（目的）

第一条　この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、表現の自由を尊重しつつ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、並びに国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定め、及び個人情報保護委員会を設置することにより、個人情報の有用性に配慮しつつ、個人情報の取得、利用、第三者に対する提供等に関し本人が関与することその他の個人の権利利益を保護することを目的とする。

　（定義）

第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

２　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。

　一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

　二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

３　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

　一　国の機関

　二　地方公共団体

　三　独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成十五年法律第▼▼▼号）第二条第一項に規定する独立行政法人等をいう。以下同じ。）

　四　その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

４　この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

５　この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

６　この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

　（基本理念）

第三条　個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

２　思想及び信条、心身の状況、経歴等に関する個人情報であって、一般に公表されることを欲しないとされるもの及び差別の原因となるおそれのある個人情報は、特に慎重な取扱いが図られなければならない。

　（国の責務）

第四条　国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。

　（地方公共団体の責務）

第五条　地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。

　（法制上の措置等）

第六条　政府は、国の行政機関について、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。

２　政府は、独立行政法人等について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。

３　政府は、前二項に定めるもののほか、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。

第七条　政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針（以下「基本方針」という。）を定めなければならない。

２　基本方針は、次に掲げる事項について定めるものとする。

　一　個人情報の保護に関する施策の推進に関する基本的な方向

　二　国が講ずべき個人情報の保護のための措置に関する事項

　三　地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項

　四　独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項

　五　個人情報取扱事業者及び第四十一条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項

　六　個人情報の取扱いに関する苦情の円滑な処理に関する事項

　七　その他個人情報の保護に関する施策の推進に関する重要事項

３　内閣総理大臣は、国民生活審議会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなければならない。

４　内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。

５　前二項の規定は、基本方針の変更について準用する。

　（地方公共団体等への支援）

第八条　国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。

　（苦情処理のための措置）

第九条　国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。

　（個人情報の適正な取扱いを確保するための措置）

第十条　国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。

　（保有する個人情報の保護）

第十一条　地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。

　（区域内の事業者等への支援）

第十二条　地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。

　（苦情の処理のあっせん等）

第十三条　地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。

第十四条　国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。

　（特に慎重な取扱いを要する個人情報）

第十五条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、次に掲げる事項を含む個人情報（公知であるものを除く。）を取り扱ってはならない。

　一　思想及び信条に関する事項

　二　医療に関する事項

　三　福祉に係る給付に関する事項

　四　犯罪の経歴に関する事項

　五　人種、民族、社会的身分、門地並びに出生地及び本籍地

２　前項の規定は、次に掲げる場合については、適用しない。

　一　法令に基づく場合

　二　人の生命又は身体の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

　三　法令上の義務の履行のために必要な場合その他これに準ずる正当な理由がある場合

　（利用目的の特定）

第十六条　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。

２　個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

　（利用目的による制限）

第十七条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

３　前二項の規定は、次に掲げる場合については、適用しない。

　一　法令に基づく場合

　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

　三　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に著しい支障を及ぼすおそれがあるとき。

　（適正な取得）

第十八条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

　（取得に際しての利用目的の通知等）

第十九条　個人情報取扱事業者は、個人情報を取得した場合は、速やかに、その利用目的を、本人に通知しなければならない。ただし、本人に通知することにより多額の費用を要することとなる場合その他本人への通知が困難な場合は、利用目的の公表をもって足りる。

２　個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

３　前項の明示は、書面又は電磁的方法（電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって政令で定めるものをいう。以下同じ。）により行わなければならない。ただし、本人の同意があるときは、この限りでない。

４　個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的を、本人に通知しなければならない。ただし、本人に通知することにより多額の費用を要することとなる場合その他本人への通知が困難な場合は、変更された利用目的の公表をもって足りる。

