個人情報の保護に関する法律（案）が国会に提出されました。
そこで、昨年１０月に情報通信技術（ＩＴ）戦略本部　個人情報保護法制化専門委員会が作成した大綱と法案を対比することによって、法の趣旨を確認しようと、表を作成してみました。
なお、この原本は、一太郎版でダウンロードできます。また、法案は、http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/pdfs/327houan.pdfへどうぞ。

個人情報の保護に関する法律（案）第１５１回通常国会提出法案閣法第90号閣議決定日　平成13年3月27日国会提出日　平成13年3月27日（提出　内閣府）	個人情報保護基本法制に関する大綱平成１２年１０月１１日情報通信技術（ＩＴ）戦略本部個人情報保護法制化専門委員会
提出理由　高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いに関し、基本原則及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定める必要がある。これが、この法律案を提出する理由である。	はじめに　近年、情報通信技術の発展により、電子化された情報を情報通信ネットワークを介して大量かつ迅速に処理することが可能となり、個人情報の保護の必要性が一層高まってきている。　このため、「高度情報通信社会推進に向けた基本方針」（平成10年11月9日高度情報通信社会推進本部決定）において、電子商取引等推進のための環境整備の一環として、個人情報の保護について、民間による自主的取組みを促進するとともに、法律による規制も視野に入れた検討を行っていくこととされた。平成11年4月には、この基本方針のアクション・プランが決定され、これに基づき、政府は、高度情報通信社会推進本部（現情報通信技術（ＩＴ）戦略本部）の下に個人情報保護検討部会（平成11年7月14日高度情報通信社会推進本部長決定、座長：堀部政男中央大学教授）を開催し、同部会において、「我が国における個人情報保護システムの在り方について（中間報告）」（平成11年11月19日）が取りまとめられた。この中で、我が国の個人情報保護システムの中核となる基本原則等を確立するため、全分野を包括する基本法を制定することが必要であり、法制的な観点からの専門的な検討のための体制を整備すべき旨が指摘されたところである。　この中間報告を受けて、政府は、基本的な法制について具体的な検討を進める旨を決定し、高度情報通信社会推進本部の下に個人情報保護法制化専門委員会（以下「本委員会」という。）が開催された（平成12年1月27日高度情報通信社会推進本部長決定）。本委員会では、法制化に向けての専門的な検討を重ね、本年6月には、「個人情報保護基本法制に関する大綱案（中間整理）」を公表した。本委員会は、その後、この中間整理について、国民、関係団体、関係省庁等から意見を聴取し、更に調査審議を行った結果、第28回会議において「個人情報保護基本法制に関する大綱」を決定したところである。　本委員会の意見は、「個人情報保護基本法制に関する大綱」のとおりであるが、特に以下の点を強調しておきたい。　政府は、情報通信技術（ＩＴ）戦略本部を内閣に置き、政府全体での総合的な施策を一段と積極的に推進することとしている。情報通信技術の活用は、世界規模で推進されており、また、我が国経済社会の発展等のために欠かせないものである。個人情報について、このような情報通信技術を用いて処理し、利用することは、事業活動等の面でも国民生活の面でも欠かせないものであるが、個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人の権利利益と密接に関わるものであることから、こうした個人情報の有用性に配慮しつつも、個人情報の保護を図るための仕組みを整備することが不可欠である。　本大綱では、個人情報の適正な取扱いの基本となる原則を確立し、個人情報を取り扱う者の自主的な努力を促すとともに、政府の総合的な施策の展開に当たっての枠組みを明確にすることとしている。加えて、主に情報通信技術を活用し個人情報を事業の用に供している一定の事業者に対する必要最小限度の規律を設け、第一義的に事業者に対して自ら個人情報の適切な保護を行うことを求めるとともに、個人情報の本人による一定の関与と主務大臣の指示等によるチェックの仕組みを設けることとしている。　本大綱は、今後政府が個人情報保護に関する基本法制を立案するに当たって、その骨格となる事項の趣旨についてまとめたものである。このため、制度の細部等については、政府の立案段階における立法技術的な観点からの検討にゆだねている。また、個人情報の性質、利用方法等に照らし、本基本法制より厳重な保護が必要な場合等別途の措置が必要なものについては、個別の法制上の措置その他の必要な措置を講ずべきことを求めている。さらに、行政機関や独立行政法人等が保有する個人情報については、別途の法制上の措置等が講ぜられることも必要である。　したがって、政府においては、本大綱の趣旨に沿って、個人情報保護に関する基本法制の早期成立に向けて直ちに立案作業に着手するとともに、その他の課題についても、個人情報保護をめぐる実態を勘案し、迅速かつ的確に対応するよう要請する。
目次第一章　総則（第一条・第二条）第二章　基本原則（第三条―第八条）第三章　国及び地方公共団体の責務等（第九条―第十一条）第四章　個人情報の保護に関する施策等　第一節　個人情報の保護に関する基本方針（第十二条）　第二節　国の施策（第十三条―第十五条）　第三節　地方公共団体の施策（第十六条―第十八条）　第四節　国及び地方公共団体の協力（第十九条）第五章　個人情報取扱事業者の義務等　第一節　個人情報取扱事業者の義務（第二十条―第四十一条）　第二節　民間団体による個人情報の保護の推進（第四十二条―第五十四条）第六章　雑則（第五十五条―六十条）第七章　罰則（第六十一条―第六十四条）附則
第一章　総則	１．目的
（目的）第一条　この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本原則及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。	高度情報通信社会の進展の下、個人情報（個人に関する情報であって、個人が識別可能なものをいう。）の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の適正な取扱いに関し基本となる事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。近年の我が国における、コンピュータやインターネット等を用いた情報通信技術の発展、普及は目覚ましいものがあるが、このような情報通信技術は大量かつ高度に処理された情報を迅速かつ広範に流通させ、その利用を可能とするものであり、経済社会の発展等に大きく貢献することが期待されている。情報通信技術の活用による大量かつ多様な個人情報の流通、蓄積、利用は、個人ニーズの事業等への的確な反映や迅速なサービス等の提供を実現し、事業活動等の面でも国民生活の面でも欠かせないものとなっているが、反面、その取扱いの態様によっては、個人の権利利益を損なうおそれをも増大させている。本基本法制においては、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とし、個人情報の適正な取扱いに関し基本となる原則、個人情報取扱事業者（仮称）の義務、政府が講ずべき措置等の基本的事項を定めることとしている。
（定義）第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。２　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。　一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの　二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの３　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。　一　国の機関　二　地方公共団体　三　独立行政法人（独立行政法人通則法（平成十一年法律第百三号）第二条第一項に規定する独立行政法人をいう。以下同じ。）のうち別に法律で定めるもの　四　特殊法人（法律により直接に設立された法人又は特別の法律により特別の設立行為をもって設立された法人であって、総務省設置法（平成十一年法律第九十一号）第四条第十五号の規定の適用を受けるものをいう。以下同じ。）のうち別に法律で定めるもの　五　その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者４　この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。５　この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。６　この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

第二章基本原則	２．基本原則
第三条　個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、個人情報を取り扱う者は、次条から第八条までに規定する基本原則にのっとり、個人情報の適正な取扱いに努めなければならない。	個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人情報を取り扱う者は、次に掲げる原則にのっとり、個人情報の適正な取扱いに努めなければならないものとすること。個人情報は、いわゆるプライバシー又は個人の諸自由に密接に関わる情報であり、その取扱いの態様によっては、個人の人格的、財産的な権利利益を損なうおそれのあるものである。この意味で、すべての個人情報は、個人の人格尊重の理念の下に慎重に取り扱われる必要のあるものである。他方、個人情報は、個人が社会的又は経済的な活動主体として存在する以上、その有用性の観点から、他の活動主体にとっても一定の範囲で取扱いが認められるべきものである。他人の個人情報を取り扱う者（以下「取扱者」という。）は、このような個人情報の性格とその重大性を十分認識し、個人情報の適正な取扱いを自主的に進めることにより、個人情報の保護に努めることが求められる。また、個人情報の種類、取扱いの方法は多様であり、取扱者も広範である。政府等による個人情報の保護に関する制度施策は、このような個人情報とその置かれている環境の多様性に留意しつつも共通の目標に向かって、総合的に推進される必要がある。このため、本基本法制においては、諸外国、国際機関等における法制度、検討の成果等を参考にしつつ、取扱者が個人情報の保護のために自主的な取組を行うに当たっての基本となる原則として、また、政府等が講ずる個人情報の保護に関する総合的な制度施策を展開するに当たっての指針として、個人情報の取扱いについての基本原則を明確に規定することとしている。なお、個人情報の保護に当たって個人情報の有用性に配慮することとしている本基本法制の目的の趣旨に照らし、個々の基本原則は、公益上必要な活動や正当な事業活動等を制限するものではない。基本原則実現のための具体的な方法は、取扱者の自主的な取組によるべきものである。この趣旨は、報道分野における取材活動に伴う個人情報の取扱い等に関しても同様である。
（利用目的による制限）第四条　個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な範囲内で取り扱われなければならない。	(1)利用目的による制限個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。個人情報の適正な取扱いを図る観点からは、まず、個人情報の利用目的が明確にされ、以後、その利用目的の達成に必要な範囲内で取り扱われる必要がある。また、利用目的については、取扱者の内部において明確にされるだけでなく、個人情報において識別される個人が認識できる状態に置かれるとともに、利用の実態をも的確に認識できるよう可能な限り具体的であることが望ましい。利用目的の具体性の程度や目的明確化の方法、利用目的の達成に必要な範囲等については、個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。
（適正な取得）第五条　個人情報は、適法かつ適正な方法で取得されなければならない。	(2)適正な方法による取得個人情報は、適法かつ適正な方法によって取得されること。個人情報は、個人の権利利益を損なうおそれのある情報であることから、その取得は、適法かつ適正な方法によって行われなければならない。何が適正な方法かについては、個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。
（正確性の確保）第六条　個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保たれなければならない。	(3)内容の正確性の確保個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。本原則は、個人情報が不正確なまま利用されることにより個人に不測の権利利益侵害を生ずるおそれがあることから、取扱者に対して、利用目的の達成に必要な範囲内において正確かつ最新の内容とすることを求めるものである。したがって、例えば、過去の事実を記録しておくことが必要であるような場合にまで一律にその最新化を求めるものではない。
（安全性の確保）第七条　個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理のために必要かつ適切な措置が講じられるよう配慮されなければならない。	(4)安全保護措置の実施個人情報は、適切な安全保護措置を講じた上で取り扱われること。本原則は、個人情報がずさんな取扱いにより、漏えい、改ざん等の危険にさらされることのないよう、取扱権限者の明確化等の組織的な対応、セキュリティ確保のためのシステム・機器の整備等の技術的な対応を図ることを求めるものである。なお、安全保護措置のレベルは、個人情報の性質、利用方法等に加え、情報通信技術の発達にも対応した適切なものとすることが求められる。
（透明性の確保）第八条　個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければならない。	(5)透明性の確保個人情報の取扱い（個人情報に関する様々な行為であって、その利用等を含む。）に関しては、個人情報において識別される個人（以下「本人」という。）が適切に関与し得るなどの必要な透明性が確保されること。個人情報の取扱いに関して、本人の権利利益の保護を図るためには、その取扱いに関する責任の所在その他の情報が明らかにされ、本人に開示、訂正等の一定の関与を認める手続が整備される必要があり、そのような観点からの透明性の確保に取扱者自ら努める必要がある。このような考え方は、OECD理事会勧告のガイドラインを始め、諸外国の個人情報保護法制においても広く採り入れられているところである。具体的にどの程度の透明性が必要かについては、その対象となる個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。

