情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない。
一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的
二 著述を業として行う者 著述の用に供する目的
三 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
四 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。 3 第一項各号に掲げる個人情報取扱事業者等は、個人データ、仮名加工情報又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。 (適用の特例)第五十八条 個人情報取扱事業者又は匿名加工情報取扱事業者のうち次に掲げる者については、第三十二条から第三十九条まで及び第四節の規定は、適用しない。
一 別表第二に掲げる法人
二 地方独立行政法人のうち地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするもの
2 次の各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、個人情報取扱事業者、仮名加工情報取扱事業者又は個人関連情報取扱事業者による個人情報、仮名加工情報又は個人関連情報の取扱いとみなして、この章(第三十二条から第三十九条まで及び第四節を除く。)及び第六章から第八章までの規定を適用する。一 地方公共団体の機関 医療法(昭和二十三年法律第二百五号)第一条の五第一項に規定する病院(次号において「病院」という。)及び同条第二項に規定する診療所並びに学校教育法(昭和二十二年法律第二十六号)第一条に規定する大学の運営
二 独立行政法人労働者健康安全機構 病院の運営
(学術研究機関等の責務)第五十九条 個人情報取扱事業者である学術研究機関等は、学術研究目的で行う個人情報の取扱いについて、この法律の規定を遵守するとともに、その適正を確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
第五章 行政機関等の義務等
第一節 総則
(定義)第六十条 この章及び第八章において「保有個人情報」とは、行政機関等の職員(独立行政法人等及び地方独立行政法人にあっては、その役員を含む。以下この章及び第八章において同じ。)が職務上作成し、又は取得した個人情報であって、当該行政機関等の職員が組織的に利用するものとして、当該行政機関等が保有しているものをいう。 ただし、行政文書(行政機関の保有する情報の公開に関する法律(平成十一年法律第四十二号。以下この章において「行政機関情報公開法」という。)第二条第二項に規定する行政文書をいう。)、法人文書(独立行政法人等の保有する情報の公開に関する法律(平成十三年法律第百四十号。以下この章において「独立行政法人等情報公開法」という。)第二条第二項に規定する法人文書(同項第四号に掲げるものを含む。)をいう。)又は地方公共団体等行政文書(地方公共団体の機関又は地方独立行政法人の職員が職務上作成し、又は取得した文書、図画及び電磁的記録であって、当該地方公共団体の機関又は地方独立行政法人の職員が組織的に用いるものとして、当該地方公共団体の機関又は地方独立行政法人が保有しているもの(行政機関情報公開法第二条第二項各号に掲げるものに相当するものとして政令で定めるものを除く。)をいう。)(以下この章において「行政文書等」という。)に記録されているものに限る。
2 この章及び第八章において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。一 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
3 この章において「行政機関等匿名加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報の全部又は一部(これらの一部に行政機関情報公開法第五条に規定する不開示情報(同条第一号に掲げる情報を除き、同条第二号ただし書に規定する情報を含む。以下この項において同じ。)、独立行政法人等情報公開法第五条に規定する不開示情報(同条第一号に掲げる情報を除き、同条第二号ただし書に規定する情報を含む。)又は地方公共団体の情報公開条例(地方公共団体の機関又は地方独立行政法人の保有する情報の公開を請求する住民等の権利について定める地方公共団体の条例をいう。以下この章において同じ。)に規定する不開示情報(行政機関情報公開法第五条に規定する不開示情報に相当するものをいう。)が含まれているときは、これらの不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。一 第七十五条第二項各号のいずれかに該当するもの又は同条第三項の規定により同条第一項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
二 行政機関情報公開法第三条に規定する行政機関の長、独立行政法人等情報公開法第二条第一項に規定する独立行政法人等、地方公共団体の機関又は地方独立行政法人に対し、当該個人情報ファイルを構成する保有個人情報が記録されている行政文書等の開示の請求(行政機関情報公開法第三条、独立行政法人等情報公開法第三条又は情報公開条例の規定による開示の請求をいう。)があったとしたならば、これらの者が次のいずれかを行うこととなるものであること。
イ 当該行政文書等に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
ロ 行政機関情報公開法第十三条第一項若しくは第二項、独立行政法人等情報公開法第十四条第一項若しくは第二項又は情報公開条例(行政機関情報公開法第十三条第一項又は第二項の規定に相当する規定を設けているものに限る。)の規定により意見書の提出の機会を与えること。
三 行政機関等の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、第百十六条第一項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること。
4 この章において「行政機関等匿名加工情報ファイル」とは、行政機関等匿名加工情報を含む情報の集合物であって、次に掲げるものをいう。一 特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
5 この章において「条例要配慮個人情報」とは、地方公共団体の機関又は地方独立行政法人が保有する個人情報(要配慮個人情報を除く。)のうち、地域の特性その他の事情に応じて、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして地方公共団体が条例で定める記述等が含まれる個人情報をいう。第二節 行政機関等における個人情報等の取扱い
(個人情報の保有の制限等)第六十一条 行政機関等は、個人情報を保有するに当たっては、法令(条例を含む。第六十六条第二項第三号及び第四号、第六十九条第二項第二号及び第三号並びに第四節において同じ。)の定める所掌事務又は業務を遂行するため必要な場合に限り、かつ、その利用目的をできる限り特定しなければならない。
2 行政機関等は、前項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。 3 行政機関等は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。 (利用目的の明示)第六十二条 行政機関等は、本人から直接書面(電磁的記録を含む。)に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
一 人の生命、身体又は財産の保護のために緊急に必要があるとき。
二 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
三 利用目的を本人に明示することにより、国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められるとき。
(不適正な利用の禁止)第六十三条 行政機関の長(第二条第八項第四号及び第五号の政令で定める機関にあっては、その機関ごとに政令で定める者をいう。以下この章及び第百七十四条において同じ。)、地方公共団体の機関、独立行政法人等及び地方独立行政法人(以下この章及び次章において「行政機関の長等」という。)は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(適正な取得)第六十四条 行政機関の長等は、偽りその他不正の手段により個人情報を取得してはならない。
(正確性の確保)第六十五条 行政機関の長等は、利用目的の達成に必要な範囲内で、保有個人情報が過去又は現在の事実と合致するよう努めなければならない。
(安全管理措置)第六十六条 行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
2 前項の規定は、次の各号に掲げる者が当該各号に定める業務を行う場合における個人情報の取扱いについて準用する。一 行政機関等から個人情報の取扱いの委託を受けた者 当該委託を受けた業務
二 指定管理者(地方自治法(昭和二十二年法律第六十七号)第二百四十四条の二第三項に規定する指定管理者をいう。) 公の施設(同法第二百四十四条第一項に規定する公の施設をいう。)の管理の業務
三 第五十八条第一項各号に掲げる者 法令に基づき行う業務であって政令で定めるもの
四 第五十八条第二項各号に掲げる者 同項各号に定める業務のうち法令に基づき行う業務であって政令で定めるもの
五 前各号に掲げる者から当該各号に定める業務の委託(二以上の段階にわたる委託を含む。)を受けた者 当該委託を受けた業務
(従事者の義務)第六十七条 個人情報の取扱いに従事する行政機関等の職員若しくは職員であった者、前条第二項各号に定める業務に従事している者若しくは従事していた者又は行政機関等において個人情報の取扱いに従事している派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和六十年法律第八十八号)第二条第二号に規定する派遣労働者をいう。以下この章及び第百七十六条において同じ。)若しくは従事していた派遣労働者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
(漏えい等の報告等)第六十八条 行政機関の長等は、保有個人情報の漏えい、滅失、毀損その他の保有個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
2 前項に規定する場合には、行政機関の長等は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。 ただし、次の各号のいずれかに該当するときは、この限りでない。一 本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき。
二 当該保有個人情報に第七十八条第一項各号に掲げる情報のいずれかが含まれるとき。
(利用及び提供の制限)第六十九条 行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、行政機関の長等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。 ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。一 本人の同意があるとき、又は本人に提供するとき。
二 行政機関等が法令の定める所掌事務又は業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当の理由があるとき。
三 他の行政機関、独立行政法人等、地方公共団体の機関又は地方独立行政法人に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当の理由があるとき。
四 前三号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき。
3 前項の規定は、保有個人情報の利用又は提供を制限する他の法令の規定の適用を妨げるものではない。 4 行政機関の長等は、個人の権利利益を保護するため特に必要があると認めるときは、保有個人情報の利用目的以外の目的のための行政機関等の内部における利用を特定の部局若しくは機関又は職員に限るものとする。 (保有個人情報の提供を受ける者に対する措置要求)第七十条 行政機関の長等は、利用目的のために又は前条第二項第三号若しくは第四号の規定に基づき、保有個人情報を提供する場合において、必要があると認めるときは、保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。
(外国にある第三者への提供の制限)第七十一条 行政機関の長等は、外国(本邦の域外にある国又は地域をいう。以下この条において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(第十六条第三項に規定する個人データの取扱いについて前章第二節の規定により同条第二項に規定する個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項において同じ。)に利用目的以外の目的のために保有個人情報を提供する場合には、法令に基づく場合及び第六十九条第二項第四号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
2 行政機関の長等は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。 3 行政機関の長等は、保有個人情報を外国にある第三者(第一項に規定する体制を整備している者に限る。)に利用目的以外の目的のために提供した場合には、法令に基づく場合及び第六十九条第二項第四号に掲げる場合を除くほか、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。 (個人関連情報の提供を受ける者に対する措置要求)第七十二条 行政機関の長等は、第三者に個人関連情報を提供する場合(当該第三者が当該個人関連情報を個人情報として取得することが想定される場合に限る。)において、必要があると認めるときは、当該第三者に対し、提供に係る個人関連情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人関連情報の適切な管理のために必要な措置を講ずることを求めるものとする。
(仮名加工情報の取扱いに係る義務)第七十三条 行政機関の長等は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。以下この条及び第百二十八条において同じ。)を第三者(当該仮名加工情報の取扱いの委託を受けた者を除く。)に提供してはならない。
2 行政機関の長等は、その取り扱う仮名加工情報の漏えいの防止その他仮名加工情報の安全管理のために必要かつ適切な措置を講じなければならない。 3 行政機関の長等は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに第四十一条第一項の規定により行われた加工の方法に関する情報をいう。)を取得し、又は当該仮名加工情報を他の情報と照合してはならない。 4 行政機関の長等は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。 5 前各項の規定は、行政機関の長等から仮名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。第三節 個人情報ファイル
(個人情報ファイルの保有等に関する事前通知)第七十四条 行政機関(会計検査院を除く。以下この条において同じ。)が個人情報ファイルを保有しようとするときは、当該行政機関の長は、あらかじめ、個人情報保護委員会に対し、次に掲げる事項を通知しなければならない。 通知した事項を変更しようとするときも、同様とする。
一 個人情報ファイルの名称
二 当該機関の名称及び個人情報ファイルが利用に供される事務をつかさどる組織の名称
三 個人情報ファイルの利用目的
