個人情報の保護に関する法律

# 平成十五年法律第五十七号 #
略称 : 個人情報保護法 

第四章 個人情報取扱事業者等の義務等

分類 法律
カテゴリ   憲法
@ 施行日 : 令和六年四月一日 ( 2024年 4月1日 )
@ 最終更新 : 令和五年法律第七十九号による改正
最終編集日 : 2024年 11月21日 17時33分


第一節 総則

1項

この章 及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く)をいう。

一 号
特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 号

前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

2項

この章 及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。


ただし、次に掲げる者を除く

一 号
国の機関
二 号
地方公共団体
三 号
独立行政法人等
四 号
地方独立行政法人
3項

この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

4項

この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加 又は削除、利用の停止、消去 及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益 その他の利益が害されるものとして政令で定めるもの以外のものをいう。

5項

この章第六章 及び第七章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの その他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十一条第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。


ただし第二項各号に掲げる者を除く

6項

この章第六章 及び第七章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの その他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十三条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。


ただし第二項各号に掲げる者を除く

7項

この章第六章 及び第七章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十一条第一項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。


ただし第二項各号に掲げる者を除く

8項

この章において「学術研究機関等」とは、大学 その他の学術研究を目的とする機関 若しくは団体 又はそれらに属する者をいう。

第二節 個人情報取扱事業者及び個人関連情報取扱事業者の義務

1項

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

2項

個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

1項

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2項

個人情報取扱事業者は、合併 その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3項

前二項の規定は、次に掲げる場合については、適用しない

一 号

法令(条例を含む。以下この章において同じ。)に基づく場合

二 号

人の生命、身体 又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 号

公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 号

国の機関 若しくは地方公共団体 又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

五 号

当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)。

六 号

学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)。

1項

個人情報取扱事業者は、違法 又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

1項

個人情報取扱事業者は、偽り その他不正の手段により個人情報を取得してはならない。

2項

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

一 号
法令に基づく場合
二 号

人の生命、身体 又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 号

公衆衛生の向上 又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 号

国の機関 若しくは地方公共団体 又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

五 号

当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)。

六 号

学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る)。

七 号

当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者 その他個人情報保護委員会規則で定める者により公開されている場合

八 号

その他前各号に掲げる場合に準ずるものとして政令で定める場合

1項

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2項

個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書 その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合 その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。


ただし、人の生命、身体 又は財産の保護のために緊急に必要がある場合は、この限りでない。

3項

個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

4項

前三項の規定は、次に掲げる場合については、適用しない

一 号

利用目的を本人に通知し、又は公表することにより本人 又は第三者の生命、身体、財産 その他の権利利益を害するおそれがある場合

二 号

利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利 又は正当な利益を害するおそれがある場合

三 号

国の機関 又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

四 号
取得の状況からみて利用目的が明らかであると認められる場合
1項

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

1項

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失 又は毀損の防止 その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

1項

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

1項

個人情報取扱事業者は、個人データの取扱いの全部 又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

1項

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損 その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。


ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者 又は行政機関等から当該個人データの取扱いの全部 又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者 又は行政機関等に通知したときは、この限りでない。

2項

前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。


ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

1項

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一 号
法令に基づく場合
二 号

人の生命、身体 又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 号

公衆衛生の向上 又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 号

国の機関 若しくは地方公共団体 又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

五 号

当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表 又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く)。

六 号

当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る)。

七 号

当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)。

2項

個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。


ただし、第三者に提供される個人データが要配慮個人情報 又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部 又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。

一 号

第三者への提供を行う個人情報取扱事業者の氏名 又は名称 及び住所 並びに法人にあっては、その代表者(法人でない団体で代表者 又は管理人の定めのあるものにあっては、その代表者 又は管理人。以下この条第三十条第一項第一号 及び第三十二条第一項第一号において同じ。)の氏名

二 号
第三者への提供を利用目的とすること。
三 号
第三者に提供される個人データの項目
四 号
第三者に提供される個人データの取得の方法
五 号
第三者への提供の方法
六 号
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
七 号
本人の求めを受け付ける方法
八 号

その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

3項

個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで第七号 又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

4項

個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。


前項の規定による届出があったときも、同様とする。

5項

次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

一 号

個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部 又は一部を委託することに伴って当該個人データが提供される場合

二 号
合併 その他の事由による事業の承継に伴って個人データが提供される場合
三 号

特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨 並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的 並びに当該個人データの管理について責任を有する者の氏名 又は名称 及び住所 並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

6項

個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称 若しくは住所 又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的 又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