第三章国及び地方公共団体の責務等	４．政府の措置及び施策
（国の責務）第九条　国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。
（地方公共団体の責務）第十条　地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。
（法制上の措置等）第十一条　政府は、国の行政機関について、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。２　政府は、独立行政法人及び特殊法人について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。３　政府は、前二項に定めるもののほか、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。	(3)法制上の措置等政府は、個人情報であって、その性質、利用方法等に照らし、特に厳重な保護を要する等、別途の措置が必要なものについては、法制上の措置その他の必要な措置を講ずるものとすること。本基本法制は、多種多様な個人情報の性質や利用方法等を広く一律に捉えた上で、個人情報の取扱いの基本となる原則を明らかにするとともに、高度情報通信社会において個人情報取扱事業者が個人情報を取り扱う際の必要最小限度の規律と自主的な取組を支援するための基盤的制度を整備することにより、個人の権利利益の侵害を事前に防止する仕組みを設けることとしている。しかしながら、個人情報の中には、その不適正な取扱いが直ちに個人の権利利益を損なうおそれの強いものや、個人情報の保護とは別途の観点から本基本法制における各規律とは異なる取扱いをすることが要請されるものなどもあるところである。したがって、政府においては、このような個人情報について、本基本法制を上回る保護の水準を確保する必要がある場合や本基本法制における各規律によることが適当でない場合には、個別に、当該個人情報の性質、利用方法、取扱いの実態等に即して、罰則規定の整備を含め、法制上の措置又は各種の制度施策を必要に応じて講ずべきこととしている（後記６．参照）。 (2)独立行政法人等に対する措置政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本基本法制の趣旨にのっとり、個人情報の保護が推進されるよう、法制上の措置その他の必要な措置を講ずるものとすること。国の行政機関の保有する個人情報の保護については、(1)のとおり、別に法制上の措置を講ずることとし、現行の行政機関個人情報保護法の見直しを求めているが、行政機関と民間事業者との間には、独立行政法人、特殊法人等の様々な法人が存在し、事業運営に当たって個人情報を取り扱っているところである。これらの法人の中には、公的部門に属するものがあると考えられる一方、民間事業者と同様の事業を行っていたり、競争関係にあるものも含まれるなど、その法人の性格や業務の内容が極めて多様なことから、そのような実態に即した規律を設ける観点から、別途、法制上の措置その他の必要な措置を講ずるものとしている。

第四章個人情報の保護に関する施策等	４．政府の措置及び施策
第一節個人情報の保護に関する基本方針
第十二条　政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針（以下「基本方針」という。）を定めなければならない。２　基本方針は、次に掲げる事項について定めるものとする。　一　個人情報の保護に関する施策の推進に関する基本的な方向　二　国が講ずべき個人情報の保護のための措置に関する事項　三　地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項　四　独立行政法人及び特殊法人が講ずべき個人情報の保護のための措置に関する基本的な事項　五　個人情報取扱事業者及び第四十五条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項　六　個人情報の取扱いに関する苦情の円滑な処理に関する事項　七　その他個人情報の保護に関する施策の推進に関する重要事項３　内閣総理大臣は、国民生活審議会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなければならない。４　内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。５　前二項の規定は、基本方針の変更について準用する。	(4)個人情報の保護の推進に関する基本方針の策定等ア．政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護の推進に関する基本方針（以下「基本方針」という。）を定めなければならないものとすること。基本方針は、次に掲げる事項について定めるものとすること。 ①個人情報の保護の推進について講じようとする施策の基本となるべき事項 ②個人情報の保護の推進に関する施策を実施するに当たっての各行政機関の役割③その他個人情報の保護を推進するために必要な事項イ．政府は、基本方針に基づき、次に掲げる措置を講ずるものとすること。 ①個人情報の保護のための取組を支援するために必要な措置 ②個人情報の取扱いに関する国民の理解を深めるために必要な措置 ③個人情報の取扱いに関する苦情が適切かつ迅速に処理されるようにするために必要な措置高度情報通信社会の進展の下、今日、個人情報は、国、地方公共団体のみならず、様々な分野において民間事業者によって広く取り扱われていることから、その適正な取扱いを確保するための施策は、それぞれの分野における個人情報の取扱いの実情等に応じて、関係行政機関が所管行政の観点から分担して推進していくものとする。このため、政府においては、本基本法制の下に、関連する個別の法令や制度施策が全体として総合的かつ一体的に運用されるよう、個人情報の保護の推進に関する基本方針を閣議決定等により策定し、情報通信技術の発展や国際的な取組の動向等に応じて随時見直していく必要がある。この基本方針においては、本基本法制の各規律を基礎として、政策目標の明確化、重点的な取組分野の設定など施策の基本となるべき事項を定めるとともに、各業界等に対する支援や苦情処理等における各行政機関の役割分担、事業者及び地方公共団体が取組を行う際の留意事項などその他必要な事項についても明らかにする必要がある。各行政機関は、この基本方針に基づいて、地方公共団体や事業者における個人情報保護の取組への支援、広報・啓発活動等を通じた国民等への周知、苦情処理に関する施策（事業者団体等における苦情処理窓口の設置促進、適切な苦情処理窓口に関する情報提供等を含む。）等の推進に当たることとする。本基本法制では、事業者の自主的な取組を尊重し、必要最小限度の規律を整備することを基本としている。したがって、各行政機関は、本基本法制に定める各規律や政府が定める基本方針との整合を保ちつつ、所管行政の観点からのガイドラインを策定するなどにより、事業者等による自主的な取組を支援していくことが必要である。
第二節国の施策
（地方公共団体等への支援）第十三条　国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
（苦情処理のための措置）第十四条　国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。
（個人情報の適正な取扱いを確保するための措置）第十五条　国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。
第三節地方公共団体の施策	５．地方公共団体の措置
（保有する個人情報の保護）第十六条　地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。	(1)地方公共団体の保有する個人情報に関する施策地方公共団体は、本基本法制の趣旨にのっとり、その保有する個人情報に関し、個人情報の適正な取扱いを確保するため必要な施策を策定し、これを実施するよう努めなければならないものとすること。地方公共団体が保有する個人情報については、その自主性・自律性を尊重して、本基本法制の趣旨にのっとった自主的な取組が促進される必要がある。本基本法制の趣旨にのっとり、条例が整備されていない地方公共団体においては速やかにその制定に努めるとともに、既に制定済みの地方公共団体においても、一層の充実を図る観点から現行条例の必要な見直しに努める必要がある。
（区域内の事業者等への支援）第十七条　地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。	(2)区域内の事業者及び住民に対する支援等ア．地方公共団体は、個人情報の保護に関し、その区域内に所在する事業者及び住民に対する支援等の施策の実施に努めなければならないものとすること。イ．地方公共団体は、個人情報の取扱いに関して生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせん等必要な施策を講ずるよう努めなければならないものとすること。地方公共団体は住民に身近な行政主体として、その区域内に所在する事業者及び住民の実情に応じた支援等の施策の実施に努めることが望まれる。地方公共団体は多種多様な事業者に係る案件に対応でき、また、地域住民にとっても、直接接する機会の多い地方公共団体に苦情を相談することが簡便と考えられることから、地方公共団体は、事業者と住民との間の個人情報の取扱いに関して生じた苦情に関し、的確な情報の提供や助言、処理のあっせん等に努めることとする。また、苦情処理に係る国、都道府県及び市町村の役割分担については、既存のネットワーク等を活用することも念頭に、地方公共団体の実情等も考慮して今後政府において検討する必要がある。
（苦情の処理のあっせん等）第十八条　地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。

第四節国及び地方公共団体の協力
第十九条　国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。	(3)国及び地方公共団体の協力国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとすること。個人情報をめぐる問題は、国民全体の問題であるとともに、地域住民の問題でもある。したがって、本基本法制を中心とする個人情報の保護に関する制度施策の展開に当たっては、国と地方公共団体の密接な連携と協力が不可欠である。国及び地方公共団体は、個人情報の保護に関し、意見や情報の交換を行う等により、本基本法制に基づく制度施策が、地域の実情に即しつつ、総合的に講ぜられる必要がある。