四 個人情報ファイルに記録される項目(以下この節において「記録項目」という。)及び本人(他の個人の氏名、生年月日その他の記述等によらないで検索し得る者に限る。次項第九号において同じ。)として個人情報ファイルに記録される個人の範囲(以下この節において「記録範囲」という。)
五 個人情報ファイルに記録される個人情報(以下この節において「記録情報」という。)の収集方法
六 記録情報に要配慮個人情報が含まれるときは、その旨
七 記録情報を当該機関以外の者に経常的に提供する場合には、その提供先
八 次条第三項の規定に基づき、記録項目の一部若しくは第五号若しくは前号に掲げる事項を次条第一項に規定する個人情報ファイル簿に記載しないこととするとき、又は個人情報ファイルを同項に規定する個人情報ファイル簿に掲載しないこととするときは、その旨
九 第七十六条第一項、第九十条第一項又は第九十八条第一項の規定による請求を受理する組織の名称及び所在地
十 第九十条第一項ただし書又は第九十八条第一項ただし書に該当するときは、その旨
十一 その他政令で定める事項
2 前項の規定は、次に掲げる個人情報ファイルについては、適用しない。一 国の安全、外交上の秘密その他の国の重大な利益に関する事項を記録する個人情報ファイル
二 犯罪の捜査、租税に関する法律の規定に基づく犯則事件の調査又は公訴の提起若しくは維持のために作成し、又は取得する個人情報ファイル
三 当該機関の職員又は職員であった者に係る個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの(当該機関が行う職員の採用試験に関する個人情報ファイルを含む。)
四 専ら試験的な電子計算機処理の用に供するための個人情報ファイル
五 前項の規定による通知に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該通知に係るこれらの事項の範囲内のもの
六 一年以内に消去することとなる記録情報のみを記録する個人情報ファイル
七 資料その他の物品若しくは金銭の送付又は業務上必要な連絡のために利用する記録情報を記録した個人情報ファイルであって、送付又は連絡の相手方の氏名、住所その他の送付又は連絡に必要な事項のみを記録するもの
八 職員が学術研究の用に供するためその発意に基づき作成し、又は取得する個人情報ファイルであって、記録情報を専ら当該学術研究の目的のために利用するもの
九 本人の数が政令で定める数に満たない個人情報ファイル
十 第三号から前号までに掲げる個人情報ファイルに準ずるものとして政令で定める個人情報ファイル
十一 第六十条第二項第二号に係る個人情報ファイル
3 行政機関の長は、第一項に規定する事項を通知した個人情報ファイルについて、当該行政機関がその保有をやめたとき、又はその個人情報ファイルが前項第九号に該当するに至ったときは、遅滞なく、個人情報保護委員会に対しその旨を通知しなければならない。 (個人情報ファイル簿の作成及び公表)第七十五条 行政機関の長等は、政令で定めるところにより、当該行政機関の長等の属する行政機関等が保有している個人情報ファイルについて、それぞれ前条第一項第一号から第七号まで、第九号及び第十号に掲げる事項その他政令で定める事項を記載した帳簿(以下この章において「個人情報ファイル簿」という。)を作成し、公表しなければならない。
2 前項の規定は、次に掲げる個人情報ファイルについては、適用しない。一 前条第二項第一号から第十号までに掲げる個人情報ファイル
二 前項の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
三 前号に掲げる個人情報ファイルに準ずるものとして政令で定める個人情報ファイル
3 第一項の規定にかかわらず、行政機関の長等は、記録項目の一部若しくは前条第一項第五号若しくは第七号に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる。 4 地方公共団体の機関又は地方独立行政法人についての第一項の規定の適用については、同項中「定める事項」とあるのは、「定める事項並びに記録情報に条例要配慮個人情報が含まれているときは、その旨」とする。 5 前各項の規定は、地方公共団体の機関又は地方独立行政法人が、条例で定めるところにより、個人情報ファイル簿とは別の個人情報の保有の状況に関する事項を記載した帳簿を作成し、公表することを妨げるものではない。第四節 開示、訂正及び利用停止
第一款 開示
(開示請求権)第七十六条 何人も、この法律の定めるところにより、行政機関の長等に対し、当該行政機関の長等の属する行政機関等の保有する自己を本人とする保有個人情報の開示を請求することができる。
未成年者若しくは成年被後見人の法定代理人又は本人の委任による代理人(以下この節において「代理人」と総称する。)は、本人に代わって前項の規定による開示の請求(以下この節及び第百二十七条において「開示請求」という。)をすることができる。(開示請求の手続)第七十七条 開示請求は、次に掲げる事項を記載した書面(第三項において「開示請求書」という。)を行政機関の長等に提出してしなければならない。
一 開示請求をする者の氏名及び住所又は居所
二 開示請求に係る保有個人情報が記録されている行政文書等の名称その他の開示請求に係る保有個人情報を特定するに足りる事項
前項の場合において、開示請求をする者は、政令で定めるところにより、開示請求に係る保有個人情報の本人であること(前条第二項の規定による開示請求にあっては、開示請求に係る保有個人情報の本人の代理人であること)を示す書類を提示し、又は提出しなければならない。 行政機関の長等は、開示請求書に形式上の不備があると認めるときは、開示請求をした者(以下この節において「開示請求者」という。)に対し、相当の期間を定めて、その補正を求めることができる。 この場合において、行政機関の長等は、開示請求者に対し、補正の参考となる情報を提供するよう努めなければならない。(保有個人情報の開示義務)第七十八条 行政機関の長等は、開示請求があったときは、開示請求に係る保有個人情報に次の各号に掲げる情報(以下この節において「不開示情報」という。)のいずれかが含まれている場合を除き、開示請求者に対し、当該保有個人情報を開示しなければならない。
一 開示請求者(第七十六条第二項の規定により代理人が本人に代わって開示請求をする場合にあっては、当該本人をいう。次号及び第三号、次条第二項並びに第八十六条第一項において同じ。)の生命、健康、生活又は財産を害するおそれがある情報
二 開示請求者以外の個人に関する情報(事業を営む個人の当該事業に関する情報を除く。)であって、当該情報に含まれる氏名、生年月日その他の記述等により開示請求者以外の特定の個人を識別することができるもの(他の情報と照合することにより、開示請求者以外の特定の個人を識別することができることとなるものを含む。)若しくは個人識別符号が含まれるもの又は開示請求者以外の特定の個人を識別することはできないが、開示することにより、なお開示請求者以外の個人の権利利益を害するおそれがあるもの。
イ 法令の規定により又は慣行として開示請求者が知ることができ、又は知ることが予定されている情報
ロ 人の生命、健康、生活又は財産を保護するため、開示することが必要であると認められる情報
ハ 当該個人が公務員等(国家公務員法(昭和二十二年法律第百二十号)第二条第一項に規定する国家公務員(独立行政法人通則法第二条第四項に規定する行政執行法人の職員を除く。)、独立行政法人等の職員、地方公務員法(昭和二十五年法律第二百六十一号)第二条に規定する地方公務員及び地方独立行政法人の職員をいう。)である場合において、当該情報がその職務の遂行に係る情報であるときは、当該情報のうち、当該公務員等の職及び当該職務遂行の内容に係る部分
三 法人その他の団体(国、独立行政法人等、地方公共団体及び地方独立行政法人を除く。以下この号において「法人等」という。)に関する情報又は開示請求者以外の事業を営む個人の当該事業に関する情報であって、次に掲げるもの。
イ 開示することにより、当該法人等又は当該個人の権利、競争上の地位その他正当な利益を害するおそれがあるもの
ロ 行政機関等の要請を受けて、開示しないとの条件で任意に提供されたものであって、法人等又は個人における通例として開示しないこととされているものその他の当該条件を付することが当該情報の性質、当時の状況等に照らして合理的であると認められるもの
四 行政機関の長が第八十二条各項の決定(以下この節において「開示決定等」という。)をする場合において、開示することにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあると当該行政機関の長が認めることにつき相当の理由がある情報
五 行政機関の長又は地方公共団体の機関(都道府県の機関に限る。)が開示決定等をする場合において、開示することにより、犯罪の予防、鎮圧又は捜査、公訴の維持、刑の執行その他の公共の安全と秩序の維持に支障を及ぼすおそれがあると当該行政機関の長又は地方公共団体の機関が認めることにつき相当の理由がある情報
六 国の機関、独立行政法人等、地方公共団体及び地方独立行政法人の内部又は相互間における審議、検討又は協議に関する情報であって、開示することにより、率直な意見の交換若しくは意思決定の中立性が不当に損なわれるおそれ、不当に国民の間に混乱を生じさせるおそれ又は特定の者に不当に利益を与え若しくは不利益を及ぼすおそれがあるもの
七 国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業に関する情報であって、開示することにより、次に掲げるおそれその他当該事務又は事業の性質上、当該事務又は事業の適正な遂行に支障を及ぼすおそれがあるもの
イ 独立行政法人等、地方公共団体の機関又は地方独立行政法人が開示決定等をする場合において、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれ
ロ 独立行政法人等、地方公共団体の機関(都道府県の機関を除く。)又は地方独立行政法人が開示決定等をする場合において、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障を及ぼすおそれ
ハ 監査、検査、取締り、試験又は租税の賦課若しくは徴収に係る事務に関し、正確な事実の把握を困難にするおそれ又は違法若しくは不当な行為を容易にし、若しくはその発見を困難にするおそれ
ニ 契約、交渉又は争訟に係る事務に関し、国、独立行政法人等、地方公共団体又は地方独立行政法人の財産上の利益又は当事者としての地位を不当に害するおそれ
ホ 調査研究に係る事務に関し、その公正かつ能率的な遂行を不当に阻害するおそれ
ヘ 人事管理に係る事務に関し、公正かつ円滑な人事の確保に支障を及ぼすおそれ
ト 独立行政法人等、地方公共団体が経営する企業又は地方独立行政法人に係る事業に関し、その企業経営上の正当な利益を害するおそれ
地方公共団体の機関又は地方独立行政法人についての前項の規定の適用については、同項中「掲げる情報(」とあるのは、「掲げる情報(情報公開条例の規定により開示することとされている情報として条例で定めるものを除く。)又は行政機関情報公開法第五条に規定する不開示情報に準ずる情報であって情報公開条例において開示しないこととされているもののうち当該情報公開条例との整合性を確保するために不開示とする必要があるものとして条例で定めるもの(」とする。(部分開示)第七十九条 行政機関の長等は、開示請求に係る保有個人情報に不開示情報が含まれている場合において、不開示情報に該当する部分を容易に区分して除くことができるときは、開示請求者に対し、当該部分を除いた部分につき開示しなければならない。
開示請求に係る保有個人情報に前条第一項第二号の情報(開示請求者以外の特定の個人を識別することができるものに限る。)が含まれている場合において、当該情報のうち、氏名、生年月日その他の開示請求者以外の特定の個人を識別することができることとなる記述等及び個人識別符号の部分を除くことにより、開示しても、開示請求者以外の個人の権利利益が害されるおそれがないと認められるときは、当該部分を除いた部分は、同号の情報に含まれないものとみなして、前項の規定を適用する。(裁量的開示)第八十条 行政機関の長等は、開示請求に係る保有個人情報に不開示情報が含まれている場合であっても、個人の権利利益を保護するため特に必要があると認めるときは、開示請求者に対し、当該保有個人情報を開示することができる。
(保有個人情報の存否に関する情報)第八十一条 開示請求に対し、当該開示請求に係る保有個人情報が存在しているか否かを答えるだけで、不開示情報を開示することとなるときは、行政機関の長等は、当該保有個人情報の存否を明らかにしないで、当該開示請求を拒否することができる。
(開示請求に対する措置)第八十二条 行政機関の長等は、開示請求に係る保有個人情報の全部又は一部を開示するときは、その旨の決定をし、開示請求者に対し、その旨、開示する保有個人情報の利用目的及び開示の実施に関し政令で定める事項を書面により通知しなければならない。 ただし、第六十二条第二号又は第三号に該当する場合における当該利用目的については、この限りでない。
行政機関の長等は、開示請求に係る保有個人情報の全部を開示しないとき(前条の規定により開示請求を拒否するとき、及び開示請求に係る保有個人情報を保有していないときを含む。)は、開示をしない旨の決定をし、開示請求者に対し、その旨を書面により通知しなければならない。(開示決定等の期限)第八十三条 開示決定等は、開示請求があった日から三十日以内にしなければならない。 ただし、第七十七条第三項の規定により補正を求めた場合にあっては、当該補正に要した日数は、当該期間に算入しない。
前項の規定にかかわらず、行政機関の長等は、事務処理上の困難その他正当な理由があるときは、同項に規定する期間を三十日以内に限り延長することができる。 この場合において、行政機関の長等は、開示請求者に対し、遅滞なく、延長後の期間及び延長の理由を書面により通知しなければならない。(開示決定等の期限の特例)第八十四条 開示請求に係る保有個人情報が著しく大量であるため、開示請求があった日から六十日以内にその全てについて開示決定等をすることにより事務の遂行に著しい支障が生ずるおそれがある場合には、前条の規定にかかわらず、行政機関の長等は、開示請求に係る保有個人情報のうちの相当の部分につき当該期間内に開示決定等をし、残りの保有個人情報については相当の期間内に開示決定等をすれば足りる。 この場合において、行政機関の長等は、同条第一項に規定する期間内に、開示請求者に対し、次に掲げる事項を書面により通知しなければならない。
一 この条の規定を適用する旨及びその理由
二 残りの保有個人情報について開示決定等をする期限
(事案の移送)第八十五条 行政機関の長等は、開示請求に係る保有個人情報が当該行政機関の長等が属する行政機関等以外の行政機関等から提供されたものであるとき、その他他の行政機関の長等において開示決定等をすることにつき正当な理由があるときは、当該他の行政機関の長等と協議の上、当該他の行政機関の長等に対し、事案を移送することができる。 この場合においては、移送をした行政機関の長等は、開示請求者に対し、事案を移送した旨を書面により通知しなければならない。
前項の規定により事案が移送されたときは、移送を受けた行政機関の長等において、当該開示請求についての開示決定等をしなければならない。 この場合において、移送をした行政機関の長等が移送前にした行為は、移送を受けた行政機関の長等がしたものとみなす。 前項の場合において、移送を受けた行政機関の長等が第八十二条第一項の決定(以下この節において「開示決定」という。)をしたときは、当該行政機関の長等は、開示の実施をしなければならない。 この場合において、移送をした行政機関の長等は、当該開示の実施に必要な協力をしなければならない。(第三者に対する意見書提出の機会の付与等)第八十六条 開示請求に係る保有個人情報に国、独立行政法人等、地方公共団体、地方独立行政法人及び開示請求者以外の者(以下この条、第百五条第二項第三号及び第百七条第一項において「第三者」という。)に関する情報が含まれているときは、行政機関の長等は、開示決定等をするに当たって、当該情報に係る第三者に対し、政令で定めるところにより、当該第三者に関する情報の内容その他政令で定める事項を通知して、意見書を提出する機会を与えることができる。
行政機関の長等は、次の各号のいずれかに該当するときは、開示決定に先立ち、当該第三者に対し、政令で定めるところにより、開示請求に係る当該第三者に関する情報の内容その他政令で定める事項を書面により通知して、意見書を提出する機会を与えなければならない。 ただし、当該第三者の所在が判明しない場合は、この限りでない。一 第三者に関する情報が含まれている保有個人情報を開示しようとする場合であって、当該第三者に関する情報が第七十八条第一項第二号ロ又は同項第三号ただし書に規定する情報に該当すると認められるとき。
