個人情報の保護に関する法律
平成十五年五月三十日 法律 第五十七号
個人情報の保護に関する法律等の一部を改正する法律
令和二年六月十二日 法律 第四十四号
条項号:
第一条
更新前
更新後
-目次-
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
第一章
総則
(
第一条-第三条
)
第一章
総則
(
第一条-第三条
)
第二章
国及び地方公共団体の責務等
(
第四条-第六条
)
第二章
国及び地方公共団体の責務等
(
第四条-第六条
)
第三章
個人情報の保護に関する施策等
第三章
個人情報の保護に関する施策等
第一節
個人情報の保護に関する基本方針
(
第七条
)
第一節
個人情報の保護に関する基本方針
(
第七条
)
第二節
国の施策
(
第八条-第十条
)
第二節
国の施策
(
第八条-第十条
)
第三節
地方公共団体の施策
(
第十一条-第十三条
)
第三節
地方公共団体の施策
(
第十一条-第十三条
)
第四節
国及び地方公共団体の協力
(
第十四条
)
第四節
国及び地方公共団体の協力
(
第十四条
)
第四章
個人情報取扱事業者の義務等
第四章
個人情報取扱事業者の義務等
第一節
個人情報取扱事業者
の義務
(
第十五条-第三十五条
)
第一節
個人情報取扱事業者等
の義務
(
第十五条-第三十五条
)
★新設★
第二節
仮名加工情報取扱事業者等の義務
(
第三十五条の二・第三十五条の三
)
第二節
匿名加工情報取扱事業者等の義務
(
第三十六条-第三十九条
)
第三節
匿名加工情報取扱事業者等の義務
(
第三十六条-第三十九条
)
第三節
監督
(
第四十条-第四十六条
)
第四節
監督
(
第四十条-第四十六条
)
第四節
民間団体による個人情報の保護の推進
(
第四十七条-第五十八条
)
第五節
民間団体による個人情報の保護の推進
(
第四十七条-第五十八条
)
★新設★
第六節
送達
(
第五十八条の二-第五十八条の五
)
第五章
個人情報保護委員会
(
第五十九条-第七十四条
)
第五章
個人情報保護委員会
(
第五十九条-第七十四条
)
第六章
雑則
(
第七十五条-第八十一条
)
第六章
雑則
(
第七十五条-第八十一条
)
第七章
罰則
(
第八十二条-第八十八条
)
第七章
罰則
(
第八十二条-第八十八条
)
-本則-
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(定義)
(定義)
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一
当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項
★挿入★
において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
一
当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項
及び第二十八条第一項
において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二
個人識別符号が含まれるもの
二
個人識別符号が含まれるもの
2
この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
2
この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一
特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
一
特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二
個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
二
個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
3
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
4
この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
4
この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一
特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
一
特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二
前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
二
前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
5
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
5
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一
国の機関
一
国の機関
二
地方公共団体
二
地方公共団体
三
独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
三
独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四
地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
四
地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
6
この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
6
この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
7
この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの
又は一年以内の政令で定める期間以内に消去することとなるもの
以外のものをいう。
7
この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの
★削除★
以外のものをいう。
8
この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
8
この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
★新設★
9
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一
第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二
第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
★新設★
10
この法律において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十五条の二第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。
★11に移動しました★
★旧9から移動しました★
9
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
11
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一
第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
一
第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二
第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二
第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
★12に移動しました★
★旧10から移動しました★
10
この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十六条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。
12
この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十六条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。
(平一五法一一九・平二七法六五・一部改正)
(平一五法一一九・平二七法六五・令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
第七条
政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
第七条
政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
2
基本方針は、次に掲げる事項について定めるものとする。
2
基本方針は、次に掲げる事項について定めるものとする。
一
個人情報の保護に関する施策の推進に関する基本的な方向
一
個人情報の保護に関する施策の推進に関する基本的な方向
二
国が講ずべき個人情報の保護のための措置に関する事項
二
国が講ずべき個人情報の保護のための措置に関する事項
三
地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
三
地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
四
独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
四
独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
五