第五章個人情報取扱事業者の義務等	３．個人情報取扱事業者（仮称）の義務等
第一節個人情報取扱事業者の義務	現在、民間事業者等は日常的な取引に伴い、又は調査等により、大量の個人情報を取得し、蓄積している。近年の情報通信技術の発展は、これらの個人情報について、顧客管理等への利用にとどまらず、顧客サービスや経営効率の改善、新規事業の開発等への利用の観点から大量かつ高度な処理を可能にするとともに、事業の展開に対応した広範な流通をも可能にしてきている。民間事業者等によるこのような個人情報の利用は、今や事業活動に欠かせないものであり、高度情報通信社会においては、個人の便益を飛躍的に増大させ経済社会の発展に資するものであるが、一方、その取扱いの態様によっては、個人の権利利益を損なうおそれをも増大させている。このため、本基本法制においては、民間事業者等のうち、電子計算機等を用いて検索することができるよう体系化された個人情報の集合物（以下「個人情報データベース等」という。）を事業の用に供している一定の事業者（以下「個人情報取扱事業者」（仮称）という。）を特に法制度の整備の緊要度が高い者として位置付け、それらに対する必要な制度を整備するものである。基本法制としての性格上、個人情報取扱事業者の義務は必要最小限度となっており、個人情報取扱事業者やその事業者団体においては、３．の規定が定める以上の充実した保護措置を自主的に講ずるよう努力することが求められる。なお、個人情報データベース等には、電子計算機を用いる場合に匹敵する検索等の処理が可能であるマニュアル処理情報を含むものとする。また、３．の規定の対象を一定の事業者とするのは、単にアクセスすることのみが許されており、データの変更、移転等ができない事業者や専ら小規模の個人情報データベース等のみを取り扱う事業者等を除く趣旨である。
（利用目的の特定）第二十条　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。２　個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。	(1)利用目的による制限及び適正な取得ア．個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的を明確にするとともに、当該利用目的の達成に必要な範囲内で個人情報の取得、処理その他の個人情報の取扱いを行わなければならないものとすること。イ．個人情報取扱事業者は、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないものとすること。ウ．個人情報取扱事業者は、個人情報を取得する場合には、利用目的を本人に通知し、又は公表その他本人が容易に知り得る状態にすること（以下「公表等」という。）を行わなければならないものとすること。このうち、本人との契約の締結に伴い、又は調査等により本人から直接個人情報を取得する場合には、原則として、あらかじめ利用目的を明示しなければならないものとすること。ただし、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合等は、この限りでないものとすること。エ．以下の場合について、本項ア、イ、ウを適用しないものとすること。 ①あらかじめ本人の同意がある場合 ②生命、身体又は財産の保護のために緊急に必要がある場合オ．個人情報取扱事業者は、適法かつ適正な方法によって個人情報を取得しなければならないものとすること。基本原則における「利用目的による制限」及び「適正な方法による取得」に沿って、個人情報取扱事業者の具体的な義務を明確化したものである。ただし、第三者に提供すること自体を目的とする個人情報の取扱いについては、上記アに加え、後述の(3)による必要がある。個人情報の利用目的の変更を無制限に認めた場合、目的による拘束性を制度化する実質的意味は減殺される。このため、目的変更は、当初の利用目的との関連性があり、かつ、本人に不測かつ不当な権利利益の侵害を生じさせるおそれがない範囲内にとどめるべきであることから、社会通念上、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないこととしている。明確化された利用目的は、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合等を除き、通知、公表等により少なくとも本人が容易に知り得る状態に置かれる必要がある。特に相対による契約締結やアンケート調査等の場合のように個人情報取扱事業者が本人から個人情報を取得する場合においては、容易に利用目的を明らかにできることから、原則としてその際に明示することを義務付けることとしている。「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が行うものであるが、個人情報取扱事業者の恣意的判断を容認するものではなく、一般的な蓋然性が必要であるとともに、客観的な利益衡量が必要である。多様な分野における「正当な利益を害するおそれ」や「業務の適正な実施に支障を及ぼすおそれ」の具体的内容については、実際の運用に当たってガイドラインを活用するなどにより、可能な限り明確化していくことが望ましいものと考えられる。なお、以下の項における「おそれ」の有無の判断に関する趣旨についても同じである。また、「公表等」には、インターネット上での公表、パンフレットの配布、書面の掲示・備付け、本人からの問い合わせへの回答などが含まれるものであり、以下の項においても同じである。
（利用目的による制限）第二十一条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。３　前二項の規定は、次に掲げる場合については、適用しない。　一　法令に基づく場合　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
（適正な取得）第二十二条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。	(2)適正な管理ア．個人情報取扱事業者は、個人情報データベース等を構成する個人情報（以下「個人データ」という。）について、利用目的の達成に必要な範囲内において正確かつ最新の内容に保つよう努めなければならないものとすること。イ．個人情報取扱事業者は、個人データの保護のために必要な措置を講ずるよう努めるとともに、個人データの取扱いに従事する者に対して個人データの保護に必要な措置が適切に講ぜられるよう監督しなければならないものとすること。ウ．個人情報取扱事業者は、個人データの取扱いの全部又は一部を第三者に委託する場合には、委託先の選定に配慮し、必要な監督等を行わなければならないものとすること。基本原則における「内容の正確性の確保」及び「安全保護措置の実施」に沿って、個人情報取扱事業者の具体的な義務等を明確化したものである。基本原則(4)において触れたとおり、取扱者はすべて適切な安全保護措置を自主的に講ずべき努力義務が課されるが、特に個人情報取扱事業者においては、政府や事業者団体のガイドライン等に沿って、適切な措置を講ずるよう努めなければならないこととなる。また、イの後段及びウは、個人情報取扱事業者にはその従業員及び委託先に対して個人データの取扱いに関する監督責任があることを明確にしている。
（取得に際しての利用目的の通知等）第二十三条　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。２　個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。３　個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。４　前三項の規定は、次に掲げる場合については、適用しない。一利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合二利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合三国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。四取得の状況からみて利用目的が明らかであると認められる場合
（データ内容の正確性の確保）第二十四条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
（安全管理措置）第二十五条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
（従業者の監督）第二十六条　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
（委託先の監督）第二十七条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
（第三者提供の制限）第二十八条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。　一　法令に基づく場合　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次の各号に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。　一　第三者への提供を利用目的とすること。　二　第三者に提供される個人データの項目　三　第三者への提供の手段又は方法四本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。３　個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。４　次の各号に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。　一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合　二　合併その他の事由による事業の承継に伴って個人データが提供される場合　三　個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。５　個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。	(3)第三者提供の制限ア．個人情報取扱事業者は、個人データを第三者に提供してはならないものとすること。ただし、あらかじめ本人の同意がある場合、生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでないものとすること。イ．以下の場合について、本項アを適用しないものとすること。 ①営業譲渡、分社等により営業資産の一部として個人データを引き継ぐ場合 ②明確化された利用目的を達成するために当該個人情報取扱事業者と共同し、又はその委託により個人データを取り扱う場合 ③個人データを特定の者との間で相互に利用する場合であって、あらかじめその利用目的及び提供先等について本人に通知され、又は公表等が行われている場合④個人情報取扱事業者が第三者提供を目的として個人情報を取得する場合のうち、本人からの提供停止等の求めに応じて原則として当該個人情報の提供停止その他の適切な措置を講ずることとされている場合であって、あらかじめその旨、第三者提供の方法等について本人に通知され、又は公表等が行われている場合個人情報取扱事業者が個人情報を第三者に提供することは、その後、当該個人情報がどのように使われ、どのように流通するか分からない状況に置くこととなり、個人の権利利益の侵害のおそれがより高くなる。したがって、正当と認められる一定の場合を除き、これを禁止しようとするものである。一定の場合としては、本人の同意がある場合、緊急性のある場合のほか、①、②のように本人との関係において、取扱主体としての地位が承継されると認められる場合、あるいは、取扱主体と協力して利用目的を達成するなどその地位を同時に有していると認められる場合が該当する。また、③のように、一定の契約関係等の下に、取扱主体が複数あっても、個人データが共有される事業者の範囲、利用目的等その責任範囲等についてあらかじめ通知、公表等により明確になっている場合も適用を除外することが適当である。さらに、④のように、第三者提供自体を利用目的として取得された個人情報について原則的に本人の求めに応じて提供停止等が行われる場合で、あらかじめ、そうした取扱いが行われることや第三者に提供する方法等について本人が認識することができる場合には、本人の権利利益が不当に損なわれることを防止できることから、第三者提供の制限から除外することが適当である。
（保有個人データに関する事項の公表等）第二十九条　個人情報取扱事業者は、保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。　一　当該個人情報取扱事業者の氏名又は名称　二　すべての保有個人データの利用目的（第二十三条第四項第一号から第三号までに該当する場合を除く。）　三　次項、次条第一項、第三十一条第一項又は第三十二条第一項若しくは第二項の規定による求めに応じる手続（第三十五条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。）　四　前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。　一　前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合　二　第二十三条第四項第一号から第三号までに該当する場合３　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。	(4)公表等ア．個人情報取扱事業者は、個人データに関して、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合、本人に通知する場合等を除き、次に掲げる事項について公表等を行わなければならないものとすること。 ①利用目的 ②個人情報の保有に責任を有する事業者名 ③開示等に必要な手続 ④その他個人情報の保護を図るために必要な事項イ．個人情報取扱事業者は、本人に通知し、又は公表等を行った事項を変更する場合には、軽微な変更であるとき又は本人に通知するとき等を除き、変更する事項について公表等を行わなければならないものとすること。基本原則における「透明性の確保」の観点から、個人情報取扱事業者の具体的な義務として、保有する個人データに関して対外的に明らかにすべき事項を定めるものである。「透明性の確保」は、通知、公表等や本人からの求めによる開示、訂正等を含むが、前者は後者の基礎となる仕組みであるとともに、個人情報取扱事業者自らがその個人情報の取扱いに関する事項を対外的に明らかにすることにより、取扱いの公正性の確保を図るものである。特に、②「個人情報の保有に責任を有する事業者名」は、対外的な責任の主体を明確にするための事項である。③「開示等に必要な手続」の内容は、開示、訂正等及び利用停止等における本人関与の実施に当たって必要となる事項であり、本人が行う求めの方法、本人の確認方法、実施に必要な期間、手数料を徴収する場合の額等が考えられる。また、④「その他個人情報の保護を図るために必要な事項」の内容は、苦情等の受付窓口の所在や個人情報の取扱方針等が想定されるが、社会的な要請度や個人情報取扱事業者の取組の実態も考慮して、具体化していく必要があると考えられる。通知、公表等は、原則として、個人データが利用されるまでには行われる必要があると考えられる。なお、本項は、①～④の各事項について、取得の際等に、既に通知、公表等を行っている場合、改めて公表等を求めるものではない。また、公表等に当たっては、個人情報取扱事業者の有する営業秘密等の正当な利益や適正な業務の実施等、法的に保護されるべき利益との調整が必要になる場合があることから、「個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合」等を除いている。
（開示）第三十条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示（当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。）を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。　一　本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合　二　当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合三他の法令に違反することとなる場合２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。３　他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は適用しない。	(5)開示ア．個人情報取扱事業者は、本人から自己の個人データについて開示の求めがあった場合において、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、本人に対し、当該個人データを開示しなければならないものとすること。イ．個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて本人が開示を求められる仕組みを整備するものである。訂正等及び利用停止等とも合わせ、これらの仕組みにより、個人情報の適正な取扱いが当事者間で実効性をもって担保されることが期待される。開示の対象を保有する「個人データ」、すなわち、個人情報データベース等を構成する個人情報としているのは、個人情報取扱事業者にとって検索可能で、かつ、自らが開示できる権限を有するものでなければ開示することが困難なためである。開示内容及びその範囲については、本人や第三者の生命、身体、財産その他の利益、個人情報取扱事業者の有する営業秘密等の正当な利益や適正な業務の実施等、法的に保護されるべき利益との調整を行う必要がある。また、短期間のみ保有する個人データやバックアップ用の個人データ、既に別の方法で開示が行われているもの等については、その実態や開示の必要性等を勘案し、対象から除外することについて政府において検討が必要である。
（訂正等）第三十一条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂正等」という。）を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知しなければならない。	(6)訂正等ア．個人情報取扱事業者は、本人から自己の個人データの内容について正確かつ最新の事実を反映するよう求めがあった場合において、その内容が正当と認められるときは、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、利用目的の達成に必要な範囲内で、当該個人データの訂正、追加、削除その他の適切な措置を講じなければならないものとすること。イ．個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて、(2)アの内容の正確性の確保に関する義務が当事者間で実効性をもって担保されるよう、本人が関与し得る仕組みを整備するものである。本人からの求めに対して「正当と認められるとき」に適切な措置を講ずることとしているのは、本人からの求めの内容が誤りであった場合等にまで義務が生ずるものではないことを明確にするためである。なお、訂正等の対象を「個人データ」としている趣旨及び一定の除外を設ける趣旨については、開示の場合と同旨である。
（利用停止等）第三十二条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十一条の規定に違反して取り扱われているという理由又は第二十二条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十八条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。３　個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。	(7)利用停止等ア．個人情報取扱事業者は、本人から自己の個人データについて以下を理由として利用停止等の求めがあった場合において、その内容が正当と認められるときは、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、当該個人データの利用停止、削除その他の適切な措置を講じなければならないものとすること。 ①(1)ア、イに反し、利用目的の達成に必要な範囲を超えて利用が行われていること。 ②(1)オに反し、違法又は不適正な方法により取得されたものであること。 ③(3)に反し、第三者に提供されていること。イ．個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて、(1)利用目的による制限及び適正な取得のア、イ及びオの義務、並びに(3)第三者提供の制限に関する義務が当事者間で実効性をもって担保されるよう、本人が関与し得る仕組みを整備するものである。本人からの求めに対して「正当と認められるとき」に適切な措置を講ずることとしているのは、訂正等の場合と同旨であり、また、利用停止等の対象を「個人データ」としている趣旨及び一定の除外を設ける趣旨については、開示及び訂正等の場合と同旨である。
（理由の説明）第三十三条　個人情報取扱事業者は、第二十九条第三項、第三十条第二項、第三十一条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
（開示等の求めに応じる手続）第三十四条　個人情報取扱事業者は、第二十九条第二項、第三十条第一項、第三十一条第一項又は第三十二条第一項若しくは第二項の規定に基づく求め（以下この条において「開示等の求め」という。）に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。２　個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。３　開示等の求めは、政令で定めるところにより、代理人によってすることができる。４　個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
（手数料）第三十五条　個人情報取扱事業者は、第二十九条第二項の規定による利用目的の通知又は第三十条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。２　個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
（個人情報取扱事業者による苦情の処理）第三十六条　個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。２　個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。	７．その他 (2)苦情・紛争処理の仕組みについて個人情報の取扱いに関連して生ずる事業者と本人との間の争いは、基本的には私人間の問題であって、また、当事者間での事実上の対応等により解決し得る場合も多いと考えられることから、その解決は行政が介入するのではなく当事者による自主的な取組を通じて行われることが望ましい。近年、民間に対する行政規制は、「自律・自助」を基本的な考え方として見直しが進められており、また、裁判制度の在り方についても、その改革・改善が図られつつあるところである。このような観点から見ると、個人情報保護をめぐる苦情の処理体制としては、当事者間の解決を基本とし、３．(8)及び(9)による事業者側の体制整備を図り、その上で、５．(2)による国・地方を通じた既存のネットワーク等も活用しつつ、各業の所管の大臣等がそれぞれの所管に応じて必要最小限度の監督を行うシステムを整備することが、まず必要である。また、本基本法制に基づくこうした仕組み以外にも、民間の自主的な取組として、当事者の立場を離れて苦情や紛争の処理に当たっている場合もあり、こうした活動と有機的に連携することで、一層効果的、効率的な解決が期待できる。本大綱では、以上のような考え方から、本基本法制において、行政機関としての独立的な苦情・紛争処理機関を設けることとしていないが、行政機関と司法機関の役割分担の在り方、本基本法制制定後の運用状況等を勘案して、将来的に検討すべき課題であると考える。また、政府は、本基本法制の制度運営が個人情報の取扱いの実態及び今後の動向に適時・的確に対応したものとなるよう、有識者等の意見を反映させるための仕組みを整備すること等を検討する必要がある。 (8)苦情の処理個人情報取扱事業者は、個人情報の取扱いに関する苦情について、必要な体制の整備等を行い、適切かつ迅速な処理に努めなければならないものとすること。私人間の関係である個人情報取扱事業者と本人との間に発生する問題は、基本的に当事者間で扱われるべきものであり、また、迅速な解決を図る上でも、その方が望ましい。このため、個人情報の取扱いに関する本人からの苦情に対しても、一次的には個人情報取扱事業者が窓口を設け、処理を行う責任があることを明確にするものである。苦情が当事者間で解決しない場合、本人は、(9)の苦情の処理等を行う認定団体や主務大臣等に苦情の処理を申し出ることができる。また、事案によっては、人権関係機関等や司法手続を利用できる場合もあると考えられる。
（報告の徴収）第三十七条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。
（助言）第三十八条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。
（勧告及び命令）第三十九条　主務大臣は、個人情報取扱事業者が第二十一条から第二十三条まで、第二十五条から第三十二条まで又は第三十五条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。２　主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。３　主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第二十一条、第二十二条、第二十五条から第二十七条まで又は第二十八条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。	(5)主務大臣の指示等ア．主務大臣は、「３．個人情報取扱事業者の義務等」の規定の施行に関し、必要があると認めるときは、個人情報取扱事業者又は３．(9)の認定を受けた団体に対して、報告を求め、又は助言若しくは改善の指示を行うことができるものとすること。イ．個人情報取扱事業者が主務大臣の改善の指示に従わないときは、一定の場合に、主務大臣は個人情報取扱事業者に対して、改善又は中止の命令を行うことができるものとすること。民間部門における個人情報をめぐる諸問題は、前述のとおり、基本的には当事者間で扱われるべきものであるが、当事者間の問題を超えて社会的に解決が要請される場合等には、行政による適切な対応が求められるものであることから、「３．個人情報取扱事業者の義務等」の担保措置として、主務大臣による関与の仕組みを整備するものである。必要最小限度の規律を整備するという本基本法制の性格上、主務大臣の関与は、事後的な改善指示等を基本としたものとしているが、第三者提供の制限違反等義務を担保する必要性がより高い「一定の」行為については、主務大臣が改善・中止命令を行うことができることとしている。主務大臣については、各業の所管の大臣等がそれぞれの所管に応じて分担することが基本になると考えられる。
（配慮義務）第四十条　主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行う場合においては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げることがないよう配慮しなければならない。
（主務大臣）第四十一条　この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会（以下「大臣等」という。）を主務大臣に指定することができる。　一　個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣（船員の雇用管理に関するものについては、国土交通大臣）及び当該個人情報取扱事業者が行う事業を所管する大臣等　二　個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等２　内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。３　各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。
（認定）第四十二条　個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次の各号に掲げる業務を行おうとする法人（法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。）は、主務大臣の認定を受けることができる。　一　業務の対象となる個人情報取扱事業者（以下「対象事業者」という。）の個人情報の取扱いに関する第四十七条の規定による苦情の処理　二　個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供　三　前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務２前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。３主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。	(9)苦情の処理等を行う団体の認定個人情報取扱事業者は、苦情の処理等を行うために、個人情報取扱事業者を構成員とする団体を設け、申請により主務大臣の認定を受けることができるものとすること。これまで我が国における民間部門の個人情報の保護は、事業者団体等がガイドラインを策定し、関係事業者がガイドラインを遵守することを中心に行われてきた。本基本法制においても、こうした事業者の自主的な取組を尊重し、その取組を政府等が支援していくことを基本とした上で、特に必要な部分に関して最小限度の規律を整備することを全体的な考え方としている。本項は、こうした考え方に沿って、苦情の処理等を行う団体に関して法律に基づく認定の制度を設けることにより、事業者団体の自主的な取組を尊重した上で、個人情報保護の水準の確保・向上を図ろうとするものである。団体の認定に当たっては、国際的な動向も念頭に置きつつ、個人の信頼が保たれるよう、対象となる構成員が明確になっていること、本基本法制に沿った適切なガイドラインを策定し構成員に遵守させていること等により、中立性、客観性が保たれる苦情処理の仕組みが整備されていること等を考慮すべきである。団体は、ガイドラインの策定や苦情処理等のほか、広報・啓発活動等を行うことも考えられる。また、認定の申請は、団体の自主的な判断により行われるものである。
（欠格条項）第四十三条　次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。　一　この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者　二　第五十三条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者　三　その業務を行う役員（法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。）のうちに、次のいずれかに該当する者があるもの　　イ　禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者　　ロ　第五十三条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者
（認定の基準）第四十四条　主務大臣は、第四十二条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。　一　第四十二条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。　二　第四十二条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。　三　第四十二条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。
（廃止の届出）第四十五条　第四十二条第一項の認定を受けた者（以下「認定個人情報保護団体」という。）は、その認定に係る業務（以下「認定業務」という。）を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を主務大臣に届け出なければならない。２主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。
（対象事業者）第四十六条　認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。２認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
（苦情の処理）第四十七条　認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。２　認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。３　対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。
（個人情報保護指針）第四十八条　認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針（以下「個人情報保護指針」という。）を作成し、公表するよう努めなければならない。２　認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
（目的外利用の禁止) 第四十九条　認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
（名称の使用制限）第五十条　認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。
（報告の徴収）第五十一条　主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
（命令）第五十二条　主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
（認定の取消し）第五十三条　主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。　一　第四十三条第一号又は第三号に該当するに至ったとき。　二　第四十四条各号のいずれかに適合しなくなったとき。　三　第四十九条の規定に違反したとき。　四　前条の命令に従わないとき。　五　不正の手段により第四十二条第一項の認定を受けたとき。２　主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
（主務大臣）第五十四条　この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、第四十二条第一項の認定を受けようとする者のうち特定のものについて、特定の大臣等を主務大臣に指定することができる。　一　設立について許可又は認可を受けている認定個人情報保護団体（第四十二条第一項の認定を受けようとする者を含む。次号において同じ。）については、その設立の許可又は認可をした大臣等　二　前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者が行う事業を所管する大臣等２内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。

