第二二一回
閣第五四号
個人情報の保護に関する法律等の一部を改正する法律案
(個人情報の保護に関する法律の一部改正)
第一条 個人情報の保護に関する法律(平成十五年法律第五十七号)の一部を次のように改正する。
目次中「第四十条」を「第四十条の二」に、「第四十六条」を「第四十六条の二」に、「第一款 個人情報取扱事業者等の監督(第百四十六条−第百五十二条)」を
|
「 |
第一款 個人情報取扱事業者等の監督 |
|
|
|
第一目 報告及び立入検査(第百四十六条) |
|
|
|
第二目 措置命令等(第百四十七条−第百四十八条の二) |
|
|
|
第三目 課徴金納付命令等(第百四十八条の三−第百四十八条の十七) |
|
|
|
第四目 雑則(第百四十九条−第百五十二条) |
」 |
に、「第百八十五条」を「第百八十六条」に改める。
第二条中第十一項を第十二項とし、第八項から第十項までを一項ずつ繰り下げ、第七項の次に次の一項を加える。
8 この法律において「連絡可能個人関連情報」とは、次に掲げる記述等が含まれる個人関連情報(他の情報と容易に照合することができ、それにより次に掲げる記述等を特定することができることとなるものを含む。)をいう。
一 住居、勤務先その他の特定の個人が所在し、又は所在していた場所の所在地(特定の個人に対する郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便(第四十一条第八項及び第七十三条第四項において「信書便」という。)による送付、電報の送達又は特定の個人への訪問に利用することができるものに限る。)
二 電話番号(特定の個人に対する電話又はファクシミリ装置を用いた送信に利用することができるものに限る。)
三 電子メールアドレス(特定電子メールの送信の適正化等に関する法律(平成十四年法律第二十六号)第二条第三号に規定する電子メールアドレスをいい、特定の個人に対する同条第一号に規定する電子メールの送信に利用することができるものに限る。)
四 電気通信設備(電気通信事業法(昭和五十九年法律第八十六号)第二条第二号に規定する電気通信設備をいう。以下この号において同じ。)を利用する者又は電気通信設備を識別することができるように付された符号(特定の個人に対する電気通信(同条第一号に規定する電気通信をいう。)を利用した情報の伝達に利用することができるものに限る。)
五 その他特定の個人に対する連絡その他の情報の伝達に利用することができる記述等として個人情報保護委員会規則で定めるもの
第二条に次の一項を加える。
13 この法律において「統計作成等」とは、統計の作成その他の大量の情報から当該情報を構成する要素に係る情報を抽出して分類、比較その他の解析を行うことにより、当該大量の情報の傾向又は性質に係る情報(個人に関する情報であるものを除く。)を作成する行為のうち、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものをいう。
第七条第二項第六号中「同条第五項」を「同条第六項」に、「同条第六項」を「同条第七項」に改める。
第十六条第二項中「及び第六章から第八章まで」を「、第六章及び第八章」に改め、同条第八項中「団体」の下に「(医療法(昭和二十三年法律第二百五号)第一条の五第一項に規定する病院(第五十八条第二項において「病院」という。)その他の医療の提供を目的とする機関又は団体を含む。)」を加え、同項を同条第九項とし、同条第七項中「、第六章及び第七章」を「及び第六章」に改め、同項を同条第八項とし、同条第六項中「、第六章及び第七章」を「及び第六章」に改め、同項を同条第七項とし、同条第五項中「、第六章及び第七章」を「及び第六章」に改め、「第四十一条第一項」の下に「及び第四十二条第三項」を加え、同項を同条第六項とし、同条第四項の次に次の一項を加える。
5 この章において「特定生体個人情報」とは、特定生体個人識別符号(第二条第二項第一号に該当する個人識別符号のうち、特別の技術又は多額の費用を要しない方法により取得することができる身体の一部の特徴に係る情報であって当該情報が取得されていることを本人が容易に認識することができないものとして政令で定めるものを変換したものをいう。第二十一条の二第一項第四号及び第三十五条第七項において同じ。)が含まれる個人情報をいう。
第十八条第三項第二号及び第三号中「とき」の下に「その他本人の同意を得ないことについて相当の理由があるとき」を加え、同項に次の一号を加える。
七 本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合
第二十条第二項第二号及び第三号中「とき」の下に「その他本人の同意を得ないことについて相当の理由があるとき」を加え、同項第六号中「から当該要配慮個人情報を取得する場合であって、」を「と共同して学術研究を行う場合であって、当該学術研究機関等から」に改め、「(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)」を削り、同項中第八号を第十号とし、第七号を第九号とし、第六号の次に次の二号を加える。
七 本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該要配慮個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合
八 第三十条の二第五項本文の規定により提供を受ける場合又は第三十一条の三第一項本文の規定により提供を受けた個人関連情報を要配慮個人情報として取得する場合
第二十一条の次に次の一条を加える。
(特定生体個人情報の取扱いに際しての利用目的等の通知等)
第二十一条の二 個人情報取扱事業者は、特定生体個人情報を取り扱うに当たっては、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第二十七条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。)の氏名
二 特定生体個人情報を取り扱うこと。
三 特定生体個人情報の利用目的
四 特定生体個人情報に含まれる特定生体個人識別符号に変換される身体の一部の特徴に係る情報の内容
五 第三十七条第一項に規定する開示等の請求等に応じる手続(第三十八条第一項の規定により手数料を徴収する場合は、その手数料の額を含む。)
六 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
2 前項の規定は、次に掲げる場合については、適用しない。
一 前項の規定による措置を講ずることにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 前項の規定による措置を講ずることにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、前項の規定による措置を講ずることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 その他前三号に掲げる場合に準ずるものとして政令で定める場合
第二十六条第二項ただし書中「場合」の下に「又は本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合」を加える。
第二十七条第一項第二号及び第三号中「とき」の下に「その他本人の同意を得ないことについて相当の理由があるとき」を加え、同項第六号中「当該個人情報取扱事業者が」を削り、「場合であって」を「当該個人情報取扱事業者が第三者と共同して学術研究を行う場合であって、当該第三者に対し」に改め、「(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)」を削り、同項に次の一号を加える。
八 本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人データの取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合
第二十七条第二項ただし書中「要配慮個人情報」の下に「若しくは特定生体個人情報」を加え、同項第一号中「(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。)」を削り、同条に次の二項を加える。
7 個人情報取扱事業者は、第二項本文の規定により個人データを第三者(第十六条第二項各号に掲げる者を除く。以下この条、第二十九条第一項並びに第三十条第一項及び第二項(第三十一条第三項において準用する場合を含む。)において同じ。)に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの全部が、当該個人情報取扱事業者が当該個人データを取得した時点において本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されていたものである場合又はこれに準ずる場合として個人情報保護委員会規則で定める場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者における当該個人データの利用目的
8 個人情報取扱事業者から前項の規定による確認を求められた第三者は、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
第二十八条第一項中「この条及び第三十一条第一項第二号において」を削り、「この条及び同号」を「この節」に、「並びに同号」を「並びに第三十一条第一項第二号」に改める。
第二十九条第一項中「(第十六条第二項各号に掲げる者を除く。以下この条及び次条(第三十一条第三項において読み替えて準用する場合を含む。)において同じ。)」を削り、「事項」の下に「(第二十七条第七項の規定による確認が行われた場合にあっては、当該事項及び同項第二号に掲げる事項)」を加え、同項ただし書中「が第二十七条第一項各号」を「が同条第一項各号」に改める。
第三十条の次に次の二条を加える。
(個人情報に係る統計作成等の特例)
第三十条の二 個人情報取扱事業者は、統計作成等を行う目的(以下この項及び第五項並びに第三十一条の三第一項において「統計作成等目的」という。)又は第五項本文の規定による提供を行う目的で現に公開されている要配慮個人情報を取り扱う必要がある場合(当該要配慮個人情報を取り扱う目的の全部が統計作成等目的又は当該提供を行う目的である場合に限る。)であって、インターネットの利用その他の個人情報保護委員会規則で定める方法により当該個人情報取扱事業者の氏名又は名称、取得した要配慮個人情報を用いて行おうとする統計作成等の内容又は同項本文の規定による提供を行う目的で当該要配慮個人情報を取り扱う旨その他個人情報保護委員会規則で定める事項を公表しているときは、第二十条第二項の規定にかかわらず、当該現に公開されている要配慮個人情報を本人の同意を得ないで取得することができる。
