個人情報の保護に関する法律案の概要

第１章　総則

　１　目的（1条）

高度情報通信社会の進展に伴い個人情報の利用が著しく拡大
→個人情報の有用性に配慮しつつ、個人の権利利益を保護

　２　定義（2条）

「個人情報」…生存する個人に関する情報（識別可能情報）

「個人情報データベース等」…個人情報を含む情報の集合物（検索が可能なもの。一定のマニュアル処理情報を含む）

「個人情報取扱事業者」…個人情報データベース等を事業の用に供している者（国、地方公共団体等のほか、取り扱う個人情報が少ない等の一定の者を除く）

「個人データ」…個人情報データベース等を構成する個人情報

「保有個人データ」…個人情報取扱事業者が開示、訂正等の権限を有する個人データ

第２章　基本原則（3条〜8条）

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの。
個人情報を取り扱う者は、基本原則にのっとり、個人情報の適正な取扱いに努力。

1. 利用目的による制限…利用目的の明確化、その達成に必要な範囲内での取扱い
2. 適正な取得…適法かつ適正な方法による取得
3. 正確性の確保…利用目的の達成に必要な範囲内で正確性、最新性を確保
4. 安全性の確保…取扱いに当たり、安全管理のための措置が講じられるよう配慮
5. 透明性の確保…取扱いに当たり、本人が適切に関与し得るよう配慮

第３章　国及び地方公共団体の責務等

　１　国及び地方公共団体の責務（9条、10条）

　２　法制上の措置等（11条）

• 国の行政機関、独立行政法人等の保有する個人情報についての法制上の措置等
• 個人情報の性質及び利用方法にかんがみ、適正な取扱いの厳格な実施を確保する必要がある個人情報についての法制上の措置等

第４章　個人情報の保護に関する施策等

　第１節　個人情報の保護に関する基本方針（12条）

• 施策の総合的・一体的推進を図るための基本方針を国民生活審議会の意見を聴いた上で閣議にかけて決定

　第２節　国の施策（13条〜15条）

• 地方公共団体等への支援、苦情処理のための必要な措置等

　第３節　地方公共団体の施策（16条〜18条）

• 地方公共団体の保有する個人情報についての必要な措置
• 区域内の事業者及び住民への支援、苦情処理のあっせん等の必要な措置

　第４節　国及び地方公共団体の協力（19条）

第５章　個人情報取扱事業者の義務等

　第１節　個人情報取扱事業者の義務※必要に応じて一定の適用除外を規定

(1)　利用目的の特定、利用目的による制限（20条、21条）

• 個人情報を取り扱うに当たり、その利用目的をできる限り特定
• 特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いの原則禁止

(2)　適正な取得、取得に際しての利用目的の通知等（22条、23条）

• 偽りその他不正の手段による個人情報の取得の禁止
• 個人情報を取得した際の利用目的の通知又は公表
• 本人から直接個人情報を取得する場合の利用目的の明示

(3)　データ内容の正確性の確保（24条）

• 利用目的の達成に必要な範囲内で個人データの正確性、最新性を確保

(4)　安全管理措置、従業者・委託先の監督（25条〜27条）

• 個人データの安全管理のために必要かつ適切な措置、従業者・委託先に対する必要かつ適切な監督

(5)　第三者提供の制限（28条）

• 本人の同意を得ない個人データの第三者提供の原則禁止
• 本人の求めに応じて第三者提供を停止することとしており、その旨その他一定の事項を通知等しているときは、第三者提供が可能
• 委託の場合、合併等の場合、特定の者との共同利用の場合（共同利用する旨その他一定の事項を通知等している場合）は第三者提供とみなさない

(6)　公表等、開示、訂正等、利用停止等（29条〜32条）

• 保有個人データの利用目的、開示等に必要な手続等についての公表等
• 保有個人データの本人からの求めに応じ、開示、訂正等、利用停止等

(7)　苦情の処理（36条）

• 個人情報の取扱いに関する苦情の適切かつ迅速な処理

(8)　主務大臣の関与（37条〜40条）

• この節の規定の施行に必要な限度における報告の徴収、必要な助言
• 個人情報取扱事業者が義務規定（努力義務を除く）に違反し、個人の権利利益保護のため必要がある場合における勧告、勧告に従わない一定の場合の命令等
• 主務大臣の関与に際しての配慮（表現、学問、信教、政治活動の自由）

(9)　主務大臣（41条）

• 個人情報取扱事業者が行う事業等の所管大臣。規定の円滑な実施のために必要があるときは、内閣総理大臣が指定

　第２節　民間団体による個人情報の保護の推進

(1)　団体の認定（42条）、対象事業者（46条）

• 個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、苦情の処理等を行おうとする団体の認定
• 認定団体による対象事業者（団体の構成員等）の氏名又は名称の公表

(2)　個人情報保護指針（48条）

• 認定団体による個人情報保護指針の作成・公表

(3)　主務大臣の関与（51条〜53条）

• この節の規定の施行に必要な限度における報告の徴収
• 業務の実施の方法の改善、個人情報保護指針の変更等についての命令
• 認定基準に適合しなくなった場合、命令に従わない場合等における認定取消し

(4)　主務大臣（54条）

• 対象事業者が行う事業等の所管大臣。規定の円滑な実施のために必要があるときは、内閣総理大臣が指定

第６章　雑則

• 報道、学術研究、宗教活動、政治活動の用に供する目的で個人情報を取り扱う報道機関、学術研究機関等、宗教団体、政治団体については、第５章の適用を除外（55条1項）
• これらの主体は、安全管理、苦情処理等のために必要な措置を自ら講じ、その内容を公表するよう努力（55条2項）