第六章雑則
（適用除外）第五十五条　個人情報取扱事業者のうち次の各号に掲げる者については、前章の規定は適用しない。ただし、次の各号に掲げる者が、専ら当該各号に掲げる目的以外の目的で個人情報を取り扱う場合は、この限りでない。　一　放送機関、新聞社、通信社その他の報道機関報道の用に供する目的　二　大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者学術研究の用に供する目的　三　宗教団体宗教活動（これに付随する活動を含む。）の用に供する目的四政治団体政治活動（これに付随する活動を含む。）の用に供する目的２　前項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。	７．その他 (1)適用除外についてア．報道分野等との調整について個人情報は、前記「２．基本原則」のとおり、個人の人格尊重の理念の下に慎重に取り扱われるべきものである一方、報道分野における個人情報の取扱いは、報道の自由に密接に関わるものである。このため、報道分野における取材活動等に伴う個人情報の取扱いについては、次のように措置する必要がある。 ①「３．個人情報取扱事業者の義務等」の諸規定は適用しないこと。 ②報道分野においても、「１．目的」、「２．基本原則」の諸規定に基づき、個人情報が適正に取り扱われるための自主的な取組を行うよう努力すべきこと。また、報道分野以外の宗教、学術、政治の分野における個人情報の取扱いの中には、信仰、学問、政党活動の自由と密接に関係するものがあり得ると考えられ、これらについては、政府の立案過程において、報道分野に準じて適切に調整する必要がある。なお、適用除外に関する具体的な規定方法については、政府の立案過程において、可能な限り範囲を明確に画定する観点からの立法技術上の検討を行う必要がある。イ．その他の適用関係の調整について個人情報の取扱いに関し､他の法律により当該法律の観点から特別の取扱いを規定している場合や､公共の安全・秩序の維持又は公衆衛生等の公益上の必要性から特別の配慮が求められる場合等が少なくなく、本基本法制の各規定の趣旨を勘案し､本基本法制の適用により上記のそれぞれの場合においてどのような支障が生ずるかについて各規定ごとに具体的に検討した上で調整する必要がある。このため、政府においてはこれらの関係について法案の立案過程で立法技術上の観点から調整措置を検討する必要がある。
（地方公共団体が処理する事務）第五十六条　この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。
（権限又は事務の委任）第五十七条　この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その所属の職員に委任することができる。
（施行の状況の公表）第五十八条　内閣総理大臣は、関係する行政機関（法律の規定に基づき内閣に置かれる機関（内閣府を除く。）及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法（平成十一年法律第八十九号）第四十九条第一項及び第二項に規定する機関並びに国家行政組織法（昭和二十三年法律第百二十号）第三条第二項に規定する機関をいう。次条において同じ。）の長に対し、この法律の施行の状況について報告を求めることができる。２　内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。
（連絡及び協力）第五十九条　内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協力しなければならない
（政令への委任）第六十条　この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。

第七章罰則	６．罰則
第六十一条　第三十九条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。	４．(5)イによる主務大臣の改善・中止命令に対する違反につき、罰則を設けるものとすること。「個人情報」、「個人情報の取扱い」には様々なものがあるが、本基本法制においては、４．(3)のとおり、これらを広く捉えるとともに、個人の権利利益の侵害を事前に防止する仕組みとしていることとの関係で、これと並べて個人情報の「質」と「侵害の態様」を重視する刑事罰の規定を設けることになじまない面がある。他方、既存の秘密保護に関する多数の法律については、例えば、個人の病歴、資産状況等の同種の個人の権利利益に密接に関係するものでありながら、必ずしも同種の刑罰規定が網羅されているとは見られないとの指摘もある。また、本基本法制において、個人情報の第三者提供等を行政上の観点から規律するということになれば、その行政上の規律を確実に守らせるための仕組みが必要との考え方もあるところである。そこで、本基本法制においては、個人情報の第三者提供等について、一定の要件の下に主務大臣が改善・中止命令を発し、それが守られない場合に罰則が適用される仕組みを設けることが適当である。一方、政府は、４．(3)により法制上の措置を講ずるに当たり、個人情報の取扱いに関連する既存の各法律の守秘義務規定を中心に、個人情報の「質」と「侵害の態様」に応じた個人情報保護の観点から、早期に見直して罰則規定の整備を図るとともに、今後、本基本法制の趣旨に沿って各関係の法律を整備するに当たっても、同様の観点から罰則規定の整備を検討することが求められる。
第六十二条　第三十七条又は第五十一条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。
第六十三条　法人（法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。）の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。２　法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
第六十四条　次の各号のいずれかに該当する者は、十万円以下の過料に処する。一　第四十五条第一項の規定による届出をせず、又は虚偽の届出をした者二　第五十条の規定に違反した者

附則
第一条　この法律は、公布の日から施行する。ただし、第五章から第七章まで及び附則第二条から第六条までの規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。
（本人の同意に関する経過措置）第二条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第二十一条第一項又は第二項の同意があったものとみなす。
第三条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十八条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。
（通知に関する経過措置）第四条　第二十八条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。
第五条　第二十八条第四項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。
（名称の使用制限に関する経過措置）第六条　この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている者については、第五十条の規定は、同条の規定の施行後六月間は、適用しない。
（法制上の措置）第七条　政府は、この法律の公布後一年を目途として、第十一条第一項及び第二項に規定する法制上の措置を講ずるものとする。
（内閣府設置法の一部改正）第八条　内閣府設置法の一部を次のように改正する。第四条第三項中第六十一号を第六十二号とし、第三十九号から第六十号までを一号ずつ繰り下げ、第三十八号の次に次の一号を加える。三十九個人情報の保護に関する基本方針（個人情報の保護に関する法律（平成十三年法律第号）第十二条第一項に規定するものをいう。）の作成及び推進に関すること。第十一条中「第三項第六十号」を「第三項第六十一号」に改める。第三十八条第一項第一号中「並びに市民活動の促進」を「、市民活動の促進並びに個人情報の適正な取扱いの確保」に改め、同項第三号中「（昭和四十八年法律第百二十一号）」の下に「及び個人情報の保護に関する法律」を加える。附則第一条ただし書中「第四条第三項第五十三号」を「第四条第三項第五十四号」に改める。
	(1)国の行政機関の保有する個人情報の保護国の行政機関の保有する個人情報に関しては、その情報の性質、保有目的等を勘案し、適正かつ的確な保護が図られるよう、本基本法制の趣旨にのっとり、別に法制上の措置を講ずるものとすること。個人情報の取扱いに伴う個人の権利利益の保護の必要性は、公的部門と民間部門とで異なるものではないが、その取扱いについて、政府と国民との間においては、行政に対する国民の信頼を一層確保することが求められており、また、法律による行政の下に国民一般の利益との調整が重要であるのに対し、私人間においては、企業活動における営業の自由等との調整が問題となるものであることなどから、その取扱いについての具体的な規律内容は異ならざるを得ない。特に、行政機関における個人情報の取扱いに当たっては、法令に基づく厳格な保護管理の下に置かれるよう、特別の配慮が必要である。したがって、別に定める法律については、本基本法制の趣旨にのっとり、その主たる内容は、次のとおりとすることが適当と考える。・法律上の所掌事務の遂行のため必要な場合に限り個人情報ファイルを保有することができるものとし、その保有に当たっては、原則として、あらかじめ所定の機関に通知し、保有目的等の基本的事項を公にするものとすること。・個人情報の正確性確保及び安全保護のため必要な措置を講ずるよう努めるものとすること。・法律に別の定めがある等一定の場合を除き、個人情報を保有目的以外の目的に利用し、又は外部に提供してはならないものとすること。・開示、訂正等について適切な措置が講ぜられるようにすること。また、政府においては、現行の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」（以下「行政機関個人情報保護法」という。）について、本基本法制の目的、基本原則等に沿って、いわゆるマニュアル処理情報の取扱い、適用除外ファイル、開示・訂正手続等について、適切な見直しを行い、必要な措置を講ずるものとし、行政機関の保有する個人情報の保護について、速やかに一層充実した法整備を図る必要がある。