二 第三者に関する情報が含まれている保有個人情報を第八十条の規定により開示しようとするとき。
行政機関の長等は、前二項の規定により意見書の提出の機会を与えられた第三者が当該第三者に関する情報の開示に反対の意思を表示した意見書を提出した場合において、開示決定をするときは、開示決定の日と開示を実施する日との間に少なくとも二週間を置かなければならない。 この場合において、行政機関の長等は、開示決定後直ちに、当該意見書(第百五条において「反対意見書」という。)を提出した第三者に対し、開示決定をした旨及びその理由並びに開示を実施する日を書面により通知しなければならない。(開示の実施)第八十七条 保有個人情報の開示は、当該保有個人情報が、文書又は図画に記録されているときは閲覧又は写しの交付により、電磁的記録に記録されているときはその種別、情報化の進展状況等を勘案して行政機関等が定める方法により行う。 ただし、閲覧の方法による保有個人情報の開示にあっては、行政機関の長等は、当該保有個人情報が記録されている文書又は図画の保存に支障を生ずるおそれがあると認めるとき、その他正当な理由があるときは、その写しにより、これを行うことができる。
行政機関等は、前項の規定に基づく電磁的記録についての開示の方法に関する定めを一般の閲覧に供しなければならない。 開示決定に基づき保有個人情報の開示を受ける者は、政令で定めるところにより、当該開示決定をした行政機関の長等に対し、その求める開示の実施の方法その他の政令で定める事項を申し出なければならない。 前項の規定による申出は、第八十二条第一項に規定する通知があった日から三十日以内にしなければならない。 ただし、当該期間内に当該申出をすることができないことにつき正当な理由があるときは、この限りでない。(他の法令による開示の実施との調整)第八十八条 行政機関の長等は、他の法令の規定により、開示請求者に対し開示請求に係る保有個人情報が前条第一項本文に規定する方法と同一の方法で開示することとされている場合(開示の期間が定められている場合にあっては、当該期間内に限る。)には、同項本文の規定にかかわらず、当該保有個人情報については、当該同一の方法による開示を行わない。 ただし、当該他の法令の規定に一定の場合には開示をしない旨の定めがあるときは、この限りでない。
他の法令の規定に定める開示の方法が縦覧であるときは、当該縦覧を前条第一項本文の閲覧とみなして、前項の規定を適用する。(手数料)第八十九条 行政機関の長に対し開示請求をする者は、政令で定めるところにより、実費の範囲内において政令で定める額の手数料を納めなければならない。
地方公共団体の機関に対し開示請求をする者は、条例で定めるところにより、実費の範囲内において条例で定める額の手数料を納めなければならない。 前二項の手数料の額を定めるに当たっては、できる限り利用しやすい額とするよう配慮しなければならない。 独立行政法人等に対し開示請求をする者は、独立行政法人等の定めるところにより、手数料を納めなければならない。 前項の手数料の額は、実費の範囲内において、かつ、第一項の手数料の額を参酌して、独立行政法人等が定める。 独立行政法人等は、前二項の規定による定めを一般の閲覧に供しなければならない。 地方独立行政法人に対し開示請求をする者は、地方独立行政法人の定めるところにより、手数料を納めなければならない。 前項の手数料の額は、実費の範囲内において、かつ、第二項の条例で定める手数料の額を参酌して、地方独立行政法人が定める。 地方独立行政法人は、前二項の規定による定めを一般の閲覧に供しなければならない。第二款 訂正
(訂正請求権)第九十条 何人も、自己を本人とする保有個人情報(次に掲げるものに限る。第九十八条第一項において同じ。)の内容が事実でないと思料するときは、この法律の定めるところにより、当該保有個人情報を保有する行政機関の長等に対し、当該保有個人情報の訂正(追加又は削除を含む。以下この節において同じ。)を請求することができる。 ただし、当該保有個人情報の訂正に関して他の法令の規定により特別の手続が定められているときは、この限りでない。
一 開示決定に基づき開示を受けた保有個人情報
二 開示決定に係る保有個人情報であって、第八十八条第一項の他の法令の規定により開示を受けたもの
代理人は、本人に代わって前項の規定による訂正の請求(以下この節及び第百二十七条において「訂正請求」という。)をすることができる。 訂正請求は、保有個人情報の開示を受けた日から九十日以内にしなければならない。(訂正請求の手続)第九十一条 訂正請求は、次に掲げる事項を記載した書面(第三項において「訂正請求書」という。)を行政機関の長等に提出してしなければならない。
一 訂正請求をする者の氏名及び住所又は居所
二 訂正請求に係る保有個人情報の開示を受けた日その他当該保有個人情報を特定するに足りる事項
三 訂正請求の趣旨及び理由
前項の場合において、訂正請求をする者は、政令で定めるところにより、訂正請求に係る保有個人情報の本人であること(前条第二項の規定による訂正請求にあっては、訂正請求に係る保有個人情報の本人の代理人であること)を示す書類を提示し、又は提出しなければならない。 行政機関の長等は、訂正請求書に形式上の不備があると認めるときは、訂正請求をした者(以下この節において「訂正請求者」という。)に対し、相当の期間を定めて、その補正を求めることができる。(保有個人情報の訂正義務)第九十二条 行政機関の長等は、訂正請求があった場合において、当該訂正請求に理由があると認めるときは、当該訂正請求に係る保有個人情報の利用目的の達成に必要な範囲内で、当該保有個人情報の訂正をしなければならない。
(訂正請求に対する措置)第九十三条 行政機関の長等は、訂正請求に係る保有個人情報の訂正をするときは、その旨の決定をし、訂正請求者に対し、その旨を書面により通知しなければならない。
行政機関の長等は、訂正請求に係る保有個人情報の訂正をしないときは、その旨の決定をし、訂正請求者に対し、その旨を書面により通知しなければならない。(訂正決定等の期限)第九十四条 前条各項の決定(以下この節において「訂正決定等」という。)は、訂正請求があった日から三十日以内にしなければならない。 ただし、第九十一条第三項の規定により補正を求めた場合にあっては、当該補正に要した日数は、当該期間に算入しない。
前項の規定にかかわらず、行政機関の長等は、事務処理上の困難その他正当な理由があるときは、同項に規定する期間を三十日以内に限り延長することができる。 この場合において、行政機関の長等は、訂正請求者に対し、遅滞なく、延長後の期間及び延長の理由を書面により通知しなければならない。(訂正決定等の期限の特例)第九十五条 行政機関の長等は、訂正決定等に特に長期間を要すると認めるときは、前条の規定にかかわらず、相当の期間内に訂正決定等をすれば足りる。 この場合において、行政機関の長等は、同条第一項に規定する期間内に、訂正請求者に対し、次に掲げる事項を書面により通知しなければならない。
一 この条の規定を適用する旨及びその理由
二 訂正決定等をする期限
(事案の移送)第九十六条 行政機関の長等は、訂正請求に係る保有個人情報が第八十五条第三項の規定に基づく開示に係るものであるとき、その他他の行政機関の長等において訂正決定等をすることにつき正当な理由があるときは、当該他の行政機関の長等と協議の上、当該他の行政機関の長等に対し、事案を移送することができる。 この場合においては、移送をした行政機関の長等は、訂正請求者に対し、事案を移送した旨を書面により通知しなければならない。
前項の規定により事案が移送されたときは、移送を受けた行政機関の長等において、当該訂正請求についての訂正決定等をしなければならない。 この場合において、移送をした行政機関の長等が移送前にした行為は、移送を受けた行政機関の長等がしたものとみなす。 前項の場合において、移送を受けた行政機関の長等が第九十三条第一項の決定(以下この項及び次条において「訂正決定」という。)をしたときは、移送をした行政機関の長等は、当該訂正決定に基づき訂正の実施をしなければならない。(保有個人情報の提供先への通知)第九十七条 行政機関の長等は、訂正決定に基づく保有個人情報の訂正の実施をした場合において、必要があると認めるときは、当該保有個人情報の提供先に対し、遅滞なく、その旨を書面により通知するものとする。
第三款 利用停止
(利用停止請求権)第九十八条 何人も、自己を本人とする保有個人情報が次の各号のいずれかに該当すると思料するときは、この法律の定めるところにより、当該保有個人情報を保有する行政機関の長等に対し、当該各号に定める措置を請求することができる。 ただし、当該保有個人情報の利用の停止、消去又は提供の停止(以下この節において「利用停止」という。)に関して他の法令の規定により特別の手続が定められているときは、この限りでない。
一 第六十一条第二項の規定に違反して保有されているとき、第六十三条の規定に違反して取り扱われているとき、第六十四条の規定に違反して取得されたものであるとき、又は第六十九条第一項及び第二項の規定に違反して利用されているとき 当該保有個人情報の利用の停止又は消去
二 第六十九条第一項及び第二項又は第七十一条第一項の規定に違反して提供されているとき 当該保有個人情報の提供の停止
代理人は、本人に代わって前項の規定による利用停止の請求(以下この節及び第百二十七条において「利用停止請求」という。)をすることができる。 利用停止請求は、保有個人情報の開示を受けた日から九十日以内にしなければならない。(利用停止請求の手続)第九十九条 利用停止請求は、次に掲げる事項を記載した書面(第三項において「利用停止請求書」という。)を行政機関の長等に提出してしなければならない。
一 利用停止請求をする者の氏名及び住所又は居所
二 利用停止請求に係る保有個人情報の開示を受けた日その他当該保有個人情報を特定するに足りる事項
三 利用停止請求の趣旨及び理由
前項の場合において、利用停止請求をする者は、政令で定めるところにより、利用停止請求に係る保有個人情報の本人であること(前条第二項の規定による利用停止請求にあっては、利用停止請求に係る保有個人情報の本人の代理人であること)を示す書類を提示し、又は提出しなければならない。 行政機関の長等は、利用停止請求書に形式上の不備があると認めるときは、利用停止請求をした者(以下この節において「利用停止請求者」という。)に対し、相当の期間を定めて、その補正を求めることができる。(保有個人情報の利用停止義務)第百条 行政機関の長等は、利用停止請求があった場合において、当該利用停止請求に理由があると認めるときは、当該行政機関の長等の属する行政機関等における個人情報の適正な取扱いを確保するために必要な限度で、当該利用停止請求に係る保有個人情報の利用停止をしなければならない。 ただし、当該保有個人情報の利用停止をすることにより、当該保有個人情報の利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認められるときは、この限りでない。
(利用停止請求に対する措置)第百一条 行政機関の長等は、利用停止請求に係る保有個人情報の利用停止をするときは、その旨の決定をし、利用停止請求者に対し、その旨を書面により通知しなければならない。
行政機関の長等は、利用停止請求に係る保有個人情報の利用停止をしないときは、その旨の決定をし、利用停止請求者に対し、その旨を書面により通知しなければならない。(利用停止決定等の期限)第百二条 前条各項の決定(以下この節において「利用停止決定等」という。)は、利用停止請求があった日から三十日以内にしなければならない。 ただし、第九十九条第三項の規定により補正を求めた場合にあっては、当該補正に要した日数は、当該期間に算入しない。
前項の規定にかかわらず、行政機関の長等は、事務処理上の困難その他正当な理由があるときは、同項に規定する期間を三十日以内に限り延長することができる。 この場合において、行政機関の長等は、利用停止請求者に対し、遅滞なく、延長後の期間及び延長の理由を書面により通知しなければならない。(利用停止決定等の期限の特例)第百三条 行政機関の長等は、利用停止決定等に特に長期間を要すると認めるときは、前条の規定にかかわらず、相当の期間内に利用停止決定等をすれば足りる。 この場合において、行政機関の長等は、同条第一項に規定する期間内に、利用停止請求者に対し、次に掲げる事項を書面により通知しなければならない。
一 この条の規定を適用する旨及びその理由
二 利用停止決定等をする期限
第四款 審査請求
(審理員による審理手続に関する規定の適用除外等)第百四条 行政機関の長等(地方公共団体の機関又は地方独立行政法人を除く。次項及び次条において同じ。)に対する開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求については、行政不服審査法(平成二十六年法律第六十八号)第九条、第十七条、第二十四条、第二章第三節及び第四節並びに第五十条第二項の規定は、適用しない。
行政機関の長等に対する開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求についての行政不服審査法第二章の規定の適用については、同法第十一条第二項中「第九条第一項の規定により指名された者(以下「審理員」という。)」とあるのは「第四条(個人情報の保護に関する法律(平成十五年法律第五十七号)第百七条第二項の規定に基づく政令を含む。)の規定により審査請求がされた行政庁(第十四条の規定により引継ぎを受けた行政庁を含む。以下「審査庁」という。)」と、同法第十三条第一項及び第二項中「審理員」とあるのは「審査庁」と、同法第二十五条第七項中「あったとき、又は審理員から第四十条に規定する執行停止をすべき旨の意見書が提出されたとき」とあるのは「あったとき」と、同法第四十四条中「行政不服審査会等」とあるのは「情報公開・個人情報保護審査会(審査庁が会計検査院長である場合にあっては、別に法律で定める審査会。第五十条第一項第四号において同じ。)」と、「受けたとき(前条第一項の規定による諮問を要しない場合(同項第二号又は第三号に該当する場合を除く。)にあっては審理員意見書が提出されたとき、同項第二号又は第三号に該当する場合にあっては同項第二号又は第三号に規定する議を経たとき)」とあるのは「受けたとき」と、同法第五十条第一項第四号中「審理員意見書又は行政不服審査会等若しくは審議会等」とあるのは「情報公開・個人情報保護審査会」とする。(審査会への諮問)第百五条 開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為について審査請求があったときは、当該審査請求に対する裁決をすべき行政機関の長等は、次の各号のいずれかに該当する場合を除き、情報公開・個人情報保護審査会(審査請求に対する裁決をすべき行政機関の長等が会計検査院長である場合にあっては、別に法律で定める審査会)に諮問しなければならない。
一 審査請求が不適法であり、却下する場合
二 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の全部を開示することとする場合(当該保有個人情報の開示について反対意見書が提出されている場合を除く。)
三 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の訂正をすることとする場合
四 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の利用停止をすることとする場合
前項の規定により諮問をした行政機関の長等は、次に掲げる者に対し、諮問をした旨を通知しなければならない。一 審査請求人及び参加人(行政不服審査法第十三条第四項に規定する参加人をいう。以下この項及び第百七条第一項第二号において同じ。)
二 開示請求者、訂正請求者又は利用停止請求者(これらの者が審査請求人又は参加人である場合を除く。)
三 当該審査請求に係る保有個人情報の開示について反対意見書を提出した第三者(当該第三者が審査請求人又は参加人である場合を除く。)