※この他、権限又は事務の委任、施行の状況の公表等について規定

第７章　罰則

• 個人情報取扱事業者が主務大臣の命令に違反した場合等における罰則（61条〜64条）

附則

• 公布の日から施行。第５章から第７章までの規定は、公布後２年以内に施行（附則1条）
• 経過措置（附則2条〜6条）
• 国の行政機関、独立行政法人等の保有する個人情報について公布後１年を目途として法制上の措置（附則7条）
• 内閣府の所掌事務等に本法施行関係の事務を追加（附則8条）

　　

　　

個人情報の保護に関する法律案

　　　個人情報の保護に関する法律
目次
　第一章　総則（第一条・第二条）
　第二章　基本原則（第三条−第八条）
　第三章  国及び地方公共団体の責務等（第九条−第十一条）
　第四章  個人情報の保護に関する施策等
 　 第一節　個人情報の保護に関する基本方針（第十二条）
  　第二節　国の施策（第十三条−第十五条）
  　第三節　地方公共団体の施策（第十六条−第十八条）
  　第四節　国及び地方公共団体の協力（第十九条）
　第五章　個人情報取扱事業者の義務等
　　第一節　個人情報取扱事業者の義務（第二十条−第四十一条）
  　第二節　民間団体による個人情報の保護の推進（第四十二条−第五十四条）
　第六章　雑則（第五十五条−第六十条）
　第七章　罰則（第六十一条−第六十四条）
　附則
　　第一章　総則 
　（目的）
第一条  この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ
　、個人情報の適正な取扱いに関し、基本原則及び政府による基本方針の作成その他の個人情報の保護に関
　する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取
　り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益
　を保護することを目的とする。
　（定義）
第二条  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏
　名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合する
　ことができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。
２　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げ
　るものをいう。
　一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
　二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したも
　　のとして政令で定めるもの
３　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者を
　いう。ただし、次に掲げる者を除く。
　一  国の機関
　二  地方公共団体
　三　独立行政法人（独立行政法人通則法（平成十一年法律第百三号）第二条第一項に規定する独立行政法
　　人をいう。以下同じ。）のうち別に法律で定めるもの
　四　特殊法人（法律により直接に設立された法人又は特別の法律により特別の設立行為をもって設立され
　　た法人であって、総務省設置法（平成十一年法律第九十一号）第四条第十五号の規定の適用を受けるも
　　のをいう。以下同じ。）のうち別に法律で定めるもの
　五  その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして
　　政令で定める者
４　この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
５　この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除
　、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、そ
　の存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内
　の政令で定める期間以内に消去することとなるもの以外のものをいう。
６　この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
第二章　基本原則
第三条  個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、個人
　情報を取り扱う者は、次条から第八条までに規定する基本原則にのっとり、個人情報の適正な取扱いに努
　めなければならない。
　（利用目的による制限）
第四条　個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な範囲内で取り扱わ
　れなければならない。
　（適正な取得）
第五条  個人情報は、適法かつ適正な方法で取得されなければならない。
　（正確性の確保）
第六条　個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保たれなければならな
　い。
　（安全性の確保）
第七条　個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理のために必要かつ
　適切な措置が講じられるよう配慮されなければならない。
　（透明性の確保）
第八条　個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければならない。
　　　第三章　国及び地方公共団体の責務等
　（国の責務）
第九条　国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的
　に策定し、及びこれを実施する責務を有する。　　
　（地方公共団体の責務）
第十条　地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報
　の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。
　（法制上の措置等）
第十一条　政府は、国の行政機関について、その保有する個人情報の性質、当該個人情報を保有する目的等
　を勘案し、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ず
　るものとする。
２　政府は、独立行政法人及び特殊法人について、その性格及び業務内容に応じ、その保有する個人情報の
　適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。
３　政府は、前二項に定めるもののほか、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層
　の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のた
　めの格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。
　　　第四章　個人情報の保護に関する施策等
        第一節　個人情報の保護に関する基本方針
第十二条  政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に
　関する基本方針（以下「基本方針」という。）を定めなければならない。
２　基本方針は、次に掲げる事項について定めるものとする。
　一  個人情報の保護に関する施策の推進に関する基本的な方向
　二  国が講ずべき個人情報の保護のための措置に関する事項
　三　地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
　四　独立行政法人及び特殊法人が講ずべき個人情報の保護のための措置に関する基本的な事項
　五  個人情報取扱事業者及び第四十五条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保
　　護のための措置に関する基本的な事項
　六  個人情報の取扱いに関する苦情の円滑な処理に関する事項
　七  その他個人情報の保護に関する施策の推進に関する重要事項
３　内閣総理大臣は、国民生活審議会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなければ
　ならない。
４　内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければ
　ならない。
５　前二項の規定は、基本方針の変更について準用する。
        第二節　国の施策
　（地方公共団体等への支援）
第十三条　国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等
　が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措
　置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
　（苦情処理のための措置）
第十四条　国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るた
　めに必要な措置を講ずるものとする。
　（個人情報の適正な取扱いを確保するための措置）
第十五条　国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人
　情報の適正な取扱いを確保するために必要な措置を講ずるものとする。
　第三節　地方公共団体の施策
　（保有する個人情報の保護）
第十六条　地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その
　保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
　（区域内の事業者等への支援）
第十七条　地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対す
　る支援に必要な措置を講ずるよう努めなければならない。
　（苦情の処理のあっせん等）
第十八条　地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処
　理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。
　第四節　国及び地方公共団体の協力
第十九条　国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。
第五章　個人情報取扱事業者の義務等
  第一節　個人情報取扱事業者の義務
　（利用目的の特定）
第二十条  個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」
　という。）をできる限り特定しなければならない。
２　個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合
　理的に認められる範囲を超えて行ってはならない。
　（利用目的による制限）
第二十一条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用
　目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴
　って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用
　目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
３　前二項の規定は、次に掲げる場合については、適用しない。
　一　法令に基づく場合
　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であ
　　るとき。
　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得
　　ることが困難であるとき。
　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して
　　協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれ
　　があるとき。
　（適正な取得）
第二十二条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
　（取得に際しての利用目的の通知等）
第二十三条　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している
　場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
２　個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書そ
　の他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる
　記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人か
　ら直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的
　を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、
　この限りでない。
３　個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又
　は公表しなければならない。
４　前三項の規定は、次に掲げる場合については、適用しない。
  一　利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利
　　利益を害するおそれがある場合
  二　利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を
　　害するおそれがある場合
　三　国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であ
　　って、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがある
　　とき。
　四　取得の状況からみて利用目的が明らかであると認められる場合
　（データ内容の正確性の確保）
第二十四条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新
　の内容に保つよう努めなければならない。
  （安全管理措置）
第二十五条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人
　データの安全管理のために必要かつ適切な措置を講じなければならない。
  （従業者の監督）
第二十六条　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人デー
