|
個人情報の保護に関する法律(平成15年法律第57号)
(目次)
第1章 総則(第1条−第3条)
第2章 国及び地方公共団体の責務等(第4条−第6条)
第3章 個人情報の保護に関する施策等
第1節 個人情報の保護に関する基本方針(第7条)
第2節 国の施策(第8条−第10条)
第3節 地方公共団体の施策(第11条−第13条)
第4節 国及び地方公共団体の協力(第14条)
第4章 個人情報取扱事業者の義務等
第1節 個人情報取扱事業者の義務(第15条−第36条)
第2節 民間団体による個人情報の保護の推進(第37条−第49条)
第5章 雑則(第50条−第55条)
第6章 罰則(第56条−第59条)
附則
第1章 総則
(目的)
第1条
この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、
個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護
に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人
情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人
の権利利益を保護することを目的とする。
(定義)
第2条
1 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年
月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、
それにより特定の個人を識別することができることとなるものを含む。)をいう。
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げる
ものをいう。
1.特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
2.前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして
政令で定めるもの
3. この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。
3 ただし、次に掲げる者を除く。
1.国の機関
2.地方公共団体
3.独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項
に規定する独立行政法人等をいう。以下同じ。)
4.地方独立行政法人(地方独立行政法人法(平成15年法律第108号)第2条第1項に規定する地方独立行政法人を
いう。以下同じ。)
5.その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定
める者
4 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
5 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用
の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明ら
かになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間
以内に消去することとなるもの以外のものをいう。
6 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(基本理念)
第3条
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な
取扱いが図られなければならない。
第2章
国及び地方公共団体の責務等
(国の責務)
第4条
国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、
及びこれを実施する責務を有する。
(地方公共団体の責務)
第5条
地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取
扱いを確保するために必要な施策を策定し、及びこれを実 施する責務を有する。
(法制上の措置等)
第6条
1 政府は、国の行政機関について、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案しその
保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。
2 政府は、独立行政法人等について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確
保されるよう法制上の措置その他必要な措置を講ずるものとする。
3 政府は、前2項に定めるもののほか、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護
を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措
置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。
第3章
個人情報の保護に関する施策等
第1節 個人情報の保護に関する基本方針
第7条
1 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本
方針(以下「基本方針」という。)を定めなければならない。
2 基本方針は、次に掲げる事項について定めるものとする。
1. 個人情報の保護に関する施策の推進に関する基本的な方向
2. 国が講ずべき個人情報の保護のための措置に関する事項
3. 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
4. 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
5. 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
6. 個人情報取扱事業者及び第40条第1項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措
置に関する基本的な事項
7. 個人情報の取扱いに関する苦情の円滑な処理に関する事項
8. その他個人情報の保護に関する施策の推進に関する重要事項
3 内閣総理大臣は、国民生活審議会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなければならない。
4 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
5 前2項の規定は、基本方針の変更について準用する。
第2節 国の施策
(地方公共団体等への支援)
第8条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の
適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な
実施を図るための指針の策定その他の必要な措置を講ずるものとする。
(苦情処理のための措置)
第9条 国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措
置を講ずるものとする。
(個人情報の適正な取扱いを確保するための措置)
第10条 国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な
取扱いを確保するために必要な措置を講ずるものとする。
第3節 地方公共団体の施策
(地方公共団体等が保有する個人情報の保護)
第11条
1 地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人
情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
2 地方公共団体は、その設立に係る地方独立行政法人について、その性格及び業務内容に応じ、その保有する個
人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
(区域内の事業者等への支援)
第12条 地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要
な措置を講ずるよう努めなければならない。
(苦情の処理のあっせん等)
第13条 地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が
適切かつ迅速に処理されるよう
にするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。
第4節 国及び地方公共団体の協力
第14条 国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。
第4章 個人情報取扱事業者の義務等
第1節 個人情報取扱事業者の義務 (利用目的の特定)
第15条
1個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をで
きる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に
認められる範囲を超えて行ってはならない。
(利用目的による制限)
第16条
1 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必
要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個
人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に
必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。
1.法令に基づく場合
2.人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3.公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが
困難であるとき。
4.国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する
必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
(取得に際しての利用目的の通知等)
第18条
1 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き速や
かに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の
書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。
以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載さ
れた当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。
ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表
しなければならない。
4 前3項の規定は、次に掲げる場合については、適用しない。
1.利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害
するおそれがある場合
2.利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するお
それがある場合
3.国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって利用
目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
4.取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保)
第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよ
う努めなければならない。
(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管
理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第21条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が
図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人
データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(第三者提供の制限)
第23条
1 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者
に提供してはならない。
1.法令に基づく場合
2.人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3.公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが
困難であるとき。