2 前項の規定により要配慮個人情報を取得した個人情報取扱事業者(次項及び第四項並びに第七十二条の三第一項において「特例要配慮個人情報取得者」という。)は、前項の個人情報保護委員会規則で定める方法により、当該要配慮個人情報又はその全部若しくは一部を複製し、若しくは加工した生存する個人に関する情報を取り扱っている期間、同項に規定する事項(当該事項を次項本文の規定により変更した場合又は同項ただし書の場合にあっては、変更後の当該事項)を継続して公表しなければならない。
3 特例要配慮個人情報取得者は、前項の規定により公表している事項を変更するときは、あらかじめ、第一項の個人情報保護委員会規則で定める方法により、その旨及び当該変更の内容を公表しなければならない。ただし、当該特例要配慮個人情報取得者の氏名又は名称その他個人情報保護委員会規則で定める事項を変更するときは、当該変更をした後、速やかに、同項の個人情報保護委員会規則で定める方法によりその旨及び当該変更の内容を公表すれば足りる。
4 第一項の規定により取得された要配慮個人情報又はその全部若しくは一部を複製し、若しくは加工した生存する個人に関する情報(第六項に規定する提供統計作成等用個人情報等であるものを除く。以下「統計作成等用要配慮個人情報等」という。)を取り扱う個人情報取扱事業者は、第十八条の規定にかかわらず、法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(以下この章において「法令に基づく場合等」という。)を除くほか、当該統計作成等用要配慮個人情報等を、次の各号に掲げる場合の区分に応じて、当該各号に定める行為を行うために必要な範囲を超えて取り扱ってはならない。
一 当該統計作成等用要配慮個人情報等に係る特例要配慮個人情報取得者が第二項の規定により当該統計作成等用要配慮個人情報等に係る要配慮個人情報を用いて行おうとする統計作成等の内容を公表している場合(第三号に掲げる場合を除く。) 当該公表されている内容の統計作成等
二 当該統計作成等用要配慮個人情報等に係る特例要配慮個人情報取得者が第二項の規定により次項本文の規定による提供を行う目的で当該統計作成等用要配慮個人情報等に係る要配慮個人情報を取り扱う旨を公表している場合(次号に掲げる場合を除く。) 当該提供
三 当該統計作成等用要配慮個人情報等に係る特例要配慮個人情報取得者が第二項の規定により当該統計作成等用要配慮個人情報等に係る要配慮個人情報を用いて行おうとする統計作成等の内容及び次項本文の規定による提供を行う目的で当該要配慮個人情報を取り扱う旨を公表している場合 当該公表されている内容の統計作成等及び当該提供
5 個人情報取扱事業者は、第三者(個人情報取扱事業者又は行政機関の長等(第六十三条に規定する行政機関の長等をいう。第九項第二号、第十二項並びに第三十一条の三第五項第二号及び第八項において同じ。)(これらの者が外国にある者である場合にあっては、個人情報、仮名加工情報、匿名加工情報及び個人関連情報(以下「個人情報等」という。)の取扱いについてこの章の規定により個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者及び個人関連情報取扱事業者(以下「個人情報取扱事業者等」という。)が講ずべきこととされている措置に相当する措置(第十三項及び第三十一条の三第九項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制(第十三項及び第三十一条の三第九項において「基準適合体制」という。)を整備している者に限る。第十二項及び第三十一条の三第八項において同じ。)である者に限る。以下この項、次項並びに第三十一条の三第一項及び第二項において同じ。)が個人情報(統計作成等用要配慮個人情報等を含む。以下この項から第七項まで及び第十三項並びに第七十二条の三第二項及び第三項において同じ。)を統計作成等目的で取り扱う必要がある場合(当該個人情報を取り扱う目的の全部が統計作成等目的である場合に限る。)であって、次の各号のいずれにも該当するときは、第十八条及び第二十七条第一項の規定にかかわらず、当該個人情報を本人の同意を得ないで当該第三者に提供することができる。ただし、当該個人情報が他の個人情報取扱事業者又は個人関連情報取扱事業者からこの項本文又は第三十一条の三第一項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
一 当該個人情報取扱事業者及び当該第三者が、インターネットの利用その他の個人情報保護委員会規則で定める方法により、当該個人情報取扱事業者及び当該第三者の氏名又は名称、行おうとする統計作成等の内容その他個人情報保護委員会規則で定める事項を公表していること。
二 当該第三者との間の書面(電磁的記録を含む。)による合意により、当該提供がこの項本文の規定によるものである旨が明確に定められていること。
6 前項本文の規定により個人情報の提供を受けた第三者(個人情報取扱事業者である者に限る。以下この条及び第七十二条の三第五項第一号において「特例個人情報受領者」という。)は、前項第一号の個人情報保護委員会規則で定める方法により、当該個人情報又はその全部若しくは一部を複製し、若しくは加工した生存する個人に関する情報(以下「提供統計作成等用個人情報等」という。)を取り扱っている期間、同号に規定する事項(当該事項を次項本文の規定により変更した場合又は第八項の場合にあっては、変更後の当該事項)を継続して公表しなければならない。
7 特例個人情報受領者は、第五項第一号の個人情報保護委員会規則で定める方法により当該特例個人情報受領者及び同項本文の規定により当該特例個人情報受領者に対する個人情報の提供を行った個人情報取扱事業者の双方が前項の規定により公表されている事項を変更する旨及び当該変更の内容をあらかじめ公表する場合に限り、当該事項を変更することができる。ただし、当該特例個人情報受領者の氏名又は名称その他個人情報保護委員会規則で定める事項を変更するときは、この限りでない。
8 前項ただし書の場合においては、特例個人情報受領者は、当該変更をした後、速やかに、第五項第一号の個人情報保護委員会規則で定める方法により当該変更をした旨及び当該変更の内容を公表しなければならない。
9 提供統計作成等用個人情報等を取り扱う個人情報取扱事業者は、第十八条の規定にかかわらず、法令に基づく場合等を除くほか、当該提供統計作成等用個人情報等を、次の各号に掲げる場合の区分に応じて、当該各号に定める統計作成等を行うために必要な範囲を超えて取り扱ってはならない。
一 当該提供統計作成等用個人情報等に係る第五項本文の規定による提供が特例個人情報受領者に対して行われたものである場合 当該特例個人情報受領者が第六項の規定により公表している内容の統計作成等
二 当該提供統計作成等用個人情報等に係る第五項本文の規定による提供が行政機関の長等に対して行われたものである場合 当該行政機関の長等が第七十二条の三第二項の規定により公表している内容の統計作成等
10 統計作成等用要配慮個人情報等又は提供統計作成等用個人情報等を取り扱う個人情報取扱事業者は、第二十七条第一項及び第二項並びに第二十八条第一項の規定にかかわらず、次に掲げる場合を除くほか、当該統計作成等用要配慮個人情報等又は提供統計作成等用個人情報等である個人データを第三者に提供してはならない。この場合において、第二十七条第五項中「は、前各項」とあるのは「(個人情報取扱事業者又は第六十三条に規定する行政機関の長等(これらの者が次条第一項に規定する外国にある者である場合にあっては、第三十条の二第五項に規定する基準適合体制を整備している者に限る。)である者に限る。)は、第三十条の二第十項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十九条第一項ただし書中「同条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)」とあるのは「第三十条の二第四項に規定する法令に基づく場合等又は第二十七条第五項各号のいずれか」と、前条第一項ただし書中「第二十七条第一項各号又は第五項各号のいずれか」とあるのは「次条第四項に規定する法令に基づく場合等又は第二十七条第五項各号のいずれか」とする。
一 法令に基づく場合等
二 当該個人情報取扱事業者が、第一項の規定により要配慮個人情報を取得し、かつ、第二項の規定により第五項本文の規定による提供を行う目的で当該要配慮個人情報を取り扱う旨を公表している場合であって、当該個人情報取扱事業者が当該要配慮個人情報に係る統計作成等用要配慮個人情報等を同項本文の規定により提供するとき。
11 統計作成等用要配慮個人情報等又は提供統計作成等用個人情報等を取り扱う個人情報取扱事業者は、第三十一条第一項の規定にかかわらず、前項各号に掲げる場合を除くほか、当該統計作成等用要配慮個人情報等又は提供統計作成等用個人情報等(これらのうち個人データであるものを除く。次項において同じ。)を第三者に提供してはならない。
12 第二十七条第五項及び第六項の規定は、統計作成等用要配慮個人情報等又は提供統計作成等用個人情報等の提供を受ける者(個人情報取扱事業者又は行政機関の長等である者に限る。)について準用する。この場合において、同条第五項中「前各項」とあるのは「第三十条の二第十一項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
13 第五項本文の規定により個人情報を基準適合体制を整備している外国にある第三者に提供し、又は統計作成等用要配慮個人情報等若しくは提供統計作成等用個人情報等を当該第三者に提供した個人情報取扱事業者は、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、当該必要な措置に関する情報を公表しなければならない。この場合においては、第二十八条第三項の規定は、適用しない。
14 第二十三条から第二十五条までの規定は個人情報取扱事業者による統計作成等用要配慮個人情報等又は提供統計作成等用個人情報等(これらのうち個人データであるものを除く。)の取扱いについて、第二十九条第一項本文及び第二項の規定は第五項本文の規定により個人情報取扱事業者が統計作成等用要配慮個人情報等(第三十一条第一項に規定する個人関連情報であるものに限る。)を特例個人情報受領者に提供する場合(当該特例個人情報受領者が当該統計作成等用要配慮個人情報等を個人データとして取得することが想定される場合に限る。)について、それぞれ準用する。この場合において、第二十三条中「漏えい、滅失又は毀損」とあるのは、「漏えい」と読み替えるものとする。
(受託者である個人情報取扱事業者の義務)
第三十条の三 他の個人情報取扱事業者又は行政機関等から個人情報の取扱いの全部又は一部の委託(二以上の段階にわたる委託を含む。)を受けた個人情報取扱事業者は、法令に基づく場合等を除くほか、その取扱いを委託された個人情報(当該個人情報取扱事業者において個人関連情報となるものを除く。)を、当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない。