地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
五
地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
六
個人情報取扱事業者
及び
匿名加工情報取扱事業者並びに第五十条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項
六
個人情報取扱事業者
、仮名加工情報取扱事業者及び
匿名加工情報取扱事業者並びに第五十条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項
七
個人情報の取扱いに関する苦情の円滑な処理に関する事項
七
個人情報の取扱いに関する苦情の円滑な処理に関する事項
八
その他個人情報の保護に関する施策の推進に関する重要事項
八
その他個人情報の保護に関する施策の推進に関する重要事項
3
内閣総理大臣は、個人情報保護委員会が作成した基本方針の案について閣議の決定を求めなければならない。
3
内閣総理大臣は、個人情報保護委員会が作成した基本方針の案について閣議の決定を求めなければならない。
4
内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
4
内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
5
前二項の規定は、基本方針の変更について準用する。
5
前二項の規定は、基本方針の変更について準用する。
(平一五法一一九・平二一法四九・平二七法六五・一部改正)
(平一五法一一九・平二一法四九・平二七法六五・令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(不適正な利用の禁止)
第十六条の二
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(安全管理措置)
(安全管理措置)
第二十条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は
き損
の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第二十条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は
毀損
の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(漏えい等の報告等)
第二十二条の二
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
2
前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(第三者提供の制限)
(第三者提供の制限)
第二十三条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
第二十三条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一
法令に基づく場合
一
法令に基づく場合
二
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
二
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
三
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2
個人情報取扱事業者は、第三者に提供される個人データ
(要配慮個人情報を除く。以下この項において同じ。)
について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
★挿入★
2
個人情報取扱事業者は、第三者に提供される個人データ
★削除★
について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
ただし、第三者に提供される個人データが要配慮個人情報又は第十七条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
★新設★
一
第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第二十六条第一項第一号及び第二十七条第一項第一号において同じ。)の氏名
★二に移動しました★
★旧一から移動しました★
一
第三者への提供を利用目的とすること。
二
第三者への提供を利用目的とすること。
★三に移動しました★
★旧二から移動しました★
二
第三者に提供される個人データの項目
三
第三者に提供される個人データの項目
★新設★
四
第三者に提供される個人データの取得の方法
★五に移動しました★
★旧三から移動しました★
三
第三者への提供の方法
五
第三者への提供の方法
★六に移動しました★
★旧四から移動しました★
四
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
六
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
★七に移動しました★
★旧五から移動しました★
五
本人の求めを受け付ける方法
七
本人の求めを受け付ける方法
★新設★
八
その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
3
個人情報取扱事業者は、
前項第二号、第三号又は第五号
に掲げる事項を
変更する場合は、変更する内容
について、個人情報保護委員会規則で定めるところにより
、あらかじめ
、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
3
個人情報取扱事業者は、
前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号
に掲げる事項を
変更しようとするときはあらかじめ、その旨
について、個人情報保護委員会規則で定めるところにより
★削除★
、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4
個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
4
個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
5
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
5
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
一
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二
合併その他の事由による事業の承継に伴って個人データが提供される場合
二
合併その他の事由による事業の承継に伴って個人データが提供される場合
三
特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的
及び
当該個人データの管理について責任を有する者の氏名又は名称
★挿入★
について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
三
特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的
並びに
当該個人データの管理について責任を有する者の氏名又は名称
及び住所並びに法人にあっては、その代表者の氏名
について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6
個人情報取扱事業者は、前項第三号に規定する
利用する者の利用目的又は
個人データの管理について責任を有する者の氏名
若しくは名称を変更する場合は、変更する内容について、あらかじめ
、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
6
個人情報取扱事業者は、前項第三号に規定する
★削除★
個人データの管理について責任を有する者の氏名
、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について
、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(平二七法六五・一部改正)
(平二七法六五・令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(外国にある第三者への提供の制限)
(外国にある第三者への提供の制限)
第二十四条
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条
★挿入★
において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置
★挿入★
を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している
者を除く。以下この条
において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
第二十四条
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条
及び第二十六条の二第一項第二号
において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置
(第三項において「相当措置」という。)
を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している
者を除く。以下この項及び次項並びに同号
において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
★新設★
2
個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
★新設★
3
個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
