(目的)
第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十六条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。
(基本理念)
第三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
〈中略〉
(利用目的の特定)
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継する ことに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第十七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
六 その他前各号に掲げる場合に準ずるものとして政令で定める場合
(取得に際しての利用目的の通知等)
第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保等)
第十九条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場 合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法
個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
(第三者提供に係る記録の作成等)
第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(第三者提供を受ける際の確認等)
第二十六条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
二 当該第三者による当該個人データの取得の経緯
前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(保有個人データに関する事項の公表等)
第二十七条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 全ての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項の規定による求め又は次条第一項、第二十九条第一項若しくは第三十条第一項若しくは第三項の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第十八条第四項第一号から第三号までに該当する場合
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(開示)
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
他の法令の規定により、本人に対し第二項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第一項及び第二項の規定は、適用しない。
(訂正等)
第二十九条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(利用停止等)
第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十三条第一項又は第二十四条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部に ついて利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(理由の説明)
第三十一条 個人情報取扱事業者は、第二十七条第三項、第二十八条第三項、第二十九条第三項又は前条第五項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
(開示等の請求等に応じる手続)
第三十二条 個人情報取扱事業者は、第二十七条第二項の規定による求め又は第二十八条第一項、第二十九条第一項若しくは第三十条第一項若しくは第三項の規定による請求(以下この条及び第五十三条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(手数料)
第三十三条 個人情報取扱事業者は、第二十七条第二項の規定による利用目的の通知を求められたとき又は第二十八条第一項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
(事前の請求)
第三十四条 本人は、第二十八条第一項、第二十九条第一項又は第三十条第一項若しくは第三項の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。
前二項の規定は、第二十八条第一項、第二十九条第一項又は第三十条第一項若しくは第三項の規定による請求に係る仮処分命令の申立てについて準用する。
(個人情報取扱事業者による苦情の処理)
第三十五条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(匿名加工情報の作成等)
第三十六条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するとき は、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(匿名加工情報の提供)
第三十七条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
(識別行為の禁止)
第三十八条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第三十六条第一項、行政機関の保有する個人情報の保護に関する法律(平成十五年法律第五十八号)第四十四条の十第一項(同条第二項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第四十四条の十第一項(同条第二項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
(安全管理措置等)
第三十九条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(報告及び立入検査)
第四十条 個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。
第一項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。
(指導及び助言)
第四十一条 個人情報保護委員会は、前二節の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。
(勧告及び命令)