個人情報の保護に関する法律（案）第１５１回通常国会提出法案閣法第90号閣議決定日　平成13年3月27日国会提出日　平成13年3月27日（提出　内閣府）	個人情報保護基本法制に関する大綱平成１２年１０月１１日情報通信技術（ＩＴ）戦略本部個人情報保護法制化専門委員会
提出理由　高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いに関し、基本原則及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定める必要がある。これが、この法律案を提出する理由である。	はじめに　近年、情報通信技術の発展により、電子化された情報を情報通信ネットワークを介して大量かつ迅速に処理することが可能となり、個人情報の保護の必要性が一層高まってきている。　このため、「高度情報通信社会推進に向けた基本方針」（平成10年11月9日高度情報通信社会推進本部決定）において、電子商取引等推進のための環境整備の一環として、個人情報の保護について、民間による自主的取組みを促進するとともに、法律による規制も視野に入れた検討を行っていくこととされた。平成11年4月には、この基本方針のアクション・プランが決定され、これに基づき、政府は、高度情報通信社会推進本部（現情報通信技術（ＩＴ）戦略本部）の下に個人情報保護検討部会（平成11年7月14日高度情報通信社会推進本部長決定、座長：堀部政男中央大学教授）を開催し、同部会において、「我が国における個人情報保護システムの在り方について（中間報告）」（平成11年11月19日）が取りまとめられた。この中で、我が国の個人情報保護システムの中核となる基本原則等を確立するため、全分野を包括する基本法を制定することが必要であり、法制的な観点からの専門的な検討のための体制を整備すべき旨が指摘されたところである。　この中間報告を受けて、政府は、基本的な法制について具体的な検討を進める旨を決定し、高度情報通信社会推進本部の下に個人情報保護法制化専門委員会（以下「本委員会」という。）が開催された（平成12年1月27日高度情報通信社会推進本部長決定）。本委員会では、法制化に向けての専門的な検討を重ね、本年6月には、「個人情報保護基本法制に関する大綱案（中間整理）」を公表した。本委員会は、その後、この中間整理について、国民、関係団体、関係省庁等から意見を聴取し、更に調査審議を行った結果、第28回会議において「個人情報保護基本法制に関する大綱」を決定したところである。　本委員会の意見は、「個人情報保護基本法制に関する大綱」のとおりであるが、特に以下の点を強調しておきたい。　政府は、情報通信技術（ＩＴ）戦略本部を内閣に置き、政府全体での総合的な施策を一段と積極的に推進することとしている。情報通信技術の活用は、世界規模で推進されており、また、我が国経済社会の発展等のために欠かせないものである。個人情報について、このような情報通信技術を用いて処理し、利用することは、事業活動等の面でも国民生活の面でも欠かせないものであるが、個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人の権利利益と密接に関わるものであることから、こうした個人情報の有用性に配慮しつつも、個人情報の保護を図るための仕組みを整備することが不可欠である。　本大綱では、個人情報の適正な取扱いの基本となる原則を確立し、個人情報を取り扱う者の自主的な努力を促すとともに、政府の総合的な施策の展開に当たっての枠組みを明確にすることとしている。加えて、主に情報通信技術を活用し個人情報を事業の用に供している一定の事業者に対する必要最小限度の規律を設け、第一義的に事業者に対して自ら個人情報の適切な保護を行うことを求めるとともに、個人情報の本人による一定の関与と主務大臣の指示等によるチェックの仕組みを設けることとしている。　本大綱は、今後政府が個人情報保護に関する基本法制を立案するに当たって、その骨格となる事項の趣旨についてまとめたものである。このため、制度の細部等については、政府の立案段階における立法技術的な観点からの検討にゆだねている。また、個人情報の性質、利用方法等に照らし、本基本法制より厳重な保護が必要な場合等別途の措置が必要なものについては、個別の法制上の措置その他の必要な措置を講ずべきことを求めている。さらに、行政機関や独立行政法人等が保有する個人情報については、別途の法制上の措置等が講ぜられることも必要である。　したがって、政府においては、本大綱の趣旨に沿って、個人情報保護に関する基本法制の早期成立に向けて直ちに立案作業に着手するとともに、その他の課題についても、個人情報保護をめぐる実態を勘案し、迅速かつ的確に対応するよう要請する。
目次第一章　総則（第一条・第二条）第二章　基本原則（第三条―第八条）第三章　国及び地方公共団体の責務等（第九条―第十一条）第四章　個人情報の保護に関する施策等　第一節　個人情報の保護に関する基本方針（第十二条）　第二節　国の施策（第十三条―第十五条）　第三節　地方公共団体の施策（第十六条―第十八条）　第四節　国及び地方公共団体の協力（第十九条）第五章　個人情報取扱事業者の義務等　第一節　個人情報取扱事業者の義務（第二十条―第四十一条）　第二節　民間団体による個人情報の保護の推進（第四十二条―第五十四条）第六章　雑則（第五十五条―六十条）第七章　罰則（第六十一条―第六十四条）附則
第一章　総則	１．目的
（目的）第一条　この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本原則及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。	高度情報通信社会の進展の下、個人情報（個人に関する情報であって、個人が識別可能なものをいう。）の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の適正な取扱いに関し基本となる事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。近年の我が国における、コンピュータやインターネット等を用いた情報通信技術の発展、普及は目覚ましいものがあるが、このような情報通信技術は大量かつ高度に処理された情報を迅速かつ広範に流通させ、その利用を可能とするものであり、経済社会の発展等に大きく貢献することが期待されている。情報通信技術の活用による大量かつ多様な個人情報の流通、蓄積、利用は、個人ニーズの事業等への的確な反映や迅速なサービス等の提供を実現し、事業活動等の面でも国民生活の面でも欠かせないものとなっているが、反面、その取扱いの態様によっては、個人の権利利益を損なうおそれをも増大させている。本基本法制においては、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とし、個人情報の適正な取扱いに関し基本となる原則、個人情報取扱事業者（仮称）の義務、政府が講ずべき措置等の基本的事項を定めることとしている。
（定義）第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。２　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。　一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの　二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの３　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。　一　国の機関　二　地方公共団体　三　独立行政法人（独立行政法人通則法（平成十一年法律第百三号）第二条第一項に規定する独立行政法人をいう。以下同じ。）のうち別に法律で定めるもの　四　特殊法人（法律により直接に設立された法人又は特別の法律により特別の設立行為をもって設立された法人であって、総務省設置法（平成十一年法律第九十一号）第四条第十五号の規定の適用を受けるものをいう。以下同じ。）のうち別に法律で定めるもの　五　その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者４　この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。５　この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。６　この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

第二章基本原則	２．基本原則
第三条　個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、個人情報を取り扱う者は、次条から第八条までに規定する基本原則にのっとり、個人情報の適正な取扱いに努めなければならない。	個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人情報を取り扱う者は、次に掲げる原則にのっとり、個人情報の適正な取扱いに努めなければならないものとすること。個人情報は、いわゆるプライバシー又は個人の諸自由に密接に関わる情報であり、その取扱いの態様によっては、個人の人格的、財産的な権利利益を損なうおそれのあるものである。この意味で、すべての個人情報は、個人の人格尊重の理念の下に慎重に取り扱われる必要のあるものである。他方、個人情報は、個人が社会的又は経済的な活動主体として存在する以上、その有用性の観点から、他の活動主体にとっても一定の範囲で取扱いが認められるべきものである。他人の個人情報を取り扱う者（以下「取扱者」という。）は、このような個人情報の性格とその重大性を十分認識し、個人情報の適正な取扱いを自主的に進めることにより、個人情報の保護に努めることが求められる。また、個人情報の種類、取扱いの方法は多様であり、取扱者も広範である。政府等による個人情報の保護に関する制度施策は、このような個人情報とその置かれている環境の多様性に留意しつつも共通の目標に向かって、総合的に推進される必要がある。このため、本基本法制においては、諸外国、国際機関等における法制度、検討の成果等を参考にしつつ、取扱者が個人情報の保護のために自主的な取組を行うに当たっての基本となる原則として、また、政府等が講ずる個人情報の保護に関する総合的な制度施策を展開するに当たっての指針として、個人情報の取扱いについての基本原則を明確に規定することとしている。なお、個人情報の保護に当たって個人情報の有用性に配慮することとしている本基本法制の目的の趣旨に照らし、個々の基本原則は、公益上必要な活動や正当な事業活動等を制限するものではない。基本原則実現のための具体的な方法は、取扱者の自主的な取組によるべきものである。この趣旨は、報道分野における取材活動に伴う個人情報の取扱い等に関しても同様である。
（利用目的による制限）第四条　個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な範囲内で取り扱われなければならない。	(1)利用目的による制限個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。個人情報の適正な取扱いを図る観点からは、まず、個人情報の利用目的が明確にされ、以後、その利用目的の達成に必要な範囲内で取り扱われる必要がある。また、利用目的については、取扱者の内部において明確にされるだけでなく、個人情報において識別される個人が認識できる状態に置かれるとともに、利用の実態をも的確に認識できるよう可能な限り具体的であることが望ましい。利用目的の具体性の程度や目的明確化の方法、利用目的の達成に必要な範囲等については、個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。
（適正な取得）第五条　個人情報は、適法かつ適正な方法で取得されなければならない。	(2)適正な方法による取得個人情報は、適法かつ適正な方法によって取得されること。個人情報は、個人の権利利益を損なうおそれのある情報であることから、その取得は、適法かつ適正な方法によって行われなければならない。何が適正な方法かについては、個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。
（正確性の確保）第六条　個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保たれなければならない。	(3)内容の正確性の確保個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。本原則は、個人情報が不正確なまま利用されることにより個人に不測の権利利益侵害を生ずるおそれがあることから、取扱者に対して、利用目的の達成に必要な範囲内において正確かつ最新の内容とすることを求めるものである。したがって、例えば、過去の事実を記録しておくことが必要であるような場合にまで一律にその最新化を求めるものではない。
（安全性の確保）第七条　個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理のために必要かつ適切な措置が講じられるよう配慮されなければならない。	(4)安全保護措置の実施個人情報は、適切な安全保護措置を講じた上で取り扱われること。本原則は、個人情報がずさんな取扱いにより、漏えい、改ざん等の危険にさらされることのないよう、取扱権限者の明確化等の組織的な対応、セキュリティ確保のためのシステム・機器の整備等の技術的な対応を図ることを求めるものである。なお、安全保護措置のレベルは、個人情報の性質、利用方法等に加え、情報通信技術の発達にも対応した適切なものとすることが求められる。
（透明性の確保）第八条　個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければならない。	(5)透明性の確保個人情報の取扱い（個人情報に関する様々な行為であって、その利用等を含む。）に関しては、個人情報において識別される個人（以下「本人」という。）が適切に関与し得るなどの必要な透明性が確保されること。個人情報の取扱いに関して、本人の権利利益の保護を図るためには、その取扱いに関する責任の所在その他の情報が明らかにされ、本人に開示、訂正等の一定の関与を認める手続が整備される必要があり、そのような観点からの透明性の確保に取扱者自ら努める必要がある。このような考え方は、OECD理事会勧告のガイドラインを始め、諸外国の個人情報保護法制においても広く採り入れられているところである。具体的にどの程度の透明性が必要かについては、その対象となる個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。

