衆議院

メインへスキップ



第二〇一回

閣第四八号

   個人情報の保護に関する法律等の一部を改正する法律案

 (個人情報の保護に関する法律の一部改正)

第一条 個人情報の保護に関する法律(平成十五年法律第五十七号)の一部を次のように改正する。

  目次中「第一節 個人情報取扱事業者の義務(第十五条−第三十五条)」

 を

第一節 個人情報取扱事業者等の義務(第十五条−第三十五条)

 

 

第二節 仮名加工情報取扱事業者等の義務(第三十五条の二・第三十五条の三)

 

 に、「第二節 匿名加工情報取扱事業者等」を「第三節 匿名加工情報取扱事業者等」に、「第三節 監督」を「第四節 監督」に、「第四節 民間団体による個人情報の保護の推進(第四十七条−第五十八条)」

 を

第五節 民間団体による個人情報の保護の推進(第四十七条−第五十八条)

 

 

第六節 送達(第五十八条の二−第五十八条の五)

 に改める。

  第二条第一項第一号中「第十八条第二項」の下に「及び第二十八条第一項」を加え、同条第七項中「又は一年以内の政令で定める期間以内に消去することとなるもの」を削り、同条中第十項を第十二項とし、第九項を第十一項とし、第八項の次に次の二項を加える。

 9 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

  一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

  二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 10 この法律において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十五条の二第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。

  第七条第二項第六号中「及び」を「、仮名加工情報取扱事業者及び」に改める。

  第四章第一節の節名中「個人情報取扱事業者」を「個人情報取扱事業者等」に改める。

  第十六条の次に次の一条を加える。

  (不適正な利用の禁止)

 第十六条の二 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

  第二十条中「き損」を「毀損」に改める。

  第二十二条の次に次の一条を加える。

  (漏えい等の報告等)

 第二十二条の二 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。

 2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

  第二十三条第二項中「(要配慮個人情報を除く。以下この項において同じ。)」を削り、同項に次のただし書を加える。

   ただし、第三者に提供される個人データが要配慮個人情報又は第十七条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。

  第二十三条第二項中第五号を第七号とし、第四号を第六号とし、第三号を第五号とし、第二号を第三号とし、同号の次に次の一号を加える。

  四 第三者に提供される個人データの取得の方法

  第二十三条第二項中第一号を第二号とし、同号の前に次の一号を加える。

  一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第二十六条第一項第一号及び第二十七条第一項第一号において同じ。)の氏名

  第二十三条第二項に次の一号を加える。

  八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

  第二十三条第三項中「前項第二号、第三号又は第五号」を「前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号」に、「変更する場合は、変更する内容」を「変更しようとするときはあらかじめ、その旨」に改め、「、あらかじめ」を削り、同条第五項第三号中「及び」を「並びに」に改め、「名称」の下に「及び住所並びに法人にあっては、その代表者の氏名」を加え、同条第六項中「利用する者の利用目的又は」を削り、「若しくは名称を変更する場合は、変更する内容について、あらかじめ」を「、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について」に改める。

  第二十四条中「ものを除く。以下この条」の下に「及び第二十六条の二第一項第二号」を、「相当する措置」の下に「(第三項において「相当措置」という。)」を加え、「者を除く。以下この条」を「者を除く。以下この項及び次項並びに同号」に改め、同条に次の二項を加える。

 2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

 3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

  第二十五条第一項中「次条」の下に「(第二十六条の二第三項において読み替えて準用する場合を含む。)」を加え、同項ただし書中「前条」を「前条第一項」に改める。

  第二十六条第一項第一号中「(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)」を削る。

  第二十六条の次に次の一条を加える。

  (個人関連情報の第三者提供の制限等)

 第二十六条の二 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

  一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

  二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

 2 第二十四条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。

 3 前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

  第二十七条第一項第一号中「名称」の下に「及び住所並びに法人にあっては、その代表者の氏名」を加え、同項第三号中「次条第一項」の下に「(同条第五項において準用する場合を含む。)」を加え、「若しくは第三項」を「、第三項若しくは第五項」に改める。

  第二十八条第一項中「開示」を「電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示」に改め、同条第二項中「政令で定める方法」を「同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)」に改め、同条第三項中「全部又は」を「全部若しくは」に、「とき又は」を「とき、」に、「ときは」を「とき、又は同項の規定により本人が請求した方法による開示が困難であるときは」に改め、同条に次の一項を加える。