第三十一条第一項中「この章及び第六章」を「この項及び次項」に改め、同条第三項中「前条第二項」を「第三十条第二項」に改め、同条の次に次の二条を加える。
(連絡可能個人関連情報の不適正な取扱いの禁止)
第三十一条の二 個人関連情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により連絡可能個人関連情報を利用してはならない。
2 個人関連情報取扱事業者は、偽りその他不正の手段により連絡可能個人関連情報を取得してはならない。
(個人関連情報の第三者提供に係る統計作成等の特例)
第三十一条の三 個人関連情報取扱事業者は、第三者が個人関連情報を統計作成等目的で取り扱う必要がある場合(当該個人関連情報を取り扱う目的の全部が統計作成等目的である場合に限る。)であって、次の各号のいずれにも該当するときは、第三十一条第一項(第一号に係る部分に限る。)の規定にかかわらず、同項第一号に掲げる事項について確認することをしないで当該個人関連情報を当該第三者に提供することができる。ただし、当該個人関連情報が個人情報取扱事業者又は他の個人関連情報取扱事業者から第三十条の二第五項本文又はこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
一 当該個人関連情報取扱事業者及び当該第三者が、インターネットの利用その他の個人情報保護委員会規則で定める方法により、当該個人関連情報取扱事業者及び当該第三者の氏名又は名称、行おうとする統計作成等の内容その他個人情報保護委員会規則で定める事項を公表していること。
二 当該第三者との間の書面(電磁的記録を含む。)による合意により、当該提供がこの項本文の規定によるものである旨が明確に定められていること。
2 前項本文の規定により個人関連情報の提供を受け個人データとして取得した第三者(個人情報取扱事業者である者に限る。以下この条及び第七十二条の三第九項第一号において「特例個人関連情報受領者」という。)は、前項第一号の個人情報保護委員会規則で定める方法により、当該個人関連情報又はその全部若しくは一部を複製し、若しくは加工した生存する個人に関する情報(以下「提供統計作成等用個人データ等」という。)を取り扱っている期間、同号に規定する事項(当該事項を次項本文の規定により変更した場合又は第四項の場合にあっては、変更後の当該事項)を継続して公表しなければならない。
3 特例個人関連情報受領者は、第一項第一号の個人情報保護委員会規則で定める方法により当該特例個人関連情報受領者及び同項本文の規定により当該特例個人関連情報受領者に対する個人関連情報の提供を行った個人関連情報取扱事業者の双方が前項の規定により公表されている事項を変更する旨及び当該変更の内容をあらかじめ公表する場合に限り、当該事項を変更することができる。ただし、当該特例個人関連情報受領者の氏名又は名称その他個人情報保護委員会規則で定める事項を変更するときは、この限りでない。
4 前項ただし書の場合においては、特例個人関連情報受領者は、当該変更をした後、速やかに、第一項第一号の個人情報保護委員会規則で定める方法により当該変更をした旨及び当該変更の内容を公表しなければならない。
5 提供統計作成等用個人データ等を取り扱う個人情報取扱事業者は、第十八条の規定にかかわらず、法令に基づく場合等を除くほか、当該提供統計作成等用個人データ等を、次の各号に掲げる場合の区分に応じて、当該各号に定める統計作成等を行うために必要な範囲を超えて取り扱ってはならない。
一 当該提供統計作成等用個人データ等に係る第一項本文の規定による提供が特例個人関連情報受領者に対して行われたものである場合 当該特例個人関連情報受領者が第二項の規定により公表している内容の統計作成等
二 当該提供統計作成等用個人データ等に係る第一項本文の規定による提供が行政機関の長等に対して行われたものである場合 当該行政機関の長等が第七十二条の三第六項の規定により公表している内容の統計作成等
6 提供統計作成等用個人データ等を取り扱う個人情報取扱事業者は、第二十七条第一項及び第二項並びに第二十八条第一項の規定にかかわらず、法令に基づく場合等を除くほか、当該提供統計作成等用個人データ等である個人データを第三者に提供してはならない。この場合において、第二十七条第五項中「は、前各項」とあるのは「(個人情報取扱事業者又は第六十三条に規定する行政機関の長等(これらの者が次条第一項に規定する外国にある者である場合にあっては、第三十条の二第五項に規定する基準適合体制を整備している者に限る。)である者に限る。)は、第三十一条の三第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十九条第一項ただし書中「同条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)」とあるのは「第三十条の二第四項に規定する法令に基づく場合等又は第二十七条第五項各号のいずれか」と、第三十条第一項ただし書中「第二十七条第一項各号又は第五項各号のいずれか」とあるのは「次条第四項に規定する法令に基づく場合等又は第二十七条第五項各号のいずれか」とする。
7 提供統計作成等用個人データ等を取り扱う個人情報取扱事業者は、第三十一条第一項の規定にかかわらず、法令に基づく場合等を除くほか、当該提供統計作成等用個人データ等(個人データであるものを除く。次項において同じ。)を第三者に提供してはならない。
8 第二十七条第五項及び第六項の規定は、提供統計作成等用個人データ等の提供を受ける者(個人情報取扱事業者又は行政機関の長等である者に限る。)について準用する。この場合において、同条第五項中「前各項」とあるのは「第三十一条の三第七項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
9 第一項本文の規定により個人関連情報を基準適合体制を整備している外国にある第三者に提供した個人関連情報取扱事業者又は提供統計作成等用個人データ等を当該第三者に提供した個人情報取扱事業者は、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、当該必要な措置に関する情報を公表しなければならない。この場合においては、第二十八条第三項の規定は、適用しない。
10 第二十三条から第二十五条までの規定は個人情報取扱事業者による提供統計作成等用個人データ等(個人データであるものを除く。)の取扱いについて、第二十九条第一項本文及び第二項の規定は第一項本文の規定により個人関連情報取扱事業者が個人関連情報を特例個人関連情報受領者に提供する場合について、それぞれ準用する。この場合において、第二十三条中「漏えい、滅失又は毀損」とあるのは、「漏えい」と読み替えるものとする。
第三十二条第一項第三号中「次項の規定による求め又は次条第一項(同条第五項において準用する場合を含む。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求」を「第三十七条第一項に規定する開示等の請求等」に、「第三十八条第二項」を「第三十八条第一項」に、「の額を定めたとき」を「を徴収する場合」に改める。
第三十三条第二項中「場合その他の」を「ことその他の事情により」に改める。
第三十五条第一項中「若しくは第十九条」を「、第十九条、第三十条の二第四項若しくは第九項、第三十条の三若しくは第三十一条の三第五項」に改め、同条第二項ただし書中「場合その他の」を「ことその他の事情により」に改め、同条第三項中「又は第二十八条」を「、第二十八条、第三十条の二第十項又は第三十一条の三第六項」に改め、同条第四項ただし書及び第六項ただし書中「場合その他の」を「ことその他の事情により」に改め、同条第七項中「若しくは第五項」を「、第五項、第七項若しくは第九項」に改め、「保有個人データ」の下に「若しくは特定生体個人情報」を加え、同項を同条第十一項とし、同条第六項の次に次の四項を加える。
7 本人は、個人情報取扱事業者に対し、当該本人が識別される特定生体個人情報(保有個人データに含まれるものに限る。)が取り扱われているときは、次に掲げる場合を除き、当該特定生体個人情報の利用停止等又は第三者への提供の停止を請求することができる。
一 当該個人情報取扱事業者があらかじめ当該本人の同意を得て当該特定生体個人情報に含まれる特定生体個人識別符号を作成した場合
二 当該個人情報取扱事業者があらかじめ当該本人の同意を得て当該特定生体個人情報を取得した場合
三 当該個人情報取扱事業者が法令に基づいて当該特定生体個人情報を取り扱う場合
四 当該個人情報取扱事業者が人の生命、身体又は財産の保護のために当該特定生体個人情報を取り扱う必要がある場合
五 当該個人情報取扱事業者が公衆衛生の向上又は児童の健全な育成の推進のために当該特定生体個人情報を取り扱うことが特に必要である場合
六 当該個人情報取扱事業者が国の機関若しくは地方公共団体又はその委託を受けた者による法令の定める事務の遂行に対して協力するために当該特定生体個人情報を取り扱う必要がある場合
七 当該個人情報取扱事業者が学術研究機関等である場合であって、当該特定生体個人情報を学術研究目的で取り扱う必要があるとき(当該特定生体個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
八 学術研究機関等と共同して学術研究を行う当該個人情報取扱事業者が当該学術研究機関等から当該特定生体個人情報を取得した場合又は学術研究機関等と共同して学術研究を行う当該個人情報取扱事業者が当該学術研究機関等から取得した情報を変換して作成した特定生体個人識別符号が当該特定生体個人情報に含まれる場合であって、当該特定生体個人情報を学術研究目的で取り扱う必要があるとき(当該特定生体個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
九 当該個人情報取扱事業者が当該特定生体個人情報を取り扱うことが当該本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人情報取扱事業者が当該特定生体個人情報を取り扱うことが当該特定生体個人情報に含まれる特定生体個人識別符号の作成の状況又は当該特定生体個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合
十 その他前各号に掲げる場合に準ずるものとして政令で定める場合
8 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該特定生体個人情報の利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該特定生体個人情報の利用停止等又は第三者への提供の停止に多額の費用を要することその他の事情により利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