前二項の規定は、地方公共団体の機関又は地方独立行政法人について準用する。 この場合において、第一項中「情報公開・個人情報保護審査会(審査請求に対する裁決をすべき行政機関の長等が会計検査院長である場合にあっては、別に法律で定める審査会)」とあるのは、「行政不服審査法第八十一条第一項又は第二項の機関」と読み替えるものとする。(地方公共団体の機関等における審理員による審理手続に関する規定の適用除外等)第百六条 地方公共団体の機関又は地方独立行政法人に対する開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求については、行政不服審査法第九条第一項から第三項まで、第十七条、第四十条、第四十二条、第二章第四節及び第五十条第二項の規定は、適用しない。
地方公共団体の機関又は地方独立行政法人に対する開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求についての次の表の上欄に掲げる行政不服審査法の規定の適用については、これらの規定中同表の中欄に掲げる字句は、それぞれ同表の下欄に掲げる字句とするほか、必要な技術的読替えは、政令で定める。(第三者からの審査請求を棄却する場合等における手続等)第百七条 第八十六条第三項の規定は、次の各号のいずれかに該当する裁決をする場合について準用する。
一 開示決定に対する第三者からの審査請求を却下し、又は棄却する裁決
二 審査請求に係る開示決定等(開示請求に係る保有個人情報の全部を開示する旨の決定を除く。)を変更し、当該審査請求に係る保有個人情報を開示する旨の裁決(第三者である参加人が当該第三者に関する情報の開示に反対の意思を表示している場合に限る。)
開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為についての審査請求については、政令(地方公共団体の機関又は地方独立行政法人にあっては、条例)で定めるところにより、行政不服審査法第四条の規定の特例を設けることができる。第五款 条例との関係
第百八条 この節の規定は、地方公共団体が、保有個人情報の開示、訂正及び利用停止の手続並びに審査請求の手続に関する事項について、この節の規定に反しない限り、条例で必要な規定を定めることを妨げるものではない。
第五節 行政機関等匿名加工情報の提供等
(行政機関等匿名加工情報の作成及び提供等)第百九条 行政機関の長等は、この節の規定に従い、行政機関等匿名加工情報(行政機関等匿名加工情報ファイルを構成するものに限る。以下この節において同じ。)を作成することができる。
2 行政機関の長等は、次の各号のいずれかに該当する場合を除き、行政機関等匿名加工情報を提供してはならない。一 法令に基づく場合(この節の規定に従う場合を含む。)
二 保有個人情報を利用目的のために第三者に提供することができる場合において、当該保有個人情報を加工して作成した行政機関等匿名加工情報を当該第三者に提供するとき。
3 第六十九条の規定にかかわらず、行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために削除情報(保有個人情報に該当するものに限る。)を自ら利用し、又は提供してはならない。 4 前項の「削除情報」とは、行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。 (提案の募集に関する事項の個人情報ファイル簿への記載)第百十条 行政機関の長等は、当該行政機関の長等の属する行政機関等が保有している個人情報ファイルが第六十条第三項各号のいずれにも該当すると認めるときは、当該個人情報ファイルについては、個人情報ファイル簿に次に掲げる事項を記載しなければならない。 この場合における当該個人情報ファイルについての第七十五条第一項の規定の適用については、同項中「第十号」とあるのは、「第十号並びに第百十条各号」とする。
一 第百十二条第一項の提案の募集をする個人情報ファイルである旨
二 第百十二条第一項の提案を受ける組織の名称及び所在地
(提案の募集)第百十一条 行政機関の長等は、個人情報保護委員会規則で定めるところにより、定期的に、当該行政機関の長等の属する行政機関等が保有している個人情報ファイル(個人情報ファイル簿に前条第一号に掲げる事項の記載があるものに限る。以下この節において同じ。)について、次条第一項の提案を募集するものとする。
(行政機関等匿名加工情報をその用に供して行う事業に関する提案)第百十二条 前条の規定による募集に応じて個人情報ファイルを構成する保有個人情報を加工して作成する行政機関等匿名加工情報をその事業の用に供しようとする者は、行政機関の長等に対し、当該事業に関する提案をすることができる。
2 前項の提案は、個人情報保護委員会規則で定めるところにより、次に掲げる事項を記載した書面を行政機関の長等に提出してしなければならない。一 提案をする者の氏名又は名称及び住所又は居所並びに法人その他の団体にあっては、その代表者の氏名
二 提案に係る個人情報ファイルの名称
三 提案に係る行政機関等匿名加工情報の本人の数
四 前号に掲げるもののほか、提案に係る行政機関等匿名加工情報の作成に用いる第百十六条第一項の規定による加工の方法を特定するに足りる事項
五 提案に係る行政機関等匿名加工情報の利用の目的及び方法その他当該行政機関等匿名加工情報がその用に供される事業の内容
六 提案に係る行政機関等匿名加工情報を前号の事業の用に供しようとする期間
七 提案に係る行政機関等匿名加工情報の漏えいの防止その他当該行政機関等匿名加工情報の適切な管理のために講ずる措置
八 前各号に掲げるもののほか、個人情報保護委員会規則で定める事項
3 前項の書面には、次に掲げる書面その他個人情報保護委員会規則で定める書類を添付しなければならない。一 第一項の提案をする者が次条各号のいずれにも該当しないことを誓約する書面
二 前項第五号の事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであることを明らかにする書面
(欠格事由)第百十三条 次の各号のいずれかに該当する者は、前条第一項の提案をすることができない。
一 未成年者
二 心身の故障により前条第一項の提案に係る行政機関等匿名加工情報をその用に供して行う事業を適正に行うことができない者として個人情報保護委員会規則で定めるもの
三 破産手続開始の決定を受けて復権を得ない者
四 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から起算して二年を経過しない者
五 第百二十条の規定により行政機関等匿名加工情報の利用に関する契約を解除され、その解除の日から起算して二年を経過しない者
六 法人その他の団体であって、その役員のうちに前各号のいずれかに該当する者があるもの
(提案の審査等)第百十四条 行政機関の長等は、第百十二条第一項の提案があったときは、当該提案が次に掲げる基準に適合するかどうかを審査しなければならない。
一 第百十二条第一項の提案をした者が前条各号のいずれにも該当しないこと。
二 第百十二条第二項第三号の提案に係る行政機関等匿名加工情報の本人の数が、行政機関等匿名加工情報の効果的な活用の観点からみて個人情報保護委員会規則で定める数以上であり、かつ、提案に係る個人情報ファイルを構成する保有個人情報の本人の数以下であること。
三 第百十二条第二項第三号及び第四号に掲げる事項により特定される加工の方法が第百十六条第一項の基準に適合するものであること。
四 第百十二条第二項第五号の事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであること。
五 第百十二条第二項第六号の期間が行政機関等匿名加工情報の効果的な活用の観点からみて個人情報保護委員会規則で定める期間を超えないものであること。
六 第百十二条第二項第五号の提案に係る行政機関等匿名加工情報の利用の目的及び方法並びに同項第七号の措置が当該行政機関等匿名加工情報の本人の権利利益を保護するために適切なものであること。
七 前各号に掲げるもののほか、個人情報保護委員会規則で定める基準に適合するものであること。
2 行政機関の長等は、前項の規定により審査した結果、第百十二条第一項の提案が前項各号に掲げる基準のいずれにも適合すると認めるときは、個人情報保護委員会規則で定めるところにより、当該提案をした者に対し、次に掲げる事項を通知するものとする。一 次条の規定により行政機関の長等との間で行政機関等匿名加工情報の利用に関する契約を締結することができる旨
二 前号に掲げるもののほか、個人情報保護委員会規則で定める事項
3 行政機関の長等は、第一項の規定により審査した結果、第百十二条第一項の提案が第一項各号に掲げる基準のいずれかに適合しないと認めるときは、個人情報保護委員会規則で定めるところにより、当該提案をした者に対し、理由を付して、その旨を通知するものとする。 (行政機関等匿名加工情報の利用に関する契約の締結)第百十五条 前条第二項の規定による通知を受けた者は、個人情報保護委員会規則で定めるところにより、行政機関の長等との間で、行政機関等匿名加工情報の利用に関する契約を締結することができる。
(行政機関等匿名加工情報の作成等)第百十六条 行政機関の長等は、行政機関等匿名加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工しなければならない。
2 前項の規定は、行政機関等から行政機関等匿名加工情報の作成の委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。 (行政機関等匿名加工情報に関する事項の個人情報ファイル簿への記載)第百十七条 行政機関の長等は、行政機関等匿名加工情報を作成したときは、当該行政機関等匿名加工情報の作成に用いた保有個人情報を含む個人情報ファイルについては、個人情報ファイル簿に次に掲げる事項を記載しなければならない。 この場合における当該個人情報ファイルについての第百十条の規定により読み替えて適用する第七十五条第一項の規定の適用については、同項中「並びに第百十条各号」とあるのは、「、第百十条各号並びに第百十七条各号」とする。
一 行政機関等匿名加工情報の概要として個人情報保護委員会規則で定める事項
二 次条第一項の提案を受ける組織の名称及び所在地
三 次条第一項の提案をすることができる期間
(作成された行政機関等匿名加工情報をその用に供して行う事業に関する提案等)第百十八条 前条の規定により個人情報ファイル簿に同条第一号に掲げる事項が記載された行政機関等匿名加工情報をその事業の用に供しようとする者は、行政機関の長等に対し、当該事業に関する提案をすることができる。 当該行政機関等匿名加工情報について第百十五条の規定により行政機関等匿名加工情報の利用に関する契約を締結した者が、当該行政機関等匿名加工情報をその用に供する事業を変更しようとするときも、同様とする。
2 第百十二条第二項及び第三項並びに第百十三条から第百十五条までの規定は、前項の提案について準用する。 この場合において、第百十二条第二項中「次に」とあるのは「第一号及び第四号から第八号までに」と、同項第四号中「前号に掲げるもののほか、提案」とあるのは「提案」と、「の作成に用いる第百十六条第一項の規定による加工の方法を特定する」とあるのは「を特定する」と、同項第八号中「前各号」とあるのは「第一号及び第四号から前号まで」と、第百十四条第一項中「次に」とあるのは「第一号及び第四号から第七号までに」と、同項第七号中「前各号」とあるのは「第一号及び前三号」と、同条第二項中「前項各号」とあるのは「前項第一号及び第四号から第七号まで」と、同条第三項中「第一項各号」とあるのは「第一項第一号及び第四号から第七号まで」と読み替えるものとする。 (手数料)第百十九条 第百十五条の規定により行政機関等匿名加工情報の利用に関する契約を行政機関の長と締結する者は、政令で定めるところにより、実費を勘案して政令で定める額の手数料を納めなければならない。
2 前条第二項において準用する第百十五条の規定により行政機関等匿名加工情報の利用に関する契約を行政機関の長と締結する者は、政令で定めるところにより、前項の政令で定める額を参酌して政令で定める額の手数料を納めなければならない。 3 第百十五条の規定により行政機関等匿名加工情報の利用に関する契約を地方公共団体の機関と締結する者は、条例で定めるところにより、実費を勘案して政令で定める額を標準として条例で定める額の手数料を納めなければならない。 4 前条第二項において準用する第百十五条の規定により行政機関等匿名加工情報の利用に関する契約を地方公共団体の機関と締結する者は、条例で定めるところにより、前項の政令で定める額を参酌して政令で定める額を標準として条例で定める額の手数料を納めなければならない。 5 第百十五条の規定(前条第二項において準用する場合を含む。第八項及び次条において同じ。)により行政機関等匿名加工情報の利用に関する契約を独立行政法人等と締結する者は、独立行政法人等の定めるところにより、利用料を納めなければならない。 6 前項の利用料の額は、実費を勘案して合理的であると認められる範囲内において、独立行政法人等が定める。 7 独立行政法人等は、前二項の規定による定めを一般の閲覧に供しなければならない。 8 第百十五条の規定により行政機関等匿名加工情報の利用に関する契約を地方独立行政法人と締結する者は、地方独立行政法人の定めるところにより、手数料を納めなければならない。 9 前項の手数料の額は、実費を勘案し、かつ、第三項又は第四項の条例で定める手数料の額を参酌して、地方独立行政法人が定める。 10 地方独立行政法人は、前二項の規定による定めを一般の閲覧に供しなければならない。 (行政機関等匿名加工情報の利用に関する契約の解除)第百二十条 行政機関の長等は、第百十五条の規定により行政機関等匿名加工情報の利用に関する契約を締結した者が次の各号のいずれかに該当するときは、当該契約を解除することができる。
一 偽りその他不正の手段により当該契約を締結したとき。
二 第百十三条各号(第百十八条第二項において準用する場合を含む。)のいずれかに該当することとなったとき。
三 当該契約において定められた事項について重大な違反があったとき。
(識別行為の禁止等)第百二十一条 行政機関の長等は、行政機関等匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該行政機関等匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該行政機関等匿名加工情報を他の情報と照合してはならない。
2 行政機関の長等は、行政機関等匿名加工情報、第百九条第四項に規定する削除情報及び第百十六条第一項の規定により行った加工の方法に関する情報(以下この条及び次条において「行政機関等匿名加工情報等」という。)の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、行政機関等匿名加工情報等の適切な管理のために必要な措置を講じなければならない。 3 前二項の規定は、行政機関等から行政機関等匿名加工情報等の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。 (従事者の義務)第百二十二条 行政機関等匿名加工情報等の取扱いに従事する行政機関等の職員若しくは職員であった者、前条第三項の委託を受けた業務に従事している者若しくは従事していた者又は行政機関等において行政機関等匿名加工情報等の取扱いに従事している派遣労働者若しくは従事していた派遣労働者は、その業務に関して知り得た行政機関等匿名加工情報等の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
(匿名加工情報の取扱いに係る義務)第百二十三条 行政機関等は、匿名加工情報(行政機関等匿名加工情報を除く。以下この条において同じ。)を第三者に提供するときは、法令に基づく場合を除き、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
2 行政機関等は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第四十三条第一項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。 3 行政機関等は、匿名加工情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、匿名加工情報の適切な管理のために必要な措置を講じなければならない。 4 前二項の規定は、行政機関等から匿名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。第六節 雑則