５　前各項の規定は、次に掲げる場合については、適用しない。

　一　利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

　二　利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を著しく害するおそれがある場合

　三　国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に著しい支障を及ぼすおそれがあるとき。

　四　取得の状況からみて利用目的が明らかであると認められる場合

　（データ内容の正確性の確保）

第二十条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

　（安全管理措置）

第二十一条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

　（従業者の監督）

第二十二条　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

　（委託先の監督）

第二十三条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

　（第三者提供の制限）

第二十四条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

　一　法令に基づく場合

　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

　三　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に著しい支障を及ぼすおそれがあるとき。

２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

　一　第三者への提供を利用目的とすること。

　二　第三者に提供される個人データの項目

　三　第三者への提供の手段又は方法

　四　本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

３　個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

４　次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。

　一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合

　二　合併その他の事由による事業の承継に伴って個人データが提供される場合

　三　個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

５　個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

　（保有個人データに関する事項の公表等）

第二十五条　個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。

　一　当該個人情報取扱事業者の氏名又は名称

　二　すべての保有個人データの利用目的（第十九条第五項第一号から第三号までに該当する場合を除く。）

　三　次項、次条第一項、第二十七条第一項又は第二十八条第一項若しくは第二項の規定による求めに応じる手続（第三十一条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。）

　四　前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

　一　前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

　二　第十九条第五項第一号から第三号までに該当する場合

３　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

４　前二項の通知は、書面又は電磁的方法により行わなければならない。ただし、本人の同意があるときは、この限りでない。

　（開示）

第二十六条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示（当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。）を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

　一　第三十条第三項の規定により未成年者若しくは成年被後見人の法定代理人が本人に代わって開示等の求めを行う場合における当該本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

　二　当該個人情報取扱事業者の業務の適正な実施に特に著しい支障を及ぼすおそれがある場合

　三　他の法令に違反することとなる場合

２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、書面又は電磁的方法により、遅滞なく、その旨を通知しなければならない。ただし、本人の同意があるときは、これ以外の方法により通知することができる。

３　他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。

　（訂正等）

第二十七条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂正等」という。）を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、書面又は電磁的方法により、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知しなければならない。ただし、本人の同意があるときは、これ以外の方法により通知することができる。

　（利用停止等）

第二十八条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十五条若しくは第十七条の規定に違反して取り扱われているという理由又は第十八条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十四条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

３　個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、書面又は電磁的方法により、遅滞なく、その旨を通知しなければならない。ただし、本人の同意があるときは、これ以外の方法により通知することができる。

　（理由の説明）

第二十九条　個人情報取扱事業者は、第二十五条第三項、第二十六条第二項、第二十七条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、理由を示すことが困難な事情があるときを除き、本人に対し、書面又は電磁的方法により、その理由を説明しなければならない。ただし、本人の同意があるときは、これ以外の方法により説明することができる。

　（開示等の求めに応じる手続）

第三十条　個人情報取扱事業者は、第二十五条第二項、第二十六条第一項、第二十七条第一項又は第二十八条第一項若しくは第二項の規定による求め（以下この条において「開示等の求め」という。）に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。

２　個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

３　開示等の求めは、政令で定めるところにより、代理人によってすることができる。

４　個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

　（手数料）

第三十一条　個人情報取扱事業者は、第二十五条第二項の規定による利用目的の通知又は第二十六条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。

２　個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費の範囲内において、その手数料の額を定めなければならない。

　（個人情報取扱事業者による苦情の処理）

第三十二条　個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

２　個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

　（報告の徴収）

第三十三条　個人情報保護委員会は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。

　（助言）

第三十四条　個人情報保護委員会は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。

　（勧告及び命令）

第三十五条　個人情報保護委員会は、個人情報取扱事業者が第十五条、第十七条から第十九条まで、第二十一条から第二十八条まで又は第三十一条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。

２　個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。

３　個人情報保護委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十五条、第十七条、第十八条、第二十一条から第二十三条まで又は第二十四条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。