1項

個人情報取扱事業者は、外国(本邦の域外にある国 又は地域をいう。以下この条 及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条 及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項 及び次項 並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。


この場合においては、同条の規定は、適用しない

2項

個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置 その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

3項

個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

1項

個人情報取扱事業者は、個人データを第三者(第十六条第二項各号に掲げる者を除く。以下この条 及び次条第三十一条第三項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名 又は名称 その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。


ただし、当該個人データの提供が第二十七条第一項各号 又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)に該当する場合は、この限りでない。

2項

個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

1項

個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。


ただし、当該個人データの提供が第二十七条第一項各号 又は第五項各号いずれかに該当する場合は、この限りでない。

一 号

当該第三者の氏名 又は名称 及び住所 並びに法人にあっては、その代表者の氏名

二 号
当該第三者による当該個人データの取得の経緯
2項

前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。

3項

個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項 その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

4項

個人情報取扱事業者は、前項の記録を、当該記録を作成した日か個人情報保護委員会規則で定める期間保存しなければならない。

1項

個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章 及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

一 号

当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

二 号

外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置 その他当該本人に参考となるべき情報が当該本人に提供されていること。

2項

第二十八条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。


この場合において、

同条第三項
講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、
「講じ」と

読み替えるものとする。

3項

前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。


この場合において、

同条第三項
の提供を受けた」とあるのは、
「を提供した」と

読み替えるものとする。

1項

個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

一 号

当該個人情報取扱事業者の氏名 又は名称 及び住所 並びに法人にあっては、その代表者の氏名

二 号

全ての保有個人データの利用目的(第二十一条第四項第一号から第三号までに該当する場合を除く

三 号

次項の規定による求め又は次条第一項同条第五項において準用する場合を含む。)、第三十四条第一項 若しくは第三十五条第一項第三項 若しくは第五項の規定による請求に応じる手続(第三十八条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。

四 号

前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

2項

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。


ただし次の各号いずれかに該当する場合は、この限りでない。

一 号

前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

二 号

第二十一条第四項第一号から第三号までに該当する場合

3項

個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

1項

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法 その他の個人情報保護委員会規則で定める方法による開示を請求することができる。

2項

個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合 その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。


ただし、開示することにより次の各号いずれかに該当する場合は、その全部 又は一部を開示しないことができる。

一 号
本人 又は第三者の生命、身体、財産 その他の権利利益を害するおそれがある場合
二 号
当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 号
他の法令に違反することとなる場合
3項

個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部 若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。

4項

他の法令の規定により、本人に対し第二項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部 又は一部を開示することとされている場合には、当該全部 又は一部の保有個人データについては、第一項 及び第二項の規定は、適用しない

5項

第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十九条第一項 及び第三十条第三項の記録(その存否が明らかになることにより公益 その他の利益が害されるものとして政令で定めるものを除く第三十七条第二項において「第三者提供記録」という。)について準用する。

1項

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加 又は削除(以下この条において「訂正等」という。)を請求することができる。

2項

個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

3項

個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの内容の全部 若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。

1項

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条 若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止 又は消去(以下この条において「利用停止等」という。)を請求することができる。

2項

個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。


ただし、当該保有個人データの利用停止等に多額の費用を要する場合 その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

3項

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十七条第一項 又は第二十八条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。

4項

個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。


ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合 その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

5項

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合 その他当該本人が識別される保有個人データの取扱いにより当該本人の権利 又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等 又は第三者への提供の停止を請求することができる。

6項

個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等 又は第三者への提供の停止を行わなければならない。


ただし、当該保有個人データの利用停止等 又は第三者への提供の停止に多額の費用を要する場合 その他の利用停止等 又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

7項

個人情報取扱事業者は、第一項 若しくは第五項の規定による請求に係る保有個人データの全部 若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項 若しくは第五項の規定による請求に係る保有個人データの全部 若しくは一部について第三者への提供を停止したとき 若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

1項

個人情報取扱事業者は、第三十二条第三項第三十三条第三項同条第五項において準用する場合を含む。)、第三十四条第三項 又は前条第七項の規定により、本人から求められ、又は請求された措置の全部 又は一部について、その措置をとらない旨を通知する場合 又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。

1項

個人情報取扱事業者は、第三十二条第二項の規定による求め 又は第三十三条第一項同条第五項において準用する場合を含む。次条第一項 及び第三十九条において同じ。)、第三十四条第一項 若しくは第三十五条第一項第三項 若しくは第五項の規定による請求(以下この条 及び第五十四条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め 又は請求を受け付ける方法を定めることができる。