 5 第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十五条第一項及び第二十六条第三項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第三十二条第二項において「第三者提供記録」という。)について準用する。

  第三十条第一項中「第十六条」の下に「若しくは第十六条の二」を加え、「とき又は」を「とき、又は」に改め、同条第五項中「第一項」及び「第三項」の下に「若しくは第五項」を加え、同項を同条第七項とし、同条第四項の次に次の二項を加える。

 5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十二条の二第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

 6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

  第三十一条中「第二十八条第三項」の下に「(同条第五項において準用する場合を含む。)」を加え、「前条第五項」を「前条第七項」に、「場合は」を「場合には」に改める。

  第三十二条第一項中「第二十八条第一項」の下に「(同条第五項において準用する場合を含む。次条第一項及び第三十四条において同じ。)」を加え、「若しくは第三項」を「、第三項若しくは第五項」に改め、同条第二項中「を特定する」を「又は第三者提供記録を特定する」に、「の特定」を「又は当該第三者提供記録の特定」に改める。

  第三十四条第一項及び第三項中「若しくは第三項」を「、第三項若しくは第五項」に改める。

  第四十七条第一項中「個人情報取扱事業者等の個人情報等」を「個人情報取扱事業者等(個人関連情報取扱事業者を除く。以下この節において同じ。)の個人情報等(個人関連情報を除く。以下この節において同じ。)」に改め、同条第三項中「その旨」の下に「(第二項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)」を加え、同項を同条第四項とし、同条第二項中「前項」を「第一項」に改め、同項を同条第三項とし、同条第一項の次に次の一項を加える。

 2 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。

  第四十九条の次に次の一条を加える。

  (変更の認定等)

 第四十九条の二 第四十七条第一項の認定(同条第二項の規定により業務の範囲を限定する認定を含む。次条第一項及び第五十八条第一項第五号において同じ。)を受けた者は、その認定に係る業務の範囲を変更しようとするときは、個人情報保護委員会の認定を受けなければならない。ただし、個人情報保護委員会規則で定める軽微な変更については、この限りでない。

 2 第四十七条第三項及び第四項並びに前条の規定は、前項の変更の認定について準用する。

  第五十条第一項中「認定を」を「認定(前条第一項の変更の認定を含む。)を」に改める。

  第五十一条第一項中「当該認定個人情報保護団体の構成員である個人情報取扱事業者等又は」を削り、同項に後段として次のように加える。

   この場合において、第五十三条第四項の規定による措置をとったにもかかわらず、対象事業者が同条第一項に規定する個人情報保護指針を遵守しないときは、当該対象事業者を認定業務の対象から除外することができる。

  第五十三条第一項中「又は」の下に「仮名加工情報若しくは」を加える。

  第五十八条第一項第五号中「認定」の下に「又は第四十九条の二第一項の変更の認定」を加える。

  第四章第四節を同章第五節とする。

  第四十条第一項中「前二節」を「前三節」に改め、「、個人情報取扱事業者」の下に「、個人関連情報取扱事業者、仮名加工情報取扱事業者」を加え、「に対し、個人情報」を「その他の関係者に対し、個人情報、個人関連情報、仮名加工情報」に、「の事務所」を「その他の関係者の事務所」に改める。