　タの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
　（委託先の監督）
第二十七条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを
　委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わな
　ければならない。
　（第三者提供の制限）
第二十八条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人
　データを第三者に提供してはならない。
　一　法令に基づく場合
　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であ
　　るとき。
　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得
　　ることが困難であるとき。
　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して
　　協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれ
　　があるとき。
２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別
　される個人データの第三者への提供を停止することとしている場合であって、次の各号に掲げる事項につ
　いて、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にか
　かわらず、当該個人データを第三者に提供することができる。
　一　第三者への提供を利用目的とすること。
　二　第三者に提供される個人データの項目
　三　第三者への提供の手段又は方法
　四　本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
３　個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について
　、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
４　次の各号に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については
　、第三者に該当しないものとする。
  一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を
　　委託する場合
  二　合併その他の事由による事業の承継に伴って個人データが提供される場合
　三　個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個
　　人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理につい
　　て責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状
　　態に置いているとき。
５　個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責
　任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し
　、又は本人が容易に知り得る状態に置かなければならない。
（保有個人データに関する事項の公表等）
第二十九条　個人情報取扱事業者は、保有個人データに関し、次の各号に掲げる事項について、本人の知り
　得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。
　一　当該個人情報取扱事業者の氏名又は名称
　二　すべての保有個人データの利用目的（第二十三条第四項第一号から第三号までに該当する場合を除く
　　。）
　三　次項、次条第一項、第三十一条第一項又は第三十二条第一項若しくは第二項の規定による求めに応じ
　　る手続（第三十五条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。）
　四　前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定
　　めるもの
２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められ
　たときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当
　する場合は、この限りでない。
　一　前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
  二　第二十三条第四項第一号から第三号までに該当する場合
３　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決
　定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
（開示）
第三十条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示（当該本人が識
　別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。）を求められたと
　きは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない
　。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないこ
　とができる。
　一　本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
　二　当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
　三　他の法令に違反することとなる場合
２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示し
　ない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
３　他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別さ
　れる保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人
　データについては、同項の規定は適用しない。
（訂正等）
第三十一条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でない
　という理由によって当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂正等」と
　いう。）を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められ
　ている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基
　づき、当該保有個人データの内容の訂正等を行わなければならない。
２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部につ
　いて訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（
　訂正等を行ったときは、その内容を含む。）を通知しなければならない。
（利用停止等）
第三十二条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十一条の規定
　に違反して取り扱われているという理由又は第二十二条の規定に違反して取得されたものであるという理
　由によって、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）
　を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な
　限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人デ
　ータの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人
　の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十八条第一項の規定に
　違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求
　められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの
　第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額
　の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保
　護するため必要なこれに代わるべき措置をとるときは、この限りでない。
３　個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について
　利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求
　められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への
　提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
　（理由の説明）
第三十三条　個人情報取扱事業者は、第二十九条第三項、第三十条第二項、第三十一条第二項又は前条第三
　項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場
　合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなけ
　ればならない。
　（開示等の求めに応じる手続）
第三十四条　個人情報取扱事業者は、第二十九条第二項、第三十条第一項、第三十一条第一項又は第三十二
　条第一項若しくは第二項の規定に基づく求め（以下この条において「開示等の求め」という。）に関し、
　政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人
　は、当該方法に従って、開示等の求めを行わなければならない。
２　個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定する
　に足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ
　的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人
　の利便を考慮した適切な措置をとらなければならない。
３　開示等の求めは、政令で定めるところにより、代理人によってすることができる。
４　個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人
　に過重な負担を課するものとならないよう配慮しなければならない。
　（手数料）
第三十五条　個人情報取扱事業者は、第二十九条第二項の規定による利用目的の通知又は第三十条第一項の
　規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
２　個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認
　められる範囲内において、その手数料の額を定めなければならない。　
　（個人情報取扱事業者による苦情の処理）
第三十六条　個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければ
　ならない。
２　個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
　（報告の徴収）
第三十七条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情
　報の取扱いに関し報告をさせることができる。
　（助言）
第三十八条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情
　報の取扱いに関し必要な助言をすることができる。
　（勧告及び命令）
第三十九条　主務大臣は、個人情報取扱事業者が第二十一条から第二十三条まで、第二十五条から第三十二
　条まで又は第三十五条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると
　認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な
　措置をとるべき旨を勧告することができる。
２　主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る
　措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人
　情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。
３　主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第二十一条、第二十二条、第二十五条
　から第二十七条まで又は第二十八条第一項の規定に違反した場合において個人の重大な権利利益を害する
　事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反
　行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
　（配慮義務）
第四十条　主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を
　行う場合においては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げることがないよう
　配慮しなければならない。
　（主務大臣）
第四十一条　この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規
　定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特
　定のものについて、特定の大臣又は国家公安委員会（以下「大臣等」という。）を主務大臣に指定するこ
　とができる。　
　一　個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣
　　（船員の雇用管理に関するものについては、国土交通大臣）及び当該個人情報取扱事業者が行う事業を
　　所管する大臣等