　（個人情報保護委員会に対する申出）

第三十六条　何人も、自己を本人とする個人情報に関し、この法律に違反する事実があると思料するときは、個人情報保護委員会に対し、その旨を申し出て、適当な措置をとるべきことを求めることができる。

２　個人情報保護委員会は、前項の申出があったときは、必要な調査を行い、その申出の内容が事実であると認めるときは、この法律に基づく措置をとらなければならない。

　（個人情報保護委員会の権限の行使の制限）

第三十七条　個人情報保護委員会は、第三十三条から第三十五条までの規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。

２　前項の規定の趣旨に照らし、個人情報保護委員会は、個人情報取扱事業者が、第六十五条各号に掲げる目的で個人情報を取り扱う者に対し、その取扱いに関し個人情報を提供する行為については、その権限を行使しないものとする。

　（認定）

第三十八条　個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人（法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。）は、個人情報保護委員会の認定を受けることができる。

　一　業務の対象となる個人情報取扱事業者（以下「対象事業者」という。）の個人情報の取扱いに関する第四十三条の規定による苦情の処理

　二　個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供

　三　前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務

２　前項の認定を受けようとする者は、個人情報保護委員会規則で定めるところにより、個人情報保護委員会に申請しなければならない。

３　個人情報保護委員会は、第一項の認定をしたときは、その旨を公示しなければならない。

　（欠格条項）

第三十九条　次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。

　一　この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者

　二　第四十九条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者

　三　その業務を行う役員（法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。）のうちに、次のいずれかに該当する者があるもの

　（認定の基準）

第四十条　個人情報保護委員会は、第三十八条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。

　一　第三十八条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。

　二　第三十八条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。

　三　第三十八条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。

　（廃止の届出）

第四十一条　第三十八条第一項の認定を受けた者（以下「認定個人情報保護団体」という。）は、その認定に係る業務（以下「認定業務」という。）を廃止しようとするときは、個人情報保護委員会規則で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。

２　個人情報保護委員会は、前項の規定による届出があったときは、その旨を公示しなければならない。

　（対象事業者）

第四十二条　認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。

２　認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。

　（苦情の処理）

第四十三条　認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。

２　認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。

３　対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。

　（個人情報保護指針）

第四十四条　認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針（以下「個人情報保護指針」という。）を作成し、公表するよう努めなければならない。

２　認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。

　（目的外利用の禁止）

第四十五条　認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。

　（名称の使用制限）

第四十六条　認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。

　（報告の徴収）

第四十七条　個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。

　（命令）

第四十八条　個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。

　（認定の取消し）

第四十九条　個人情報保護委員会は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。

　一　第三十九条第一号又は第三号に該当するに至ったとき。

　二　第四十条各号のいずれかに適合しなくなったとき。

　三　第四十五条の規定に違反したとき。

　四　前条の命令に従わないとき。

　五　不正の手段により第三十八条第一項の認定を受けたとき。

２　個人情報保護委員会は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。

　（設置）

第五十条　内閣府設置法（平成十一年法律第八十九号）第四十九条第三項の規定に基づいて、個人情報取扱事業者の個人情報の適正な取扱いの確保を任務とする個人情報保護委員会を設置する。