4.国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する
必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される
個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、
本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データ
を第三者に提供することができる。
1.第三者への提供を利用目的とすること。
2.第三者に提供される個人データの項目
3.第三者への提供の手段又は方法
4.本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3 個人情報取扱事業者は、前項第2号又は第3号に掲げる事項を変更する場合は、変更する内容について、あら
かじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前3項の規定の適用については、第三者に該
当しないものとする。
1.個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する
場合
2.合併その他の事由による事業の承継に伴って個人データが提供される場合
3.個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データ
の項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する
者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 個人情報取扱事業者は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有
する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が
容易に知り得る状態に置かなければならない。
(保有個人データに関する事項の公表等)
第24条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求め
に応じて遅滞なく回答する場合を含む。)に置かなければならない。
1.当該個人情報取扱事業者の氏名又は名称
2.すべての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
3.次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2
項の規定により手数料の額を定めたときは、その手数料の額を含む。)
4.前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの。
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたとき
は本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、こ
の限りでない。
1.前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
2.第18条第4項第1号から第3号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をし
たときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(開示)
第25条
1 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有
個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、
政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することに
より次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
1.本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2.当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3.他の法令に違反することとなる場合
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨
の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保
有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについ
ては同項の規定は、適用しない。
(訂正等)
第26条
1 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によ
って、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められ
た場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目
的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容
の訂正等を行わなければならない。
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について、
訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を
行ったときは、その内容を含む。)を通知しなければならない。
(利用停止等)
第27条
1 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第16条の規定に違反して取り扱わ
れているという理由又は第17条の規定に違反して取得されたものであるという理由によって、当該保有個人デー
タの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求め
に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利
用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他
の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置を
とるときは、この限りでない。
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第23条第1項の規定に違反して、
第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合で
あって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止
しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の
第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき
措置をとるときは、この限りでない。
3 個人情報取扱事業者は、第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停
止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有
個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨
の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(理由の説明)
第28条 個人情報取扱事業者は、第24条第3項、第25条第2項、第26条第2項又は前条第3項の規定により、本人から
求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をと
る旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
(開示等の求めに応じる手続)
第29条
1 個人情報取扱事業者は、第24条第2項、第25条第1項、第26条第1項又は第27条第1項若しくは第2項の規定
による求め(以下この条において「開示等の求め」という。)に関し、政令で定めるところにより、その求めを
受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わな
ければならない。
2 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足り
る事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等
の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適
切な措置をとらなければならない。
3 開示等の求めは、政令で定めるところにより、代理人によってすることができる。
4 個人情報取扱事業者は、前3項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重
な負担を課するものとならないよう配慮しなければならない。
(手数料)
第30条
1 個人情報取扱事業者は、第24条第2項の規定による利用目的の通知又は第25条第1項の規定による開示を求め
られたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められ
る範囲内において、その手数料の額を定めなければならない。
(個人情報取扱事業者による苦情の処理)
第31条
1 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(報告の徴収)
第32条 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関
し報告をさせることができる。
(助言)
第33条 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関
し必要な助言をすることができる。
(勧告及び命令) 第34条
1 主務大臣は、個人情報取扱事業者が第16条から第18条まで、第20条から第27条まで又は
第30条第2項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業業者に
対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2 主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置を
とらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業
者に対し、その勧告に係る措置をとるべきことを命ずることができる。
3 主務大臣は、前2項の規定にかかわらず、個人情報取扱事業者が第16条、第17条、第20条から第22条まで又は
第23条第1項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必
要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必
要な措置をとるべきことを命ずることができる。
(主務大臣の権限の行使の制限)
第35条
1 主務大臣は、前3条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行うに当たって
は、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
2 前項の規定の趣旨に照らし、主務大臣は、個人情報取扱事業者が第50条第1項各号に掲げる者(それぞれ当該
各号に定める目的で個人情報を取り扱う場合に限る。)に対して個人情報を提供する行為については、その権限
を行使しないものとする。
(主務大臣) 第36条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施
のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特
定の大臣又は国家公安委員会(以下「大臣等」という。)を主務大臣に指定することができる。
1.個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の
雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事業を所管する大臣等
2.個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取
扱事業者が行う事業を所管する大臣等
2 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない
3 各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。
第2節 民間団体による個人情報の保護の推進 (認定) 第37条 個人情報取扱事業者の個人情報の適正な取扱いの