第四十二条 個人情報保護委員会は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十二条まで、第二十三条(第四項を除く。)、第二十四条、第二十五条、第二十六条(第二項を除く。)、第二十七条、第二十八条(第一項を除く。)、第二十九条第二項若しくは第三項、第三十条第二項、第四項若しくは第五項、第三十三条第二項若しくは第三十六条(第六項を除く。)の規定に違反した場合又は匿名加工情報取扱事業者が第三十七条若しくは第三十八条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
個人情報保護委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで、第二十三条第一項、第二十四条若しくは第三十六条第一項、第二項若しくは第五項の規定に違反した場合又は匿名加工情報取扱事業者が第三十八条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
(個人情報保護委員会の権限の行使の制限)
第四十三条 個人情報保護委員会は、前三条の規定により個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査、指導、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
前項の規定の趣旨に照らし、個人情報保護委員会は、個人情報取扱事業者等が第七十六条第一項各号に掲げる者(それぞれ当該各号に定める目的で個人情報等を取り扱う場合に限る。)に対して個人情報等を提供する行為については、その権限を行使しないものとする。
(権限の委任)
第四十四条 個人情報保護委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、第四十二条の規定による勧告又は命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、第四十条第一項の規定による権限を事業所管大臣に委任することができる。
事業所管大臣は、前項の規定により委任された権限を行使したときは、政令で定めるところにより、その結果について個人情報保護委員会に報告するものとする。
事業所管大臣は、政令で定めるところにより、第一項の規定により委任された権限及び前項の規定による権限について、その全部又は一部を内閣府設置法(平成十一年法律第八十九号)第四十三条の地方支分部局その他の政令で定める部局又は機関の長に委任することができる。
内閣総理大臣は、第一項の規定により委任された権限及び第二項の規定による権限(金融庁の所掌に係るものに限り、政令で定めるものを除く。)を金融庁長官に委任する。
金融庁長官は、政令で定めるところにより、前項の規定により委任された権限について、その一部を証券取引等監視委員会に委任することができる。
金融庁長官は、政令で定めるところにより、第四項の規定により委任された権限(前項の規定により証券取引等監視委員会に委任されたものを除く。)の一部を財務局長又は財務支局長に委任することができる。
証券取引等監視委員会は、政令で定めるところにより、第五項の規定により委任された権限の一部を財務局長又は財務支局長に委任することができる。
前項の規定により財務局長又は財務支局長に委任された権限に係る事務に関しては、証券取引等監視委員会が財務局長又は財務支局長を指揮監督する。
第五項の場合において、証券取引等監視委員会が行う報告又は資料の提出の要求(第七項の規定により財務局長又は財務支局長が行う場合を含む。)についての審査請求は、証券取引等監視委員会に対してのみ行うことができる。
(事業所管大臣の請求)
第四十五条 事業所管大臣は、個人情報取扱事業者等に前二節の規定に違反する行為があると認めるときその他個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは、個人情報保護委員会に対し、この法律の規定に従い適当な措置をとるべきことを求めることができる。
(事業所管大臣)
第四十六条 この節の規定における事業所管大臣は、次のとおりとする。
一 個人情報取扱事業者等が行う個人情報等の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者等が行う事業を所管する大臣、国家公安委員会又はカジノ管理委員会(次号において「大臣等」という。)
二 個人情報取扱事業者等が行う個人情報等の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者等が行う事業を所管する大臣等
(認定)
第四十七条 個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一 業務の対象となる個人情報取扱事業者等(以下「対象事業者」という。)の個人情報等の 取扱いに関する第五十二条の規定による苦情の処理
二 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
前項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
個人情報保護委員会は、第一項の認定をしたときは、その旨を公示しなければならない。
(欠格条項)
第四十八条 次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。
一 この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
二 第五十八条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない
者
三 その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの
イ 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
ロ 第五十八条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者
(認定の基準)
第四十九条 個人情報保護委員会は、第四十七条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。
一 第四十七条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。
二 第四十七条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。
三 第四十七条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。
(廃止の届出)