この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。

2項

個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ 又は第三者提供記録を特定するに足りる事項の提示を求めることができる。


この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ 又は当該第三者提供記録の特定に資する情報の提供 その他本人の利便を考慮した適切な措置をとらなければならない。

3項

開示等の請求等は、政令で定めるところにより、代理人によってすることができる。

4項

個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

1項

個人情報取扱事業者は、第三十二条第二項の規定による利用目的の通知を求められたとき 又は第三十三条第一項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。

2項

個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

1項

本人は、第三十三条第一項第三十四条第一項 又は第三十五条第一項第三項 若しくは第五項の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。


ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。

2項

前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。

3項

前二項の規定は、第三十三条第一項第三十四条第一項 又は第三十五条第一項第三項 若しくは第五項の規定による請求に係る仮処分命令の申立てについて準用する。

1項

個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

2項

個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

第三節 仮名加工情報取扱事業者等の義務

1項

個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章 及び第六章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。

2項

個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報 及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等 及び個人識別符号 並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条 及び次条第三項において読み替えて準用する第七項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。

3項

仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十八条の規定にかかわらず、法令に基づく場合を除くほか、第十七条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。

4項

仮名加工情報についての第二十一条の規定の適用については、

同条第一項 及び第三項
、本人に通知し、又は公表し」とあるのは
「公表し」と、

同条第四項第一号から第三号までの規定中
本人に通知し、又は公表する」とあるのは
「公表する」と

する。

5項

仮名加工情報取扱事業者は、仮名加工情報である個人データ 及び削除情報等を利用する必要がなくなったときは、当該個人データ 及び削除情報等を遅滞なく消去するよう努めなければならない。


この場合においては、第二十二条の規定は、適用しない

6項

仮名加工情報取扱事業者は、第二十七条第一項 及び第二項 並びに第二十八条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。


この場合において、

第二十七条第五項
前各項」とあるのは
第四十一条第六項」と、

同項第三号
、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは
「公表して」と、

同条第六項
、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは
「公表しなければ」と、

第二十九条第一項ただし書中
第二十七条第一項各号 又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)」とあり、
及び第三十条第一項ただし書中
第二十七条第一項各号 又は第五項各号のいずれか」とあるのは
「法令に基づく場合 又は第二十七条第五項各号のいずれか」と

する。

7項

仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。

8項

仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便 若しくは民間事業者による信書の送達に関する法律平成十四年法律第九十九号第二条第六項に規定する一般信書便事業者 若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置 若しくは電磁的方法(電子情報処理組織を使用する方法 その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先 その他の情報を利用してはならない。

9項

仮名加工情報、仮名加工情報である個人データ 及び仮名加工情報である保有個人データについては、第十七条第二項第二十六条 及び第三十二条から第三十九条までの規定は、適用しない

1項

仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く次項 及び第三項において同じ。)を第三者に提供してはならない。

2項

第二十七条第五項 及び第六項の規定は、仮名加工情報の提供を受ける者について準用する。


この場合において、

同条第五項
前各項」とあるのは
第四十二条第一項」と、

同項第一号
個人情報取扱事業者」とあるのは
「仮名加工情報取扱事業者」と、

同項第三号
、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは
「公表して」と、

同条第六項
個人情報取扱事業者」とあるのは
「仮名加工情報取扱事業者」と、

、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは
「公表しなければ」と

読み替えるものとする。

3項

第二十三条から第二十五条まで第四十条 並びに前条第七項 及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。


この場合において、

第二十三条
漏えい、滅失 又は毀損」とあるのは
「漏えい」と、

前条第七項
ために、」とあるのは
「ために、削除情報等を取得し、又は」と

読み替えるものとする。

第四節 匿名加工情報取扱事業者等の義務

1項

個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下この章 及び第六章において同じ。)を作成するときは、特定の個人を識別すること 及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。

2項

個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等 及び個人識別符号 並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。

3項

個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。

4項

個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目 及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

5項

個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

6項

個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成 その他の取扱いに関する苦情の処理 その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

1項

匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目 及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

1項

匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等 若しくは個人識別符号 若しくは第四十三条第一項 若しくは第百十六条第一項同条第二項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

1項

匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理 その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

第五節 民間団体による個人情報の保護の推進

1項

個人情報取扱事業者、仮名加工情報取扱事業者 又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報 又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者 又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。

一 号

業務の対象となる個人情報取扱事業者等(以下この節において「対象事業者」という。)の個人情報等の取扱いに関する第五十三条の規定による苦情の処理

二 号
個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三 号

前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務

2項

前項の認定は、対象とする個人情報取扱事業者等の事業の種類 その他の業務の範囲を限定して行うことができる。

3項

第一項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。

4項

個人情報保護委員会は、第一項の認定をしたときは、その旨(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。