　二　個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個
　　人情報取扱事業者が行う事業を所管する大臣等
２　内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければなら
　ない。
３　各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。
　　　　第二節　民間団体による個人情報の保護の推進
　（認定）
第四十二条　個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次の各号に掲げる業務を行
　おうとする法人（法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同
　じ。）は、主務大臣の認定を受けることができる。
　一　業務の対象となる個人情報取扱事業者（以下「対象事業者」という。）の個人情報の取扱いに関する
　　第四十七条の規定による苦情の処理
　二　個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
　三　前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務
２　前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。
３　主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。
　（欠格条項）
第四十三条　次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。
　一　この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から
　　二年を経過しない者
　二　第五十三条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者
　三　その業務を行う役員（法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含
　　む。以下この条において同じ。）のうちに、次のいずれかに該当する者があるもの
　　イ　禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行
　　　を受けることがなくなった日から二年を経過しない者
　　ロ　第五十三条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内に
　　　その役員であった者でその取消しの日から二年を経過しない者　
　（認定の基準）
第四十四条　主務大臣は、第四十二条第一項の認定の申請が次の各号のいずれにも適合していると認めると
　きでなければ、その認定をしてはならない。
　一　第四十二条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められてい
　　るものであること。
　二　第四十二条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を
　　有するものであること。
　三　第四十二条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって
　　同項各号に掲げる業務が不公正になるおそれがないものであること。
　（廃止の届出）
第四十五条　第四十二条第一項の認定を受けた者（以下「認定個人情報保護団体」という。）は、その認定
　に係る業務（以下「認定業務」という。）を廃止しようとするときは、政令で定めるところにより、あら
　かじめ、その旨を主務大臣に届け出なければならない。
２　主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。
　（対象事業者）
第四十六条　認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は
　認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。
２　認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。　
　（苦情の処理）
第四十七条　認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解
　決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査すると
　ともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
２　認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象
　事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
３　対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないの
　に、これを拒んではならない。
　（個人情報保護指針）
第四十八条　認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の
　特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿
　った指針（以下「個人情報保護指針」という。）を作成し、公表するよう努めなければならない。
２　認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、
　当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
　（目的外利用の禁止)
第四十九条　認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的
　以外に利用してはならない。
　（名称の使用制限）
第五十条　認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称
　を用いてはならない。
　（報告の徴収）
第五十一条　主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定
　業務に関し報告をさせることができる。
　（命令）
第五十二条　主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定
　業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができ
　る。
　（認定の取消し）
第五十三条　主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り
　消すことができる。
　一　第四十三条第一号又は第三号に該当するに至ったとき。
　二  第四十四条各号のいずれかに適合しなくなったとき。
　三　第四十九条の規定に違反したとき。
　四　前条の命令に従わないとき。
　五　不正の手段により第四十二条第一項の認定を受けたとき。
２　主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
　（主務大臣）
第五十四条　この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規
　定の円滑な実施のため必要があると認める場合は、第四十二条第一項の認定を受けようとする者のうち特
　定のものについて、特定の大臣等を主務大臣に指定することができる。
　一　設立について許可又は認可を受けている認定個人情報保護団体（第四十二条第一項の認定を受けよう
　　とする者を含む。次号において同じ。）については、その設立の許可又は認可をした大臣等
　二　前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者
　　が行う事業を所管する大臣等　
２　内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければなら
　ない。
　　第六章　雑則
　（適用除外）
第五十五条　個人情報取扱事業者のうち次の各号に掲げる者については、前章の規定は適用しない。ただし
　、次の各号に掲げる者が、専ら当該各号に掲げる目的以外の目的で個人情報を取り扱う場合は、この限り
　でない。
　一　放送機関、新聞社、通信社その他の報道機関　報道の用に供する目的
　二　大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者　学術研究の用に供する
　　目的
　三　宗教団体　宗教活動（これに付随する活動を含む。）の用に供する目的
　四　政治団体　政治活動（これに付随する活動を含む。）の用に供する目的
２　前項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個人情
　報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ
　、かつ、当該措置の内容を公表するよう努めなければならない。
　（地方公共団体が処理する事務）
第五十六条　この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共団
　体の長その他の執行機関が行うこととすることができる。
　（権限又は事務の委任）
第五十七条　この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その所
　属の職員に委任することができる。
　（施行の状況の公表）
第五十八条　内閣総理大臣は、関係する行政機関（法律の規定に基づき内閣に置かれる機関（内閣府を除く
　。）及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法（平成十一年法律第八十九号）
　第四十九条第一項及び第二項に規定する機関並びに国家行政組織法（昭和二十三年法律第百二十号）第三
　条第二項に規定する機関をいう。次条において同じ。）の長に対し、この法律の施行の状況について報告
　を求めることができる。
２　内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。
　（連絡及び協力）
第五十九条　内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協力
　しなければならない。
　（政令への委任）
第六十条　この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。
　　　第七章　罰則
第六十一条　第三十九条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円
　以下の罰金に処する。
第六十二条　第三十七条又は第五十一条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以
　下の罰金に処する。
第六十三条　法人（法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ
　。）の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、
　前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科
　する。
２　法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為に
　つき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定
　を準用する。
第六十四条　次の各号のいずれかに該当する者は、十万円以下の過料に処する。
一　第四十五条第一項の規定による届出をせず、又は虚偽の届出をした者
二　第五十条の規定に違反した者
      附　則
  （施行期日）
第一条  この法律は、公布の日から施行する。ただし、第五章から第七章まで及び附則第二条から第六条ま
　での規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。
　（本人の同意に関する経過措置）
第二条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意
　が第二十条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同
　意に相当するものであるときは、第二十一条第一項又は第二項の同意があったものとみなす。
第三条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意
　が第二十八条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであると
　きは、同項の同意があったものとみなす。
  （通知に関する経過措置）
第四条　第二十八条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければなら
　ない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同
　項の規定により行われたものとみなす。
第五条　第二十八条第四項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなけれ
　ばならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知
　は、同号の規定により行われたものとみなす。
（名称の使用制限に関する経過措置）
第六条　この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている
　者については、第五十条の規定は、同条の規定の施行後六月間は、適用しない。
（法制上の措置）
第七条  政府は、この法律の公布後一年を目途として、第十一条第一項及び第二項に規定する法制上の措置
　を講ずるものとする。
　（内閣府設置法の一部改正）
第八条  内閣府設置法の一部を次のように改正する。
　　第四条第三項中第六十一号を第六十二号とし、第三十九号から第六十号までを一号ずつ繰り下げ、第三
　十八号の次に次の一号を加える。
　　三十九  個人情報の保護に関する基本方針（個人情報の保護に関する法律（平成十三年法律第　　　号
　　　）第十二条第一項に規定するものをいう。）の作成及び推進に関すること。
　　第十一条中「第三項第六十号」を「第三項第六十一号」に改める。
　　第三十八条第一項第一号中「並びに市民活動の促進」を「、市民活動の促進並びに個人情報の適正な取
　扱いの確保」に改め、同項第三号中「（昭和四十八年法律第百二十一号）」の下に「及び個人情報の保護
　に関する法律」を加える。
　　附則第一条ただし書中「第四条第三項第五十三号」を「第四条第三項第五十四号」に改める。