9 十六歳未満の本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが取り扱われているときは、次に掲げる場合を除き、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
一 当該個人情報取扱事業者があらかじめ当該本人の法定代理人の同意を得て当該保有個人データを取得した場合
二 当該個人情報取扱事業者が法令に基づいて当該保有個人データを取り扱う場合
三 当該個人情報取扱事業者が人の生命、身体又は財産の保護のために当該保有個人データを取り扱う必要がある場合
四 当該個人情報取扱事業者が公衆衛生の向上又は児童の健全な育成の推進のために当該保有個人データを取り扱うことが特に必要である場合
五 当該個人情報取扱事業者が国の機関若しくは地方公共団体又はその委託を受けた者による法令の定める事務の遂行に対して協力するために当該保有個人データを取り扱う必要がある場合
六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該保有個人データを学術研究目的で取り扱う必要があるとき(当該保有個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
七 学術研究機関等と共同して学術研究を行う当該個人情報取扱事業者が当該学術研究機関等から当該保有個人データを取得した場合であって、当該保有個人データを学術研究目的で取り扱う必要があるとき(当該保有個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
八 当該個人情報取扱事業者が当該保有個人データを取り扱うことが当該本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人情報取扱事業者が当該保有個人データを取り扱うことが当該保有個人データの取得の状況からみて十六歳未満の本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合
九 当該保有個人データが、当該個人情報取扱事業者が当該保有個人データを取得した時点において、当該本人の法定代理人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されていたものである場合
十 当該本人の法定代理人が当該本人の営業を許可していた場合であって、当該個人情報取扱事業者が当該営業に関して当該保有個人データを取得したとき。
十一 当該本人が、当該個人情報取扱事業者に対し自らが十六歳以上であることを信じさせるために詐術を用いていた場合
十二 その他前各号に掲げる場合に準ずるものとして政令で定める場合
10 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要することその他の事情により利用停止等又は第三者への提供の停止を行うことが困難な場合であって、十六歳未満の本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
第三十六条中「前条第七項」を「前条第十一項」に改める。
第三十七条第一項中「若しくは第五項」を「、第五項、第七項若しくは第九項」に、「この条及び第五十四条第一項」を「この章」に改め、同条第二項中「保有個人データ」の下に「若しくは特定生体個人情報」を加え、同条第三項を次のように改める。
3 未成年者若しくは成年被後見人の法定代理人又は本人の委任による代理人その他政令で定める代理人は、本人に代わって開示等の請求等をすることができる。
第三十九条第一項及び第三項中「若しくは第五項」を「、第五項、第七項若しくは第九項」に改める。
第四十条第一項中「、個人情報」の下に「、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等及び提供統計作成等用個人データ等」を加える。
第四章第二節に次の一条を加える。
(十六歳未満の者の個人情報等の取扱いに関する読替規定)
第四十条の二 個人情報取扱事業者が十六歳未満の者の個人情報を取り扱う場合(次に掲げる場合を除く。)における当該個人情報についての第十八条、第二十条第二項、第二十一条、第二十一条の二第一項、第二十六条第二項、第二十七条、第二十八条、第三十条の二第一項及び第五項、第三十二条第一項並びに第三十五条第七項の規定の適用については、これらの規定(第十八条第三項第七号、第二十条第二項第七号、第二十一条第二項及び第四項第一号、第二十六条第二項ただし書、第二十七条第一項第八号及び第二項、第二十八条第三項並びに第三十五条第七項各号列記以外の部分及び第九号の規定を除く。)中「本人」とあるのは「本人の法定代理人」と、第十八条第三項第七号、第二十条第二項第七号、第二十七条第一項第八号及び第三十五条第七項第九号中「本人の意思に反しないため本人」とあるのは「本人」と、第二十一条第二項及び第四項第一号中「本人に」とあるのは「本人の法定代理人に」と、第二十六条第二項ただし書中「本人へ」とあるのは「本人の法定代理人へ」と、第二十七条第二項中「本人の」とあるのは「本人又はその法定代理人の」と、「本人に」とあるのは「本人の法定代理人に」と、「又は本人」とあるのは「又は本人の法定代理人」と、第二十八条第三項中「本人」とあるのは「本人又はその法定代理人」とする。
一 当該個人情報取扱事業者が、当該個人情報が十六歳未満の者のものであることを知らないことについて正当な理由がある場合
二 本人の法定代理人が当該本人の営業を許可していた場合であって、当該個人情報取扱事業者が当該営業に関して当該個人情報を取得したとき。
三 本人に法定代理人がない場合又は当該個人情報取扱事業者が本人に法定代理人がないと信ずるに足りる相当な理由がある場合
2 個人関連情報取扱事業者が十六歳未満の者に関する個人関連情報を取り扱う場合(次に掲げる場合を除く。)における当該個人関連情報についての第三十一条第一項の規定の適用については、同項第一号中「本人の」とあるのは「本人の法定代理人の」と、同項第二号中「本人」とあるのは「本人の法定代理人」とする。
一 当該個人関連情報取扱事業者が、当該個人関連情報が十六歳未満の者に関するものであることを知らないことについて正当な理由がある場合
二 当該個人関連情報に係る者の法定代理人が当該者の営業を許可していた場合であって、当該個人関連情報取扱事業者が当該営業に関して当該個人関連情報を取得したとき。
三 当該個人関連情報に係る者に法定代理人がない場合又は当該個人関連情報取扱事業者が当該個人関連情報に係る者に法定代理人がないと信ずるに足りる相当な理由がある場合
第四十一条第一項中「及び第六章」を「(次条第三項及び第四項、第五十四条第一項並びに第五十八条第二項を除く。)」に改め、同条第四項中「第二十一条」の下に「及び前条第一項」を加え、「同条第一項」を「第二十一条第一項」に、「とする」を「と、前条第一項中「第二十条第二項、第二十一条」とあるのは「第二十条第二項」と、「第二十条第二項第七号、第二十一条第二項及び第四項第一号」とあるのは「第二十条第二項第七号」と、「本人」と、第二十一条第二項及び第四項第一号中「本人に」とあるのは「本人の法定代理人に」とあるのは「本人」とする」に改め、同条第六項中「第二十七条第一項各号又は第五項各号のいずれか(」を「同条第一項各号又は第五項各号のいずれか(」に、「あり、及び」を「あるのは「法令に基づく場合又は同条第五項各号のいずれか」と、」に改め、同条第八項中「民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する」を削る。
第四十二条第一項中「次項及び第三項」を「以下この条」に改め、同条第三項中「、第四十条」を削り、「規定は、」を「規定は」に、「の取扱い」を「(仮名加工情報データベース等を構成するものに限る。)の取扱い」に、「準用する」を「、第四十条の規定は仮名加工情報取扱事業者による仮名加工情報の取扱いについて、それぞれ準用する」に改め、同条に次の一項を加える。
4 第三十一条の二の規定は、仮名加工情報取扱事業者による第二条第八項各号に掲げる記述等が含まれる仮名加工情報(他の情報と容易に照合することができ、それにより当該記述等を特定することができることとなるものを含む。)の取扱いについて準用する。
第四十三条第一項中「及び第六章」を「(第六項、第四十六条、第四十六条の二及び第五十四条第一項を除く。)」に改める。
第四十四条中「この節」を「この条から第四十六条まで」に改める。
第四章第四節に次の一条を加える。
(連絡等が可能な匿名加工情報の不適正な取扱いの禁止)
第四十六条の二 第三十一条の二の規定は、匿名加工情報取扱事業者による第二条第八項各号に掲げる記述等が含まれる匿名加工情報(他の情報と容易に照合することができ、それにより当該記述等を特定することができることとなるものを含む。)の取扱いについて準用する。
第四十七条第一項中「個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)」を「個人情報取扱事業者等(個人関連情報取扱事業者を除く。以下この節において同じ。)の個人情報等(個人関連情報にあっては、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等及び提供統計作成等用個人データ等であるものに限る。以下この節において同じ。)」に改める。
第五十四条第一項中「又は」を「、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等若しくは提供統計作成等用個人データ等に係る統計作成等の方法、その情報の安全管理のための措置その他の事項又は」に改める。
第五十七条第一項中「及び個人関連情報取扱事業者」を削り、「個人情報等及び個人関連情報」を「個人情報等」に改め、同条第三項中「個人情報取扱事業者等」の下に「(個人関連情報取扱事業者を除く。)」を、「個人データ」の下に「、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等、提供統計作成等用個人データ等」を、「、個人情報等」の下に「(個人関連情報にあっては、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等及び提供統計作成等用個人データ等であるものに限る。以下この項において同じ。)」を加える。
第五十八条の見出しを「(別表第二に掲げる法人等についての適用の特例)」に改め、同条第二項第一号中「医療法(昭和二十三年法律第二百五号)第一条の五第一項に規定する病院(次号において「病院」という。)及び同条第二項」を「病院及び医療法第一条の五第二項」に改め、同条の次に次の二条を加える。
(取扱いの方法が契約により定められている受託個人情報取扱事業者等についての適用の特例)