(適用除外等)第百二十四条 第四節の規定は、刑事事件若しくは少年の保護事件に係る裁判、検察官、検察事務官若しくは司法警察職員が行う処分、刑若しくは保護処分の執行、更生緊急保護又は恩赦に係る保有個人情報(当該裁判、処分若しくは執行を受けた者、更生緊急保護の申出をした者又は恩赦の上申があった者に係るものに限る。)については、適用しない。
2 保有個人情報(行政機関情報公開法第五条、独立行政法人等情報公開法第五条又は情報公開条例に規定する不開示情報を専ら記録する行政文書等に記録されているものに限る。)のうち、まだ分類その他の整理が行われていないもので、同一の利用目的に係るものが著しく大量にあるためその中から特定の保有個人情報を検索することが著しく困難であるものは、第四節(第四款を除く。)の規定の適用については、行政機関等に保有されていないものとみなす。 (適用の特例)第百二十五条 第五十八条第二項各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、この章(第一節、第六十六条第二項(第四号及び第五号(同項第四号に係る部分に限る。)に係る部分に限る。)において準用する同条第一項、第七十五条、前二節、前条第二項及び第百二十七条を除く。)の規定、第百七十六条及び第百八十条の規定(これらの規定のうち第六十六条第二項第四号及び第五号(同項第四号に係る部分に限る。)に定める業務に係る部分を除く。)並びに第百八十一条の規定は、適用しない。
2 第五十八条第一項各号に掲げる者による個人情報又は匿名加工情報の取扱いについては、同項第一号に掲げる者を独立行政法人等と、同項第二号に掲げる者を地方独立行政法人と、それぞれみなして、第一節、第七十五条、前二節、前条第二項、第百二十七条及び次章から第八章まで(第百七十六条、第百八十条及び第百八十一条を除く。)の規定を適用する。 3 第五十八条第一項各号及び第二項各号に掲げる者(同項各号に定める業務を行う場合に限る。)についての第九十八条の規定の適用については、同条第一項第一号中「第六十一条第二項の規定に違反して保有されているとき、第六十三条の規定に違反して取り扱われているとき、第六十四条の規定に違反して取得されたものであるとき、又は第六十九条第一項及び第二項の規定に違反して利用されているとき」とあるのは「第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるとき」と、同項第二号中「第六十九条第一項及び第二項又は第七十一条第一項」とあるのは「第二十七条第一項又は第二十八条」とする。 (権限又は事務の委任)第百二十六条 行政機関の長は、政令(内閣の所轄の下に置かれる機関及び会計検査院にあっては、当該機関の命令)で定めるところにより、第二節から前節まで(第七十四条及び第四節第四款を除く。)に定める権限又は事務を当該行政機関の職員に委任することができる。
(開示請求等をしようとする者に対する情報の提供等)第百二十七条 行政機関の長等は、開示請求、訂正請求若しくは利用停止請求又は第百十二条第一項若しくは第百十八条第一項の提案(以下この条において「開示請求等」という。)をしようとする者がそれぞれ容易かつ的確に開示請求等をすることができるよう、当該行政機関の長等の属する行政機関等が保有する保有個人情報の特定又は当該提案に資する情報の提供その他開示請求等をしようとする者の利便を考慮した適切な措置を講ずるものとする。
(行政機関等における個人情報等の取扱いに関する苦情処理)第百二十八条 行政機関の長等は、行政機関等における個人情報、仮名加工情報又は匿名加工情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
(地方公共団体に置く審議会等への諮問)第百二十九条 地方公共団体の機関は、条例で定めるところにより、第三章第三節の施策を講ずる場合その他の場合において、個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要であると認めるときは、審議会その他の合議制の機関に諮問することができる。
第六章 個人情報保護委員会
第一節 設置等
(設置)第百三十条 内閣府設置法第四十九条第三項の規定に基づいて、個人情報保護委員会(以下「委員会」という。)を置く。
2 委員会は、内閣総理大臣の所轄に属する。 (任務)第百三十一条 委員会は、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ること(個人番号利用事務等実施者(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号。以下「番号利用法」という。)第十二条に規定する個人番号利用事務等実施者をいう。)に対する指導及び助言その他の措置を講ずることを含む。)を任務とする。
(所掌事務)第百三十二条 委員会は、前条の任務を達成するため、次に掲げる事務をつかさどる。
一 基本方針の策定及び推進に関すること。
二 個人情報取扱事業者における個人情報の取扱い、個人情報取扱事業者及び仮名加工情報取扱事業者における仮名加工情報の取扱い、個人情報取扱事業者及び匿名加工情報取扱事業者における匿名加工情報の取扱い並びに個人関連情報取扱事業者における個人関連情報の取扱いに関する監督、行政機関等における個人情報、仮名加工情報、匿名加工情報及び個人関連情報の取扱いに関する監視並びに個人情報、仮名加工情報及び匿名加工情報の取扱いに関する苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること(第四号に掲げるものを除く。)。
三 認定個人情報保護団体に関すること。
四 特定個人情報(番号利用法第二条第八項に規定する特定個人情報をいう。)の取扱いに関する監視又は監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。
五 特定個人情報保護評価(番号利用法第二十七条第一項に規定する特定個人情報保護評価をいう。)に関すること。
六 個人情報の保護及び適正かつ効果的な活用についての広報及び啓発に関すること。
七 前各号に掲げる事務を行うために必要な調査及び研究に関すること。
八 所掌事務に係る国際協力に関すること。
九 前各号に掲げるもののほか、法律(法律に基づく命令を含む。)に基づき委員会に属させられた事務
(職権行使の独立性)第百三十三条 委員会の委員長及び委員は、独立してその職権を行う。
(組織等)第百三十四条 委員会は、委員長及び委員八人をもって組織する。
2 委員のうち四人は、非常勤とする。 3 委員長及び委員は、人格が高潔で識見の高い者のうちから、両議院の同意を得て、内閣総理大臣が任命する。 4 委員長及び委員には、個人情報の保護及び適正かつ効果的な活用に関する学識経験のある者、消費者の保護に関して十分な知識と経験を有する者、情報処理技術に関する学識経験のある者、行政分野に関する学識経験のある者、民間企業の実務に関して十分な知識と経験を有する者並びに連合組織(地方自治法第二百六十三条の三第一項の連合組織で同項の規定による届出をしたものをいう。)の推薦する者が含まれるものとする。 (任期等)第百三十五条 委員長及び委員の任期は、五年とする。 ただし、補欠の委員長又は委員の任期は、前任者の残任期間とする。
2 委員長及び委員は、再任されることができる。 3 委員長及び委員の任期が満了したときは、当該委員長及び委員は、後任者が任命されるまで引き続きその職務を行うものとする。 4 委員長又は委員の任期が満了し、又は欠員を生じた場合において、国会の閉会又は衆議院の解散のために両議院の同意を得ることができないときは、内閣総理大臣は、前条第三項の規定にかかわらず、同項に定める資格を有する者のうちから、委員長又は委員を任命することができる。 5 前項の場合においては、任命後最初の国会において両議院の事後の承認を得なければならない。 この場合において、両議院の事後の承認が得られないときは、内閣総理大臣は、直ちに、その委員長又は委員を罷免しなければならない。 (身分保障)第百三十六条 委員長及び委員は、次の各号のいずれかに該当する場合を除いては、在任中、その意に反して罷免されることがない。
一 破産手続開始の決定を受けたとき。
二 この法律又は番号利用法の規定に違反して刑に処せられたとき。
三 禁錮以上の刑に処せられたとき。
四 委員会により、心身の故障のため職務を執行することができないと認められたとき、又は職務上の義務違反その他委員長若しくは委員たるに適しない非行があると認められたとき。
(罷免)第百三十七条 内閣総理大臣は、委員長又は委員が前条各号のいずれかに該当するときは、その委員長又は委員を罷免しなければならない。
(委員長)第百三十八条 委員長は、委員会の会務を総理し、委員会を代表する。
2 委員会は、あらかじめ常勤の委員のうちから、委員長に事故がある場合に委員長を代理する者を定めておかなければならない。 (会議)第百三十九条 委員会の会議は、委員長が招集する。
2 委員会は、委員長及び四人以上の委員の出席がなければ、会議を開き、議決をすることができない。 3 委員会の議事は、出席者の過半数でこれを決し、可否同数のときは、委員長の決するところによる。 4 第百三十六条第四号の規定による認定をするには、前項の規定にかかわらず、本人を除く全員の一致がなければならない。 5 委員長に事故がある場合の第二項の規定の適用については、前条第二項に規定する委員長を代理する者は、委員長とみなす。 (専門委員)第百四十条 委員会に、専門の事項を調査させるため、専門委員を置くことができる。
2 専門委員は、委員会の申出に基づいて内閣総理大臣が任命する。 3 専門委員は、当該専門の事項に関する調査が終了したときは、解任されるものとする。 4 専門委員は、非常勤とする。 (事務局)第百四十一条 委員会の事務を処理させるため、委員会に事務局を置く。
2 事務局に、事務局長その他の職員を置く。 3 事務局長は、委員長の命を受けて、局務を掌理する。 (政治運動等の禁止)第百四十二条 委員長及び委員は、在任中、政党その他の政治団体の役員となり、又は積極的に政治運動をしてはならない。
2 委員長及び常勤の委員は、在任中、内閣総理大臣の許可のある場合を除くほか、報酬を得て他の職務に従事し、又は営利事業を営み、その他金銭上の利益を目的とする業務を行ってはならない。 (秘密保持義務)第百四十三条 委員長、委員、専門委員及び事務局の職員は、職務上知ることのできた秘密を漏らし、又は盗用してはならない。 その職務を退いた後も、同様とする。
(給与)第百四十四条 委員長及び委員の給与は、別に法律で定める。
(規則の制定)第百四十五条 委員会は、その所掌事務について、法律若しくは政令を実施するため、又は法律若しくは政令の特別の委任に基づいて、個人情報保護委員会規則を制定することができる。
第二節 監督及び監視
第一款 個人情報取扱事業者等の監督
(報告及び立入検査)第百四十六条 委員会は、第四章(第五節を除く。次条及び第百五十一条において同じ。)の規定の施行に必要な限度において、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者(以下この款において「個人情報取扱事業者等」という。)その他の関係者に対し、個人情報、仮名加工情報、匿名加工情報又は個人関連情報(以下この款及び第三款において「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。 第一項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。(指導及び助言)第百四十七条 委員会は、第四章の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。
(勧告及び命令)第百四十八条 委員会は、個人情報取扱事業者が第十八条から第二十条まで、第二十一条(第一項、第三項及び第四項の規定を第四十一条第四項の規定により読み替えて適用する場合を含む。)、第二十三条から第二十六条まで、第二十七条(第四項を除き、第五項及び第六項の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第二十八条、第二十九条(第一項ただし書の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第三十条(第二項を除き、第一項ただし書の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第三十二条、第三十三条(第一項(第五項において準用する場合を含む。)を除く。)、第三十四条第二項若しくは第三項、第三十五条(第一項、第三項及び第五項を除く。)、第三十八条第二項、第四十一条(第四項及び第五項を除く。)若しくは第四十三条(第六項を除く。)の規定に違反した場合、個人関連情報取扱事業者が第三十一条第一項、同条第二項において読み替えて準用する第二十八条第三項若しくは第三十一条第三項において読み替えて準用する第三十条第三項若しくは第四項の規定に違反した場合、仮名加工情報取扱事業者が第四十二条第一項、同条第二項において読み替えて準用する第二十七条第五項若しくは第六項若しくは第四十二条第三項において読み替えて準用する第二十三条から第二十五条まで若しくは第四十一条第七項若しくは第八項の規定に違反した場合又は匿名加工情報取扱事業者が第四十四条若しくは第四十五条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。 委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十八条から第二十条まで、第二十三条から第二十六条まで、第二十七条第一項、第二十八条第一項若しくは第三項、第四十一条第一項から第三項まで若しくは第六項から第八項まで若しくは第四十三条第一項、第二項若しくは第五項の規定に違反した場合、個人関連情報取扱事業者が第三十一条第一項若しくは同条第二項において読み替えて準用する第二十八条第三項の規定に違反した場合、仮名加工情報取扱事業者が第四十二条第一項若しくは同条第三項において読み替えて準用する第二十三条から第二十五条まで若しくは第四十一条第七項若しくは第八項の規定に違反した場合又は匿名加工情報取扱事業者が第四十五条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。 委員会は、前二項の規定による命令をした場合において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができる。(委員会の権限の行使の制限)第百四十九条 委員会は、前三条の規定により個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査、指導、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
前項の規定の趣旨に照らし、委員会は、個人情報取扱事業者等が第五十七条第一項各号に掲げる者(それぞれ当該各号に定める目的で個人情報等を取り扱う場合に限る。)に対して個人情報等を提供する行為については、その権限を行使しないものとする。(権限の委任)第百五十条 委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、第百四十八条第一項の規定による勧告又は同条第二項若しくは第三項の規定による命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、第二十六条第一項、第百四十六条第一項、第百六十二条において読み替えて準用する民事訴訟法(平成八年法律第百九号)第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条、第百六十三条並びに第百六十四条の規定による権限を事業所管大臣に委任することができる。