  第四十一条中「前二節」を「前三節」に改める。

  第四十二条第一項中「第十八条まで」を「第十七条まで、第十八条(第一項、第三項及び第四項の規定を第三十五条の二第四項の規定により読み替えて適用する場合を含む。)」に、「第二十二条」を「第二十二条の二」に、「第四項を除く」を「第四項を除き、第五項及び第六項の規定を第三十五条の二第六項の規定により読み替えて適用する場合を含む」に、「第二十五条」を「第二十五条(第一項ただし書の規定を第三十五条の二第六項の規定により読み替えて適用する場合を含む。)」に、「第二項を除く」を「第二項を除き、第一項ただし書の規定を第三十五条の二第六項の規定により読み替えて適用する場合を含む」に改め、「第一項」の下に「(第五項において準用する場合を含む。)」を加え、「第三十条第二項、第四項若しくは第五項、第三十三条第二項」を「第三十条(第一項、第三項及び第五項を除く。)、第三十三条第二項、第三十五条の二(第四項及び第五項を除く。)」に、「場合又は」を「場合、個人関連情報取扱事業者が第二十六条の二第一項若しくは同条第二項において読み替えて準用する第二十四条第三項若しくは第二十六条の二第三項において読み替えて準用する第二十六条第三項若しくは第四項の規定に違反した場合、仮名加工情報取扱事業者が第三十五条の三第一項若しくは同条第二項において読み替えて準用する第二十三条第五項若しくは第六項若しくは第三十五条の三第三項において読み替えて準用する第二十条から第二十二条まで若しくは第三十五条の二第七項若しくは第八項の規定に違反した場合又は」に改め、同条第三項中「、第十七条」を「から第十七条まで」に、「第二十二条」を「第二十二条の二」に、「第二十四条」を「第二十四条第一項若しくは第三項、第三十五条の二第一項から第三項まで若しくは第六項から第八項まで」に、「場合又は」を「場合、個人関連情報取扱事業者が第二十六条の二第一項若しくは同条第二項において読み替えて準用する第二十四条第三項の規定に違反した場合、仮名加工情報取扱事業者が第三十五条の三第一項若しくは同条第三項において読み替えて準用する第二十条から第二十二条まで若しくは第三十五条の二第七項若しくは第八項の規定に違反した場合又は」に改め、同条に次の一項を加える。

 4 個人情報保護委員会は、前二項の規定による命令をした場合において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができる。

  第四十四条第一項中「第四十二条」を「第四十二条第一項」に改め、「又は」の下に「同条第二項若しくは第三項の規定による」を加え、「第四十条第一項」を「第二十二条の二第一項、第四十条第一項、第五十八条の三において読み替えて準用する民事訴訟法(平成八年法律第百九号)第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条、第五十八条の四並びに第五十八条の五」に改める。

  第四十五条中「前二節」を「前三節」に改める。

  第四章中第三節を第四節とし、第二節を第三節とし、第一節の次に次の一節を加える。

     第二節 仮名加工情報取扱事業者等の義務

  (仮名加工情報の作成等)

 第三十五条の二 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。

 2 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第三項において読み替えて準用する第七項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。

 3 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十六条の規定にかかわらず、法令に基づく場合を除くほか、第十五条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。

 4 仮名加工情報についての第十八条の規定の適用については、同条第一項及び第三項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第四項第一号から第三号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。

 5 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第十九条の規定は、適用しない。

 6 仮名加工情報取扱事業者は、第二十三条第一項及び第二項並びに第二十四条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第二十三条第五項中「前各項」とあるのは「第三十五条の二第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十五条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」とあり、及び第二十六条第一項ただし書中「第二十三条第一項各号又は第五項各号のいずれか」とあるのは「法令に基づく場合又は第二十三条第五項各号のいずれか」とする。

 7 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。

 8 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。

 9 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十五条第二項、第二十二条の二及び第二十七条から第三十四条までの規定は、適用しない。

  (仮名加工情報の第三者提供の制限等)

 第三十五条の三 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第三項において同じ。)を第三者に提供してはならない。

 2 第二十三条第五項及び第六項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第五項中「前各項」とあるのは「第三十五条の三第一項」と、同項第一号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。

 3 第二十条から第二十二条まで、第三十五条並びに前条第七項及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第二十条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。

  第四章に次の一節を加える。

     第六節 送達

  (送達すべき書類)

 第五十八条の二 第四十条第一項の規定による報告若しくは資料の提出の要求、第四十二条第一項の規定による勧告若しくは同条第二項若しくは第三項の規定による命令、第五十六条の規定による報告の徴収、第五十七条の規定による命令又は前条第一項の規定による取消しは、個人情報保護委員会規則で定める書類を送達して行う。

 2 第四十二条第二項若しくは第三項若しくは第五十七条の規定による命令又は前条第一項の規定による取消しに係る行政手続法(平成五年法律第八十八号)第十五条第一項又は第三十条の通知は、同法第十五条第一項及び第二項又は第三十条の書類を送達して行う。この場合において、同法第十五条第三項(同法第三十一条において読み替えて準用する場合を含む。)の規定は、適用しない。

  (送達に関する民事訴訟法の準用)

