情報保護法関連・整理ノート
 
                   大阪弁護士会所属
                       弁護士 服 部 廣 志
 
凡例
 鈴木=鈴木正朝著、「個人情報保護法とコンプライアンス・プログラム」(商事法務)
 
 
 
 
* OECD8原則
 
1 収集制限の原則
  適法・公正な手段により、必要な場合には情報主体に通知又は同意を得て収集されるべきである。 
2 データ内容の原則
  利用目的に沿ったもので、かつ、正確、完全、最新であるべきである。
3 目的明確化の原則
  収集目的を明確化し、データ利用は収集目的に合致するべきである。 
4 利用制限の原則
  データ主体の同意がある場合又は法律の規定による場合以外は、目的以外に使用してはならない
5 安全保護の原則
  合理的安全保護措置により、紛失、破壊、使用、修正、開示等から保護されるべきである。
6 公開の原則
  データ収集の実施方法等を公開し、データの存在、利用目的、管理者を明示すべきである。
7 個人参加の原則
  自己に対するデータの所在及び内容を確認させ、又は異議申し立てを保証すべきである。
8 責任の原則
  管理者は諸原則実施の責任を負う。
 
 どんなに綺麗ごとを言っても、人間が破るよね!!
 システムも当然、必要だけど、人間の管理、監督よね!!
 
* 情報保護とプライバシー
 
 個人情報の取り扱い→プライバシー侵害の危険性→情報取り扱いのルール確立
 
 個人情報の取り扱い 関係しない・・・・・関係せず
 検索性のない個人情報・・・・・・・・・・関係せず
 
* 法律規制
 
 行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律
 個人情報保護法 
 
* 個人情報保護法
 
(目的)
第1条
 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
 確かに、この1条の条項は錯覚させる条項ですね
 特に「個人の権利利益を保護することを目的」とするなんて書かれてしまうと、、錯覚するよね
 まぁ、基本は行政法規という点を把握しておけばいいかぁ
(定義)
第2条
 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
 「個人識別情報」としているのか
 「プライバシーに関する情報」に限定していないのかぁ
 「個人識別情報」と「プライバシーに関する情報」とを区別する必要あるよね  
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
 一 特定の個人情報電子計算機を用いて検索することができるように体系的に構成したもの
 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
3 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
 一 国の機関
 二 地方公共団体
 三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
 四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
 五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
4 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
5 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
6 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
 
 
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
個人情報の保護に関する法律施行令(平成15年12月10日政令第507号)
(個人情報データベース等)
第1条
 個人情報の保護に関する法律 (以下「法」という。)第二条第二項第二号 の政令で定めるものは、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
(個人情報取扱事業者から除外される者)
第2条
 法第二条第三項第四号 の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等で個人情報として氏名又は住所若しくは居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)若しくは電話番号のみが含まれる場合であって、これを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計過去6月以内のいずれの日においても5000を超えない者とする。
(保有個人データから除外されるもの)
第3条
 法第二条第五項 の政令で定めるものは、次に掲げるものとする。
一  当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
二  当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
三  当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
四  当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(保有個人データから除外されるものの消去までの期間)
第4条  法第二条第五項 の政令で定める期間は、6月とする。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
 
 
(利用目的の特定)
第15条
 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
1 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない
 
(利用目的による制限)
第16条
 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
 一 法令に基づく場合
 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
 
(適正な取得)
第17条
 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない
 
(取得に際しての利用目的の通知等)
第18条
 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。
(注書き−本法律では、電磁的記録も書面概念に含めている。)
 ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
 一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
 二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
 三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
 四 取得の状況からみて利用目的が明らかであると認められる場合
 
(データ内容の正確性の確保)
第19条
 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
 
(安全管理措置)
第20条
 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
 
(従業者の監督)
第21条
 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
 
(委託先の監督)
第22条
 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
 
(第三者提供の制限)
第23条
 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
 一 法令に基づく場合
 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
 一 第三者への提供を利用目的とすること。
 二 第三者に提供される個人データの項目
 三 第三者への提供の手段又は方法
 四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
 一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
 二 合併その他の事由による事業の承継に伴って個人データが提供される場合
 三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
 
(保有個人データに関する事項の公表等)
第24条
 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
 一 当該個人情報取扱事業者の氏名又は名称
 二 すべての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
 三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求めに応じる手続(第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
 四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。
 ただし、次の各号のいずれかに該当する場合は、この限りでない。
 一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合 二 第十八条第四項第一号から第三号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければな らない。
 