事業所管大臣は、前項の規定により委任された権限を行使したときは、政令で定めるところにより、その結果について委員会に報告するものとする。 事業所管大臣は、政令で定めるところにより、第一項の規定により委任された権限及び前項の規定による権限について、その全部又は一部を内閣府設置法第四十三条の地方支分部局その他の政令で定める部局又は機関の長に委任することができる。 内閣総理大臣は、第一項の規定により委任された権限及び第二項の規定による権限(金融庁の所掌に係るものに限り、政令で定めるものを除く。)を金融庁長官に委任する。 金融庁長官は、政令で定めるところにより、前項の規定により委任された権限について、その一部を証券取引等監視委員会に委任することができる。 金融庁長官は、政令で定めるところにより、第四項の規定により委任された権限(前項の規定により証券取引等監視委員会に委任されたものを除く。)の一部を財務局長又は財務支局長に委任することができる。 証券取引等監視委員会は、政令で定めるところにより、第五項の規定により委任された権限の一部を財務局長又は財務支局長に委任することができる。 前項の規定により財務局長又は財務支局長に委任された権限に係る事務に関しては、証券取引等監視委員会が財務局長又は財務支局長を指揮監督する。 第五項の場合において、証券取引等監視委員会が行う報告又は資料の提出の要求(第七項の規定により財務局長又は財務支局長が行う場合を含む。)についての審査請求は、証券取引等監視委員会に対してのみ行うことができる。(事業所管大臣の請求)第百五十一条 事業所管大臣は、個人情報取扱事業者等に第四章の規定に違反する行為があると認めるときその他個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは、委員会に対し、この法律の規定に従い適当な措置をとるべきことを求めることができる。
(事業所管大臣)第百五十二条 この款の規定における事業所管大臣は、次のとおりとする。
一 個人情報取扱事業者等が行う個人情報等の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者等が行う事業を所管する大臣、国家公安委員会又はカジノ管理委員会(次号において「大臣等」という。)
二 個人情報取扱事業者等が行う個人情報等の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者等が行う事業を所管する大臣等
第二款 認定個人情報保護団体の監督
(報告の徴収)第百五十三条 委員会は、第四章第五節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
(命令)第百五十四条 委員会は、第四章第五節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
(認定の取消し)第百五十五条 委員会は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
一 第四十八条第一号又は第三号に該当するに至ったとき。
二 第四十九条各号のいずれかに適合しなくなったとき。
三 第五十五条の規定に違反したとき。
四 前条の命令に従わないとき。
五 不正の手段により第四十七条第一項の認定又は第五十条第一項の変更の認定を受けたとき。
委員会は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。第三款 行政機関等の監視
(資料の提出の要求及び実地調査)第百五十六条 委員会は、前章の規定の円滑な運用を確保するため必要があると認めるときは、行政機関の長等(会計検査院長を除く。以下この款において同じ。)に対し、行政機関等における個人情報等の取扱いに関する事務の実施状況について、資料の提出及び説明を求め、又はその職員に実地調査をさせることができる。
(指導及び助言)第百五十七条 委員会は、前章の規定の円滑な運用を確保するため必要があると認めるときは、行政機関の長等に対し、行政機関等における個人情報等の取扱いについて、必要な指導及び助言をすることができる。
(勧告)第百五十八条 委員会は、前章の規定の円滑な運用を確保するため必要があると認めるときは、行政機関の長等に対し、行政機関等における個人情報等の取扱いについて勧告をすることができる。
(勧告に基づいてとった措置についての報告の要求)第百五十九条 委員会は、前条の規定により行政機関の長等に対し勧告をしたときは、当該行政機関の長等に対し、その勧告に基づいてとった措置について報告を求めることができる。
(委員会の権限の行使の制限)第百六十条 第百四十九条第一項の規定の趣旨に照らし、委員会は、行政機関の長等が第五十七条第一項各号に掲げる者(それぞれ当該各号に定める目的で個人情報等を取り扱う場合に限る。)に対して個人情報等を提供する行為については、その権限を行使しないものとする。
第三節 送達
(送達すべき書類)第百六十一条 第百四十六条第一項の規定による報告若しくは資料の提出の要求、第百四十八条第一項の規定による勧告若しくは同条第二項若しくは第三項の規定による命令、第百五十三条の規定による報告の徴収、第百五十四条の規定による命令又は第百五十五条第一項の規定による取消しは、個人情報保護委員会規則で定める書類を送達して行う。
2 第百四十八条第二項若しくは第三項若しくは第百五十四条の規定による命令又は第百五十五条第一項の規定による取消しに係る行政手続法(平成五年法律第八十八号)第十五条第一項又は第三十条の通知は、同法第十五条第一項及び第二項又は第三十条の書類を送達して行う。 この場合において、同法第十五条第三項(同法第三十一条において読み替えて準用する場合を含む。)の規定は、適用しない。 (送達に関する民事訴訟法の準用)第百六十二条 前条の規定による送達については、民事訴訟法第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条の規定を準用する。 この場合において、同法第九十九条第一項中「執行官」とあるのは「個人情報保護委員会の職員」と、同法第百八条中「裁判長」とあり、及び同法第百九条中「裁判所」とあるのは「個人情報保護委員会」と読み替えるものとする。
(公示送達)第百六十三条 委員会は、次に掲げる場合には、公示送達をすることができる。
一 送達を受けるべき者の住所、居所その他送達をすべき場所が知れない場合
二 外国(本邦の域外にある国又は地域をいう。以下同じ。)においてすべき送達について、前条において読み替えて準用する民事訴訟法第百八条の規定によることができず、又はこれによっても送達をすることができないと認めるべき場合
三 前条において読み替えて準用する民事訴訟法第百八条の規定により外国の管轄官庁に嘱託を発した後六月を経過してもその送達を証する書面の送付がない場合
2 公示送達は、送達をすべき書類を送達を受けるべき者にいつでも交付すべき旨を委員会の掲示場に掲示することにより行う。 3 公示送達は、前項の規定による掲示を始めた日から二週間を経過することによって、その効力を生ずる。 4 外国においてすべき送達についてした公示送達にあっては、前項の期間は、六週間とする。 (電子情報処理組織の使用)第百六十四条 委員会の職員が、情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)第三条第九号に規定する処分通知等であって第百六十一条の規定により書類を送達して行うこととしているものに関する事務を、同法第七条第一項の規定により同法第六条第一項に規定する電子情報処理組織を使用して行ったときは、第百六十二条において読み替えて準用する民事訴訟法第百九条の規定による送達に関する事項を記載した書面の作成及び提出に代えて、当該事項を当該電子情報処理組織を使用して委員会の使用に係る電子計算機(入出力装置を含む。)に備えられたファイルに記録しなければならない。
第四節 雑則
(施行の状況の公表)第百六十五条 委員会は、行政機関の長等に対し、この法律の施行の状況について報告を求めることができる。
2 委員会は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。 (地方公共団体による必要な情報の提供等の求め)第百六十六条 地方公共団体は、地方公共団体の機関、地方独立行政法人及び事業者等による個人情報の適正な取扱いを確保するために必要があると認めるときは、委員会に対し、必要な情報の提供又は技術的な助言を求めることができる。
2 委員会は、前項の規定による求めがあったときは、必要な情報の提供又は技術的な助言を行うものとする。 (条例を定めたときの届出)第百六十七条 地方公共団体の長は、この法律の規定に基づき個人情報の保護に関する条例を定めたときは、遅滞なく、個人情報保護委員会規則で定めるところにより、その旨及びその内容を委員会に届け出なければならない。
2 委員会は、前項の規定による届出があったときは、当該届出に係る事項をインターネットの利用その他適切な方法により公表しなければならない。 3 前二項の規定は、第一項の規定による届出に係る事項の変更について準用する。 (国会に対する報告)第百六十八条 委員会は、毎年、内閣総理大臣を経由して国会に対し所掌事務の処理状況を報告するとともに、その概要を公表しなければならない。
(案内所の整備)第百六十九条 委員会は、この法律の円滑な運用を確保するため、総合的な案内所を整備するものとする。
(地方公共団体が処理する事務)第百七十条 この法律に規定する委員会の権限及び第百五十条第一項又は第四項の規定により事業所管大臣又は金融庁長官に委任された権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。
第七章 雑則
(適用範囲)第百七十一条 この法律は、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。
(外国執行当局への情報提供)第百七十二条 委員会は、この法律に相当する外国の法令を執行する外国の当局(以下この条において「外国執行当局」という。)に対し、その職務(この法律に規定する委員会の職務に相当するものに限る。次項において同じ。)の遂行に資すると認める情報の提供を行うことができる。
2 前項の規定による情報の提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、かつ、次項の規定による同意がなければ外国の刑事事件の捜査(その対象たる犯罪事実が特定された後のものに限る。)又は審判(同項において「捜査等」という。)に使用されないよう適切な措置がとられなければならない。 3 委員会は、外国執行当局からの要請があったときは、次の各号のいずれかに該当する場合を除き、第一項の規定により提供した情報を当該要請に係る外国の刑事事件の捜査等に使用することについて同意をすることができる。一 当該要請に係る刑事事件の捜査等の対象とされている犯罪が政治犯罪であるとき、又は当該要請が政治犯罪について捜査等を行う目的で行われたものと認められるとき。
二 当該要請に係る刑事事件の捜査等の対象とされている犯罪に係る行為が日本国内において行われたとした場合において、その行為が日本国の法令によれば罪に当たるものでないとき。
三 日本国が行う同種の要請に応ずる旨の要請国の保証がないとき。
4 委員会は、前項の同意をする場合においては、あらかじめ、同項第一号及び第二号に該当しないことについて法務大臣の確認を、同項第三号に該当しないことについて外務大臣の確認を、それぞれ受けなければならない。 (国際約束の誠実な履行等)第百七十三条 この法律の施行に当たっては、我が国が締結した条約その他の国際約束の誠実な履行を妨げることがないよう留意するとともに、確立された国際法規を遵守しなければならない。
(連絡及び協力)第百七十四条 内閣総理大臣及びこの法律の施行に関係する行政機関の長(会計検査院長を除く。)は、相互に緊密に連絡し、及び協力しなければならない。
(政令への委任)第百七十五条 この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。
第八章 罰則
第百七十六条 行政機関等の職員若しくは職員であった者、第六十六条第二項各号に定める業務若しくは第七十三条第五項若しくは第百二十一条第三項の委託を受けた業務に従事している者若しくは従事していた者又は行政機関等において個人情報、仮名加工情報若しくは匿名加工情報の取扱いに従事している派遣労働者若しくは従事していた派遣労働者が、正当な理由がないのに、個人の秘密に属する事項が記録された第六十条第二項第一号に係る個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、二年以下の懲役又は百万円以下の罰金に処する。
第百七十七条 第百四十三条の規定に違反して秘密を漏らし、又は盗用した者は、二年以下の懲役又は百万円以下の罰金に処する。
第百七十八条 第百四十八条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。
第百七十九条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第百八十四条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第百八十条 第百七十六条に規定する者が、その業務に関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第百八十一条 行政機関等の職員がその職権を濫用して、専らその職務の用以外の用に供する目的で個人の秘密に属する事項が記録された文書、図画又は電磁的記録を収集したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第百八十二条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。
一 第百四十六条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。
二 第百五十三条の規定による報告をせず、又は虚偽の報告をしたとき。
第百八十三条 第百七十六条、第百七十七条及び第百七十九条から第百八十一条までの規定は、日本国外においてこれらの条の罪を犯した者にも適用する。
第百八十四条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第百七十八条及び第百七十九条 一億円以下の罰金刑
二 第百八十二条 同条の罰金刑
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。第百八十五条 次の各号のいずれかに該当する者は、十万円以下の過料に処する。
一 第三十条第二項(第三十一条第三項において準用する場合を含む。)又は第五十六条の規定に違反した者
二 第五十一条第一項の規定による届出をせず、又は虚偽の届出をした者
三 偽りその他不正の手段により、第八十五条第三項に規定する開示決定に基づく保有個人情報の開示を受けた者
附則
(施行期日)
第一条 この法律は、公布の日から施行する。 ただし、第四章から第六章まで及び附則第二条から第六条までの規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。
(本人の同意に関する経過措置)
第二条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第十五条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第十六条第一項又は第二項の同意があったものとみなす。
第三条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十三条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。
(通知に関する経過措置)
第四条 第二十三条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。
第五条 第二十三条第五項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。
(名称の使用制限に関する経過措置)
第六条 この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている者については、第四十五条の規定は、同条の規定の施行後六月間は、適用しない。
(行政機関等匿名加工情報に関する経過措置)
第七条 都道府県及び地方自治法第二百五十二条の十九第一項の指定都市以外の地方公共団体の機関並びに地方独立行政法人についての第百十条及び第百十一条の規定の適用については、当分の間、第百十条中「行政機関の長等は、」とあるのは「行政機関の長等は、次条の規定による募集をしようとする場合であって、」と、第百十一条中「ものとする」とあるのは「ことができる」とする。
附則(平成一五年五月三〇日法律第六一号)
(施行期日)
第一条 この法律は、行政機関の保有する個人情報の保護に関する法律の施行の日から施行する。
(その他の経過措置の政令への委任)
第四条 前二条に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。