 第五十八条の三 前条の規定による送達については、民事訴訟法第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条の規定を準用する。この場合において、同法第九十九条第一項中「執行官」とあるのは「個人情報保護委員会の職員」と、同法第百八条中「裁判長」とあり、及び同法第百九条中「裁判所」とあるのは「個人情報保護委員会」と読み替えるものとする。

  (公示送達)

 第五十八条の四 個人情報保護委員会は、次に掲げる場合には、公示送達をすることができる。

  一 送達を受けるべき者の住所、居所その他送達をすべき場所が知れない場合

  二 外国においてすべき送達について、前条において読み替えて準用する民事訴訟法第百八条の規定によることができず、又はこれによっても送達をすることができないと認めるべき場合

  三 前条において読み替えて準用する民事訴訟法第百八条の規定により外国の管轄官庁に嘱託を発した後六月を経過してもその送達を証する書面の送付がない場合

 2 公示送達は、送達をすべき書類を送達を受けるべき者にいつでも交付すべき旨を個人情報保護委員会の掲示場に掲示することにより行う。

 3 公示送達は、前項の規定による掲示を始めた日から二週間を経過することによって、その効力を生ずる。

 4 外国においてすべき送達についてした公示送達にあっては、前項の期間は、六週間とする。

  (電子情報処理組織の使用)

 第五十八条の五 個人情報保護委員会の職員が、情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)第三条第九号に規定する処分通知等であって第五十八条の二の規定により書類を送達して行うこととしているものに関する事務を、同法第七条第一項の規定により同法第六条第一項に規定する電子情報処理組織を使用して行ったときは、第五十八条の三において読み替えて準用する民事訴訟法第百九条の規定による送達に関する事項を記載した書面の作成及び提出に代えて、当該事項を当該電子情報処理組織を使用して個人情報保護委員会の使用に係る電子計算機(入出力装置を含む。)に備えられたファイルに記録しなければならない。

  第六十一条第二号中「個人情報の取扱い」の下に「、個人関連情報取扱事業者における個人関連情報の取扱い、個人情報取扱事業者及び仮名加工情報取扱事業者における仮名加工情報の取扱い」を、「監督並びに個人情報」の下に「、仮名加工情報」を加える。

  第七十五条を次のように改める。

  (適用範囲)

 第七十五条 この法律は、個人情報取扱事業者等が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。

  第七十六条第三項中「又は」を「、仮名加工情報又は」に、「の取扱い」を「(個人関連情報を除く。以下この項において同じ。)の取扱い」に改める。

  第七十八条の次に次の一条を加える。

  (国際約束の誠実な履行等)

 第七十八条の二 この法律の施行に当たっては、我が国が締結した条約その他の国際約束の誠実な履行を妨げることがないよう留意するとともに、確立された国際法規を遵守しなければならない。

  第八十四条を削り、第八十三条を第八十四条とし、第八十二条の次に次の一条を加える。

 第八十三条 第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。

  第八十五条中「該当する」の下に「場合には、当該違反行為をした」を加え、「三十万円」を「五十万円」に改め、同条各号中「者」を「とき。」に改める。

  第八十六条中「第八十三条」を「第八十四条」に改める。

  第八十七条第一項中「第八十三条から第八十五条までの」を「次の各号に掲げる」に、「又は人に対しても、」を「に対して当該各号に定める罰金刑を、その人に対して」に改め、同項に次の各号を加える。

  一 第八十三条及び第八十四条 一億円以下の罰金刑

  二 第八十五条 同条の罰金刑

  第八十八条第一号中「又は」を「(第二十六条の二第三項において準用する場合を含む。)又は」に改める。

 (行政手続における特定の個人を識別するための番号の利用等に関する法律の一部改正)

第二条 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)の一部を次のように改正する。

  第二十九条の四の見出し中「報告」を「報告等」に改め、同条中「、個人情報保護委員会規則で定めるところにより」を削り、「漏えい」の下に「、滅失、毀損」を加え、「重大な事態」を「事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」に、「委員会に報告するものとする」を「個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を委員会に報告しなければならない」に改め、同条に次のただし書を加える。

   ただし、当該個人番号利用事務等実施者が、他の個人番号利用事務等実施者から当該個人番号利用事務等の全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人番号利用事務等実施者に通知したときは、この限りでない。