２　個人情報保護委員会は、内閣総理大臣の所轄に属する。

　（所掌事務）

第五十一条　個人情報保護委員会は、前条第一項の任務を達成するため、次に掲げる事務をつかさどる。

　一　個人情報取扱事業者に対する個人情報の適正な取扱いのための必要な監督に関すること。

　二　第三十八条第一項の規定による認定及び認定個人情報保護団体に対する認定業務に係る必要な監督に関すること。

　三　前二号に掲げるもののほか、法律（法律に基づく命令を含む。）に基づき個人情報保護委員会に属させられた事務

　（職権行使の独立性）

第五十二条　個人情報保護委員会の委員長及び委員は、独立してその職権を行う。

　（組織）

第五十三条　個人情報保護委員会は、委員長及び委員四人をもって組織する。

２　委員長は、個人情報保護委員会の会務を総理し、個人情報保護委員会を代表する。

３　委員長に事故があるときは、あらかじめその指名する委員が、その職務を代理する。

　（委員長及び委員の任命）

第五十四条　委員長及び委員は、個人情報の保護に関し優れた識見を有する者のうちから、両議院の同意を得て、内閣総理大臣が任命する。

２　委員長又は委員の任期が満了し、又は欠員を生じた場合において、国会の閉会又は衆議院の解散のため両議院の同意を得ることができないときは、内閣総理大臣は、前項の規定にかかわらず、同項に定める資格を有する者のうちから、委員長又は委員を任命することができる。

３　前項の場合においては、任命後最初の国会において両議院の事後の承認を得なければならない。

　（任期）

第五十五条　委員長及び委員の任期は、五年とする。ただし、補欠の委員長又は委員の任期は、前任者の残任期間とする。

２　委員長及び委員は、再任されることができる。

３　委員長又は委員の任期が満了したときは、当該委員長又は委員は、後任者が任命されるまで引き続きその職務を行うものとする。

　（身分保障）

第五十六条　委員長及び委員は、次の各号のいずれかに該当する場合を除いては、在任中、その意に反して罷免されることがない。

　一　禁錮以上の刑に処せられたとき。

　二　個人情報保護委員会により、心身の故障のため職務の執行ができないと認められたとき、又は職務上の義務違反その他委員長若しくは委員たるに適しない非行があると認められたとき。

三　第五十四条第三項の場合において、両議院の事後の承認を得られなかったとき。

　（罷免）

第五十七条　内閣総理大臣は、委員長又は委員が前条各号のいずれかに該当するときは、その委員長又は委員を罷免しなければならない。

　（委員長及び委員の服務等）

第五十八条　委員長及び委員は、職務上知ることができた秘密を漏らしてはならない。その職を退いた後も、同様とする。

２　委員長及び委員は、在任中、政党その他の政治的団体の役員となり、又は積極的に政治運動をしてはならない。

３　委員長及び委員は、在任中、営利事業を営み、その他金銭上の利益を目的とする業務を行い、又は内閣総理大臣の許可のある場合を除くほか、報酬を得て他の職務に従事してはならない。

４　委員長及び委員の給与は、別に法律で定める。

　（会議）

第五十九条　個人情報保護委員会の会議は、委員長が招集する。

２　個人情報保護委員会は、委員長及び二人以上の委員の出席がなければ、会議を開き、議決をすることができない。

３　個人情報保護委員会の議事は、出席者の過半数でこれを決し、可否同数のときは、委員長の決するところによる。

４　個人情報保護委員会が第五十六条第二号の規定による認定をするには、前項の規定にかかわらず、本人を除く全員の一致がなければならない。

５　委員長に事故がある場合の第二項の規定の適用については、第五十三条第三項に規定する委員は、委員長とみなす。

　（事務局）

第六十条　個人情報保護委員会の事務を処理させるため、個人情報保護委員会に事務局を置く。

２　事務局に事務局長及び所要の職員を置く。

　（規則の制定）

第六十一条　個人情報保護委員会は、法律若しくは政令を実施するため、又は法律若しくは政令の特別の委任に基づいて、個人情報保護委員会規則を定めることができる。

　（地方事務所）

第六十二条　個人情報保護委員会の事務局の地方機関として、所要の地に地方事務所を置く。

２　前項の地方事務所の名称、位置及び管轄区域は、政令で定める。

　（国会に対する報告等）

第六十三条　個人情報保護委員会は、毎年、内閣総理大臣を経由して国会に対し、所掌事務の処理状況を報告するとともに、その概要を公表しなければならない。

　（内閣総理大臣等又は国会に対する意見の提出）

第六十四条　個人情報保護委員会は、内閣総理大臣若しくは関係行政機関の長に対し、又は内閣総理大臣を経由して国会に対し、この法律の目的を達成するために必要な事項に関し、意見を提出することができる。