理　由
  高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の有用性
に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いに関し、基本原則及び政府による
基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務
等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定める必要がある。これが、
この法律案を提出する理由である。

「個人情報の保護に関する法律案」Ｑ＆Ａ　---内閣作成---

このＱ＆Ａは、昨年３月２７日に国会に提出された「個人情報の保護に関する法律案」について、その背景や考え方等を御理解いただくため、できるだけわかりやすく応答形式で解説したものです。Ｑ＆Ａは、法案を立案した担当室の考え方を示すものであり、法案の成立後、国会における審議等を踏まえて、改めて内容を見直すことがあり得ますので、その旨御留意ください。 　また、御意見・御要望に応じてＱ＆Ａを追加することとしておりますので、下の様式を利用して、法案に関する御意見・疑問点をお寄せください。重要なご意見あるいは共通的な御意見等について順次Ｑ＆Ａを追加していくこととしています。（いただいた御質問について質問者に個別に回答することは予定しておりません。）

法案に関する御意見・疑問点はこちらをクリックして下さい

Ｑ１　この法案の背景・必要性は何ですか。

（Ａ）

１．

近年、民間企業や行政機関等全般にわたり、コンピュータやネットワークを利用して、大量の個人情報を処理しており、こうした個人情報の取扱いは今後益々拡大していくものと考えられます。 　個人情報は、いったん誤った取扱いをされると、個人に取り返しのつかない被害を及ぼすおそれがあります。実際、企業の顧客名簿などの個人情報が大量に流出するといった問題が相次いだり、個人情報が売買の対象とされたりしているケースも生じ、個人情報の取扱いに対する社会的な不安感が広がっています。 　そこで、国民が安心してＩＴ社会の便益が受けられるよう、個人情報の適正な取扱いのルールを定め、国民の権利利益の侵害を未然に防止しようとするものです。

２．	また、国際的にも、個人情報保護に関する各種の取組が進められており、特にＥＵにおいては、近年、個人情報の保護のレベルが十分でない第三国への個人情報の移転を制限する方針を打ち出しています。こうした状況や電子商取引の急速な拡大等を背景に、国際的にも整合性を保った国内法制の整備が急務となっています。