第五十条 第四十七条第一項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。
個人情報保護委員会は、前項の規定による届出があったときは、その旨を公示しなければならない。
(対象事業者)
第五十一条 認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者等又は認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。
認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
(苦情の処理)
第五十二条 認定個人情報保護団体は、本人その他の関係者から対象事業者の個人情報等の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。
(個人情報保護指針)
第五十三条 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。
認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。これを変更したときも、同様とする。
個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。
認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。
(目的外利用の禁止)
第五十四条 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
(名称の使用制限)
第五十五条 認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。
(報告の徴収)
第五十六条 個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
(命令)
第五十七条 個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
(認定の取消し)
第五十八条 個人情報保護委員会は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
一 第四十八条第一号又は第三号に該当するに至ったとき。
二 第四十九条各号のいずれかに適合しなくなったとき。
三 第五十四条の規定に違反したとき。
四 前条の命令に従わないとき。
五 不正の手段により第四十七条第一項の認定を受けたとき。
個人情報保護委員会は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
〈中略〉
(適用範囲)
第七十五条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。
(適用除外)
第七十六条 個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、第四章の規定は、適用しない。
一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道 の用に供する目的
二 著述を業として行う者 著述の用に供する目的
三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的
四 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
五 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
第一項各号に掲げる個人情報取扱事業者等は、個人データ又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
〈中略〉
第八十二条 第七十二条の規定に違反して秘密を漏らし、又は盗用した者は、二年以下の懲役又は百万円以下の罰金に処する。
第八十三条 第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。
第八十四条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第八十五条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。
一 第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。
二 第五十六条の規定による報告をせず、又は虚偽の報告をしたとき。
第八十六条 第八十二条及び第八十四条の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。
第八十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第八十三条及び第八十四条 一億円以下の罰金刑
二 第八十五条 同条の罰金刑
法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
第八十八条 次の各号のいずれかに該当する者は、十万円以下の過料に処する。
一 第二十六条第二項又は第五十五条の規定に違反した者
二 第五十条第一項の規定による届出をせず、又は虚偽の届出をした者
〈以下略〉
【参考資料】
2005年4月に個人情報を保護するための法律として「個人情報保護法」が施行されました。その後も社会情勢の変化に伴い見直しが行われています。今回の改正は、令和元年1月の「3年ごと見直しに係る検討の着眼点」に即し、3年ごとに個人情報保護法の見直しを受け、反映したものです。5つの見直し基準の元、時勢に合わせた視点で改正されています。
① 個人の権利利益保護
② 外国事業者によるリスク変化への対応
③ 保護と利用のバランス
④ AI・ビッグデータ時代への対応
⑤ 国際的潮流との調和
今回の改正範囲は多岐に渡りますが、ざっくりと言えば、個人情報の取り扱いが厳格化され、漏えい時には通知が「完全義務化」され、「厳罰」が科されます。今回の改正点をまとめると、大きく6つに分かれます。
1.個人の権利の在り方
2.事業者の義務の在り方
3.事業者による自主的な取組を促す仕組みの在り方
4.データ利活用の施策
5.ペナルティの強化
6.法の域外適用・越境移転
主に取得した個人情報の取り扱いルールについて示されています。
これまで利用停止や情報の消去などの請求は、違反が証明できる際に限られていましたが、権利や利益が害される場合にも、個人情報の停止や情報削除の請求権を行使できるようになりました。また個人情報の開示に関しても、開示方法を指定できるようになると共に、第三者への提供に関するルートも把握できるようになります。事業者は、オプトアウト(同意なく第三者提供ができる)の対象が変更されていますので、注意が必要です。詳しくはオプトアウトによる第三者提供(法第 23 条第 2 項~第 4 項関係)を参照ください。