(平二七法六五・追加)
(平二七法六五・追加、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(第三者提供に係る記録の作成等)
(第三者提供に係る記録の作成等)
第二十五条
個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条
★挿入★
において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(
前条
の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。
第二十五条
個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条
(第二十六条の二第三項において読み替えて準用する場合を含む。)
において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(
前条第一項
の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。
2
個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
2
個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(平二七法六五・追加)
(平二七法六五・追加、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(第三者提供を受ける際の確認等)
(第三者提供を受ける際の確認等)
第二十六条
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
第二十六条
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一
当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者
(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)
の氏名
一
当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者
★削除★
の氏名
二
当該第三者による当該個人データの取得の経緯
二
当該第三者による当該個人データの取得の経緯
2
前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
2
前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
3
個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
3
個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4
個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
4
個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(平二七法六五・追加)
(平二七法六五・追加、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(個人関連情報の第三者提供の制限等)
第二十六条の二
個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一
当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二
外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2
第二十四条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3
前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(保有個人データに関する事項の公表等)
(保有個人データに関する事項の公表等)
第二十七条
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
第二十七条
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一
当該個人情報取扱事業者の氏名又は名称
★挿入★
一
当該個人情報取扱事業者の氏名又は名称
及び住所並びに法人にあっては、その代表者の氏名
二
全ての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
二
全ての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
三
次項の規定による求め又は次条第一項
★挿入★
、第二十九条第一項若しくは第三十条第一項
若しくは第三項
の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
三
次項の規定による求め又は次条第一項
(同条第五項において準用する場合を含む。)
、第二十九条第一項若しくは第三十条第一項
、第三項若しくは第五項
の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四
前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
四
前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
2
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一
前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
一
前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二
第十八条第四項第一号から第三号までに該当する場合
二
第十八条第四項第一号から第三号までに該当する場合
3
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(平二七法六五・一部改正・旧第二四条繰下)
(平二七法六五・一部改正・旧第二四条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(開示)
(開示)
第二十八条
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの
開示
を請求することができる。
第二十八条
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの
電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示
を請求することができる。
2
個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、
政令で定める方法
により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
2
個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、
同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)
により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
一
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二
当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
二
当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三
他の法令に違反することとなる場合
三
他の法令に違反することとなる場合
3
個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの
全部又は
一部について開示しない旨の決定をした
とき又は
当該保有個人データが存在しない
ときは
、本人に対し、遅滞なく、その旨を通知しなければならない。
3
個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの
全部若しくは
一部について開示しない旨の決定をした
とき、
当該保有個人データが存在しない
とき、又は同項の規定により本人が請求した方法による開示が困難であるときは
、本人に対し、遅滞なく、その旨を通知しなければならない。
4
他の法令の規定により、本人に対し第二項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第一項及び第二項の規定は、適用しない。
4
他の法令の規定により、本人に対し第二項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第一項及び第二項の規定は、適用しない。
★新設★
5
第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十五条第一項及び第二十六条第三項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第三十二条第二項において「第三者提供記録」という。)について準用する。
(平二七法六五・一部改正・旧第二五条繰下)
(平二七法六五・一部改正・旧第二五条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(利用停止等)
(利用停止等)
第三十条
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条
★挿入★
の規定に違反して取り扱われている
とき又は