第五十八条の二 他の個人情報取扱事業者等又は行政機関等から、個人情報等の取扱いの全部又は一部の委託を受けた個人情報取扱事業者等(以下この条において「受託個人情報取扱事業者等」という。)が行う当該個人情報等(第一号及び第二号において「受託個人情報等」という。)の取扱いについては、当該他の個人情報取扱事業者等又は行政機関等(同号において「委託者」という。)と当該受託個人情報取扱事業者等との当該委託に係る契約において、個人情報保護委員会規則で定めるところにより、次に掲げる事項が定められている場合であって、当該取扱いが当該委託を受けた業務の遂行に必要な範囲内において第一号に掲げる事項に係る当該契約の定めに従って行われるときは、第二節から第四節まで(第二十三条から第二十六条まで、第三十条の二第十四項、第三十条の三、第三十一条の三第十項、第四十条の二第一項、第四十一条第二項及び第九項、第四十二条第三項、第四十三条第二項及び第六項並びに第四十六条を除く。)及び次条第一項の規定は適用せず、第三十条の二第十四項、第三十一条の三第十項、第四十一条第九項、第四十二条第三項、第四十三条第六項及び第四十六条の規定の適用については、第三十条の二第十四項及び第三十一条の三第十項中「までの規定は」とあるのは「までの規定は、」と、第三十条の二第十四項中「、第二十九条第一項本文及び第二項の規定は第五項本文の規定により個人情報取扱事業者が統計作成等用要配慮個人情報等(第三十一条第一項に規定する個人関連情報であるものに限る。)を特例個人情報受領者に提供する場合(当該特例個人情報受領者が当該統計作成等用要配慮個人情報等を個人データとして取得することが想定される場合に限る。)について、それぞれ準用する」とあり、及び第三十一条の三第十項中「、第二十九条第一項本文及び第二項の規定は第一項本文の規定により個人関連情報取扱事業者が個人関連情報を特例個人関連情報受領者に提供する場合について、それぞれ準用する」とあるのは「準用する」と、第四十一条第九項中「仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データ」とあるのは「仮名加工情報である個人データ」と、「第十七条第二項、第二十六条及び第三十二条から第三十九条まで」とあるのは「第二十六条」と、第四十二条第三項中「並びに前条第七項及び第八項の規定は」とあるのは「の規定は、」と、「ついて、第四十条の規定は仮名加工情報取扱事業者による仮名加工情報の取扱いについて、それぞれ」とあるのは「ついて」と、「「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」とあるのは「、「漏えい」と、第四十三条第六項中「措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置」とあり、及び第四十六条中「措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置」とあるのは「措置」とする。
一 受託個人情報等の取扱いの方法(受託個人情報等の安全管理のための措置に係る事項及び個人の権利利益の保護に支障を及ぼすおそれのない事項を除く。)として個人情報保護委員会規則で定める事項
二 受託個人情報取扱事業者等が、受託個人情報等について第二十六条第一項に規定する事態が生じ、又は受託個人情報等が当該委託を受けた業務の遂行に必要な範囲を超え、若しくは前号に掲げる事項に係る契約の定めに違反して取り扱われたことを知ったときは、速やかに、委託者に対してその旨を報告すること。
三 その他個人情報保護委員会規則で定める事項
(未成年者の個人情報等の取扱いに関する個人情報取扱事業者等の責務等)
第五十八条の三 個人情報取扱事業者等は、未成年者に関する個人情報等の取扱いについて、この法律の規定を遵守するとともに、その年齢及び発達の程度に応じて、その最善の利益を優先して考慮した上で、未成年者の権利利益を害することがないように必要な措置を講ずるよう努めなければならない。
2 未成年者である本人の法定代理人は、開示等の請求等(十六歳未満の本人の法定代理人にあっては、開示等の請求等又は第三十五条第九項第一号、第四十条の二第一項の規定により読み替えて適用する第十八条第一項若しくは第二項、第二十条第二項各号列記以外の部分、第二十七条第一項各号列記以外の部分、第二十八条第一項若しくは第三十五条第七項第一号若しくは第二号若しくは第四十条の二第二項の規定により読み替えて適用する第三十一条第一項第一号の同意)をするに当たっては、当該本人の最善の利益を優先して考慮しなければならない。
第六十条第三項中「の全部又は一部(」を「(統計作成等用要配慮個人情報等、提供統計作成等用個人情報等又は提供統計作成等用個人データ等であるものを除く。第二号及び第三号並びに第五節において同じ。)の全部又は一部(」に改める。
第六十三条中「第二条第八項第五号」を「第二条第九項第五号」に改める。
第六十八条第二項第一号中「場合」の下に「又は本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合」を加える。
第六十九条第二項第四号中「統計の作成」を「統計作成等」に改める。
第七十一条第一項中「(本邦の域外にある国又は地域をいう。以下この条において同じ。)」を削り、「第十六条第三項に規定する個人データ」を「個人データ(第十六条第三項に規定する個人データをいう。第七十二条の三第六項において同じ。)」に、「同条第二項」を「個人情報取扱事業者(第十六条第二項」に、「が講ずべき」を「をいう。次条並びに第七十二条の三第三項及び第十項において同じ。)が講ずべき」に改め、同条の次に次の二条を加える。
(取扱いの委託を受けた個人情報に係る義務)
第七十一条の二 個人情報取扱事業者又は他の行政機関等から個人情報の取扱いの全部又は一部の委託(二以上の段階にわたる委託を含む。)を受けた行政機関等は、法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(第七十二条の三において「法令に基づく場合等」という。)を除くほか、その取扱いを委託された個人情報(当該行政機関等において個人関連情報となるものを除く。)を、当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない。
(十六歳未満の者の個人情報の取扱いに関する読替規定)
第七十一条の三 行政機関等が十六歳未満の者の個人情報を取り扱う場合(次に掲げる場合を除く。)における当該個人情報についての第六十二条、第六十八条第二項、第六十九条第二項及び第七十一条の規定の適用については、第六十二条及び第六十八条第二項中「本人に」とあるのは「本人の法定代理人に」と、同項第一号中「本人へ」とあるのは「本人の法定代理人へ」と、第六十九条第二項第一号中「本人の」とあるのは「本人の法定代理人の」と、「本人に」とあるのは「本人若しくはその法定代理人に」と、第七十一条第一項及び第二項中「本人」とあるのは「本人の法定代理人」と、同条第三項中「本人」とあるのは「本人又はその法定代理人」とする。
一 行政機関の長等が、当該個人情報が十六歳未満の者のものであることを知らないことについて正当な理由がある場合
二 本人の法定代理人が当該本人の営業を許可していた場合であって、当該行政機関等が当該営業に関して当該個人情報を取得したとき。
三 本人に法定代理人がない場合又は行政機関の長等が本人に法定代理人がないと信ずるに足りる相当な理由がある場合
第七十二条の次に次の二条を加える。
(連絡可能個人関連情報の不適正な取扱いの禁止)
第七十二条の二 行政機関の長等は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により連絡可能個人関連情報を利用してはならない。
2 行政機関の長等は、偽りその他不正の手段により連絡可能個人関連情報を取得してはならない。
(統計作成等の特例に係る義務)
第七十二条の三 特例要配慮個人情報取得者から提供(二以上の段階にわたる提供を含む。)を受けた統計作成等用要配慮個人情報等を取り扱う行政機関の長等は、第六十九条の規定にかかわらず、法令に基づく場合等を除くほか、当該統計作成等用要配慮個人情報等を、次の各号に掲げる場合の区分に応じて、当該各号に定める行為を行うために必要な範囲を超えて取り扱ってはならない。
一 当該特例要配慮個人情報取得者が第三十条の二第二項の規定により当該統計作成等用要配慮個人情報等に係る要配慮個人情報を用いて行おうとする統計作成等の内容を公表している場合(第三号に掲げる場合を除く。) 当該公表されている内容の統計作成等
二 当該特例要配慮個人情報取得者が第三十条の二第二項の規定により同条第五項本文の規定による提供を行う目的で当該統計作成等用要配慮個人情報等に係る要配慮個人情報を取り扱う旨を公表している場合(次号に掲げる場合を除く。) 当該提供
三 当該特例要配慮個人情報取得者が第三十条の二第二項の規定により当該統計作成等用要配慮個人情報等に係る要配慮個人情報を用いて行おうとする統計作成等の内容及び同条第五項本文の規定による提供を行う目的で当該要配慮個人情報を取り扱う旨を公表している場合 当該公表されている内容の統計作成等及び当該提供
2 第三十条の二第五項本文の規定により個人情報の提供を受けた行政機関の長等は、同項第一号の個人情報保護委員会規則で定める方法により、当該個人情報に係る提供統計作成等用個人情報等を取り扱っている期間、同号に規定する事項(当該事項を次項本文の規定により変更した場合又は第四項の場合にあっては、変更後の当該事項)を継続して公表しなければならない。
3 前項に規定する行政機関の長等は、第三十条の二第五項第一号の個人情報保護委員会規則で定める方法により当該行政機関の長等及び同項本文の規定により当該個人情報の提供を行った個人情報取扱事業者の双方が前項の規定により公表されている事項を変更する旨及び当該変更の内容をあらかじめ公表する場合に限り、当該事項を変更することができる。ただし、当該行政機関の長等の名称その他個人情報保護委員会規則で定める事項を変更するときは、この限りでない。
4 前項ただし書の場合においては、第二項に規定する行政機関の長等は、当該変更をした後、速やかに、第三十条の二第五項第一号の個人情報保護委員会規則で定める方法により当該変更をした旨及び当該変更の内容を公表しなければならない。
5 提供統計作成等用個人情報等を取り扱う行政機関の長等は、第六十九条の規定にかかわらず、法令に基づく場合等を除くほか、当該提供統計作成等用個人情報等を、次の各号に掲げる場合の区分に応じて、当該各号に定める統計作成等を行うために必要な範囲を超えて取り扱ってはならない。
一 当該提供統計作成等用個人情報等に係る第三十条の二第五項本文の規定による提供が特例個人情報受領者に対して行われたものである場合 当該特例個人情報受領者が同条第六項の規定により公表している内容の統計作成等
二 当該提供統計作成等用個人情報等に係る第三十条の二第五項本文の規定による提供が行政機関の長等に対して行われたものである場合 当該行政機関の長等が第二項の規定により公表している内容の統計作成等