　（適用除外）

第六十五条　個人情報取扱事業者が個人情報を取り扱う場合において、その目的の全部又は一部が次の各号に掲げる目的であるときは、第四章の規定は、適用しない。

　一　報道の用に供する目的

　二　著述の用に供する目的

　三　前二号に掲げるもののほか、不特定かつ多数の者に対して、情報を発表し、又は伝達する活動（個人情報を記録した名簿、個人の住宅の所在を明らかにする地図その他これらに類する個人情報データベース等であって政令で定めるものを発表し、又は伝達する活動を除く。）の用に供する目的

　四　学術研究の用に供する目的

　五　宗教活動（これに付随する活動を含む。）の用に供する目的

　六　政治活動（これに付随する活動を含む。）の用に供する目的

　（政令又は個人情報保護委員会規則への委任）

第六十六条　この法律に定めるもののほか、この法律の実施のため必要な事項は、政令又は個人情報保護委員会規則で定める。

第六十七条　第五十八条第一項の規定に違反して秘密を漏らした者は、一年以下の懲役又は五十万円以下の罰金に処する。

第六十八条　第三十五条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。

第六十九条　第三十三条又は第四十七条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。

第七十条　法人（法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。）の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。

２　法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。

第七十一条　次の各号のいずれかに該当する者は、十万円以下の過料に処する。

　一　第四十一条第一項の規定による届出をせず、又は虚偽の届出をした者

　二　第四十六条の規定に違反した者

　（施行期日）

第一条　この法律は、公布の日から施行する。ただし、第四章から第七章まで（第五十四条第一項（両議院の同意を得ることに係る部分に限る。）を除く。）の規定並びに次条から附則第十五条までの規定並びに附則第十六条中内閣府設置法第四条第三項第五十九号から第六十一号までを一号ずつ繰り下げ、同項第五十八号の次に一号を加える改正規定、同法第十一条の改正規定、同法第十六条第二項の改正規定及び同法第六十四条の表の改正規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。

　（最初に任命される委員長及び委員の任命及び任期）

第二条　この法律の施行の日以後最初に任命される個人情報保護委員会の委員長及び委員の任命について、国会の閉会又は衆議院の解散のため両議院の同意を得ることができないときは、第五十四条第二項及び第三項並びに第五十六条第三号の規定を準用する。

２　この法律の施行の日以後最初に任命される個人情報保護委員会の委員の任期は、第五十五条第一項本文の規定にかかわらず、内閣総理大臣の指定するところにより、一人は二年、一人は三年、一人は四年、一人は五年とする。

　（本人の同意に関する経過措置）

第三条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第十五条第一項の規定による同項各号に掲げる事項を含む個人情報を取り扱うことを認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。

第四条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第十六条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第十七条第一項又は第二項の同意があったものとみなす。

第五条　この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十四条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。

　（通知に関する経過措置）

第六条　第二十四条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。

第七条　第二十四条第四項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。

　（名称の使用制限に関する経過措置）

第八条　この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている者については、第四十六条の規定は、同条の規定の施行後六月間は、適用しない。

　（検討）

第九条　政府は、附則第一条ただし書に掲げる規定の施行後三年を目途として、この法律の施行の状況について検討を加え、その結果に基づいて必要な措置を講ずるものとする。

　（国会法の一部改正）

第十条　国会法（昭和二十二年法律第七十九号）の一部を次のように改正する。

　　第六十九条第二項中「内閣法制局長官」の下に「、個人情報保護委員会委員長」を加える。

　（特別職の職員の給与に関する法律の一部改正）

第十一条　特別職の職員の給与に関する法律（昭和二十四年法律第二百五十二号）の一部を次のように改正する。

　　第一条中第十三号の三の二を第十三号の三の三とし、第十三号の三の次に次の一号を加える。

　　別表第一官職名の欄中「公害等調整委員会委員長」を