第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
第三十条
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条
若しくは第十六条の二
の規定に違反して取り扱われている
とき、又は
第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十三条第一項又は第二十四条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
3
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十三条第一項又は第二十四条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
4
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
4
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
★新設★
5
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十二条の二第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
★新設★
6
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
★7に移動しました★
★旧5から移動しました★
5
個人情報取扱事業者は、第一項
★挿入★
の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項
★挿入★
の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
7
個人情報取扱事業者は、第一項
若しくは第五項
の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項
若しくは第五項
の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(平二七法六五・一部改正・旧第二七条繰下)
(平二七法六五・一部改正・旧第二七条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(理由の説明)
(理由の説明)
第三十一条
個人情報取扱事業者は、第二十七条第三項、第二十八条第三項
★挿入★
、第二十九条第三項又は
前条第五項
の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する
場合は
、本人に対し、その理由を説明するよう努めなければならない。
第三十一条
個人情報取扱事業者は、第二十七条第三項、第二十八条第三項
(同条第五項において準用する場合を含む。)
、第二十九条第三項又は
前条第七項
の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する
場合には
、本人に対し、その理由を説明するよう努めなければならない。
(平二七法六五・一部改正・旧第二八条繰下)
(平二七法六五・一部改正・旧第二八条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(開示等の請求等に応じる手続)
(開示等の請求等に応じる手続)
第三十二条
個人情報取扱事業者は、第二十七条第二項の規定による求め又は第二十八条第一項
★挿入★
、第二十九条第一項若しくは第三十条第一項
若しくは第三項
の規定による請求(以下この条及び第五十三条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
第三十二条
個人情報取扱事業者は、第二十七条第二項の規定による求め又は第二十八条第一項
(同条第五項において準用する場合を含む。次条第一項及び第三十四条において同じ。)
、第二十九条第一項若しくは第三十条第一項
、第三項若しくは第五項
の規定による請求(以下この条及び第五十三条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
2
個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ
を特定する
に足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ
の特定
に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
2
個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ
又は第三者提供記録を特定する
に足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ
又は当該第三者提供記録の特定
に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3
開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
3
開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
4
個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
4
個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(平二七法六五・一部改正・旧第二九条繰下)
(平二七法六五・一部改正・旧第二九条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(事前の請求)
(事前の請求)
第三十四条
本人は、第二十八条第一項、第二十九条第一項又は第三十条第一項
若しくは第三項
の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
第三十四条
本人は、第二十八条第一項、第二十九条第一項又は第三十条第一項
、第三項若しくは第五項
の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
2
前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。
2
前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。
3
前二項の規定は、第二十八条第一項、第二十九条第一項又は第三十条第一項
若しくは第三項
の規定による請求に係る仮処分命令の申立てについて準用する。
3
前二項の規定は、第二十八条第一項、第二十九条第一項又は第三十条第一項
、第三項若しくは第五項
の規定による請求に係る仮処分命令の申立てについて準用する。
(平二七法六五・追加)
(平二七法六五・追加、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(仮名加工情報の作成等)
第三十五条の二
個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
2
個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第三項において読み替えて準用する第七項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
3
仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十六条の規定にかかわらず、法令に基づく場合を除くほか、第十五条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
4
仮名加工情報についての第十八条の規定の適用については、同条第一項及び第三項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第四項第一号から第三号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
5
仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第十九条の規定は、適用しない。
6
仮名加工情報取扱事業者は、第二十三条第一項及び第二項並びに第二十四条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第二十三条第五項中「前各項」とあるのは「第三十五条の二第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十五条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」とあり、及び第二十六条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか」とあるのは「法令に基づく場合又は第二十三条第五項各号のいずれか」とする。
7
仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
8
仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
9
仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十五条第二項、第二十二条の二及び第二十七条から第三十四条までの規定は、適用しない。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(仮名加工情報の第三者提供の制限等)
第三十五条の三
仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第三項において同じ。)を第三者に提供してはならない。
2
第二十三条第五項及び第六項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第五項中「前各項」とあるのは「第三十五条の三第一項」と、同項第一号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