  第二十九条の四に次の一項を加える。

 2 前項に規定する場合には、個人番号利用事務等実施者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

  第五十七条第一項中「、第四十八条、第四十九条、第五十一条又は第五十三条から第五十五条の二までの」を「次の各号に掲げる」に、「又は人に対しても、」を「に対して当該各号に定める罰金刑を、その人に対して」に改め、同項に次の各号を加える。

  一 第四十八条、第四十九条及び第五十三条 一億円以下の罰金刑

  二 第五十一条及び第五十三条の二から第五十五条の二まで 各本条の罰金刑

 (医療分野の研究開発に資するための匿名加工医療情報に関する法律の一部改正)

第三条 医療分野の研究開発に資するための匿名加工医療情報に関する法律(平成二十九年法律第二十八号)の一部を次のように改正する。

  第二十四条の次に次の一条を加える。

  (漏えい等の報告)

 第二十四条の二 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報の漏えい、滅失、毀損その他の医療情報等又は匿名加工医療情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして主務省令で定めるものが生じたときは、主務省令で定めるところにより、当該事態が生じた旨を主務大臣に報告しなければならない。

  第二十九条中「第二十四条」の下に「、第二十四条の二」を加え、同条の表第十七条第一項の項の次に次のように加える。

第二十四条の二

ならない

ならない。ただし、当該認定医療情報等取扱受託事業者が、認定匿名加工医療情報作成事業者又は他の認定医療情報等取扱受託事業者から当該医療情報等又は匿名加工医療情報の取扱いの全部又は一部の委託を受けた場合であって、主務省令で定めるところにより、当該事態が生じた旨を当該認定匿名加工医療情報作成事業者又は他の認定医療情報等取扱受託事業者に通知したときは、この限りでない

  第三十条第一項中「医療情報に」を「医療情報(偽りその他不正の手段により取得したものを除く。以下この項において同じ。)に」に改め、同項中第五号を第七号とし、第四号を第六号とし、第三号を第五号とし、第二号を第三号とし、同号の次に次の一号を加える。

  四 認定匿名加工医療情報作成事業者に提供される医療情報の取得の方法

  第三十条第一項中第一号を第二号とし、同号の前に次の一号を加える。

  一 当該医療情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第三十三条第一項第一号において同じ。)の氏名

  第三十条第一項に次の一号を加える。

  八 その他個人の権利利益を保護するために必要なものとして主務省令で定める事項

  第三十条第二項中「前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、主務省令で定めるところにより、あらかじめ」を「前項第一号に掲げる事項に変更があったとき又は同項の規定による医療情報の提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、主務省令で定めるところにより」に改める。

  第三十三条第一項第一号中「(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)」を削る。

  第三十七条第一項及び第二項中「第二十四条」の下に「、第二十四条の二」を加える。

  第四十六条中「該当する」の下に「場合には、当該違反行為をした」を加え、「五十万円」を「百万円」に改め、同条第一号及び第二号中「者」を「とき。」に改め、同条第三号を削り、同条第四号中「者」を「とき。」に改め、同号を同条第三号とし、同条第五号中「者」を「とき。」に改め、同号を同条第四号とする。

  第四十六条の次に次の一条を加える。

 第四十六条の二 第二十二条(第二十九条において準用する場合を含む。)の規定に違反して、認定事業に関して知り得た医療情報等又は匿名加工医療情報の内容をみだりに他人に知らせ、又は不当な目的に利用した場合には、当該違反行為をした者は、一年以下の懲役若しくは五十万円以下の罰金に処し、又はこれを併科する。

  第四十八条中「第三号及び第五号」を「第四号」に、「及び前条」を「、第四十六条の二及び前条」に改める。

  第四十九条第一項中「第四十四条から第四十七条までの」を「、次の各号に掲げる」に、「又は人に対しても、」を「に対して当該各号に定める罰金刑を、その人に対して」に改め、同項に次の各号を加える。

  一 第四十四条から第四十六条まで 一億円以下の罰金刑

  二 第四十六条の二又は第四十七条 各本条の罰金刑

   附 則

 (施行期日)