6 第三十一条の三第一項本文の規定により個人関連情報の提供を受け個人データとして取得した行政機関の長等は、同項第一号の個人情報保護委員会規則で定める方法により、当該個人関連情報に係る提供統計作成等用個人データ等を取り扱っている期間、同号に規定する事項(当該事項を次項本文の規定により変更した場合又は第八項の場合にあっては、変更後の当該事項)を継続して公表しなければならない。
7 前項に規定する行政機関の長等は、第三十一条の三第一項第一号の個人情報保護委員会規則で定める方法により当該行政機関の長等及び同項本文の規定により当該個人関連情報の提供を行った第十六条第八項に規定する個人関連情報取扱事業者の双方が前項の規定により公表されている事項を変更する旨及び当該変更の内容をあらかじめ公表する場合に限り、当該事項を変更することができる。ただし、当該行政機関の長等の名称その他個人情報保護委員会規則で定める事項を変更するときは、この限りでない。
8 前項ただし書の場合においては、第六項に規定する行政機関の長等は、当該変更をした後、速やかに、第三十一条の三第一項第一号の個人情報保護委員会規則で定める方法により当該変更をした旨及び当該変更の内容を公表しなければならない。
9 提供統計作成等用個人データ等を取り扱う行政機関の長等は、第六十九条の規定にかかわらず、法令に基づく場合等を除くほか、当該提供統計作成等用個人データ等を、次の各号に掲げる場合の区分に応じて、当該各号に定める統計作成等を行うために必要な範囲を超えて取り扱ってはならない。
一 当該提供統計作成等用個人データ等に係る第三十一条の三第一項本文の規定による提供が特例個人関連情報受領者に対して行われたものである場合 当該特例個人関連情報受領者が同条第二項の規定により公表している内容の統計作成等
二 当該提供統計作成等用個人データ等に係る第三十一条の三第一項本文の規定による提供が行政機関の長等に対して行われたものである場合 当該行政機関の長等が第六項の規定により公表している内容の統計作成等
10 統計作成等用要配慮個人情報等、提供統計作成等用個人情報等又は提供統計作成等用個人データ等を取り扱う行政機関の長等は、第六十九条の規定にかかわらず、法令に基づく場合等を除くほか、当該統計作成等用要配慮個人情報等、提供統計作成等用個人情報等又は提供統計作成等用個人データ等を第三者(当該統計作成等用要配慮個人情報等、提供統計作成等用個人情報等又は提供統計作成等用個人データ等の取扱いの委託を受けた個人情報取扱事業者又は行政機関の長等を除く。)に提供してはならない。
11 行政機関の長等は、その取り扱う統計作成等用要配慮個人情報等、提供統計作成等用個人情報等又は提供統計作成等用個人データ等(これらのうち保有個人情報であるものを除く。以下この項において同じ。)の漏えいの防止その他統計作成等用要配慮個人情報等、提供統計作成等用個人情報等又は提供統計作成等用個人データ等の安全管理のために必要かつ適切な措置を講じなければならない。
12 第一項、第五項及び前三項の規定は行政機関の長等から統計作成等用要配慮個人情報等、提供統計作成等用個人情報等又は提供統計作成等用個人データ等の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について、第七十条の規定は行政機関の長等が統計作成等用要配慮個人情報等、提供統計作成等用個人情報等又は提供統計作成等用個人データ等(これらのうち保有個人情報であるものを除く。)を提供する場合について、それぞれ準用する。
第七十三条第四項中「民間事業者による信書の送達に関する法律第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する」を削り、同条に次の一項を加える。
6 第七十二条の二の規定は、行政機関の長等による第二条第八項各号に掲げる記述等が含まれる仮名加工情報(他の情報と容易に照合することができ、それにより当該記述等を特定することができることとなるものを含む。)の取扱いについて準用する。
第七十六条第二項中「よる代理人」の下に「その他政令で定める代理人」を加え、「及び」を「、第百二十五条の二第二項及び」に改める。
第九十条第二項中「及び」を「、第百二十五条の二第二項及び」に改める。
第九十八条第一項第一号中「第六十三条」の下に「、第七十一条の二若しくは第七十二条の三第一項、第五項若しくは第九項」を加え、同項第二号中「又は第七十一条第一項」を「、第七十一条第一項、第七十一条の二又は第七十二条の三第十項」に改め、同条第二項中「この節」の下に「、第百二十五条の二第二項」を加える。
第百九条第一項中「以下この節」の下に「(第百二十一条の二を除く。)」を加える。
第百二十一条第二項中「次条」を「第百二十二条」に改め、同条の次に次の一条を加える。
(連絡等が可能な行政機関等匿名加工情報の不適正な取扱いの禁止)
第百二十一条の二 第七十二条の二の規定は、行政機関の長等による第二条第八項各号に掲げる記述等が含まれる行政機関等匿名加工情報(他の情報と容易に照合することができ、それにより当該記述等を特定することができることとなるものを含む。)の取扱い及び行政機関等から当該行政機関等匿名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合における当該行政機関等匿名加工情報の取扱いについて準用する。
第百二十二条中「前条第三項」を「第百二十一条第三項」に改める。
第百二十三条に次の一項を加える。
5 第七十二条の二の規定は、行政機関の長等による第二条第八項各号に掲げる記述等が含まれる匿名加工情報(他の情報と容易に照合することができ、それにより当該記述等を特定することができることとなるものを含む。)の取扱いについて準用する。
第百二十五条第一項及び第二項中「第百八十条」を「第百七十九条」に、「第百八十一条」を「第百八十二条」に改め、同条第三項中「第六十三条」の下に「、第七十一条の二若しくは第七十二条の三第一項、第五項若しくは第九項」を加え、「若しくは第十九条」を「、第十九条、第三十条の二第四項若しくは第九項、第三十条の三若しくは第三十一条の三第五項」に、「又は第七十一条第一項」を「、第七十一条第一項、第七十一条の二又は第七十二条の三第十項」に、「又は第二十八条」を「、第二十八条、第三十条の二第十項若しくは第十一項又は第三十一条の三第六項若しくは第七項」に改め、同条の次に次の一条を加える。
(未成年者の個人情報等の取扱いに関する行政機関の長等の責務等)
第百二十五条の二 行政機関の長等は、未成年者に関する個人情報等を取り扱うときは、その年齢及び発達の程度に応じて、その最善の利益を優先して考慮した上で、未成年者の権利利益を害することがないように必要な措置を講ずるよう努めなければならない。
2 未成年者である本人の法定代理人は、開示請求、訂正請求又は利用停止請求(十六歳未満の本人の法定代理人にあっては、開示請求、訂正請求若しくは利用停止請求又は第七十一条の三の規定により読み替えて適用する第六十九条第二項第一号若しくは第七十一条第一項の同意)をするに当たっては、当該本人の最善の利益を優先して考慮しなければならない。
第百二十八条中「個人情報」の下に「、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等、提供統計作成等用個人データ等」を加える。
第百三十二条第二号中「個人情報の」を「個人情報、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等及び提供統計作成等用個人データ等の」に、「個人情報、仮名加工情報、匿名加工情報及び個人関連情報」を「個人情報等」に改め、「並びに個人情報」の下に「、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等、提供統計作成等用個人データ等」を加える。
第六章第二節第一款中第百四十六条の前に次の目名を付する。
第一目 報告及び立入検査
第百四十六条の見出しを削り、同条第一項中「同じ。)」の下に「及びこの款」を加え、「個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者(以下この款において「」、「」という。)」及び「個人情報、仮名加工情報、匿名加工情報又は個人関連情報(以下この款及び第三款において「」を削り、「取扱い」の下に「その他必要な事項」を加え、同条の次に次の目名を付する。
第二目 措置命令等
第百四十八条の見出し中「命令」を「措置命令」に改め、同条第一項を次のように改める。
委員会は、個人情報取扱事業者等が第四章第二節から第四節まで(第十七条、第二十七条第八項、第三十条第二項(第三十一条第三項において準用する場合を含む。)及び第三十七条を除く。)の規定に違反した場合において、個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置又は当該違反行為に係る事実の本人に対する通知若しくは公表その他の個人の権利利益を保護するために必要な措置(次項及び第三項において「是正措置等」という。)をとるべき旨を勧告することができる。
第百四十八条第二項中「措置」を「是正措置等」に、「の侵害が切迫している」を「が害されるおそれがある」に改め、同条第三項を次のように改める。
3 委員会は、前二項の規定にかかわらず、個人情報取扱事業者等が第四章第二節から第四節まで(第十七条、第二十一条、第二十一条の二、第二十七条第三項、第六項(第三十条の二第十二項、第三十一条の三第八項又は第四十二条第二項において準用する場合を含む。)、第七項及び第八項、第二十八条第二項、第二十九条(第一項本文及び第二項の規定を第三十条の二第十四項又は第三十一条の三第十項において準用する場合を含む。)、第三十条(第二項から第四項までの規定を第三十一条第三項において準用する場合を含む。)、第三十条の二第二項、第三項及び第六項から第八項まで、第三十一条の三第二項から第四項まで、第三十二条から第三十五条まで、第三十七条、第三十八条、第四十三条第三項及び第四項並びに第四十四条を除く。)の規定に違反した場合において、個人の重大な権利利益を害する事実があり、又は個人の重大な権利利益の侵害が切迫しているため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、是正措置等をとるべきことを命ずることができる。
第百四十八条第四項中「よる命令」を「よる命令(以下「措置命令」という。)」に、「その命令」を「その措置命令」に改め、同条の次に次の一条、一目及び目名を加える。
(取扱関係役務提供者等に対する要請)
第百四十八条の二 委員会は、措置命令を受けた個人情報取扱事業者等が当該措置命令に従わない場合において、当該個人情報取扱事業者等が当該措置命令に係る違反行為に係る個人情報等の取扱いのために用いる役務を提供する取扱関係役務提供者(個人情報取扱事業者等から個人情報等の取扱いの全部又は一部の委託を受けた者その他の個人情報取扱事業者等との契約に基づき個人情報取扱事業者等がその個人情報等の取扱いのために用いる役務を提供する者をいう。以下この項及び次項において同じ。)があるときは、当該取扱関係役務提供者に対して、当該違反行為に係る個人情報等の取扱いの停止、当該役務の提供の停止その他の当該違反行為を中止させるために必要な措置をとるべき旨を要請することができる。