確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。
次条第3号ロにおいて同じ。)は、主務大臣の認定を受けることができる。
1.業務の対象となる個人情報取扱事業者(以下「対象事業者」という。)の個人情報の取扱いに関する第42条の規定による苦情の処理
2.個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
3.前2号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務
2 前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。
3 主務大臣は、第1項の認定をしたときは、その旨を公示しなければならない。
(欠格条項) 第38条 次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。
1.この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
2.第48条第1項の規定により認定を取り消され、その取消しの日から2年を経過しない者
3.その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む以下こ
の条において同じ。)のうちに、次のいずれかに該当する者があるもの
イ.禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受け
ることがなくなった日から2年を経過しない者
ロ.第48条第1項の規定により認定を取り消された法人において、その取消しの日前30日以内にその役員であ
った者でその取消しの日から2年を経過しない者
(認定の基準)
第39条 主務大臣は、第37条第1項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その
認定をしてはならない。
1.第37条第1項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の
方法が定められているものであること。
2.第37条第1項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。
3.第37条第1項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲
げる業務が不公正になるおそれがないものであること。
(廃止の届出)
第40条
1 第37条第1項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下
「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を主務大
臣に届け出なければならない。
2 主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。
(対象事業者)
第41条 認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象
となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。
2 認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
(苦情の処理)
第42条
1 認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があっ
たときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業
者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
2 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者
に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
3 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、こ
れを拒んではならない。
(個人情報保護指針)
第43条
1 認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理
のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針(以下「個人
情報保護指針」という。)を作成し、公表するよう努めなければならない。
2 認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人
情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
(目的外利用の禁止)
第44条 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用して
はならない。
(名称の使用制限)
第45条 認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはな
らない。
(報告の徴収) 第46条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告
をさせることができる。
(命令)
第47条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方
法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
(認定の取消し) 第48条 主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
1.第38条第1号又は第3号に該当するに至ったとき。
2.第39条各号のいずれかに適合しなくなったとき。
3.第44条の規定に違反したとき。
4.前条の命令に従わないとき。
5.不正の手段により第37条第1項の認定を受けたとき。
2 主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
(主務大臣)
第49条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施
のため必要があると認める場合は、第37条第1項の認定を受けようとする者のうち特定のものについて、特定の
大臣等を主務大臣に指定することができる。
1.設立について許可又は認可を受けている認定個人情報保護団体(第37条第1項の認定を受けようとする者を含
む。次号において同じ。)については、その設立の許可又は認可をした大臣等
2.前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者が行う事
業を所管する大臣等
2 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない
第5章 雑 則
(適用除外)
第50条 個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそ
れぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。
1.放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)報道の用に供する目的
2.著述を業として行う者 著述の用に供する目的
3.大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者学術研究の用に供する目的
4.宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
5.政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(こ
れに基づいて意見又は見解を述べることを含む。)をいう。
3 第1項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個人情報の
取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ当該
措置の内容を公表するよう努めなければならない。
(地方公共団体が処理する事務)
第51条 この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の
執行機関が行うこととすることができる。
(権限又は事務の委任)
第52条 この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その所属の職員に委任
することができる。
(施行の状況の公表)
第53条 内閣総理大臣は、関係する行政機関(法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の
所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法(平成11年法律第89号)第49条第1項及び第2項に規
定する機関並びに国家行政組織法(昭和23年法律第120号)第3条第2項に規定する機関をいう(次条において同
じ。)の長に対し、この法律の施行の状況について報告を求めることができる。
2 内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。
(連絡及び協力)
第54条 内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協力しなければなら
ない。
(政令への委任)
第55条 この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。
第6章
罰 則
第56条 第34条第2項又は第3項の規定による命令に違反した者は、6月以下の懲役又は30万円以下の罰金に処する
第57条 第32条又は第46条の規定による報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処する
第58条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又
は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前2条の違反行為をし
たときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法
人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
第59条次の各号のいずれかに該当する者は、10万円以下の過料に処する。
1.第40条第1項の規定による届出をせず、又は虚偽の届出をした者
2.第45条の規定に違反した者
附 則
(施行期日)
第1条 この法律は、公布の日から施行する。ただし、第4章から第6章まで及び附則第2条から第6条までの規定は、
公布の日から起算して2年を超えない範囲内において政令で定める日から施行する。
(本人の同意に関する経過措置)
第2条 この法律の施行になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第15条第
1項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するもので
あるときは、第16条第1項又は第2項の同意があったものとみなす。
第3条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第23条第
1項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があ
ったものとみなす。
(通知に関する経過措置)
第4条 第23条第2項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当
する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われ
たものとみなす。
第5条 第23条第4項第3号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項
に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により
行われたものとみなす。
(名称の使用制限に関する経過措置)
第6条 この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている者について
は、第45条の規定は、同条の規定の施行後6月間は、適用しない。
附 則
(平成15年法律第119号)抄
(施行期日)
第1条 この法律は、地方独立行政法人法(平成15年法律第118号)の施行の日から施行する。ただし、次の各号に掲
げる規定は、当該各号に定める日から施行する。
1.第6条の規定 個人情報の保護に関する法律の施行の日又はこの法律の施行の日のいずれか遅い日 (その他の経過措置の政令への委任)
第6条 この附則に規定するもののほか、この法律の施行に伴い必要な経過措置は、政令で定める。
a
b
c
d
|