個人情報の保護に関する法律

行政機関等は、個人情報を保有するに当たっては、法令（条例を含む。第六十六条第二項第三号 及び第四号、第六十九条第二項第二号 及び第三号 並びに第四節において同じ。）の定める所掌事務 又は業務を遂行するため必要な場合に限り、かつ、その利用目的をできる限り特定しなければならない。

行政機関等は、前項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。

行政機関等は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

行政機関等は、本人から直接書面（電磁的記録を含む。）に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。

行政機関の長（第二条第八項第四号 及び第五号の政令で定める機関にあっては、その機関ごとに政令で定める者をいう。以下この章 及び第百七十四条において同じ。）、地方公共団体の機関、独立行政法人等 及び地方独立行政法人（以下この章 及び次章において「行政機関の長等」という。）は、違法 又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

行政機関の長等は、偽りその他不正の手段により個人情報を取得してはならない。

行政機関の長等は、利用目的の達成に必要な範囲内で、保有個人情報が過去 又は現在の事実と合致するよう努めなければならない。

行政機関の長等は、保有個人情報の漏えい、滅失 又は毀損の防止 その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

前項の規定は、次の各号に掲げる者が当該各号に定める業務を行う場合における個人情報の取扱いについて準用する。

個人情報の取扱いに従事する行政機関等の職員 若しくは職員であった者、前条第二項各号に定める業務に従事している者 若しくは従事していた者 又は行政機関等において個人情報の取扱いに従事している派遣労働者（労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律（昭和六十年法律第八十八号）第二条第二号に規定する派遣労働者をいう。以下この章 及び第百七十六条において同じ。）若しくは従事していた派遣労働者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

行政機関の長等は、保有個人情報の漏えい、滅失、毀損 その他の保有個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

前項に規定する場合には、行政機関の長等は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。

ただし、次の各号のいずれかに該当するときは、この限りでない。

行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。

前項の規定にかかわらず、行政機関の長等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。

ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人 又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。

前項の規定は、保有個人情報の利用 又は提供を制限する他の法令の規定の適用を妨げるものではない。

行政機関の長等は、個人の権利利益を保護するため特に必要があると認めるときは、保有個人情報の利用目的以外の目的のための行政機関等の内部における利用を特定の部局 若しくは機関 又は職員に限るものとする。

行政機関の長等は、利用目的のために又は前条第二項第三号 若しくは第四号の規定に基づき、保有個人情報を提供する場合において、必要があると認めるときは、保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的 若しくは方法の制限 その他必要な制限を付し、又はその漏えいの防止 その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。

行政機関の長等は、外国（本邦の域外にある国 又は地域をいう。以下この条において同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。）にある第三者（第十六条第三項に規定する個人データの取扱いについて前章第二節の規定により同条第二項に規定する個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項 及び次項において同じ。）に利用目的以外の目的のために保有個人情報を提供する場合には、法令に基づく場合 及び第六十九条第二項第四号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。

行政機関の長等は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置 その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

行政機関の長等は、保有個人情報を外国にある第三者（第一項に規定する体制を整備している者に限る。）に利用目的以外の目的のために提供した場合には、法令に基づく場合 及び第六十九条第二項第四号に掲げる場合を除くほか、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

行政機関の長等は、第三者に個人関連情報を提供する場合（当該第三者が当該個人関連情報を個人情報として取得することが想定される場合に限る。）において、必要があると認めるときは、当該第三者に対し、提供に係る個人関連情報について、その利用の目的 若しくは方法の制限 その他必要な制限を付し、又はその漏えいの防止 その他の個人関連情報の適切な管理のために必要な措置を講ずることを求めるものとする。

行政機関の長等は、法令に基づく場合を除くほか、仮名加工情報（個人情報であるものを除く。以下この条 及び第百二十八条において同じ。）を第三者（当該仮名加工情報の取扱いの委託を受けた者を除く。）に提供してはならない。

行政機関の長等は、その取り扱う仮名加工情報の漏えいの防止 その他仮名加工情報の安全管理のために必要かつ適切な措置を講じなければならない。

行政機関の長等は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、削除情報等（仮名加工情報の作成に用いられた個人情報から削除された記述等 及び個人識別符号 並びに第四十一条第一項の規定により行われた加工の方法に関する情報をいう。）を取得し、又は当該仮名加工情報を他の情報と照合してはならない。

行政機関の長等は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、電話をかけ、郵便 若しくは民間事業者による信書の送達に関する法律第二条第六項に規定する一般信書便事業者 若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置 若しくは電磁的方法（電子情報処理組織を使用する方法 その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。）を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先 その他の情報を利用してはならない。

前各項の規定は、行政機関の長等から仮名加工情報の取扱いの委託（二以上の段階にわたる委託を含む。）を受けた者が受託した業務を行う場合について準用する。