2 取扱関係役務提供者は、前項の規定による要請を受けて当該要請に係る措置を講じた場合において、当該措置命令を受けた個人情報取扱事業者等に生じた損害については、賠償の責めに任じない。
3 委員会は、措置命令をした場合であって、当該違反行為が特定電気通信(特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(平成十三年法律第百三十七号)第二条第一号に規定する特定電気通信をいう。以下この項において同じ。)による個人情報等を含む情報の送信であるときは、当該特定電気通信による情報の流通に係る同条第三号に規定する特定電気通信役務を提供する特定電気通信役務提供者(同条第四号に規定する特定電気通信役務提供者をいう。次項において同じ。)に対して、特定電気通信による当該情報の流通を防止する措置をとるべき旨を要請することができる。
4 特定電気通信役務提供者は、前項の規定による要請を受けて当該要請に係る措置を講じた場合において、当該措置命令を受けた個人情報取扱事業者等に生じた損害については、賠償の責めに任じない。
第三目 課徴金納付命令等
(個人情報の違法な取扱い等に対する課徴金納付命令)
第百四十八条の三 個人情報取扱事業者が、次に掲げる行為(以下この項において「違反行為」という。)をした場合(当該個人情報取扱事業者が、当該違反行為が行われた期間を通じて、当該違反行為を防止するための相当の注意を怠った者でないと認められる場合を除く。)において、代金、報酬、利用料、手数料その他名目のいかんを問わず、当該違反行為又は当該違反行為をやめることの対価として金銭その他の財産上の利益(以下この条において「金銭等」という。)を得たときは、委員会は、当該個人情報取扱事業者に対し、当該金銭等に相当する額として政令で定める方法により算定した額(次条において「第一項対価額」という。)に相当する額の課徴金を国庫に納付することを命じなければならない。ただし、当該違反行為に係る個人情報又は個人データ(第十六条第三項に規定する個人データをいう。第三号において同じ。)の本人の数が千人を超えないときその他個人の権利利益を害する程度が大きくない場合として政令で定めるときは、その納付を命ずることができない。
一 個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの
二 第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
三 第二十七条第一項(第四十条の二第一項の規定により読み替えて適用する場合を含む。)の規定に違反する個人データの提供
四 第三十条の二第四項若しくは第九項又は第三十一条の三第五項の規定に違反する個人情報の取扱い
五 第三十条の二第十項若しくは第十一項又は第三十一条の三第六項若しくは第七項の規定に違反する個人情報の提供
2 個人情報取扱事業者が、第二十条第一項の規定に違反して個人情報を取得し、当該個人情報を利用した場合(当該個人情報取扱事業者が、当該取得及び利用が行われた期間を通じて、当該取得及び利用を防止するための相当の注意を怠った者でないと認められる場合を除く。)において、当該利用又は当該利用をやめることの対価として金銭等を得たときは、委員会は、当該個人情報取扱事業者に対し、当該金銭等に相当する額として政令で定める方法により算定した額(次条において「第二項対価額」という。)に相当する額の課徴金を国庫に納付することを命じなければならない。ただし、当該利用に係る個人情報の本人の数が千人を超えないときその他個人の権利利益を害する程度が大きくない場合として政令で定めるときは、その納付を命ずることができない。
(課徴金の算定基礎の推計)
第百四十八条の四 前条各項の規定による命令(以下「課徴金納付命令」という。)をする場合において、当該個人情報取扱事業者が当該課徴金納付命令に係る課徴金の計算の基礎となるべき事実について第百四十六条第一項の規定による報告又は資料の提出の要求に応じなかったときは、委員会は、当該事実の報告又は資料の提出が行われず課徴金の計算の基礎となるべき事実を把握することができない期間における第一項対価額又は第二項対価額を、当該個人情報取扱事業者若しくはこれと取引を行う他の事業者又は当該課徴金納付命令に係る課徴金対象行為(前条第一項に規定する違反行為又は同条第二項に規定する取得及び利用をいう。以下同じ。)に係る事業と同種の事業を行う他の事業者若しくはこれと取引を行う他の事業者から入手した資料その他の資料を用いて、個人情報保護委員会規則で定める合理的な方法により推計して、課徴金納付命令をすることができる。
(過去に課徴金納付命令を受けたことがある者についての課徴金の額の加算)
第百四十八条の五 委員会は、第百四十八条の三各項の規定により課徴金納付命令をする場合において、当該個人情報取扱事業者が、当該課徴金納付命令に係る課徴金対象行為に係る事案について報告徴収等(第百四十六条第一項の規定による報告若しくは資料の提出の要求又は立入検査をいう。以下この条、第百四十八条の七第四項及び第百四十九条第一項において同じ。)が最初に行われた日(当該報告徴収等が行われなかったときは、当該個人情報取扱事業者が当該事案について第百四十八条の十第一項の規定による通知を受けた日)から遡り十年以内に、当該各項の規定による課徴金納付命令(当該課徴金納付命令が確定している場合に限る。)を受けたことがあり、かつ、当該課徴金納付命令の日以後において当該課徴金対象行為をしていた者であるときは、当該各項の規定による額に代えて、当該額の一・五倍に相当する額の課徴金を国庫に納付することを命じなければならない。
(課徴金対象行為に該当する事実の報告等による課徴金の額の減額)
第百四十八条の六 委員会は、第百四十八条の三各項の規定により課徴金納付命令をする場合において、当該個人情報取扱事業者が当該課徴金納付命令に係る課徴金対象行為に該当する事実を個人情報保護委員会規則で定めるところにより委員会に報告したときは、当該各項の規定により計算した課徴金の額(前条に規定する者にあっては、同条の規定により計算した課徴金の額)に百分の五十を乗じて得た額を当該課徴金の額から減額するものとする。ただし、その報告が、当該課徴金対象行為についての調査があったことにより当該課徴金対象行為について課徴金納付命令があるべきことを予知してされたものであるときは、この限りでない。
(課徴金の納付義務等)
第百四十八条の七 課徴金納付命令を受けた者は、第百四十八条の三から前条までの規定により計算した課徴金を納付しなければならない。
2 第百四十八条の三から前条までの規定により計算した課徴金の額に一万円未満の端数があるときは、その端数は、切り捨てる。
3 課徴金対象行為をした個人情報取扱事業者が法人である場合において、当該法人が合併により消滅したときは、当該法人がした課徴金対象行為は、合併後存続し、又は合併により設立された法人がした課徴金対象行為とみなして、第百四十八条の三からこの条までの規定を適用する。
4 課徴金対象行為をした個人情報取扱事業者が法人である場合において、当該法人が当該課徴金対象行為に係る事案について報告徴収等が最初に行われた日(当該報告徴収等が行われなかったときは、当該法人が当該課徴金対象行為について第百四十八条の十第一項の規定による通知を受けた日。以下この項において「調査開始日」という。)以後においてその一若しくは二以上の子会社等(個人情報取扱事業者の子会社若しくは親会社(会社を子会社とする他の会社をいう。以下この項において同じ。)又は当該個人情報取扱事業者と親会社が同一である他の会社をいう。以下この項において同じ。)に対して当該課徴金対象行為に係る事業の全部を譲渡し、又は当該法人(会社に限る。)が当該課徴金対象行為に係る事案についての調査開始日以後においてその一若しくは二以上の子会社等に対して分割により当該課徴金対象行為に係る事業の全部を承継させ、かつ、合併以外の事由により消滅したときは、当該法人がした課徴金対象行為は、当該事業の全部若しくは一部を譲り受け、又は分割により当該事業の全部若しくは一部を承継した子会社等(以下この項において「特定事業承継子会社等」という。)がした課徴金対象行為とみなして、第百四十八条の三からこの条までの規定を適用する。この場合において、当該特定事業承継子会社等が二以上あるときは、第百四十八条の三第一項中「当該個人情報取扱事業者に対し」とあるのは「特定事業承継子会社等(第百四十八条の七第四項に規定する特定事業承継子会社等をいう。以下この条及び第百四十八条の七第一項において同じ。)に対し、この項の規定による命令を受けた他の特定事業承継子会社等と連帯して」と、同条第二項中「当該個人情報取扱事業者に対し」とあるのは「特定事業承継子会社等に対し、この項の規定による命令を受けた他の特定事業承継子会社等と連帯して」と、第一項中「者は」とあるのは「特定事業承継子会社等は、課徴金納付命令を受けた他の特定事業承継子会社等と連帯して」とする。
5 前項に規定する「子会社」とは、会社がその総株主(総社員を含む。以下この項において同じ。)の議決権(株主総会において決議をすることができる事項の全部につき議決権を行使することができない株式についての議決権を除き、会社法(平成十七年法律第八十六号)第八百七十九条第三項の規定により議決権を有するものとみなされる株式についての議決権を含む。以下この項において同じ。)の過半数を有する他の会社をいう。この場合において、会社及びその一若しくは二以上の子会社又は会社の一若しくは二以上の子会社がその総株主の議決権の過半数を有する他の会社は、当該会社の子会社とみなす。
6 第三項及び第四項の場合において、第百四十八条の四から前条までの規定の適用に関し必要な事項は、政令で定める。
7 課徴金対象行為がなくなった日から七年を経過したときは、委員会は、当該課徴金対象行為に係る課徴金の納付を命ずることができない。
(課徴金納付命令に対する弁明の機会の付与)
第百四十八条の八 委員会は、課徴金納付命令をしようとするときは、当該課徴金納付命令の名宛人となるべき者に対し、弁明の機会を与えなければならない。
(弁明の機会の付与の方式)
第百四十八条の九 弁明は、委員会が口頭ですることを認めたときを除き、弁明を記載した書面(次条第一項において「弁明書」という。)を提出してするものとする。
2 弁明をするときは、証拠書類又は証拠物を提出することができる。
(弁明の機会の付与の通知の方式)
第百四十八条の十 委員会は、弁明書の提出期限(口頭による弁明の機会の付与を行う場合には、その日時)までに相当な期間をおいて、課徴金納付命令の名宛人となるべき者に対し、次に掲げる事項を書面により通知しなければならない。
一 納付を命じようとする課徴金の額