※オプトアウトによる第三者提供
個人情報取扱事業者が個人データの第三者提供をするためには、あらかじめ本人の同意を得るのが原則です(保護法23条1項本文)。本人から「事前の同意」を得ることを「オプトイン」(opt-in)とも言います。
これに対して、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めることを、「オプトアウト」(opt-out)といいます。
現行の個人情報保護法においては、個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる①~④の事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができることとされています(保護法23条2項)。
①第三者への提供を利用目的とすること。
②第三者に提供される個人データの項目
①三者への提供の手段又は方法
④本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
主に個人情報を取り扱う事業者の責務について示されています。
これまで漏えい事故が発生した場合、報告に関しては努力義務でしたが、改正後は「義務化」されます。改正後は、「質的に侵害の恐れが大きい類型」「量的に侵害の恐れが大きい類型」について、漏えい事故時の報告が義務化されます。さらに報告は「速報」と「確報」に分けて報告しなければならず、企業の対応スピードと質が求められます。
例えば……
①要配慮個人情報:本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など。
②財産的被害が発生するおそれがある場合:クレジットカード番号やインターネットバンキングのID・パスワード情報など。
③故意による漏えい:類型的に二次被害が発生するおそれがある不正アクセスや従業員による持ち出しなど。
④大規模な情報漏えい:内容が個人上でなくても一定以上の大規模な漏えい※1000人を基準。
⑤「おそれ」がある場合:漏えいの懸念があり漏えいが確定していない段階※被害を最小限に。
上記は漏えい時の義務ですが、平素から事業者として情報の取り扱いで気をつけておきたいポイントが2点あります。
まずは「不適切利用の禁止」です。不正を助長するような利用を禁止する内容で、過去にあった“破産者マップ事件”などに見られる不適切な利用を受けて制定されました。
2つ目は、本人から得た情報から、プロファイルやスコアリングなどを経て関心事などの情報を分析する場合、その利用目的を本人にある程度イメージできるようにしておくことが求められています。企業によってはプライバシーポリシーの見直しが求められます。
「認定個人情報保護団体」の認定対象の拡充が行われます。
個人情報保護に関する取り組みは、民間の業界団体などがガイドラインを策定するなど、自主的に取り組まれてきました。その民間団体に対して認定を行い、個人情報保護を推進していくことを目的としています。これまでは事業分野単位の民間団体が対象でしたが、改正後は部門単位で組織される民間団体も認定を受けることが可能となります。認定個人情報保護団体に認定されると、定期的な情報提供や、万が一漏えいを起こしてしまった場合も、認定個人情報保護団体が事故報告や仲介業務などの支援してくれるため、インシデント発生時の事故対応や是正活動に専念できるというメリットがあります。
※認定個人情報保護団体
個人情報保護法の適用を受ける事業者(個人情報取扱事業者)は、個人情報の適正な取扱いを確保するための取組を自発的に確立しなければなりません。そのため個人情報保護法では、事業者の自発的な取組を促進させ、法の趣旨を踏まえた個人情報の保護を推進する目的で、「認定個人情報保護団体」(以下「認定団体」という。)の制度を設けています。
認定団体は「個人情報保護指針」(以下「保護指針」という。)を定めることとされており、対象事業者に保護指針を遵守させるための措置をとることが義務付けられています(法第53条第4項)。
データの利活用を目的に、「仮名加工情報」制度の新設と事業者義務が緩和されます。
これまでは、個人情報を加工する事で個人を特定できないように変換し、その利用に関連した様々な制約やルールが科されていましたが、利活用の鈍化につながっていました。そこで、「仮名加工情報」制度を新設し、対象のデータに関しては事業者の義務が緩和されます。
また、個人関連情報制度の創設として、「個人関連情報」を、第三者が個人情報として取得する可能性がある場合、本人の同意が得られているかなどの確認義務を負う事になりました。「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの(個人情報保護法26条の2第1項)」と定義されており、例えばCookie情報などが挙げられます。それらが他の情報と照合されることにより、特定の個人を識別することができてしまう場合があります。デジタルマーケティング業務で度々扱われる情報なので注意が必要です。
法定刑が個人・法人共に概ね引き上げとなり、特に法人の罰金刑の上限額が大きく引き上げられました。罰金額は上限が設けられており、資格格差などを勘案して決定されます。とはいえペナルティはあくまで結果論です。情報漏えいをしないような体制づくり・対策が何よりも重要です。
| 懲役刑 | 罰金刑 | ||||
| 現行 | 改正後 | 現行 | 改正後 | ||
| 個人情報保護委員会からの命令違反 | 行為者 | 6月以下 | 1年以下 | 30万円以下 | 100万円以下 |
| 法人等 | ―― | ―― | 30万円以下 | 1億円以下 | |
| 個人情報データベース等の不正提供など | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
| 法人等 | ―― | ―― | 50万円以下 | 1億円以下 | |
| 個人情報保護委員会への偽装報告など | 行為者 | ―― | ―― | 30万円以下 | 50万円以下 |
| 法人等 | ―― | ―― | 30万円以下 | 50万円以下 | |
外国の事業者への域外適用について、範囲が変更されます。
日本国内の個人情報を取り扱う外国事業者も、罰則によって担保された報告徴収・命令および立ち入り検査の対象となりました。命令に従わない場合には公表を行うことができます。これにより、外国事業者による個人情報の不適切な取扱いを是正することが期待されます。また、移転先の外国事業者やその事業者がおかれた国の状況について、本人への情報提供を行うことが義務付けられました。そのためグローバル事業を行っている事業者が、個人データを利用する場合は、第三者提供時の情報提供義務が発生しますので、対策が必要です。