(開示)
第25条
 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。
 ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
 三 他の法令に違反することとなる場合
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知し なければならない。
4 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合 には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
 
(訂正等)
第26条
 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
5 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたとき は、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通 知しなければならない。
 
(利用停止等)
第27条
 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。
 ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
6 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十三条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。
 ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
7 個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
 
(理由の説明)
第28条
 個人情報取扱事業者は、第二十四条第三項、第二十五条第二項、第二十六条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
 
(開示等の求めに応じる手続)
第29条
 個人情報取扱事業者は、第二十四条第二項、第二十五条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求め(以下この条において「開示等の求め」という。)に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
2 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 開示等の求めは、政令で定めるところにより、代理人によってすることができる。
4 個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
 
(個人情報取扱事業者による苦情の処理)
第31条
 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
 
(報告の徴収)
第32条
 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。
違反−罰則あり
(助言)
第33条
 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。
 
(勧告及び命令)
第34条
 主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条まで又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
 主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫 していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとる べきことを命ずることができる。
 主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで又は第二十三条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
違反−罰則あり
(主務大臣の権限の行使の制限)
第35条
 主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
2 前項の規定の趣旨に照らし、主務大臣は、個人情報取扱事業者が第五十条第一項各号に掲げる者(それぞれ当該各号に定める目的で個人情報を取り扱う場合に限る。)に対 して個人情報を提供する行為については、その権限を行使しないものとする。
 
(主務大臣)
第36条
 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会(以下「大臣等」という。)を主務大臣に指定することができる。 
 一 個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事業を所管する大臣等
 二 個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等
2 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。
3 各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。
 
(認定)
第37条
 個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、主務大臣の認定を受けることができる。
 一 業務の対象となる個人情報取扱事業者(以下「対象事業者」という。)の個人情報の取扱いに関する 第四十二条の規定による苦情の処理
 二 個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
 三 前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務
2 前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。
3 主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。
 
(欠格条項)
第38条
 次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。
 一 この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
 二 第四十八条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者
 三 その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの
  イ 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
  ロ 第四十八条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者
 
(苦情の処理)
第42条
 認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
2 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出 を求めることができる。
3 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。
 
(個人情報保護指針)
第43条
 認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成し、公表するよう努めなければならない。
2 認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
 
(目的外利用の禁止)
第44条
 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
 
(報告の徴収)
第46条
 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
違反−罰則あり
(命令)
第47条
 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
 
(主務大臣)
第49条
 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、第三十七条第一項の認定を受けようとする者のうち特定のものについて、特定の大臣等を主務大臣に指定することができる。
 一 設立について許可又は認可を受けている認定個人情報保護団体(第三十七条第一項の認定を受けようとする者を含む。次号において同じ。)については、その設立の許可又は認可をした大臣等
 二 前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者が行う事業を所管する大臣等 
2 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。
 
(適用除外)
第50条
 個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。
 一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)報道の用に供する目的
 二 著述を業として行う者 著述の用に供する目的
 三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的
 四 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
 五 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
3 第一項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
 
(地方公共団体が処理する事務)
第51条
 この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。
 
(権限又は事務の委任)
第52条
 この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その所属の職員に委任することができる。
 
(施行の状況の公表)
第53条
 内閣総理大臣は、関係する行政機関(法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関並びに国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関をいう。次条において同じ。)の長に対し、この法律の施行の状況について報告を求めることができる。
2 内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。
 
(連絡及び協力)
(政令への委任)
第55条
 この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。
 
第六章 罰則
第56条
 第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。
第57条
 第三十二条又は第四十六条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。
第58条
 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
(注書き−両罰規定)
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場 合の刑事訴訟に関する法律の規定を準用する。
第59条
 次の各号のいずれかに該当する者は、十万円以下の過料に処する。
 一 第四十条第一項の規定による届出をせず、又は虚偽の届出をした者
 二 第四十五条の規定に違反した者
   附 則
(本人の同意に関する経過措置)
第2条
 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第十五条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第十六条第一項又は第二項の同意があったものとみなす。
第3条
 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十三条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。
(通知に関する経過措置)
第4条
 第二十三条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。
第5条
 第二十三条第四項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。