第三章国及び地方公共団体の責務等	４．政府の措置及び施策
（国の責務）第九条　国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。
（地方公共団体の責務）第十条　地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。
（法制上の措置等）第十一条　政府は、国の行政機関について、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。２　政府は、独立行政法人及び特殊法人について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。３　政府は、前二項に定めるもののほか、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。	(3)法制上の措置等政府は、個人情報であって、その性質、利用方法等に照らし、特に厳重な保護を要する等、別途の措置が必要なものについては、法制上の措置その他の必要な措置を講ずるものとすること。本基本法制は、多種多様な個人情報の性質や利用方法等を広く一律に捉えた上で、個人情報の取扱いの基本となる原則を明らかにするとともに、高度情報通信社会において個人情報取扱事業者が個人情報を取り扱う際の必要最小限度の規律と自主的な取組を支援するための基盤的制度を整備することにより、個人の権利利益の侵害を事前に防止する仕組みを設けることとしている。しかしながら、個人情報の中には、その不適正な取扱いが直ちに個人の権利利益を損なうおそれの強いものや、個人情報の保護とは別途の観点から本基本法制における各規律とは異なる取扱いをすることが要請されるものなどもあるところである。したがって、政府においては、このような個人情報について、本基本法制を上回る保護の水準を確保する必要がある場合や本基本法制における各規律によることが適当でない場合には、個別に、当該個人情報の性質、利用方法、取扱いの実態等に即して、罰則規定の整備を含め、法制上の措置又は各種の制度施策を必要に応じて講ずべきこととしている（後記６．参照）。 (2)独立行政法人等に対する措置政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本基本法制の趣旨にのっとり、個人情報の保護が推進されるよう、法制上の措置その他の必要な措置を講ずるものとすること。国の行政機関の保有する個人情報の保護については、(1)のとおり、別に法制上の措置を講ずることとし、現行の行政機関個人情報保護法の見直しを求めているが、行政機関と民間事業者との間には、独立行政法人、特殊法人等の様々な法人が存在し、事業運営に当たって個人情報を取り扱っているところである。これらの法人の中には、公的部門に属するものがあると考えられる一方、民間事業者と同様の事業を行っていたり、競争関係にあるものも含まれるなど、その法人の性格や業務の内容が極めて多様なことから、そのような実態に即した規律を設ける観点から、別途、法制上の措置その他の必要な措置を講ずるものとしている。

第四章個人情報の保護に関する施策等	４．政府の措置及び施策
第一節個人情報の保護に関する基本方針
第十二条　政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針（以下「基本方針」という。）を定めなければならない。２　基本方針は、次に掲げる事項について定めるものとする。　一　個人情報の保護に関する施策の推進に関する基本的な方向　二　国が講ずべき個人情報の保護のための措置に関する事項　三　地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項　四　独立行政法人及び特殊法人が講ずべき個人情報の保護のための措置に関する基本的な事項　五　個人情報取扱事業者及び第四十五条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項　六　個人情報の取扱いに関する苦情の円滑な処理に関する事項　七　その他個人情報の保護に関する施策の推進に関する重要事項３　内閣総理大臣は、国民生活審議会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなければならない。４　内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。５　前二項の規定は、基本方針の変更について準用する。	(4)個人情報の保護の推進に関する基本方針の策定等ア．政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護の推進に関する基本方針（以下「基本方針」という。）を定めなければならないものとすること。基本方針は、次に掲げる事項について定めるものとすること。 ①個人情報の保護の推進について講じようとする施策の基本となるべき事項 ②個人情報の保護の推進に関する施策を実施するに当たっての各行政機関の役割③その他個人情報の保護を推進するために必要な事項イ．政府は、基本方針に基づき、次に掲げる措置を講ずるものとすること。 ①個人情報の保護のための取組を支援するために必要な措置 ②個人情報の取扱いに関する国民の理解を深めるために必要な措置 ③個人情報の取扱いに関する苦情が適切かつ迅速に処理されるようにするために必要な措置高度情報通信社会の進展の下、今日、個人情報は、国、地方公共団体のみならず、様々な分野において民間事業者によって広く取り扱われていることから、その適正な取扱いを確保するための施策は、それぞれの分野における個人情報の取扱いの実情等に応じて、関係行政機関が所管行政の観点から分担して推進していくものとする。このため、政府においては、本基本法制の下に、関連する個別の法令や制度施策が全体として総合的かつ一体的に運用されるよう、個人情報の保護の推進に関する基本方針を閣議決定等により策定し、情報通信技術の発展や国際的な取組の動向等に応じて随時見直していく必要がある。この基本方針においては、本基本法制の各規律を基礎として、政策目標の明確化、重点的な取組分野の設定など施策の基本となるべき事項を定めるとともに、各業界等に対する支援や苦情処理等における各行政機関の役割分担、事業者及び地方公共団体が取組を行う際の留意事項などその他必要な事項についても明らかにする必要がある。各行政機関は、この基本方針に基づいて、地方公共団体や事業者における個人情報保護の取組への支援、広報・啓発活動等を通じた国民等への周知、苦情処理に関する施策（事業者団体等における苦情処理窓口の設置促進、適切な苦情処理窓口に関する情報提供等を含む。）等の推進に当たることとする。本基本法制では、事業者の自主的な取組を尊重し、必要最小限度の規律を整備することを基本としている。したがって、各行政機関は、本基本法制に定める各規律や政府が定める基本方針との整合を保ちつつ、所管行政の観点からのガイドラインを策定するなどにより、事業者等による自主的な取組を支援していくことが必要である。
第二節国の施策
（地方公共団体等への支援）第十三条　国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
（苦情処理のための措置）第十四条　国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。
（個人情報の適正な取扱いを確保するための措置）第十五条　国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。
第三節地方公共団体の施策	５．地方公共団体の措置
（保有する個人情報の保護）第十六条　地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。	(1)地方公共団体の保有する個人情報に関する施策地方公共団体は、本基本法制の趣旨にのっとり、その保有する個人情報に関し、個人情報の適正な取扱いを確保するため必要な施策を策定し、これを実施するよう努めなければならないものとすること。地方公共団体が保有する個人情報については、その自主性・自律性を尊重して、本基本法制の趣旨にのっとった自主的な取組が促進される必要がある。本基本法制の趣旨にのっとり、条例が整備されていない地方公共団体においては速やかにその制定に努めるとともに、既に制定済みの地方公共団体においても、一層の充実を図る観点から現行条例の必要な見直しに努める必要がある。
（区域内の事業者等への支援）第十七条　地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。	(2)区域内の事業者及び住民に対する支援等ア．地方公共団体は、個人情報の保護に関し、その区域内に所在する事業者及び住民に対する支援等の施策の実施に努めなければならないものとすること。イ．地方公共団体は、個人情報の取扱いに関して生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせん等必要な施策を講ずるよう努めなければならないものとすること。地方公共団体は住民に身近な行政主体として、その区域内に所在する事業者及び住民の実情に応じた支援等の施策の実施に努めることが望まれる。地方公共団体は多種多様な事業者に係る案件に対応でき、また、地域住民にとっても、直接接する機会の多い地方公共団体に苦情を相談することが簡便と考えられることから、地方公共団体は、事業者と住民との間の個人情報の取扱いに関して生じた苦情に関し、的確な情報の提供や助言、処理のあっせん等に努めることとする。また、苦情処理に係る国、都道府県及び市町村の役割分担については、既存のネットワーク等を活用することも念頭に、地方公共団体の実情等も考慮して今後政府において検討する必要がある。
（苦情の処理のあっせん等）第十八条　地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。

第四節国及び地方公共団体の協力
第十九条　国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。	(3)国及び地方公共団体の協力国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとすること。個人情報をめぐる問題は、国民全体の問題であるとともに、地域住民の問題でもある。したがって、本基本法制を中心とする個人情報の保護に関する制度施策の展開に当たっては、国と地方公共団体の密接な連携と協力が不可欠である。国及び地方公共団体は、個人情報の保護に関し、意見や情報の交換を行う等により、本基本法制に基づく制度施策が、地域の実情に即しつつ、総合的に講ぜられる必要がある。