附則(平成一五年七月一六日法律第一一九号)
(施行期日)
第一条 この法律は、地方独立行政法人法(平成十五年法律第百十八号)の施行の日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
(その他の経過措置の政令への委任)
第六条 この附則に規定するもののほか、この法律の施行に伴い必要な経過措置は、政令で定める。
附則(平成二一年六月五日法律第四九号)
(施行期日)
第一条 この法律は、消費者庁及び消費者委員会設置法(平成二十一年法律第四十八号)の施行の日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
(処分等に関する経過措置)
第四条 この法律の施行前にこの法律による改正前のそれぞれの法律(これに基づく命令を含む。以下「旧法令」という。)の規定によりされた免許、許可、認可、承認、指定その他の処分又は通知その他の行為は、法令に別段の定めがあるもののほか、この法律の施行後は、この法律による改正後のそれぞれの法律(これに基づく命令を含む。以下「新法令」という。)の相当規定によりされた免許、許可、認可、承認、指定その他の処分又は通知その他の行為とみなす。 この法律の施行の際現に旧法令の規定によりされている免許の申請、届出その他の行為は、法令に別段の定めがあるもののほか、この法律の施行後は、新法令の相当規定によりされた免許の申請、届出その他の行為とみなす。 この法律の施行前に旧法令の規定により報告、届出、提出その他の手続をしなければならない事項で、この法律の施行日前にその手続がされていないものについては、法令に別段の定めがあるもののほか、この法律の施行後は、これを、新法令の相当規定によりその手続がされていないものとみなして、新法令の規定を適用する。
(命令の効力に関する経過措置)
第五条 旧法令の規定により発せられた内閣府設置法第七条第三項の内閣府令又は国家行政組織法第十二条第一項の省令は、法令に別段の定めがあるもののほか、この法律の施行後は、新法令の相当規定に基づいて発せられた相当の内閣府設置法第七条第三項の内閣府令又は国家行政組織法第十二条第一項の省令としての効力を有するものとする。
(罰則の適用に関する経過措置)
第八条 この法律の施行前にした行為及びこの法律の附則においてなお従前の例によることとされる場合におけるこの法律の施行後にした行為に対する罰則の適用については、なお従前の例による。
(政令への委任)
第九条 附則第二条から前条までに定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。
附則(平成二七年九月九日法律第六五号)
(施行期日)
第一条 この法律は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
(通知等に関する経過措置)
第二条 第二条の規定による改正後の個人情報の保護に関する法律(以下「新個人情報保護法」という。)第二十三条第二項の規定により個人データを第三者に提供しようとする者は、この法律の施行の日(以下「施行日」という。)前においても、個人情報保護委員会規則で定めるところにより、同項第五号に掲げる事項に相当する事項について本人に通知するとともに、同項各号に掲げる事項に相当する事項について個人情報保護委員会に届け出ることができる。 この場合において、当該通知及び届出は、施行日以後は、同項の規定による通知及び届出とみなす。
(外国にある第三者への提供に係る本人の同意に関する経過措置)
第三条 施行日前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が新個人情報保護法第二十四条の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、同条の同意があったものとみなす。
(主務大臣がした処分等に関する経過措置)
第四条 施行日前に第二条の規定による改正前の個人情報の保護に関する法律(以下「旧個人情報保護法」という。)又はこれに基づく命令の規定により旧個人情報保護法第三十六条又は第四十九条に規定する主務大臣(以下この条において単に「主務大臣」という。)がした勧告、命令その他の処分又は通知その他の行為は、施行日以後は、新個人情報保護法又はこれに基づく命令の相当規定に基づいて、個人情報保護委員会がした勧告、命令その他の処分又は通知その他の行為とみなす。 この法律の施行の際現に旧個人情報保護法又はこれに基づく命令の規定により主務大臣に対してされている申請、届出その他の行為は、施行日以後は、新個人情報保護法又はこれに基づく命令の相当規定に基づいて、個人情報保護委員会に対してされた申請、届出その他の行為とみなす。 施行日前に旧個人情報保護法又はこれに基づく命令の規定により主務大臣に対して届出その他の手続をしなければならない事項で、施行日前にその手続がされていないものについては、施行日以後は、これを、新個人情報保護法又はこれに基づく命令の相当規定により個人情報保護委員会に対してその手続をしなければならないとされた事項についてその手続がされていないものとみなして、当該相当規定を適用する。
(委員長又は委員の任命等に関する経過措置)
第七条 附則第一条第二号に掲げる規定の施行の際現に従前の特定個人情報保護委員会の委員長又は委員である者は、それぞれ第二号施行日に、第一条の規定による改正後の個人情報の保護に関する法律(以下この条において「第二号新個人情報保護法」という。)第五十四条第三項の規定により、個人情報保護委員会の委員長又は委員として任命されたものとみなす。 この場合において、その任命されたものとみなされる者の任期は、第二号新個人情報保護法第五十五条第一項の規定にかかわらず、第二号施行日における従前の特定個人情報保護委員会の委員長又は委員としてのそれぞれの任期の残任期間と同一の期間とする。 附則第一条第二号に掲げる規定の施行に伴い新たに任命されることとなる個人情報保護委員会の委員については、第二号新個人情報保護法第五十四条第三項に規定する委員の任命のために必要な行為は、第二号施行日前においても行うことができる。 附則第一条第二号に掲げる規定の施行の際現に従前の特定個人情報保護委員会の事務局の職員である者は、別に辞令を発せられない限り、第二号施行日に、同一の勤務条件をもって、個人情報保護委員会の事務局の相当の職員となるものとする。
(罰則の適用に関する経過措置)
第九条 この法律(附則第一条第二号に掲げる規定にあっては、当該規定)の施行前にした行為及び前条の規定によりなお従前の例によることとされる場合における第二号施行日以後にした行為に対する罰則の適用については、なお従前の例による。
(政令への委任)
第十条 この附則に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。
(事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定に当たっての配慮)
第十一条 個人情報保護委員会は、新個人情報保護法第八条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっては、この法律の施行により旧個人情報保護法第二条第三項第五号に掲げる者が新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする。
(検討)
第十二条 政府は、施行日までに、新個人情報保護法の規定の趣旨を踏まえ、行政機関の保有する個人情報の保護に関する法律第二条第一項に規定する行政機関が保有する同条第二項に規定する個人情報及び独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等が保有する同条第二項に規定する個人情報(以下この条において「行政機関等保有個人情報」と総称する。)の取扱いに関する規制の在り方について、匿名加工情報(新個人情報保護法第二条第九項に規定する匿名加工情報をいい、行政機関等匿名加工情報(行政機関等保有個人情報を加工して得られる匿名加工情報をいう。以下この項において同じ。)を含む。)の円滑かつ迅速な利用を促進する観点から、行政機関等匿名加工情報の取扱いに対する指導、助言等を統一的かつ横断的に個人情報保護委員会に行わせることを含めて検討を加え、その結果に基づいて所要の措置を講ずるものとする。 政府は、この法律の施行後三年を目途として、個人情報の保護に関する基本方針の策定及び推進その他の個人情報保護委員会の所掌事務について、これを実効的に行うために必要な人的体制の整備、財源の確保その他の措置の状況を勘案し、その改善について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。 政府は、前項に定める事項のほか、この法律の施行後三年を目途として、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。 政府は、附則第一条第六号に掲げる規定の施行後三年を目途として、預金保険法(昭和四十六年法律第三十四号)第二条第一項に規定する金融機関が同条第三項に規定する預金者等から、又は農水産業協同組合貯金保険法(昭和四十八年法律第五十三号)第二条第一項に規定する農水産業協同組合が同条第三項に規定する貯金者等から、適切に個人番号の提供を受ける方策及び第七条の規定による改正後の番号利用法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて、国民の理解を得つつ、所要の措置を講ずるものとする。 政府は、国の行政機関等が保有する個人情報の安全を確保する上でサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)に関する対策の的確な策定及び実施が重要であることに鑑み、国の行政機関等における同法第十三条に規定する基準に基づく対策の策定及び実施に係る体制の整備等について検討を加え、その結果に基づいて所要の措置を講ずるものとする。 政府は、新個人情報保護法の施行の状況、第一項の措置の実施の状況その他の状況を踏まえ、新個人情報保護法第二条第一項に規定する個人情報及び行政機関等保有個人情報の保護に関する規定を集約し、一体的に規定することを含め、個人情報の保護に関する法制の在り方について検討するものとする。
附則(平成二八年五月二七日法律第五一号)
(施行期日)
第一条 この法律は、公布の日から起算して一年六月を超えない範囲内において政令で定める日から施行する。
附則(平成二九年五月二四日法律第三六号)
(施行期日)
第一条 この法律は、公布の日から起算して一月を超えない範囲内において政令で定める日から施行する。
附則(平成三〇年七月二七日法律第八〇号)
(施行期日)
第一条 この法律は、公布の日から起算して三年を超えない範囲内において政令で定める日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
附則(令和元年五月三一日法律第一六号)
(施行期日)
第一条 この法律は、公布の日から起算して九月を超えない範囲内において政令で定める日から施行する。
附則(令和二年六月一二日法律第四四号)
(施行期日)
第一条 この法律は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
(通知等に関する経過措置)
第二条 第一条の規定による改正後の個人情報の保護に関する法律(以下「新個人情報保護法」という。)第二十三条第二項の規定により個人データを第三者に提供しようとする者は、この法律の施行の日(以下「施行日」という。)前においても、個人情報保護委員会規則で定めるところにより、同項第一号、第四号及び第八号に掲げる事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができる。 この場合において、当該通知及び届出は、施行日以後は、同項の規定による通知及び届出とみなす。
第三条 新個人情報保護法第二十三条第五項第三号に規定する個人データの管理について責任を有する者の住所及び法人にあっては、その代表者の氏名に相当する事項について、施行日前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。
(外国にある第三者への提供に係る情報提供等に関する経過措置)
第四条 新個人情報保護法第二十四条第二項の規定は、個人情報取扱事業者が施行日以後に同条第一項の規定により本人の同意を得る場合について適用する。 新個人情報保護法第二十四条第三項の規定は、個人情報取扱事業者が施行日以後に個人データを同項に規定する外国にある第三者に提供した場合について適用する。
(個人関連情報の第三者提供に係る本人の同意等に関する経過措置)
第五条 施行日前になされた本人の個人関連情報の取扱いに関する同意がある場合において、その同意が新個人情報保護法第二十六条の二第一項の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、同項第一号の同意があったものとみなす。 新個人情報保護法第二十六条の二第二項において読み替えて準用する新個人情報保護法第二十四条第三項の規定は、個人関連情報取扱事業者が施行日以後に個人関連情報を同項に規定する外国にある第三者に提供した場合について適用する。
(認定個人情報保護団体の対象事業者に関する経過措置)
第六条 この法律の施行の際現に認定個人情報保護団体の構成員である個人情報取扱事業者等については、施行日において新個人情報保護法第五十一条第一項の同意があったものとみなして、同項の規定を適用する。
(罰則の適用に関する経過措置)
第八条 この法律(附則第一条第二号に掲げる規定にあっては、当該規定)の施行前にした行為に対する罰則の適用については、なお従前の例による。
(政令への委任)
第九条 この附則に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。
(検討)
第十条 政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
附則(令和三年五月一九日法律第三七号)
(施行期日)
第一条 この法律は、令和三年九月一日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
(第五十条の規定の施行に伴う経過措置)