1項

次の各号いずれかに該当する者は、前条第一項の認定を受けることができない

一 号

この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者

二 号

第百五十五条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者

三 号

その業務を行う役員(法人でない団体で代表者 又は管理人の定めのあるものの代表者 又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの

禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者

第百五十五条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者

1項

個人情報保護委員会は、第四十七条第一項の認定の申請が次の各号いずれにも適合していると認めるときでなければ、その認定をしてはならない。

一 号

第四十七条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。

二 号

第四十七条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識 及び能力 並びに経理的基礎を有するものであること。

三 号

第四十七条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。

1項

第四十七条第一項の認定(同条第二項の規定により業務の範囲を限定する認定を含む。次条第一項 及び第百五十五条第一項第五号において同じ。)を受けた者は、その認定に係る業務の範囲を変更しようとするときは、個人情報保護委員会の認定を受けなければならない。


ただし、個人情報保護委員会規則で定める軽微な変更については、この限りでない。

2項

第四十七条第三項 及び第四項 並びに前条の規定は、前項の変更の認定について準用する。

1項

第四十七条第一項の認定(前条第一項の変更の認定を含む。)を受けた者(以下この節 及び第六章において「認定個人情報保護団体」という。)は、その認定に係る業務(以下この節 及び第六章において「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。

2項

個人情報保護委員会は、前項の規定による届出があったときは、その旨を公示しなければならない。

1項

認定個人情報保護団体は、認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。


この場合において、第五十四条第四項の規定による措置をとったにもかかわらず、対象事業者が同条第一項に規定する個人情報保護指針を遵守しないときは、当該対象事業者を認定業務の対象から除外することができる。

2項

認定個人情報保護団体は、対象事業者の氏名 又は名称を公表しなければならない。

1項

認定個人情報保護団体は、本人 その他の関係者から対象事業者の個人情報等の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。

2項

認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書 若しくは口頭による説明を求め、又は資料の提出を求めることができる。

3項

対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。

1項

認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続 その他の事項 又は仮名加工情報 若しくは匿名加工情報に係る作成の方法、その情報の安全管理のための措置 その他の事項に関し、消費者の意見を代表する者 その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下この節 及び第六章において「個人情報保護指針」という。)を作成するよう努めなければならない。

2項

認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。


これを変更したときも、同様とする。

3項

個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。

4項

認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告 その他の措置をとらなければならない。

1項

認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。

1項

認定個人情報保護団体でない者は、認定個人情報保護団体という名称 又はこれに紛らわしい名称を用いてはならない。

第六節 雑則

1項

個人情報取扱事業者等 及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等 及び個人関連情報を取り扱う目的の全部 又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない

一 号

放送機関、新聞社、通信社 その他の報道機関(報道を業として行う個人を含む。)報道の用に供する目的

二 号
著述を業として行う者 著述の用に供する目的
三 号

宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的

四 号

政治団体 政治活動(これに付随する活動を含む。)の用に供する目的

2項

前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見 又は見解を述べることを含む。)をいう。

3項

第一項各号に掲げる個人情報取扱事業者等は、個人データ、仮名加工情報 又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理 その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

1項

個人情報取扱事業者 又は匿名加工情報取扱事業者のうち次に掲げる者については、第三十二条から第三十九条まで 及び第四節の規定は、適用しない

一 号

別表第二に掲げる法人

二 号

地方独立行政法人のうち地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの 又は同条第二号 若しくは第三号に係る部分に限る)に掲げる業務を目的とするもの

2項

次の各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報 又は個人関連情報の取扱いについては、個人情報取扱事業者、仮名加工情報取扱事業者 又は個人関連情報取扱事業者による個人情報、仮名加工情報 又は個人関連情報の取扱いとみなして、この章第三十二条から第三十九条まで 及び第四節除く)及び第六章から第八章までの規定を適用する。

一 号

地方公共団体の機関

医療法昭和二十三年法律第二百五号第一条の五第一項に規定する病院(次号において「病院」という。)及び同条第二項に規定する診療所 並びに学校教育法昭和二十二年法律第二十六号第一条に規定する大学の運営

二 号

独立行政法人

労働者健康安全機構病院の運営

1項

個人情報取扱事業者である学術研究機関等は、学術研究目的で行う個人情報の取扱いについて、この法律の規定を遵守するとともに、その適正を確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。