第五章個人情報取扱事業者の義務等	３．個人情報取扱事業者（仮称）の義務等
第一節個人情報取扱事業者の義務	現在、民間事業者等は日常的な取引に伴い、又は調査等により、大量の個人情報を取得し、蓄積している。近年の情報通信技術の発展は、これらの個人情報について、顧客管理等への利用にとどまらず、顧客サービスや経営効率の改善、新規事業の開発等への利用の観点から大量かつ高度な処理を可能にするとともに、事業の展開に対応した広範な流通をも可能にしてきている。民間事業者等によるこのような個人情報の利用は、今や事業活動に欠かせないものであり、高度情報通信社会においては、個人の便益を飛躍的に増大させ経済社会の発展に資するものであるが、一方、その取扱いの態様によっては、個人の権利利益を損なうおそれをも増大させている。このため、本基本法制においては、民間事業者等のうち、電子計算機等を用いて検索することができるよう体系化された個人情報の集合物（以下「個人情報データベース等」という。）を事業の用に供している一定の事業者（以下「個人情報取扱事業者」（仮称）という。）を特に法制度の整備の緊要度が高い者として位置付け、それらに対する必要な制度を整備するものである。基本法制としての性格上、個人情報取扱事業者の義務は必要最小限度となっており、個人情報取扱事業者やその事業者団体においては、３．の規定が定める以上の充実した保護措置を自主的に講ずるよう努力することが求められる。なお、個人情報データベース等には、電子計算機を用いる場合に匹敵する検索等の処理が可能であるマニュアル処理情報を含むものとする。また、３．の規定の対象を一定の事業者とするのは、単にアクセスすることのみが許されており、データの変更、移転等ができない事業者や専ら小規模の個人情報データベース等のみを取り扱う事業者等を除く趣旨である。
（利用目的の特定）第二十条　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。２　個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。	(1)利用目的による制限及び適正な取得ア．個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的を明確にするとともに、当該利用目的の達成に必要な範囲内で個人情報の取得、処理その他の個人情報の取扱いを行わなければならないものとすること。イ．個人情報取扱事業者は、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないものとすること。ウ．個人情報取扱事業者は、個人情報を取得する場合には、利用目的を本人に通知し、又は公表その他本人が容易に知り得る状態にすること（以下「公表等」という。）を行わなければならないものとすること。このうち、本人との契約の締結に伴い、又は調査等により本人から直接個人情報を取得する場合には、原則として、あらかじめ利用目的を明示しなければならないものとすること。ただし、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合等は、この限りでないものとすること。エ．以下の場合について、本項ア、イ、ウを適用しないものとすること。 ①あらかじめ本人の同意がある場合 ②生命、身体又は財産の保護のために緊急に必要がある場合オ．個人情報取扱事業者は、適法かつ適正な方法によって個人情報を取得しなければならないものとすること。基本原則における「利用目的による制限」及び「適正な方法による取得」に沿って、個人情報取扱事業者の具体的な義務を明確化したものである。ただし、第三者に提供すること自体を目的とする個人情報の取扱いについては、上記アに加え、後述の(3)による必要がある。個人情報の利用目的の変更を無制限に認めた場合、目的による拘束性を制度化する実質的意味は減殺される。このため、目的変更は、当初の利用目的との関連性があり、かつ、本人に不測かつ不当な権利利益の侵害を生じさせるおそれがない範囲内にとどめるべきであることから、社会通念上、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないこととしている。明確化された利用目的は、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合等を除き、通知、公表等により少なくとも本人が容易に知り得る状態に置かれる必要がある。特に相対による契約締結やアンケート調査等の場合のように個人情報取扱事業者が本人から個人情報を取得する場合においては、容易に利用目的を明らかにできることから、原則としてその際に明示することを義務付けることとしている。「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が行うものであるが、個人情報取扱事業者の恣意的判断を容認するものではなく、一般的な蓋然性が必要であるとともに、客観的な利益衡量が必要である。多様な分野における「正当な利益を害するおそれ」や「業務の適正な実施に支障を及ぼすおそれ」の具体的内容については、実際の運用に当たってガイドラインを活用するなどにより、可能な限り明確化していくことが望ましいものと考えられる。なお、以下の項における「おそれ」の有無の判断に関する趣旨についても同じである。また、「公表等」には、インターネット上での公表、パンフレットの配布、書面の掲示・備付け、本人からの問い合わせへの回答などが含まれるものであり、以下の項においても同じである。
（利用目的による制限）第二十一条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。３　前二項の規定は、次に掲げる場合については、適用しない。　一　法令に基づく場合　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
（適正な取得）第二十二条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。	(2)適正な管理ア．個人情報取扱事業者は、個人情報データベース等を構成する個人情報（以下「個人データ」という。）について、利用目的の達成に必要な範囲内において正確かつ最新の内容に保つよう努めなければならないものとすること。イ．個人情報取扱事業者は、個人データの保護のために必要な措置を講ずるよう努めるとともに、個人データの取扱いに従事する者に対して個人データの保護に必要な措置が適切に講ぜられるよう監督しなければならないものとすること。ウ．個人情報取扱事業者は、個人データの取扱いの全部又は一部を第三者に委託する場合には、委託先の選定に配慮し、必要な監督等を行わなければならないものとすること。基本原則における「内容の正確性の確保」及び「安全保護措置の実施」に沿って、個人情報取扱事業者の具体的な義務等を明確化したものである。基本原則(4)において触れたとおり、取扱者はすべて適切な安全保護措置を自主的に講ずべき努力義務が課されるが、特に個人情報取扱事業者においては、政府や事業者団体のガイドライン等に沿って、適切な措置を講ずるよう努めなければならないこととなる。また、イの後段及びウは、個人情報取扱事業者にはその従業員及び委託先に対して個人データの取扱いに関する監督責任があることを明確にしている。
（取得に際しての利用目的の通知等）第二十三条　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。２　個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。３　個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。４　前三項の規定は、次に掲げる場合については、適用しない。一利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合二利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合三国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。四取得の状況からみて利用目的が明らかであると認められる場合
（データ内容の正確性の確保）第二十四条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
（安全管理措置）第二十五条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
（従業者の監督）第二十六条　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
（委託先の監督）第二十七条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
（第三者提供の制限）第二十八条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。　一　法令に基づく場合　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次の各号に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。　一　第三者への提供を利用目的とすること。　二　第三者に提供される個人データの項目　三　第三者への提供の手段又は方法四本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。３　個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。４　次の各号に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。　一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合　二　合併その他の事由による事業の承継に伴って個人データが提供される場合　三　個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。５　個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。	(3)第三者提供の制限ア．個人情報取扱事業者は、個人データを第三者に提供してはならないものとすること。ただし、あらかじめ本人の同意がある場合、生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでないものとすること。イ．以下の場合について、本項アを適用しないものとすること。 ①営業譲渡、分社等により営業資産の一部として個人データを引き継ぐ場合 ②明確化された利用目的を達成するために当該個人情報取扱事業者と共同し、又はその委託により個人データを取り扱う場合 ③個人データを特定の者との間で相互に利用する場合であって、あらかじめその利用目的及び提供先等について本人に通知され、又は公表等が行われている場合④個人情報取扱事業者が第三者提供を目的として個人情報を取得する場合のうち、本人からの提供停止等の求めに応じて原則として当該個人情報の提供停止その他の適切な措置を講ずることとされている場合であって、あらかじめその旨、第三者提供の方法等について本人に通知され、又は公表等が行われている場合個人情報取扱事業者が個人情報を第三者に提供することは、その後、当該個人情報がどのように使われ、どのように流通するか分からない状況に置くこととなり、個人の権利利益の侵害のおそれがより高くなる。したがって、正当と認められる一定の場合を除き、これを禁止しようとするものである。一定の場合としては、本人の同意がある場合、緊急性のある場合のほか、①、②のように本人との関係において、取扱主体としての地位が承継されると認められる場合、あるいは、取扱主体と協力して利用目的を達成するなどその地位を同時に有していると認められる場合が該当する。また、③のように、一定の契約関係等の下に、取扱主体が複数あっても、個人データが共有される事業者の範囲、利用目的等その責任範囲等についてあらかじめ通知、公表等により明確になっている場合も適用を除外することが適当である。さらに、④のように、第三者提供自体を利用目的として取得された個人情報について原則的に本人の求めに応じて提供停止等が行われる場合で、あらかじめ、そうした取扱いが行われることや第三者に提供する方法等について本人が認識することができる場合には、本人の権利利益が不当に損なわれることを防止できることから、第三者提供の制限から除外することが適当である。
（保有個人データに関する事項の公表等）第二十九条　個人情報取扱事業者は、保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。　一　当該個人情報取扱事業者の氏名又は名称　二　すべての保有個人データの利用目的（第二十三条第四項第一号から第三号までに該当する場合を除く。）　三　次項、次条第一項、第三十一条第一項又は第三十二条第一項若しくは第二項の規定による求めに応じる手続（第三十五条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。）　四　前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。　一　前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合　二　第二十三条第四項第一号から第三号までに該当する場合３　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。	(4)公表等ア．個人情報取扱事業者は、個人データに関して、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合、本人に通知する場合等を除き、次に掲げる事項について公表等を行わなければならないものとすること。 ①利用目的 ②個人情報の保有に責任を有する事業者名 ③開示等に必要な手続 ④その他個人情報の保護を図るために必要な事項イ．個人情報取扱事業者は、本人に通知し、又は公表等を行った事項を変更する場合には、軽微な変更であるとき又は本人に通知するとき等を除き、変更する事項について公表等を行わなければならないものとすること。基本原則における「透明性の確保」の観点から、個人情報取扱事業者の具体的な義務として、保有する個人データに関して対外的に明らかにすべき事項を定めるものである。「透明性の確保」は、通知、公表等や本人からの求めによる開示、訂正等を含むが、前者は後者の基礎となる仕組みであるとともに、個人情報取扱事業者自らがその個人情報の取扱いに関する事項を対外的に明らかにすることにより、取扱いの公正性の確保を図るものである。特に、②「個人情報の保有に責任を有する事業者名」は、対外的な責任の主体を明確にするための事項である。③「開示等に必要な手続」の内容は、開示、訂正等及び利用停止等における本人関与の実施に当たって必要となる事項であり、本人が行う求めの方法、本人の確認方法、実施に必要な期間、手数料を徴収する場合の額等が考えられる。また、④「その他個人情報の保護を図るために必要な事項」の内容は、苦情等の受付窓口の所在や個人情報の取扱方針等が想定されるが、社会的な要請度や個人情報取扱事業者の取組の実態も考慮して、具体化していく必要があると考えられる。通知、公表等は、原則として、個人データが利用されるまでには行われる必要があると考えられる。なお、本項は、①～④の各事項について、取得の際等に、既に通知、公表等を行っている場合、改めて公表等を求めるものではない。また、公表等に当たっては、個人情報取扱事業者の有する営業秘密等の正当な利益や適正な業務の実施等、法的に保護されるべき利益との調整が必要になる場合があることから、「個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合」等を除いている。
（開示）第三十条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示（当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。）を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。　一　本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合　二　当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合三他の法令に違反することとなる場合２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。３　他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は適用しない。	(5)開示ア．個人情報取扱事業者は、本人から自己の個人データについて開示の求めがあった場合において、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、本人に対し、当該個人データを開示しなければならないものとすること。イ．個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて本人が開示を求められる仕組みを整備するものである。訂正等及び利用停止等とも合わせ、これらの仕組みにより、個人情報の適正な取扱いが当事者間で実効性をもって担保されることが期待される。開示の対象を保有する「個人データ」、すなわち、個人情報データベース等を構成する個人情報としているのは、個人情報取扱事業者にとって検索可能で、かつ、自らが開示できる権限を有するものでなければ開示することが困難なためである。開示内容及びその範囲については、本人や第三者の生命、身体、財産その他の利益、個人情報取扱事業者の有する営業秘密等の正当な利益や適正な業務の実施等、法的に保護されるべき利益との調整を行う必要がある。また、短期間のみ保有する個人データやバックアップ用の個人データ、既に別の方法で開示が行われているもの等については、その実態や開示の必要性等を勘案し、対象から除外することについて政府において検討が必要である。
（訂正等）第三十一条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂正等」という。）を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知しなければならない。	(6)訂正等ア．個人情報取扱事業者は、本人から自己の個人データの内容について正確かつ最新の事実を反映するよう求めがあった場合において、その内容が正当と認められるときは、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、利用目的の達成に必要な範囲内で、当該個人データの訂正、追加、削除その他の適切な措置を講じなければならないものとすること。イ．個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて、(2)アの内容の正確性の確保に関する義務が当事者間で実効性をもって担保されるよう、本人が関与し得る仕組みを整備するものである。本人からの求めに対して「正当と認められるとき」に適切な措置を講ずることとしているのは、本人からの求めの内容が誤りであった場合等にまで義務が生ずるものではないことを明確にするためである。なお、訂正等の対象を「個人データ」としている趣旨及び一定の除外を設ける趣旨については、開示の場合と同旨である。
（利用停止等）第三十二条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十一条の規定に違反して取り扱われているという理由又は第二十二条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十八条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。３　個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。	(7)利用停止等ア．個人情報取扱事業者は、本人から自己の個人データについて以下を理由として利用停止等の求めがあった場合において、その内容が正当と認められるときは、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、当該個人データの利用停止、削除その他の適切な措置を講じなければならないものとすること。 ①(1)ア、イに反し、利用目的の達成に必要な範囲を超えて利用が行われていること。 ②(1)オに反し、違法又は不適正な方法により取得されたものであること。 ③(3)に反し、第三者に提供されていること。イ．個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて、(1)利用目的による制限及び適正な取得のア、イ及びオの義務、並びに(3)第三者提供の制限に関する義務が当事者間で実効性をもって担保されるよう、本人が関与し得る仕組みを整備するものである。本人からの求めに対して「正当と認められるとき」に適切な措置を講ずることとしているのは、訂正等の場合と同旨であり、また、利用停止等の対象を「個人データ」としている趣旨及び一定の除外を設ける趣旨については、開示及び訂正等の場合と同旨である。
（理由の説明）第三十三条　個人情報取扱事業者は、第二十九条第三項、第三十条第二項、第三十一条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
（開示等の求めに応じる手続）第三十四条　個人情報取扱事業者は、第二十九条第二項、第三十条第一項、第三十一条第一項又は第三十二条第一項若しくは第二項の規定に基づく求め（以下この条において「開示等の求め」という。）に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。２　個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。３　開示等の求めは、政令で定めるところにより、代理人によってすることができる。４　個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
（手数料）第三十五条　個人情報取扱事業者は、第二十九条第二項の規定による利用目的の通知又は第三十条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。２　個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
（個人情報取扱事業者による苦情の処理）第三十六条　個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。２　個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。	７．その他 (2)苦情・紛争処理の仕組みについて個人情報の取扱いに関連して生ずる事業者と本人との間の争いは、基本的には私人間の問題であって、また、当事者間での事実上の対応等により解決し得る場合も多いと考えられることから、その解決は行政が介入するのではなく当事者による自主的な取組を通じて行われることが望ましい。近年、民間に対する行政規制は、「自律・自助」を基本的な考え方として見直しが進められており、また、裁判制度の在り方についても、その改革・改善が図られつつあるところである。このような観点から見ると、個人情報保護をめぐる苦情の処理体制としては、当事者間の解決を基本とし、３．(8)及び(9)による事業者側の体制整備を図り、その上で、５．(2)による国・地方を通じた既存のネットワーク等も活用しつつ、各業の所管の大臣等がそれぞれの所管に応じて必要最小限度の監督を行うシステムを整備することが、まず必要である。また、本基本法制に基づくこうした仕組み以外にも、民間の自主的な取組として、当事者の立場を離れて苦情や紛争の処理に当たっている場合もあり、こうした活動と有機的に連携することで、一層効果的、効率的な解決が期待できる。本大綱では、以上のような考え方から、本基本法制において、行政機関としての独立的な苦情・紛争処理機関を設けることとしていないが、行政機関と司法機関の役割分担の在り方、本基本法制制定後の運用状況等を勘案して、将来的に検討すべき課題であると考える。また、政府は、本基本法制の制度運営が個人情報の取扱いの実態及び今後の動向に適時・的確に対応したものとなるよう、有識者等の意見を反映させるための仕組みを整備すること等を検討する必要がある。 (8)苦情の処理個人情報取扱事業者は、個人情報の取扱いに関する苦情について、必要な体制の整備等を行い、適切かつ迅速な処理に努めなければならないものとすること。私人間の関係である個人情報取扱事業者と本人との間に発生する問題は、基本的に当事者間で扱われるべきものであり、また、迅速な解決を図る上でも、その方が望ましい。このため、個人情報の取扱いに関する本人からの苦情に対しても、一次的には個人情報取扱事業者が窓口を設け、処理を行う責任があることを明確にするものである。苦情が当事者間で解決しない場合、本人は、(9)の苦情の処理等を行う認定団体や主務大臣等に苦情の処理を申し出ることができる。また、事案によっては、人権関係機関等や司法手続を利用できる場合もあると考えられる。
（報告の徴収）第三十七条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。
（助言）第三十八条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。
（勧告及び命令）第三十九条　主務大臣は、個人情報取扱事業者が第二十一条から第二十三条まで、第二十五条から第三十二条まで又は第三十五条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。２　主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。３　主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第二十一条、第二十二条、第二十五条から第二十七条まで又は第二十八条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。	(5)主務大臣の指示等ア．主務大臣は、「３．個人情報取扱事業者の義務等」の規定の施行に関し、必要があると認めるときは、個人情報取扱事業者又は３．(9)の認定を受けた団体に対して、報告を求め、又は助言若しくは改善の指示を行うことができるものとすること。イ．個人情報取扱事業者が主務大臣の改善の指示に従わないときは、一定の場合に、主務大臣は個人情報取扱事業者に対して、改善又は中止の命令を行うことができるものとすること。民間部門における個人情報をめぐる諸問題は、前述のとおり、基本的には当事者間で扱われるべきものであるが、当事者間の問題を超えて社会的に解決が要請される場合等には、行政による適切な対応が求められるものであることから、「３．個人情報取扱事業者の義務等」の担保措置として、主務大臣による関与の仕組みを整備するものである。必要最小限度の規律を整備するという本基本法制の性格上、主務大臣の関与は、事後的な改善指示等を基本としたものとしているが、第三者提供の制限違反等義務を担保する必要性がより高い「一定の」行為については、主務大臣が改善・中止命令を行うことができることとしている。主務大臣については、各業の所管の大臣等がそれぞれの所管に応じて分担することが基本になると考えられる。
（配慮義務）第四十条　主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行う場合においては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げることがないよう配慮しなければならない。
（主務大臣）第四十一条　この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会（以下「大臣等」という。）を主務大臣に指定することができる。　一　個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣（船員の雇用管理に関するものについては、国土交通大臣）及び当該個人情報取扱事業者が行う事業を所管する大臣等　二　個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等２　内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。３　各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。
（認定）第四十二条　個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次の各号に掲げる業務を行おうとする法人（法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。）は、主務大臣の認定を受けることができる。　一　業務の対象となる個人情報取扱事業者（以下「対象事業者」という。）の個人情報の取扱いに関する第四十七条の規定による苦情の処理　二　個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供　三　前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務２前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。３主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。	(9)苦情の処理等を行う団体の認定個人情報取扱事業者は、苦情の処理等を行うために、個人情報取扱事業者を構成員とする団体を設け、申請により主務大臣の認定を受けることができるものとすること。これまで我が国における民間部門の個人情報の保護は、事業者団体等がガイドラインを策定し、関係事業者がガイドラインを遵守することを中心に行われてきた。本基本法制においても、こうした事業者の自主的な取組を尊重し、その取組を政府等が支援していくことを基本とした上で、特に必要な部分に関して最小限度の規律を整備することを全体的な考え方としている。本項は、こうした考え方に沿って、苦情の処理等を行う団体に関して法律に基づく認定の制度を設けることにより、事業者団体の自主的な取組を尊重した上で、個人情報保護の水準の確保・向上を図ろうとするものである。団体の認定に当たっては、国際的な動向も念頭に置きつつ、個人の信頼が保たれるよう、対象となる構成員が明確になっていること、本基本法制に沿った適切なガイドラインを策定し構成員に遵守させていること等により、中立性、客観性が保たれる苦情処理の仕組みが整備されていること等を考慮すべきである。団体は、ガイドラインの策定や苦情処理等のほか、広報・啓発活動等を行うことも考えられる。また、認定の申請は、団体の自主的な判断により行われるものである。
（欠格条項）第四十三条　次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。　一　この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者　二　第五十三条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者　三　その業務を行う役員（法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。）のうちに、次のいずれかに該当する者があるもの　　イ　禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者　　ロ　第五十三条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者
（認定の基準）第四十四条　主務大臣は、第四十二条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。　一　第四十二条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。　二　第四十二条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。　三　第四十二条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。
（廃止の届出）第四十五条　第四十二条第一項の認定を受けた者（以下「認定個人情報保護団体」という。）は、その認定に係る業務（以下「認定業務」という。）を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を主務大臣に届け出なければならない。２主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。
（対象事業者）第四十六条　認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。２認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
（苦情の処理）第四十七条　認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。２　認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。３　対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。
（個人情報保護指針）第四十八条　認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針（以下「個人情報保護指針」という。）を作成し、公表するよう努めなければならない。２　認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
（目的外利用の禁止) 第四十九条　認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
（名称の使用制限）第五十条　認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。
（報告の徴収）第五十一条　主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
（命令）第五十二条　主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
（認定の取消し）第五十三条　主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。　一　第四十三条第一号又は第三号に該当するに至ったとき。　二　第四十四条各号のいずれかに適合しなくなったとき。　三　第四十九条の規定に違反したとき。　四　前条の命令に従わないとき。　五　不正の手段により第四十二条第一項の認定を受けたとき。２　主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
（主務大臣）第五十四条　この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、第四十二条第一項の認定を受けようとする者のうち特定のものについて、特定の大臣等を主務大臣に指定することができる。　一　設立について許可又は認可を受けている認定個人情報保護団体（第四十二条第一項の認定を受けようとする者を含む。次号において同じ。）については、その設立の許可又は認可をした大臣等　二　前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者が行う事業を所管する大臣等２内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。