3
第二十条から第二十二条まで、第三十五条並びに前条第七項及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第二十条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(報告及び立入検査)
(報告及び立入検査)
第四十条
個人情報保護委員会は、
前二節
及びこの節の規定の施行に必要な限度において、個人情報取扱事業者
★挿入★
又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)
に対し、個人情報
又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等
の事務所
その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
第四十条
個人情報保護委員会は、
前三節
及びこの節の規定の施行に必要な限度において、個人情報取扱事業者
、個人関連情報取扱事業者、仮名加工情報取扱事業者
又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)
その他の関係者に対し、個人情報、個人関連情報、仮名加工情報
又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等
その他の関係者の事務所
その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
2
前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。
2
前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。
3
第一項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。
3
第一項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。
(平二七法六五・一部改正・旧第三二条繰下)
(平二七法六五・一部改正・旧第三二条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(指導及び助言)
(指導及び助言)
第四十一条
個人情報保護委員会は、
前二節
の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。
第四十一条
個人情報保護委員会は、
前三節
の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。
(平二七法六五・一部改正・旧第三三条繰下)
(平二七法六五・一部改正・旧第三三条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(勧告及び命令)
(勧告及び命令)
第四十二条
個人情報保護委員会は、個人情報取扱事業者が第十六条から
第十八条まで
、第二十条から
第二十二条
まで、第二十三条(
第四項を除く
。)、第二十四条、
第二十五条
、第二十六条(
第二項を除く
。)、第二十七条、第二十八条(第一項
★挿入★
を除く。)、第二十九条第二項若しくは第三項、
第三十条第二項、第四項若しくは第五項、第三十三条第二項
若しくは第三十六条(第六項を除く。)の規定に違反した
場合又は
匿名加工情報取扱事業者が第三十七条若しくは第三十八条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
第四十二条
個人情報保護委員会は、個人情報取扱事業者が第十六条から
第十七条まで、第十八条(第一項、第三項及び第四項の規定を第三十五条の二第四項の規定により読み替えて適用する場合を含む。)
、第二十条から
第二十二条の二
まで、第二十三条(
第四項を除き、第五項及び第六項の規定を第三十五条の二第六項の規定により読み替えて適用する場合を含む
。)、第二十四条、
第二十五条(第一項ただし書の規定を第三十五条の二第六項の規定により読み替えて適用する場合を含む。)
、第二十六条(
第二項を除き、第一項ただし書の規定を第三十五条の二第六項の規定により読み替えて適用する場合を含む
。)、第二十七条、第二十八条(第一項
(第五項において準用する場合を含む。)
を除く。)、第二十九条第二項若しくは第三項、
第三十条(第一項、第三項及び第五項を除く。)、第三十三条第二項、第三十五条の二(第四項及び第五項を除く。)
若しくは第三十六条(第六項を除く。)の規定に違反した
場合、個人関連情報取扱事業者が第二十六条の二第一項若しくは同条第二項において読み替えて準用する第二十四条第三項若しくは第二十六条の二第三項において読み替えて準用する第二十六条第三項若しくは第四項の規定に違反した場合、仮名加工情報取扱事業者が第三十五条の三第一項若しくは同条第二項において読み替えて準用する第二十三条第五項若しくは第六項若しくは第三十五条の三第三項において読み替えて準用する第二十条から第二十二条まで若しくは第三十五条の二第七項若しくは第八項の規定に違反した場合又は
匿名加工情報取扱事業者が第三十七条若しくは第三十八条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2
個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
2
個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
3
個人情報保護委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条
、第十七条
、第二十条から
第二十二条
まで、第二十三条第一項、
第二十四条
若しくは第三十六条第一項、第二項若しくは第五項の規定に違反した
場合又は
匿名加工情報取扱事業者が第三十八条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
3
個人情報保護委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条
から第十七条まで
、第二十条から
第二十二条の二
まで、第二十三条第一項、
第二十四条第一項若しくは第三項、第三十五条の二第一項から第三項まで若しくは第六項から第八項まで
若しくは第三十六条第一項、第二項若しくは第五項の規定に違反した
場合、個人関連情報取扱事業者が第二十六条の二第一項若しくは同条第二項において読み替えて準用する第二十四条第三項の規定に違反した場合、仮名加工情報取扱事業者が第三十五条の三第一項若しくは同条第三項において読み替えて準用する第二十条から第二十二条まで若しくは第三十五条の二第七項若しくは第八項の規定に違反した場合又は
匿名加工情報取扱事業者が第三十八条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
★新設★
4
個人情報保護委員会は、前二項の規定による命令をした場合において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができる。
(平二七法六五・一部改正・旧第三四条繰下)
(平二七法六五・一部改正・旧第三四条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(権限の委任)
(権限の委任)
第四十四条
個人情報保護委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、
第四十二条
の規定による勧告又は
★挿入★
命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、
第四十条第一項
の規定による権限を事業所管大臣に委任することができる。
第四十四条
個人情報保護委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、
第四十二条第一項
の規定による勧告又は
同条第二項若しくは第三項の規定による
命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、
第二十二条の二第一項、第四十条第一項、第五十八条の三において読み替えて準用する民事訴訟法(平成八年法律第百九号)第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条、第五十八条の四並びに第五十八条の五
の規定による権限を事業所管大臣に委任することができる。
2
事業所管大臣は、前項の規定により委任された権限を行使したときは、政令で定めるところにより、その結果について個人情報保護委員会に報告するものとする。
2
事業所管大臣は、前項の規定により委任された権限を行使したときは、政令で定めるところにより、その結果について個人情報保護委員会に報告するものとする。
3
事業所管大臣は、政令で定めるところにより、第一項の規定により委任された権限及び前項の規定による権限について、その全部又は一部を内閣府設置法(平成十一年法律第八十九号)第四十三条の地方支分部局その他の政令で定める部局又は機関の長に委任することができる。
3
事業所管大臣は、政令で定めるところにより、第一項の規定により委任された権限及び前項の規定による権限について、その全部又は一部を内閣府設置法(平成十一年法律第八十九号)第四十三条の地方支分部局その他の政令で定める部局又は機関の長に委任することができる。
4
内閣総理大臣は、第一項の規定により委任された権限及び第二項の規定による権限(金融庁の所掌に係るものに限り、政令で定めるものを除く。)を金融庁長官に委任する。
4
内閣総理大臣は、第一項の規定により委任された権限及び第二項の規定による権限(金融庁の所掌に係るものに限り、政令で定めるものを除く。)を金融庁長官に委任する。
5
金融庁長官は、政令で定めるところにより、前項の規定により委任された権限について、その一部を証券取引等監視委員会に委任することができる。
5