３．	以上のような状況を踏まえ、本法律案は、より良いＩＴ社会の実現に向け、その制度的基盤の１つとして、個人情報保護のための仕組みを整備しようとするものです。

Ｑ２　この法律案の骨格はどのようになっていますか。

（Ａ）

１．	この法律案では、まず、公的部門・民間部門を通じ、個人情報を取り扱うすべての者が、個人情報の取扱いに当たって、個人情報の保護のために自ら努力すべき一般ルールを「基本原則」として定めています。 　さらに、特に、個人情報をコンピュータ・データベースなどに入れて事業に用いている事業者（「個人情報取扱事業者」）については、「個人情報取扱事業者の義務」の規定を設け、より具体的で明確なルールを定めています。

２．	なお、公的部門の個人情報の取扱いについては、昭和６３年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」（行政機関個人情報保護法）が制定されていますが、この法律案が閣議決定されたことを踏まえ、行政機関個人情報保護法の改正案と独立行政法人等個人情報保護法案が今国会に提出されています。 　また、地方公共団体についても、条例等の整備の努力義務を定めています（Ｑ17参照）。

Ｑ３　事業分野ごとの個別法で措置するのではなく、あらゆる事業分野を包括的に対象とする法律とするのはなぜですか。

（Ａ）

１．	近年、業種業態を問わずあらゆる事業分野において、ＩＴを活用した大量かつ多様な個人情報が広く流通し、利用されるようになっています。 　これらの中には、いわゆる事業法が制定されていないものも少なくなく、個別の事業法で個人情報保護を図ろうとすれば、事業法がない分野の事業者には何ら実効的な規律が及ばず、個人の権利利益保護に欠けることとなります。

２．	ＩＴ社会における個人の権利利益保護を図るためには、本法案のように、あらゆる事業分野を対象とした上で、具体的な活動に支障の生ずる分野・活動について適用関係の調整を図ることが適当かつ有効と考えられます。

Ｑ４　どのような個人情報が､この法律の対象となるのですか。

（Ａ）

１．	現に生存している個人に関する情報であって、特定の個人を識別することができるものが、この法律案の対象となります。氏名、住所、生年月日等が典型例ですが、これに限らず、特定の個人を識別することができる限り、個人の身体、財産、社会的地位等に関する事実、評価を表す情報等もこの法律案の対象となります。

２．	なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報として、この法律案の対象となります。

Ｑ５　この法律ができると、消費者にはどのようなメリットがあるのですか。 　　　個人情報の取扱いについて問題がある場合、どこに申し出ればよいのでしょうか。

（Ａ）

１．	一般消費者との関係では、例えば、企業が保有している顧客情報等は、原則として、本人の同意のない第三者に提供することを禁じており、身に覚えのない企業等から自分の個人情報を知っているとしか思えないような内容のダイレクトメールが来ること等を防止することをねらいとしています。

２．	そして、個人情報取扱事業者の個人情報の取扱いについて問題がある場合、直接その事業者に苦情を申し出て、是正を求めることができます。 　また、自分のデータについてチェックできるよう、原則としてその内容の開示や訂正、利用停止を求めることも認められます。

３．	さらに、認定個人情報保護団体や地方公共団体が設置する消費者相談機関等に苦情の処理を申し出ることができます。

４．	そうした機関や団体を利用しても個人情報取扱事業者による個人情報の適正な取扱いが実現されない場合には、最終的には主務大臣が勧告、命令等の措置をとることができるほか、開示等の実施に関しては、裁判手続を利用することが可能です。

Ｑ６　「基本原則」とは何ですか。個人が個人情報を取り扱う場合には､どのような義務が生じるのですか。

（Ａ）

１．	個人情報は個人の人格尊重の理念の下に慎重に取り扱われるべきものです。 　そこで、この法律案では、�@「利用目的による制限」、�A「適正な取得」、�B「正確性の確保」、�C「安全性の確保」、�D「透明性の確保」の５つの「基本原則」を定めています。

２．	「基本原則」では、全ての個人、団体、法人、機関が個人情報の保護のために、自ら、この５つの原則に則して、個人情報の適正な取扱いを行うよう努力すべきことを定めています。 　具体的にどのような取扱いが適正であるかは、自ら、公益上の必要性や正当な事業活動の必要性を考慮しつつ、個人情報の保護の必要な範囲を判断していただくこととなります。

３．	したがって、基本原則は、具体的な義務を課すものではなく、公益上必要な活動又は正当な事業活動における個人情報の取扱いを制限するものではありません。

Ｑ７　報道機関に「基本原則」が適用されると、取材・報道活動に支障が出るのではないでしょうか。

（Ａ）

１．	「基本原則」は、個人情報の有用性（報道目的を含むことは当然）に配慮しつつ、官民を問わず個人情報を取り扱う全ての者が、自ら、個人情報の適正な取扱いを行うよう努力すべきことを定めています。 　すなわち、「基本原則」は、これに基づいて具体的な義務が課されるものではなく、公権力の関与や罰則も一切ありません。

２．	したがって、報道機関については、例えば「適正な取得」に関して、報道の重要性（公益性等）、取材の困難度、本人の権利利益保護の必要性等を考慮して自らの判断で適切な取材方法を選択するなどの努力を求めるものにとどまり、報道機関の取材・報道活動の制限とはなりません。