第六章雑則
（適用除外）第五十五条　個人情報取扱事業者のうち次の各号に掲げる者については、前章の規定は適用しない。ただし、次の各号に掲げる者が、専ら当該各号に掲げる目的以外の目的で個人情報を取り扱う場合は、この限りでない。　一　放送機関、新聞社、通信社その他の報道機関報道の用に供する目的　二　大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者学術研究の用に供する目的　三　宗教団体宗教活動（これに付随する活動を含む。）の用に供する目的四政治団体政治活動（これに付随する活動を含む。）の用に供する目的２　前項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。	７．その他 (1)適用除外についてア．報道分野等との調整について個人情報は、前記「２．基本原則」のとおり、個人の人格尊重の理念の下に慎重に取り扱われるべきものである一方、報道分野における個人情報の取扱いは、報道の自由に密接に関わるものである。このため、報道分野における取材活動等に伴う個人情報の取扱いについては、次のように措置する必要がある。 ①「３．個人情報取扱事業者の義務等」の諸規定は適用しないこと。 ②報道分野においても、「１．目的」、「２．基本原則」の諸規定に基づき、個人情報が適正に取り扱われるための自主的な取組を行うよう努力すべきこと。また、報道分野以外の宗教、学術、政治の分野における個人情報の取扱いの中には、信仰、学問、政党活動の自由と密接に関係するものがあり得ると考えられ、これらについては、政府の立案過程において、報道分野に準じて適切に調整する必要がある。なお、適用除外に関する具体的な規定方法については、政府の立案過程において、可能な限り範囲を明確に画定する観点からの立法技術上の検討を行う必要がある。イ．その他の適用関係の調整について個人情報の取扱いに関し､他の法律により当該法律の観点から特別の取扱いを規定している場合や､公共の安全・秩序の維持又は公衆衛生等の公益上の必要性から特別の配慮が求められる場合等が少なくなく、本基本法制の各規定の趣旨を勘案し､本基本法制の適用により上記のそれぞれの場合においてどのような支障が生ずるかについて各規定ごとに具体的に検討した上で調整する必要がある。このため、政府においてはこれらの関係について法案の立案過程で立法技術上の観点から調整措置を検討する必要がある。
（地方公共団体が処理する事務）第五十六条　この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。
（権限又は事務の委任）第五十七条　この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その所属の職員に委任することができる。
（施行の状況の公表）第五十八条　内閣総理大臣は、関係する行政機関（法律の規定に基づき内閣に置かれる機関（内閣府を除く。）及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法（平成十一年法律第八十九号）第四十九条第一項及び第二項に規定する機関並びに国家行政組織法（昭和二十三年法律第百二十号）第三条第二項に規定する機関をいう。次条において同じ。）の長に対し、この法律の施行の状況について報告を求めることができる。２　内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。
（連絡及び協力）第五十九条　内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協力しなければならない
（政令への委任）第六十条　この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。

第七章罰則	６．罰則
第六十一条　第三十九条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。	４．(5)イによる主務大臣の改善・中止命令に対する違反につき、罰則を設けるものとすること。「個人情報」、「個人情報の取扱い」には様々なものがあるが、本基本法制においては、４．(3)のとおり、これらを広く捉えるとともに、個人の権利利益の侵害を事前に防止する仕組みとしていることとの関係で、これと並べて個人情報の「質」と「侵害の態様」を重視する刑事罰の規定を設けることになじまない面がある。他方、既存の秘密保護に関する多数の法律については、例えば、個人の病歴、資産状況等の同種の個人の権利利益に密接に関係するものでありながら、必ずしも同種の刑罰規定が網羅されているとは見られないとの指摘もある。また、本基本法制において、個人情報の第三者提供等を行政上の観点から規律するということになれば、その行政上の規律を確実に守らせるための仕組みが必要との考え方もあるところである。そこで、本基本法制においては、個人情報の第三者提供等について、一定の要件の下に主務大臣が改善・中止命令を発し、それが守られない場合に罰則が適用される仕組みを設けることが適当である。一方、政府は、４．(3)により法制上の措置を講ずるに当たり、個人情報の取扱いに関連する既存の各法律の守秘義務規定を中心に、個人情報の「質」と「侵害の態様」に応じた個人情報保護の観点から、早期に見直して罰則規定の整備を図るとともに、今後、本基本法制の趣旨に沿って各関係の法律を整備するに当たっても、同様の観点から罰則規定の整備を検討することが求められる。
第六十二条　第三十七条又は第五十一条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。
第六十三条　法人（法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。）の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。２　法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
第六十四条　次の各号のいずれかに該当する者は、十万円以下の過料に処する。一　第四十五条第一項の規定による届出をせず、又は虚偽の届出をした者二　第五十条の規定に違反した者

附則
第一条　この法律は、公布の日から施行する。ただし、第五章から第七章まで及び附則第二条から第六条までの規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。
（本人の同意に関する経過措置）第二条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第二十一条第一項又は第二項の同意があったものとみなす。
第三条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十八条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。
（通知に関する経過措置）第四条　第二十八条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。
第五条　第二十八条第四項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。
（名称の使用制限に関する経過措置）第六条　この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている者については、第五十条の規定は、同条の規定の施行後六月間は、適用しない。
（法制上の措置）第七条　政府は、この法律の公布後一年を目途として、第十一条第一項及び第二項に規定する法制上の措置を講ずるものとする。
（内閣府設置法の一部改正）第八条　内閣府設置法の一部を次のように改正する。第四条第三項中第六十一号を第六十二号とし、第三十九号から第六十号までを一号ずつ繰り下げ、第三十八号の次に次の一号を加える。三十九個人情報の保護に関する基本方針（個人情報の保護に関する法律（平成十三年法律第号）第十二条第一項に規定するものをいう。）の作成及び推進に関すること。第十一条中「第三項第六十号」を「第三項第六十一号」に改める。第三十八条第一項第一号中「並びに市民活動の促進」を「、市民活動の促進並びに個人情報の適正な取扱いの確保」に改め、同項第三号中「（昭和四十八年法律第百二十一号）」の下に「及び個人情報の保護に関する法律」を加える。附則第一条ただし書中「第四条第三項第五十三号」を「第四条第三項第五十四号」に改める。
	(1)国の行政機関の保有する個人情報の保護国の行政機関の保有する個人情報に関しては、その情報の性質、保有目的等を勘案し、適正かつ的確な保護が図られるよう、本基本法制の趣旨にのっとり、別に法制上の措置を講ずるものとすること。個人情報の取扱いに伴う個人の権利利益の保護の必要性は、公的部門と民間部門とで異なるものではないが、その取扱いについて、政府と国民との間においては、行政に対する国民の信頼を一層確保することが求められており、また、法律による行政の下に国民一般の利益との調整が重要であるのに対し、私人間においては、企業活動における営業の自由等との調整が問題となるものであることなどから、その取扱いについての具体的な規律内容は異ならざるを得ない。特に、行政機関における個人情報の取扱いに当たっては、法令に基づく厳格な保護管理の下に置かれるよう、特別の配慮が必要である。したがって、別に定める法律については、本基本法制の趣旨にのっとり、その主たる内容は、次のとおりとすることが適当と考える。・法律上の所掌事務の遂行のため必要な場合に限り個人情報ファイルを保有することができるものとし、その保有に当たっては、原則として、あらかじめ所定の機関に通知し、保有目的等の基本的事項を公にするものとすること。・個人情報の正確性確保及び安全保護のため必要な措置を講ずるよう努めるものとすること。・法律に別の定めがある等一定の場合を除き、個人情報を保有目的以外の目的に利用し、又は外部に提供してはならないものとすること。・開示、訂正等について適切な措置が講ぜられるようにすること。また、政府においては、現行の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」（以下「行政機関個人情報保護法」という。）について、本基本法制の目的、基本原則等に沿って、いわゆるマニュアル処理情報の取扱い、適用除外ファイル、開示・訂正手続等について、適切な見直しを行い、必要な措置を講ずるものとし、行政機関の保有する個人情報の保護について、速やかに一層充実した法整備を図る必要がある。