金融庁長官は、政令で定めるところにより、前項の規定により委任された権限について、その一部を証券取引等監視委員会に委任することができる。
6
金融庁長官は、政令で定めるところにより、第四項の規定により委任された権限(前項の規定により証券取引等監視委員会に委任されたものを除く。)の一部を財務局長又は財務支局長に委任することができる。
6
金融庁長官は、政令で定めるところにより、第四項の規定により委任された権限(前項の規定により証券取引等監視委員会に委任されたものを除く。)の一部を財務局長又は財務支局長に委任することができる。
7
証券取引等監視委員会は、政令で定めるところにより、第五項の規定により委任された権限の一部を財務局長又は財務支局長に委任することができる。
7
証券取引等監視委員会は、政令で定めるところにより、第五項の規定により委任された権限の一部を財務局長又は財務支局長に委任することができる。
8
前項の規定により財務局長又は財務支局長に委任された権限に係る事務に関しては、証券取引等監視委員会が財務局長又は財務支局長を指揮監督する。
8
前項の規定により財務局長又は財務支局長に委任された権限に係る事務に関しては、証券取引等監視委員会が財務局長又は財務支局長を指揮監督する。
9
第五項の場合において、証券取引等監視委員会が行う報告又は資料の提出の要求(第七項の規定により財務局長又は財務支局長が行う場合を含む。)についての審査請求は、証券取引等監視委員会に対してのみ行うことができる。
9
第五項の場合において、証券取引等監視委員会が行う報告又は資料の提出の要求(第七項の規定により財務局長又は財務支局長が行う場合を含む。)についての審査請求は、証券取引等監視委員会に対してのみ行うことができる。
(平二七法六五・追加)
(平二七法六五・追加、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(事業所管大臣の請求)
(事業所管大臣の請求)
第四十五条
事業所管大臣は、個人情報取扱事業者等に
前二節
の規定に違反する行為があると認めるときその他個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは、個人情報保護委員会に対し、この法律の規定に従い適当な措置をとるべきことを求めることができる。
第四十五条
事業所管大臣は、個人情報取扱事業者等に
前三節
の規定に違反する行為があると認めるときその他個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは、個人情報保護委員会に対し、この法律の規定に従い適当な措置をとるべきことを求めることができる。
(平二七法六五・追加)
(平二七法六五・追加、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(認定)
(認定)
第四十七条
個人情報取扱事業者等の個人情報等
の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
第四十七条
個人情報取扱事業者等(個人関連情報取扱事業者を除く。以下この節において同じ。)の個人情報等(個人関連情報を除く。以下この節において同じ。)
の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一
業務の対象となる個人情報取扱事業者等(以下「対象事業者」という。)の個人情報等の取扱いに関する第五十二条の規定による苦情の処理
一
業務の対象となる個人情報取扱事業者等(以下「対象事業者」という。)の個人情報等の取扱いに関する第五十二条の規定による苦情の処理
二
個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
二
個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三
前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
三
前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
★新設★
2
前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。
★3に移動しました★
★旧2から移動しました★
2
前項
の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
3
第一項
の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
★4に移動しました★
★旧3から移動しました★
3
個人情報保護委員会は、第一項の認定をしたときは、その旨
★挿入★
を公示しなければならない。
4
個人情報保護委員会は、第一項の認定をしたときは、その旨
(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)
を公示しなければならない。
(平二七法六五・一部改正・旧第三七条繰下)
(平二七法六五・一部改正・旧第三七条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(変更の認定等)
第四十九条の二
第四十七条第一項の認定(同条第二項の規定により業務の範囲を限定する認定を含む。次条第一項及び第五十八条第一項第五号において同じ。)を受けた者は、その認定に係る業務の範囲を変更しようとするときは、個人情報保護委員会の認定を受けなければならない。ただし、個人情報保護委員会規則で定める軽微な変更については、この限りでない。
2
第四十七条第三項及び第四項並びに前条の規定は、前項の変更の認定について準用する。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(廃止の届出)
(廃止の届出)
第五十条
第四十七条第一項の
認定を
受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。
第五十条
第四十七条第一項の
認定(前条第一項の変更の認定を含む。)を
受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。
2
個人情報保護委員会は、前項の規定による届出があったときは、その旨を公示しなければならない。
2
個人情報保護委員会は、前項の規定による届出があったときは、その旨を公示しなければならない。
(平二七法六五・一部改正・旧第四〇条繰下)
(平二七法六五・一部改正・旧第四〇条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(対象事業者)
(対象事業者)
第五十一条
認定個人情報保護団体は、
当該認定個人情報保護団体の構成員である個人情報取扱事業者等又は
認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。
★挿入★
第五十一条
認定個人情報保護団体は、
★削除★
認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。
この場合において、第五十三条第四項の規定による措置をとったにもかかわらず、対象事業者が同条第一項に規定する個人情報保護指針を遵守しないときは、当該対象事業者を認定業務の対象から除外することができる。
2
認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
2
認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
(平二七法六五・一部改正・旧第四一条繰下)
(平二七法六五・一部改正・旧第四一条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(個人情報保護指針)
(個人情報保護指針)
第五十三条
認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は
★挿入★
匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。
第五十三条
認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は
仮名加工情報若しくは
匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。
2
認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。これを変更したときも、同様とする。
2
認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。これを変更したときも、同様とする。
3
個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。
3
個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。
4
認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。
4
認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。
(平二七法六五・一部改正・旧第四三条繰下)
(平二七法六五・一部改正・旧第四三条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(認定の取消し)
(認定の取消し)
第五十八条
個人情報保護委員会は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
第五十八条
個人情報保護委員会は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
一
第四十八条第一号又は第三号に該当するに至ったとき。
一
第四十八条第一号又は第三号に該当するに至ったとき。
二
第四十九条各号のいずれかに適合しなくなったとき。
二
第四十九条各号のいずれかに適合しなくなったとき。
三
第五十四条の規定に違反したとき。
三