第七条 第五十条の規定の施行の日(以下この条において「第五十条施行日」という。)前に別表第二法人等(第五十条改正後個人情報保護法別表第二に掲げる法人、第五十条改正後個人情報保護法第五十八条第二項の規定により第五十条改正後個人情報保護法第十六条第二項に規定する個人情報取扱事業者、同条第五項に規定する仮名加工情報取扱事業者若しくは同条第七項に規定する個人関連情報取扱事業者とみなされる独立行政法人労働者健康安全機構又は同条第八項に規定する学術研究機関等である同条第二項に規定する個人情報取扱事業者をいう。以下この条において同じ。)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十条改正後個人情報保護法第十七条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第五十条施行日において第五十条改正後個人情報保護法第十八条第一項又は第二項の同意があったものとみなす。 第五十条施行日前に別表第二法人等に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十条改正後個人情報保護法第二十七条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、第五十条施行日において同項の同意があったものとみなす。 第五十条改正後個人情報保護法第二十七条第二項の規定により個人データを第三者に提供しようとする別表第二法人等は、第五十条施行日前においても、個人情報保護委員会規則で定めるところにより、同項各号に掲げる事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができる。 この場合において、当該通知及び届出は、第五十条施行日以後は、同項の規定による通知及び届出とみなす。 第五十条改正後個人情報保護法第二十七条第五項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、第五十条施行日前に、別表第二法人等により本人に通知されているときは、当該通知は、第五十条施行日以後は、同号の規定による通知とみなす。 第五十条施行日前に別表第二法人等に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十条改正後個人情報保護法第二十八条第一項の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、第五十条施行日において同項の同意があったものとみなす。 第五十条改正後個人情報保護法第二十八条第二項の規定は、別表第二法人等が第五十条施行日以後に第五十条改正後個人情報保護法第二十八条第一項の規定により本人の同意を得る場合について適用する。 第五十条改正後個人情報保護法第二十八条第三項の規定は、別表第二法人等が第五十条施行日以後に個人データを同項に規定する外国にある第三者に提供した場合について適用する。 第五十条施行日前に別表第二法人等に対しされた本人の個人関連情報の取扱いに関する同意がある場合において、その同意が第五十条改正後個人情報保護法第三十一条第一項第一号の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、第五十条施行日において同号の同意があったものとみなす。 第五十条改正後個人情報保護法第三十一条第二項において読み替えて準用する第五十条改正後個人情報保護法第二十八条第三項の規定は、別表第二法人等が第五十条施行日以後に個人関連情報を同項に規定する外国にある第三者に提供した場合について適用する。 第五十条施行日前に第五十条改正後個人情報保護法第二条第十一項に規定する行政機関等(第五十条改正後個人情報保護法第五十八条第二項の規定により第五十条改正後個人情報保護法第十六条第二項に規定する個人情報取扱事業者とみなされる独立行政法人労働者健康安全機構を除く。以下この条において「行政機関等」という。)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十条改正後個人情報保護法第六十一条第一項の規定により特定される利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することを認める旨の同意に相当するものであるときは、第五十条施行日において第五十条改正後個人情報保護法第六十九条第二項第一号の同意があったものとみなす。 第五十条施行日前に行政機関等に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十条改正後個人情報保護法第七十一条第一項の規定による保有個人情報の外国にある第三者への提供を認める旨の同意に相当するものであるときは、第五十条施行日において同項の同意があったものとみなす。 第五十条改正後個人情報保護法第七十一条第二項の規定は、行政機関等が第五十条施行日以後に第五十条改正後個人情報保護法第七十一条第一項の規定により本人の同意を得る場合について適用する。 第五十条改正後個人情報保護法第七十一条第三項の規定は、行政機関等が第五十条施行日以後に保有個人情報を同項に規定する外国にある第三者に提供した場合について適用する。 第五十条施行日において現に第五十条改正後個人情報保護法第二条第八項に規定する行政機関が保有している第五十条改正後個人情報保護法第六十条第二項に規定する個人情報ファイルについての第五十条改正後個人情報保護法第七十四条第一項の規定の適用については、同項中「保有しようとする」とあるのは「保有している」と、「あらかじめ」とあるのは「デジタル社会の形成を図るための関係法律の整備に関する法律(令和三年法律第三十七号)第五十条の規定の施行後遅滞なく」とする。
(第五十一条の規定の施行に伴う準備行為)
第八条 国は、第五十一条の規定による改正後の個人情報の保護に関する法律(以下この条、次条及び附則第十条第一項において「第五十一条改正後個人情報保護法」という。)の規定による地方公共団体の機関及び地方独立行政法人の保有する個人情報の適正な取扱いを確保するため、地方公共団体に対して必要な資料の提出を求めることその他の方法により地方公共団体の機関及び地方独立行政法人における第五十一条改正後個人情報保護法の施行のために必要な準備行為の実施状況を把握した上で、必要があると認めるときは、当該準備行為について技術的な助言又は勧告をするものとする。 第五十一条改正後個人情報保護法第百六十七条第一項の規定による届出は、第五十一条の規定の施行の日(次条において「第五十一条施行日」という。)前においても行うことができる。
(第五十一条の規定の施行に伴う経過措置)
第九条 第五十一条施行日前に特定地方独立行政法人等(第五十一条改正後個人情報保護法第五十八条第一項第二号に掲げる者又は同条第二項の規定により第五十一条改正後個人情報保護法第十六条第二項に規定する個人情報取扱事業者、同条第五項に規定する仮名加工情報取扱事業者若しくは同条第七項に規定する個人関連情報取扱事業者とみなされる第五十一条改正後個人情報保護法第五十八条第二項第一号に掲げる者をいう。以下この条において同じ。)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十一条改正後個人情報保護法第十七条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第五十一条施行日において第五十一条改正後個人情報保護法第十八条第一項又は第二項の同意があったものとみなす。 第五十一条施行日前に特定地方独立行政法人等に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十一条改正後個人情報保護法第二十七条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、第五十一条施行日において同項の同意があったものとみなす。 第五十一条改正後個人情報保護法第二十七条第二項の規定により個人データを第三者に提供しようとする特定地方独立行政法人等は、第五十一条施行日前においても、個人情報保護委員会規則で定めるところにより、同項各号に掲げる事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができる。 この場合において、当該通知及び届出は、第五十一条施行日以後は、同項の規定による通知及び届出とみなす。 第五十一条改正後個人情報保護法第二十七条第五項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、第五十一条施行日前に、特定地方独立行政法人等により本人に通知されているときは、当該通知は、第五十一条施行日以後は、同号の規定による通知とみなす。 第五十一条施行日前に特定地方独立行政法人等に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十一条改正後個人情報保護法第二十八条第一項の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、第五十一条施行日において同項の同意があったものとみなす。 第五十一条改正後個人情報保護法第二十八条第二項の規定は、特定地方独立行政法人等が第五十一条施行日以後に第五十一条改正後個人情報保護法第二十八条第一項の規定により本人の同意を得る場合について適用する。 第五十一条改正後個人情報保護法第二十八条第三項の規定は、特定地方独立行政法人等が第五十一条施行日以後に個人データを同項に規定する外国にある第三者に提供した場合について適用する。 第五十一条施行日前に特定地方独立行政法人等に対しされた本人の個人関連情報の取扱いに関する同意がある場合において、その同意が第五十一条改正後個人情報保護法第三十一条第一項第一号の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、第五十一条施行日において同号の同意があったものとみなす。 第五十一条改正後個人情報保護法第三十一条第二項において読み替えて準用する第五十一条改正後個人情報保護法第二十八条第三項の規定は、特定地方独立行政法人等が第五十一条施行日以後に個人関連情報を同項に規定する外国にある第三者に提供した場合について適用する。 第五十一条施行日前に第五十一条改正後個人情報保護法第二条第十一項第二号又は第四号に掲げる者(第五十一条改正後個人情報保護法第五十八条第二項の規定により第五十一条改正後個人情報保護法第十六条第二項に規定する個人情報取扱事業者とみなされる第五十一条改正後個人情報保護法第五十八条第二項第一号に掲げる者を除く。以下この条において同じ。)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十一条改正後個人情報保護法第六十一条第一項の規定により特定される利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することを認める旨の同意に相当するものであるときは、第五十一条施行日において第五十一条改正後個人情報保護法第六十九条第二項第一号の同意があったものとみなす。 第五十一条施行日前に第五十一条改正後個人情報保護法第二条第十一項第二号又は第四号に掲げる者に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第五十一条改正後個人情報保護法第七十一条第一項の規定による保有個人情報の外国にある第三者への提供を認める旨の同意に相当するものであるときは、第五十一条施行日において同項の同意があったものとみなす。 第五十一条改正後個人情報保護法第七十一条第二項の規定は、第五十一条改正後個人情報保護法第二条第十一項第二号又は第四号に掲げる者が第五十一条施行日以後に第五十一条改正後個人情報保護法第七十一条第一項の規定により本人の同意を得る場合について適用する。 第五十一条改正後個人情報保護法第七十一条第三項の規定は、第五十一条改正後個人情報保護法第二条第十一項第二号又は第四号に掲げる者が第五十一条施行日以後に保有個人情報を第五十一条改正後個人情報保護法第七十一条第三項に規定する外国にある第三者に提供した場合について適用する。
(第五十一条と条例との関係)
第十条 地方公共団体の条例の規定で、第五十一条改正後個人情報保護法で規制する行為を処罰する旨を定めているものの当該行為に係る部分については、第五十一条の規定の施行と同時に、その効力を失うものとする。 前項の規定により条例の規定がその効力を失う場合において、当該地方公共団体が条例で別段の定めをしないときは、その失効前にした違反行為の処罰については、その失効後も、なお従前の例による。
(罰則に関する経過措置)
第七十一条 この法律(附則第一条各号に掲げる規定にあっては、当該規定。以下この条において同じ。)の施行前にした行為及びこの附則の規定によりなお従前の例によることとされる場合におけるこの法律の施行後にした行為に対する罰則の適用については、なお従前の例による。
(政令への委任)
第七十二条 この附則に定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。
(検討)
第七十三条 政府は、行政機関等に係る申請、届出、処分の通知その他の手続において、個人の氏名を平仮名又は片仮名で表記したものを利用して当該個人を識別できるようにするため、個人の氏名を平仮名又は片仮名で表記したものを戸籍の記載事項とすることを含め、この法律の公布後一年以内を目途としてその具体的な方策について検討を加え、その結果に基づいて必要な措置を講ずるものとする。
附則(令和四年五月二五日法律第四八号)
(施行期日)
第一条 この法律は、公布の日から起算して四年を超えない範囲内において政令で定める日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
(政令への委任)
第百二十五条 この附則に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。
附則(令和四年五月二七日法律第五四号)
(施行期日)
第一条 この法律は、公布の日から起算して三月を超えない範囲内において政令で定める日から施行する。
附則(令和四年六月一七日法律第六八号)
この法律は、刑法等一部改正法施行日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。一 第五百九条の規定 公布の日
附則(令和五年五月一九日法律第三二号)
(施行期日)
第一条 この法律は、公布の日から起算して三月を超えない範囲内において政令で定める日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
附則(令和五年六月七日法律第四七号)
(施行期日)
第一条 この法律は、国立健康危機管理研究機構法(令和五年法律第四十六号)の施行の日(以下「施行日」という。)から施行する。 ただし、附則第五条の規定は、公布の日から施行する。
(政令への委任)
第五条 前三条に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。
附則(令和五年一一月二九日法律第七九号)
(施行期日)
第一条 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。 ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
(罰則に関する経過措置)
第六十七条 この法律(附則第一条第三号及び第四号に掲げる規定にあっては、当該規定。以下この条及び次条において同じ。)の施行前にした行為及びこの附則の規定によりなお従前の例によることとされる場合におけるこの法律の施行後にした行為に対する罰則の適用については、なお従前の例による。
(政令への委任)
第六十八条 この附則に規定するもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。
別表第一 (第二条関係)
| 名称 | 根拠法 |
| 沖縄科学技術大学院大学学園 | 沖縄科学技術大学院大学学園法(平成二十一年法律第七十六号) |
| 沖縄振興開発金融公庫 | 沖縄振興開発金融公庫法(昭和四十七年法律第三十一号) |
| 外国人技能実習機構 | 外国人の技能実習の適正な実施及び技能実習生の保護に関する法律(平成二十八年法律第八十九号) |
| 株式会社国際協力銀行 | 株式会社国際協力銀行法(平成二十三年法律第三十九号) |
| 株式会社日本政策金融公庫 | 株式会社日本政策金融公庫法(平成十九年法律第五十七号) |
| 株式会社日本貿易保険 | 貿易保険法(昭和二十五年法律第六十七号) |
| 金融経済教育推進機構 | 金融サービスの提供及び利用環境の整備等に関する法律(平成十二年法律第百一号) |
| 原子力損害賠償・廃炉等支援機構 | 原子力損害賠償・廃炉等支援機構法(平成二十三年法律第九十四号) |
| 国立大学法人 | 国立大学法人法(平成十五年法律第百十二号) |
| 大学共同利用機関法人 | 国立大学法人法 |
| 脱炭素成長型経済構造移行推進機構 | 脱炭素成長型経済構造への円滑な移行の推進に関する法律(令和五年法律第三十二号) |
| 日本銀行 | 日本銀行法(平成九年法律第八十九号) |
| 日本司法支援センター | 総合法律支援法(平成十六年法律第七十四号) |
| 日本私立学校振興・共済事業団 | 日本私立学校振興・共済事業団法(平成九年法律第四十八号) |
| 日本中央競馬会 | 日本中央競馬会法(昭和二十九年法律第二百五号) |
| 日本年金機構 | 日本年金機構法(平成十九年法律第百九号) |
| 農水産業協同組合貯金保険機構 | 農水産業協同組合貯金保険法(昭和四十八年法律第五十三号) |
| 福島国際研究教育機構 | 福島復興再生特別措置法(平成二十四年法律第二十五号) |
| 放送大学学園 | 放送大学学園法(平成十四年法律第百五十六号) |
| 預金保険機構 | 預金保険法(昭和四十六年法律第三十四号) |
別表第二 (第二条、第五十八条関係)
| 名称 | 根拠法 |
| 沖縄科学技術大学院大学学園 | 沖縄科学技術大学院大学学園法 |
| 国立研究開発法人 | 独立行政法人通則法 |
| 国立大学法人 | 国立大学法人法 |
| 大学共同利用機関法人 | 国立大学法人法 |
| 独立行政法人国立病院機構 | 独立行政法人国立病院機構法(平成十四年法律第百九十一号) |
| 独立行政法人地域医療機能推進機構 | 独立行政法人地域医療機能推進機構法(平成十七年法律第七十一号) |
| 福島国際研究教育機構 | 福島復興再生特別措置法 |
| 放送大学学園 | 放送大学学園法 |