Ｑ８　どのような事業者に「個人情報取扱事業者の義務」が適用されるのですか。

（Ａ）

１．	この法律案では、「個人情報取扱事業者の義務」の規定が適用されるのは、個人情報をコンピュータなどを用いて検索することができるように体系的に構成した「個人情報データベース等」を事業の用に供している事業者となっています。

２．	ただし、これらの事業者のうち、取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者は、適用対象から除外されることとなります。 　政令では､個人情報データベース等として利用されている個人情報によって識別される本人の数を基準とすることが予定されています。具体的な数については国会等での議論を踏まえて定めることになります。

３．	また、別の法律や条例により個人情報の保護が図られることとなる国の行政機関や地方公共団体等についても、この「個人情報取扱事業者」からは除外されます。

４．	この「個人情報取扱事業者」に該当する者に対しては、利用目的による制限、個人情報の取得に際しての利用目的の通知等、安全管理措置、第三者提供の制限、開示、訂正、利用停止などの具体的な義務の規定が適用されることとなります。 　なお、個人情報取扱事業者に該当しない者であっても､「基本原則」にのっとって個人情報を適正に取り扱う努力義務はあります。

Ｑ９　個人情報を第三者に提供する場合には、必ず本人の同意を得ることとなるのですか。

（Ａ）

１．	近年の情報通信技術の発達は、個人情報の流通範囲、利用可能性を飛躍的に拡大させ、特に、いわゆるデータベースのようにコンピュータなどを用いて検索が可能な状態にある個人情報（「個人データ」）が無制限に第三者に提供された場合には、本人に関する他のデータとの結合・加工が容易であることから、本人にとって不測の権利利益侵害をもたらす可能性が増大することとなります。

２．	したがって、この法律案では、個人情報取扱事業者が個人データを第三者に提供することは、本人の権利利益の保護という観点から、特に注意すべき行為と位置付け、原則として本人の同意を得るべきこととしたものです。

３．	しかしながら、個人データを第三者に提供すること自体は、必ずしも直ちに個人の権利利益を侵害するものとは言えないため、例えば、人の生命、身体又は財産の保護といった他に保護すべき明確な権利利益が存在する場合には、同意を得なくても提供することができます。

４．	また、本人の求めに応じて個人データの第三者への提供を停止することとしている場合には、第三者に提供される個人データの種類や提供方法等をあらかじめ明らかにしておくことにより、事前に本人の同意を得なくても、第三者への提供を行うことができることとしています。

Ｑ10　本人から個人情報の開示の求めがあった場合、必ず開示されるのですか。

（Ａ）

１．	この法律案では､「個人情報取扱事業者」（個人情報データベース等を事業の用に供する者）は、本人から自己のデータについて開示の求めがあったときは、次の�@から�Bに該当する場合を除き、原則として、その求めに応じることを義務付けています。

（開示をしなくてもよい場合）

（１）	本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合（例えば、本人に関する情報の中に第三者の情報が含まれており、開示することが第三者にとって不利益となる場合など。）

（２）	当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれ（※）がある場合（例えば、保有個人データの中に評価又は判断等が含まれている場合であって、開示することにより試験又は人事管理等の業務の実施に著しい支障を及ぼすおそれがある場合など。）

（３）	他の法令に違反することとなる場合

２．	開示・不開示の判断は、一次的には個人情報取扱事業者が行いますが、上記１．の客観的な基準に基づき適正に判断する必要があり、その判断を恣意的に行うことは認めていません。

（※）	「支障を及ぼすおそれ」等は、社会通念等の客観的な経験則等により判断する必要があり、事業者の主観的・恣意的な判断を許容するものではありません。

Ｑ11　「認定個人情報保護団体」とはどのような団体ですか。

（Ａ）

１．	この法律案では、民間分野における個人情報の保護に関して、民間団体による自主的な取組を尊重し、政府等が支援していくことを基本的な考え方としています。

２．	「認定個人情報保護団体」の制度は、こうした考え方に沿って、苦情の処理をはじめ個人情報の適正な取扱いの確保を目的として業務を行う民間の団体に対し、その申請に基づき主務大臣が認定する制度を設け、個人情報の保護を推進しようとするものです。

３．	主務大臣が一定の基準を満たす民間団体を「認定個人情報保護団体」として認定することにより、個人にとっては、安心して苦情を申し出ることができる窓口が明示されることになります。また、認定を受ける団体やその団体の苦情処理の対象となる事業者にとっても、業務に対する信頼性が得られることとなります。

Ｑ12　報道、学術研究、宗教、政治の各分野についての「個人情報取扱事業　　者の義務」の適用はどのようになっていますか。

（Ａ）

１．	第５章の「個人情報取扱事業者の義務」は、大量の個人情報データベース等を用いて事業の用に供している事業者に対する義務を規定するものであり、報道機関､学術研究機関等、宗教団体､政治団体については、それぞれ、もっぱら報道､学術研究､宗教活動､政治活動の用に供する目的以外の目的で個人情報を取り扱う場合を除き､その適用が除外されています。

２．	また、各分野の周辺の取扱いで第５章の「個人情報取扱事業者の義務」の適用を受ける個人情報の取扱いであっても、表現の自由、学問の自由、信教の自由及び政治活動の自由に関わる活動について、主務大臣が勧告・命令等を行う場合において、これらの活動の自由を妨げることがないよう配慮することを義務付けています。