第五十四条の規定に違反したとき。
四
前条の命令に従わないとき。
四
前条の命令に従わないとき。
五
不正の手段により第四十七条第一項の認定
★挿入★
を受けたとき。
五
不正の手段により第四十七条第一項の認定
又は第四十九条の二第一項の変更の認定
を受けたとき。
2
個人情報保護委員会は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
2
個人情報保護委員会は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
(平二七法六五・一部改正・旧第四八条繰下)
(平二七法六五・一部改正・旧第四八条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(送達すべき書類)
第五十八条の二
第四十条第一項の規定による報告若しくは資料の提出の要求、第四十二条第一項の規定による勧告若しくは同条第二項若しくは第三項の規定による命令、第五十六条の規定による報告の徴収、第五十七条の規定による命令又は前条第一項の規定による取消しは、個人情報保護委員会規則で定める書類を送達して行う。
2
第四十二条第二項若しくは第三項若しくは第五十七条の規定による命令又は前条第一項の規定による取消しに係る行政手続法(平成五年法律第八十八号)第十五条第一項又は第三十条の通知は、同法第十五条第一項及び第二項又は第三十条の書類を送達して行う。この場合において、同法第十五条第三項(同法第三十一条において読み替えて準用する場合を含む。)の規定は、適用しない。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(送達に関する民事訴訟法の準用)
第五十八条の三
前条の規定による送達については、民事訴訟法第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条の規定を準用する。この場合において、同法第九十九条第一項中「執行官」とあるのは「個人情報保護委員会の職員」と、同法第百八条中「裁判長」とあり、及び同法第百九条中「裁判所」とあるのは「個人情報保護委員会」と読み替えるものとする。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(公示送達)
第五十八条の四
個人情報保護委員会は、次に掲げる場合には、公示送達をすることができる。
一
送達を受けるべき者の住所、居所その他送達をすべき場所が知れない場合
二
外国においてすべき送達について、前条において読み替えて準用する民事訴訟法第百八条の規定によることができず、又はこれによっても送達をすることができないと認めるべき場合
三
前条において読み替えて準用する民事訴訟法第百八条の規定により外国の管轄官庁に嘱託を発した後六月を経過してもその送達を証する書面の送付がない場合
2
公示送達は、送達をすべき書類を送達を受けるべき者にいつでも交付すべき旨を個人情報保護委員会の掲示場に掲示することにより行う。
3
公示送達は、前項の規定による掲示を始めた日から二週間を経過することによって、その効力を生ずる。
4
外国においてすべき送達についてした公示送達にあっては、前項の期間は、六週間とする。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(電子情報処理組織の使用)
第五十八条の五
個人情報保護委員会の職員が、情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)第三条第九号に規定する処分通知等であって第五十八条の二の規定により書類を送達して行うこととしているものに関する事務を、同法第七条第一項の規定により同法第六条第一項に規定する電子情報処理組織を使用して行ったときは、第五十八条の三において読み替えて準用する民事訴訟法第百九条の規定による送達に関する事項を記載した書面の作成及び提出に代えて、当該事項を当該電子情報処理組織を使用して個人情報保護委員会の使用に係る電子計算機(入出力装置を含む。)に備えられたファイルに記録しなければならない。
(令二法四四・追加)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(所掌事務)
(所掌事務)
第六十一条
委員会は、前条の任務を達成するため、次に掲げる事務をつかさどる。
第六十一条
委員会は、前条の任務を達成するため、次に掲げる事務をつかさどる。
一
基本方針の策定及び推進に関すること。
一
基本方針の策定及び推進に関すること。
二
個人情報取扱事業者における個人情報の取扱い
★挿入★
並びに個人情報取扱事業者及び匿名加工情報取扱事業者における匿名加工情報の取扱いに関する監督、行政機関の保有する個人情報の保護に関する法律第二条第一項に規定する行政機関における同条第九項に規定する行政機関非識別加工情報(同条第十項に規定する行政機関非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監視、独立行政法人等における独立行政法人等の保有する個人情報の保護に関する法律第二条第九項に規定する独立行政法人等非識別加工情報(同条第十項に規定する独立行政法人等非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監督並びに個人情報
★挿入★
及び匿名加工情報の取扱いに関する苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること(第四号に掲げるものを除く。)。
二
個人情報取扱事業者における個人情報の取扱い
、個人関連情報取扱事業者における個人関連情報の取扱い、個人情報取扱事業者及び仮名加工情報取扱事業者における仮名加工情報の取扱い
並びに個人情報取扱事業者及び匿名加工情報取扱事業者における匿名加工情報の取扱いに関する監督、行政機関の保有する個人情報の保護に関する法律第二条第一項に規定する行政機関における同条第九項に規定する行政機関非識別加工情報(同条第十項に規定する行政機関非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監視、独立行政法人等における独立行政法人等の保有する個人情報の保護に関する法律第二条第九項に規定する独立行政法人等非識別加工情報(同条第十項に規定する独立行政法人等非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監督並びに個人情報
、仮名加工情報
及び匿名加工情報の取扱いに関する苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること(第四号に掲げるものを除く。)。
三
認定個人情報保護団体に関すること。
三
認定個人情報保護団体に関すること。
四
特定個人情報(番号利用法第二条第八項に規定する特定個人情報をいう。第六十三条第四項において同じ。)の取扱いに関する監視又は監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。
四
特定個人情報(番号利用法第二条第八項に規定する特定個人情報をいう。第六十三条第四項において同じ。)の取扱いに関する監視又は監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。
五
特定個人情報保護評価(番号利用法第二十七条第一項に規定する特定個人情報保護評価をいう。)に関すること。
五
特定個人情報保護評価(番号利用法第二十七条第一項に規定する特定個人情報保護評価をいう。)に関すること。
六
個人情報の保護及び適正かつ効果的な活用についての広報及び啓発に関すること。
六
個人情報の保護及び適正かつ効果的な活用についての広報及び啓発に関すること。
七
前各号に掲げる事務を行うために必要な調査及び研究に関すること。
七
前各号に掲げる事務を行うために必要な調査及び研究に関すること。
八
所掌事務に係る国際協力に関すること。
八
所掌事務に係る国際協力に関すること。
九
前各号に掲げるもののほか、法律(法律に基づく命令を含む。)に基づき委員会に属させられた事務
九
前各号に掲げるもののほか、法律(法律に基づく命令を含む。)に基づき委員会に属させられた事務
(平二七法六五・追加・一部改正・旧第五二条繰下、平二八法五一・一部改正)
(平二七法六五・追加・一部改正・旧第五二条繰下、平二八法五一・令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(適用範囲)
(適用範囲)
第七十五条
第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。
第七十五条
この法律は、個人情報取扱事業者等が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。
(平二七法六五・追加)
(令二法四四・全改)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
(適用除外)
(適用除外)
第七十六条
個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、第四章の規定は、適用しない。
第七十六条
個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、第四章の規定は、適用しない。
一
放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的
一
放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的
二
著述を業として行う者 著述の用に供する目的
二
著述を業として行う者 著述の用に供する目的
三
大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的
三
大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的
四
宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
四
宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
五
政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
五
政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
2
前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
2
前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
3
第一項各号に掲げる個人情報取扱事業者等は、個人データ
又は
匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等
の取扱い
に関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
3
第一項各号に掲げる個人情報取扱事業者等は、個人データ
、仮名加工情報又は
匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等
(個人関連情報を除く。以下この項において同じ。)の取扱い
に関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(平二七法六五・一部改正・旧第五〇条繰下・旧第六六条繰下)
(平二七法六五・一部改正・旧第五〇条繰下・旧第六六条繰下、令二法四四・一部改正)
施行日:令和二年十二月十二日
~令和二年六月十二日法律第四十四号~
第八十四条
第四十二条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。
★削除★
(平二七法六五・一部改正・旧第五六条繰下・旧第七四条繰下)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
★新設★
(国際約束の誠実な履行等)
第七十八条の二
この法律の施行に当たっては、我が国が締結した条約その他の国際約束の誠実な履行を妨げることがないよう留意するとともに、確立された国際法規を遵守しなければならない。
(令二法四四・追加)
施行日:令和二年十二月十二日
~令和二年六月十二日法律第四十四号~
★新設★
第八十三条
第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。
(令二法四四・追加)
施行日:令和二年十二月十二日
~令和二年六月十二日法律第四十四号~
★第八十四条に移動しました★
★旧第八十三条から移動しました★
第八十三条
個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第八十四条
個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
(平二七法六五・追加)
(平二七法六五・追加、令二法四四・旧第八三条繰下)
施行日:令和二年十二月十二日
~令和二年六月十二日法律第四十四号~
第八十五条
次の各号のいずれかに該当する
★挿入★
者は、
三十万円
以下の罰金に処する。
第八十五条
次の各号のいずれかに該当する
場合には、当該違反行為をした
者は、
五十万円
以下の罰金に処する。
一
第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した
者
一
第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した
とき。
二
第五十六条の規定による報告をせず、又は虚偽の報告をした
者
二
第五十六条の規定による報告をせず、又は虚偽の報告をした
とき。
(平二七法六五・一部改正・旧第五七条繰下・旧第七五条繰下)
(平二七法六五・一部改正・旧第五七条繰下・旧第七五条繰下、令二法四四・一部改正)
施行日:令和二年十二月十二日
~令和二年六月十二日法律第四十四号~
第八十六条
第八十二条及び
第八十三条
の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。
第八十六条
第八十二条及び
第八十四条
の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。
(平二七法六五・追加・一部改正・旧第七六条繰下)
(平二七法六五・追加・一部改正・旧第七六条繰下、令二法四四・一部改正)
施行日:令和二年十二月十二日
~令和二年六月十二日法律第四十四号~
第八十七条
法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、
第八十三条から第八十五条までの
違反行為をしたときは、行為者を罰するほか、その法人
又は人に対しても、
各本条の罰金刑を科する。
第八十七条
法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、
次の各号に掲げる
違反行為をしたときは、行為者を罰するほか、その法人
に対して当該各号に定める罰金刑を、その人に対して
各本条の罰金刑を科する。
★新設★
一
第八十三条及び第八十四条 一億円以下の罰金刑
★新設★
二
第八十五条 同条の罰金刑
2
法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
2
法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
(平二七法六五・一部改正・旧第五八条繰下・旧第七七条繰下)
(平二七法六五・一部改正・旧第五八条繰下・旧第七七条繰下、令二法四四・一部改正)
施行日:令和四年四月一日
~令和二年六月十二日法律第四十四号~
第八十八条
次の各号のいずれかに該当する者は、十万円以下の過料に処する。
第八十八条
次の各号のいずれかに該当する者は、十万円以下の過料に処する。
一
第二十六条第二項
又は
第五十五条の規定に違反した者
一
第二十六条第二項
(第二十六条の二第三項において準用する場合を含む。)又は
第五十五条の規定に違反した者
二
第五十条第一項の規定による届出をせず、又は虚偽の届出をした者
二
第五十条第一項の規定による届出をせず、又は虚偽の届出をした者
(平二七法六五・一部改正・旧第五九条繰下・旧第七八条繰下)
(平二七法六五・一部改正・旧第五九条繰下・旧第七八条繰下、令二法四四・一部改正)
-改正附則-
施行日:令和二年十二月十二日
~令和二年六月十二日法律第四十四号~
★新設★
附 則(令和二・六・一二法四四)抄
(施行期日)
第一条
この法律は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。〔令和三年政令第五五号で同四年四月一日から施行〕ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
一
附則第九条から第十一条までの規定 公布の日
二
第一条中個人情報の保護に関する法律第八十四条を削り、同法第八十三条を同法第八十四条とし、同法第八十二条の次に一条を加える改正規定、同法第八十五条の改正規定、同法第八十六条の改正規定及び同法第八十七条の改正規定〔中略〕並びに附則第八条の規定 公布の日から起算して六月を経過した日〔令和二年一二月一二日〕
三
次条〔中略〕の規定 公布の日から起算して一年六月を超えない範囲内において政令で定める日〔令和三年政令第五五号で同年一〇月一日から施行〕
(通知等に関する経過措置)
第二条
第一条の規定による改正後の個人情報の保護に関する法律(以下「新個人情報保護法」という。)第二十三条第二項の規定により個人データを第三者に提供しようとする者は、この法律の施行の日(以下「施行日」という。)前においても、個人情報保護委員会規則で定めるところにより、同項第一号、第四号及び第八号に掲げる事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができる。この場合において、当該通知及び届出は、施行日以後は、同項の規定による通知及び届出とみなす。
第三条
新個人情報保護法第二十三条第五項第三号に規定する個人データの管理について責任を有する者の住所及び法人にあっては、その代表者の氏名に相当する事項について、施行日前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。
(外国にある第三者への提供に係る情報提供等に関する経過措置)
第四条
新個人情報保護法第二十四条第二項の規定は、個人情報取扱事業者が施行日以後に同条第一項の規定により本人の同意を得る場合について適用する。
2
新個人情報保護法第二十四条第三項の規定は、個人情報取扱事業者が施行日以後に個人データを同項に規定する外国にある第三者に提供した場合について適用する。
(個人関連情報の第三者提供に係る本人の同意等に関する経過措置)
第五条
施行日前になされた本人の個人関連情報の取扱いに関する同意がある場合において、その同意が新個人情報保護法第二十六条の二第一項の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、同項第一号の同意があったものとみなす。
2
新個人情報保護法第二十六条の二第二項において読み替えて準用する新個人情報保護法第二十四条第三項の規定は、個人関連情報取扱事業者が施行日以後に個人関連情報を同項に規定する外国にある第三者に提供した場合について適用する。
(認定個人情報保護団体の対象事業者に関する経過措置)
第六条
この法律の施行の際現に認定個人情報保護団体の構成員である個人情報取扱事業者等については、施行日において新個人情報保護法第五十一条第一項の同意があったものとみなして、同項の規定を適用する。
(罰則の適用に関する経過措置)
第八条
この法律(附則第一条第二号に掲げる規定にあっては、当該規定)の施行前にした行為に対する罰則の適用については、なお従前の例による。
(政令への委任)
第九条
この附則に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。
(検討)
第十条
政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。