第一条 この法律は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。

 一 附則第九条から第十一条までの規定 公布の日

 二 第一条中個人情報の保護に関する法律第八十四条を削り、同法第八十三条を同法第八十四条とし、同法第八十二条の次に一条を加える改正規定、同法第八十五条の改正規定、同法第八十六条の改正規定及び同法第八十七条の改正規定、第二条中行政手続における特定の個人を識別するための番号の利用等に関する法律第五十七条の改正規定並びに第三条中医療分野の研究開発に資するための匿名加工医療情報に関する法律第四十六条の改正規定、同法第四十六条の次に一条を加える改正規定、同法第四十八条の改正規定及び同法第四十九条の改正規定並びに附則第八条の規定 公布の日から起算して六月を経過した日

 三 次条及び附則第七条の規定 公布の日から起算して一年六月を超えない範囲内において政令で定める日

 (通知等に関する経過措置)

第二条 第一条の規定による改正後の個人情報の保護に関する法律(以下「新個人情報保護法」という。)第二十三条第二項の規定により個人データを第三者に提供しようとする者は、この法律の施行の日(以下「施行日」という。)前においても、個人情報保護委員会規則で定めるところにより、同項第一号、第四号及び第八号に掲げる事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができる。この場合において、当該通知及び届出は、施行日以後は、同項の規定による通知及び届出とみなす。

第三条 新個人情報保護法第二十三条第五項第三号に規定する個人データの管理について責任を有する者の住所及び法人にあっては、その代表者の氏名に相当する事項について、施行日前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。

 (外国にある第三者への提供に係る情報提供等に関する経過措置)

第四条 新個人情報保護法第二十四条第二項の規定は、個人情報取扱事業者が施行日以後に同条第一項の規定により本人の同意を得る場合について適用する。

2 新個人情報保護法第二十四条第三項の規定は、個人情報取扱事業者が施行日以後に個人データを同項に規定する外国にある第三者に提供した場合について適用する。

 (個人関連情報の第三者提供に係る本人の同意等に関する経過措置)

第五条 施行日前になされた本人の個人関連情報の取扱いに関する同意がある場合において、その同意が新個人情報保護法第二十六条の二第一項の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、同項第一号の同意があったものとみなす。

2 新個人情報保護法第二十六条の二第二項において読み替えて準用する新個人情報保護法第二十四条第三項の規定は、個人関連情報取扱事業者が施行日以後に個人関連情報を同項に規定する外国にある第三者に提供した場合について適用する。

 (認定個人情報保護団体の対象事業者に関する経過措置)

第六条 この法律の施行の際現に認定個人情報保護団体の構成員である個人情報取扱事業者等については、施行日において新個人情報保護法第五十一条第一項の同意があったものとみなして、同項の規定を適用する。

 (医療分野の研究開発に資するための匿名加工医療情報に関する法律の一部改正に伴う経過措置)

第七条 第三条の規定による改正後の医療分野の研究開発に資するための匿名加工医療情報に関する法律第三十条第一項の規定により医療情報を認定匿名加工医療情報作成事業者に提供しようとする者は、施行日前においても、主務省令で定めるところにより、同項第一号、第四号及び第八号に掲げる事項に相当する事項について、本人に通知するとともに、主務大臣に届け出ることができる。この場合において、当該通知及び届出は、施行日以後は、同項の規定による通知及び届出とみなす。

 (罰則の適用に関する経過措置)

第八条 この法律(附則第一条第二号に掲げる規定にあっては、当該規定)の施行前にした行為に対する罰則の適用については、なお従前の例による。

 (政令への委任)

第九条 この附則に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。

 (検討)

第十条 政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

 (個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律の一部改正)

第十一条 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成二十七年法律第六十五号)の一部を次のように改正する。

  附則第十二条第三項中「ごとに」を「を目途として」に改める。


     理 由

 個人情報の保護及び有用性の確保に資するため、個人情報の漏えい等が生じた場合における報告及び本人への通知を義務付け、個人情報等の外国における取扱いに対する個人情報の保護に関する法律の適用範囲を拡大するとともに、個人情報に含まれる記述等の削除等により他の情報と照合しない限り特定の個人を識別することができないように加工した仮名加工情報の取扱いについての規律を定める等の必要がある。これが、この法律案を提出する理由である。

衆議院
〒100-0014 東京都千代田区永田町1-7-1
電話(代表)03-3581-5111
案内図

Copyright © Shugiin All Rights Reserved.