Ｑ13　「報道」の概念が不明確であり、報道機関に対する行政権力の恣意的介入を招くのではありませんか。

（Ａ）

１．	この法案で、「報道」とは「不特定かつ多数の者に対して客観的事実を事実として知らせること又は客観的事実を知らせるとともにこれに基づいて意見もしくは見解を述べること」をいうものであり、恣意的な判断の余地はありません。

２．	個人情報保護法案における個人情報取扱事業者の義務は、個人の権利利益の侵害が発生することを防止するためのものであり、主務大臣が勧告、命令等を行うことにより、その履行を担保しています。報道機関については、憲法が禁止する検閲となることのないよう、主務大臣の関与がある義務規定の適用を除外しており、行政機関の恣意的介入を招くおそれはありません。

Ｑ14　「報道」であるか否かについて争いが生じた場合、行政機関が「報道」に当たるかどうか判断するのですか。

（Ａ）

１．	義務規定の適用除外となる「報道」であるか否かについては、Q13(A)1のような報道を一部でも目的としているかにより判断されます。まずは個人情報を取り扱う事業者本人が判断し、その判断をめぐって当事者間で争いが生じた場合には、当事者間で判断されることとなります。

２．	仮に、争いが行政機関に持ち込まれることがあるとしても、その際は、第40条により、主務大臣の命令等に際して広く表現の自由に関わる活動を妨げることがないよう配慮義務が課されており、行政の関与は制限されています。

Ｑ15　出版社や、フリーのジャーナリストは、報道機関として、「個人情報取扱事業者の義務」が適用除外とならないのですか。

（Ａ）

１．	義務規定の適用が除外される「報道機関」とは、「報道を業として行う機関」であり、条文に例示されている「放送機関、新聞社、通信社」に限定されるものではありません。

２．	報道を行う雑誌等を発行する場合の出版社、報道を行う場合のフリージャーナリストは、いずれも「報道機関」に該当し、義務規定の適用が除外されます。

Ｑ16　報道機関が義務規定の適用除外となっても、取材の相手方に義務規定が適用されれば、情報提供者が萎縮して必要な情報が得られなくなるのではないでしょうか。

（Ａ）

１．	取材相手が「個人情報取扱事業者」に該当する場合は、同人には、第三者提供の原則禁止を始めとする義務規定が適用されます。

２．	しかしながら、公権力により報道の自由が侵害されるといった問題については、法案第４０条の表現の自由に対する配慮義務により取材相手に対する主務大臣の関与が制限されることから、そのような問題が生ずる余地はありません。

Ｑ17　国の行政機関や地方公共団体の保有する個人情報については、どのように保護されるのですか。

（Ａ）

１．	国の行政機関が保有する個人情報については、昭和６３年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」（行政機関個人情報保護法）が制定されており、すでにこの法律に基づき個人情報保護の制度が整備されています。

２．	しかし、今回、公的部門・民間部門を通ずる基本原則と、民間部門の新たな個人情報保護制度を含む法制が整備されることにかんがみ、公的部門によりふさわしい制度とする観点から、現行法を大幅に充実強化した｢行政機関の保有する個人情報の保護に関する法律案｣等関連4法案を今国会に提出したところです。（※）。

（※）	「行政機関の保有する個人情報の保護に関する法律案」、「独立行政法人等の保有する個人情報の保護に関する法律案」、「情報公開・個人情報保護審査会設置法案」、「行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律案」

３．	また、地方公共団体が保有する個人情報については、平成１３年４月現在、６０．１％の地方公共団体において個人情報保護条例が制定され、その適正な取扱いが図られています（※※）。 　この法律案では、地方公共団体に対しても、保有する個人情報の性質、目的等を勘案し、その適正な取扱いが確保されるよう必要な措置を講ずることが求められており、今後、各地方公共団体で個人情報保護条例の制定・見直しなどの取組が行われることとなります。

（※※）	団体が定める規則や規程によるものを含めると７９．６％

Ｑ18　この法律案では民間事業者に対する罰則が設けられているのに、行政機関を対象とする法案には罰則がありません。民間部門の規律に比べ、行政機関の規律が甘いのではないでしょうか。

（Ａ）

１．	行政機関については、個人の秘密の漏えいに関し既に国家公務員法に守秘義務と罰則（懲役1年以下）が設けられています。

２．	これに対し、民間部門については、一般的な守秘義務制度はありません。民間部門については漏えい行為等に対し、まず自主的な是正を求めており、直接罰則で担保する仕組みは設けていません。しかし、悪質な事業者等が、主務大臣からの助言、勧告、改善命令等にも応ぜず自ら改善しようとしない場合、その改善命令を守らないことに対する罰則（懲役６月以下）を規定しています。

３．	このように、官民の性格の違いにより制度が異なっているのであり、民に比べ官が甘いとの指摘は当たりません。

Ｑ19　この法律はいつから施行されるのですか。

（Ａ）

１．	この法律案は、平成１３年３月２７日に政府案として閣議決定され、国会に提出されています。

２．	法律案では､「基本原則」や、国や地方公共団体が行う「個人情報の保護に関する施策等」などに関する規定の部分（第１章から第４章）は、成立後、公布の日から施行することとされています。

３．	また、「個人情報取扱事業者の義務」などに関する規定の部分（第５章から第７章）は、成立後、公布の日から２年以内で政令で定める日から施行することとなります。これは、「個人情報取扱事業者の義務」の実施に当たっては、各事業者において一定の準備が必要であることから、２年近くの準備期間を設けることとしたものです。