二 課徴金の計算の基礎及び当該課徴金に係る課徴金対象行為
三 弁明書の提出先及び提出期限(口頭による弁明の機会の付与を行う場合には、その旨並びに出頭すべき日時及び場所)
2 委員会は、課徴金納付命令の名宛人となるべき者の所在が判明しない場合においては、前項の規定による通知を、その者の氏名(法人にあっては、その名称及び代表者の氏名)、同項第三号に掲げる事項及び委員会が同項各号に掲げる事項を記載した書面をいつでもその者に交付する旨(以下この項において「公示事項」という。)を個人情報保護委員会規則で定める方法により不特定多数の者が閲覧することができる状態に置くとともに、公示事項が記載された書面を委員会の掲示場に掲示し、又は公示事項を委員会の事務所に設置した電子計算機の映像面に表示したものの閲覧をすることができる状態に置く措置をとることによって行うことができる。この場合においては、当該措置をとった日から二週間を経過したときに、当該通知がその者に到達したものとみなす。
(代理人)
第百四十八条の十一 前条第一項の規定による通知を受けた者(次項及び第四項において「当事者」という。)は、代理人を選任することができる。
2 代理人は、各自、当事者のために、弁明に関する一切の行為をすることができる。
3 代理人の資格は、書面で証明しなければならない。
4 代理人がその資格を失ったときは、当該代理人を選任した当事者は、書面でその旨を委員会に届け出なければならない。
(課徴金納付命令の方式等)
第百四十八条の十二 課徴金納付命令は、文書によって行い、課徴金納付命令書には、納付すべき課徴金の額、課徴金の計算の基礎及び当該課徴金に係る課徴金対象行為並びに納期限を記載しなければならない。
2 課徴金納付命令は、その名宛人に課徴金納付命令書の謄本を送達することによって、その効力を生ずる。
3 第一項の課徴金の納期限は、課徴金納付命令書の謄本を発する日から七月を経過した日とする。
(納付の督促)
第百四十八条の十三 委員会は、課徴金をその納期限までに納付しない者があるときは、督促状により期限を指定してその納付を督促しなければならない。
2 委員会は、前項の規定による督促をしたときは、その督促に係る課徴金の額につき年十四・五パーセントの割合で、納期限の翌日からその納付の日までの日数により計算した延滞金を徴収することができる。ただし、延滞金の額が千円未満であるときは、この限りでない。
3 前項の規定により計算した延滞金の額に百円未満の端数があるときは、その端数は、切り捨てる。
(課徴金納付命令の執行)
第百四十八条の十四 前条第一項の規定により督促を受けた者がその指定する期限までにその納付すべき金額を納付しないときは、委員会の命令で、課徴金納付命令を執行する。この命令は、執行力のある債務名義と同一の効力を有する。
2 課徴金納付命令の執行は、民事執行法(昭和五十四年法律第四号)その他強制執行の手続に関する法令の規定に従ってする。
3 委員会は、課徴金納付命令の執行に関して必要があると認めるときは、公務所又は公私の団体に照会して必要な事項の報告を求めることができる。
(課徴金等の請求権)
第百四十八条の十五 破産法(平成十六年法律第七十五号)、民事再生法(平成十一年法律第二百二十五号)、会社更生法(平成十四年法律第百五十四号)及び金融機関等の更生手続の特例等に関する法律(平成八年法律第九十五号)の規定の適用については、課徴金納付命令に係る課徴金の請求権及び第百四十八条の十三第二項の規定による延滞金の請求権は、過料の請求権とみなす。
(行政手続法の適用除外)
第百四十八条の十六 委員会がする課徴金納付命令その他のこの目の規定による処分については、行政手続法(平成五年法律第八十八号)第三章の規定は、適用しない。
(規則への委任)
第百四十八条の十七 この目に定めるもののほか、課徴金納付命令に関し必要な事項は、個人情報保護委員会規則で定める。
第四目 雑則
第百四十九条第一項中「前三条」を「第百四十六条から第百四十八条の三まで」に、「個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査」を「報告徴収等」に、「又は命令」を「、措置命令、要請又は課徴金納付命令」に改める。
第百五十条第一項中「又は同条第二項」を「、措置命令、第百四十八条の二第一項」に、「命令」を「要請又は課徴金納付命令」に改める。
第百六十一条第一項中「若しくは同条第二項若しくは第三項の規定による命令」を「、措置命令」に改め、同条第二項中「第百四十八条第二項若しくは第三項」を「措置命令」に改め、「(平成五年法律第八十八号)」を削る。
第百六十二条中「前条」を「この法律(この法律に基づく政令又は個人情報保護委員会規則を含む。第百六十四条において同じ。)」に改める。
第百六十三条第一項第二号中「(本邦の域外にある国又は地域をいう。以下同じ。)」を削り、同条第二項中「旨を」の下に「個人情報保護委員会規則で定める方法により不特定多数の者が閲覧することができる状態に置くとともに、その旨が記載された書面を」を加え、「掲示する」を「掲示し、又はその旨を委員会の事務所に設置した電子計算機の映像面に表示したものの閲覧をすることができる状態に置く措置をとる」に改め、同条第三項中「掲示を始めた」を「措置を開始した」に改める。
第百六十四条中「第百六十一条」を「この法律」に、「、同法」を「、情報通信技術を活用した行政の推進等に関する法律」に改める。
第百七十一条中「個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者」を「個人情報取扱事業者等」に、「として取得されることとなる個人関連情報又は」を「に係る統計作成等用要配慮個人情報等、提供統計作成等用個人情報等若しくは提供統計作成等用個人データ等、」に改め、「若しくは匿名加工情報」の下に「、当該個人情報として取得されることとなる個人関連情報又は国内にある特定の個人に対する連絡その他の情報の伝達に利用することができる連絡可能個人関連情報」を加える。
第百七十六条中「二年」を「三年」に、「百万円」を「百五十万円」に改める。
第百七十八条を削る。
第百七十九条中「第百八十四条第一項」を「第百八十五条第一項」に、「図る」を「図り、若しくは本人その他の者に損害を加える」に、「一年」を「二年」に、「五十万円」を「百万円」に改め、同条を第百七十八条とする。
第百八十条中「図る」を「図り、若しくは本人その他の者に損害を加える」に、「一年」を「二年」に、「五十万円」を「百万円」に改め、同条を第百七十九条とし、同条の次に次の一条を加える。
第百八十条 自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第四項に規定する不正アクセス行為をいう。)その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したときは、当該違反行為をした者は、二年以下の拘禁刑又は百万円以下の罰金に処する。
2 前項の規定は、刑法(明治四十年法律第四十五号)その他の罰則の適用を妨げない。
第百八十五条第一号中「第三十条第二項」を「第二十七条第八項、第三十条第二項」に改め、同条を第百八十六条とする。
第百八十四条第一項中「掲げる」の下に「規定の」を加え、同項第一号中「第百七十九条」を「第百八十一条」に改め、同項第二号中「第百八十二条」を「第百八十条及び第百八十三条」に、「同条」を「各本条」に改め、同条を第百八十五条とする。
第百八十三条中「、第百七十七条及び第百七十九条から第百八十一条まで」を「から第百八十条まで及び第百八十二条」に、「これらの条」を「これらの規定(第百八十条第二項を除く。)」に改め、同条を第百八十四条とし、第百八十二条を第百八十三条とし、第百八十一条を第百八十二条とし、同条の前に次の一条を加える。
第百八十一条 措置命令に違反したときは、当該違反行為をした者は、一年以下の拘禁刑又は百万円以下の罰金に処する。
(行政手続における特定の個人を識別するための番号の利用等に関する法律の一部改正)
第二条 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)の一部を次のように改正する。
第二条第一項中「第二条第八項」を「第二条第九項」に改め、同条第二項中「第二条第九項」を「第二条第十項」に改め、同条第四項中「第二条第十一項」を「第二条第十二項」に改める。
第十九条第十六号中「とき」の下に「その他本人の同意を得ないことについて相当の理由があるとき」を加える。
第二十九条の四第二項中「除く」の下に「。第四十三条の二第二項において同じ」を加える。
第三十条第一項中「第二条第十一項第三号」を「第二条第十二項第三号」に、「及び第八十八条」を「、第七十二条の三及び第八十八条」に改め、同項の表第六十九条第二項第一号の項中「であるとき」の下に「その他本人の同意を得ないことについて相当の理由があるとき」を加え、同項の次に次のように加える。
|
第七十一条の二 |
法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(第七十二条の三において「法令に基づく場合等」という。) |
人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(独立行政法人等にあっては、当該場合及び行政手続における特定の個人を識別するための番号の利用等に関する法律第九条第五項の規定に基づく場合) |
|
第七十一条の三の規定により読み替えて適用する第六十九条第二項第一号 |
本人の法定代理人の同意があるとき、又は本人若しくはその法定代理人に提供するとき |
人の生命、身体又は財産の保護のために必要がある場合であって、本人の法定代理人の同意があり、又は本人の法定代理人の同意を得ることが困難であるときその他本人の法定代理人の同意を得ないことについて相当の理由があるとき |
第三十条第一項の表第九十八条第一項第一号の項を次のように改める。
|
第九十八条第一項第一号 |
、第七十一条の二若しくは第七十二条の三第一項、第五項若しくは第九項 |
若しくは第七十一条の二 |
|
|
又は第六十九条第一項及び第二項の規定に違反して利用されているとき |
行政手続における特定の個人を識別するための番号の利用等に関する法律第三十条第一項の規定により読み替えて適用する第六十九条第一項及び第二項(第一号に係る部分に限る。)の規定に違反して利用されているとき、同法第二十条の規定に違反して収集され、若しくは保管されているとき、又は同法第二十九条の規定に違反して作成された特定個人情報ファイル(同法第二条第十項に規定する特定個人情報ファイルをいう。)に記録されているとき |
第三十条第一項の表第九十八条第一項第二号の項中「又は第七十一条第一項」を「、第七十一条第一項、第七十一条の二又は第七十二条の三第十項」に、「行政手続における特定の個人を識別するための番号の利用等に関する法律」を「第七十一条の二又は行政手続における特定の個人を識別するための番号の利用等に関する法律」に改め、同表第百二十五条第三項の規定により読み替えて適用する第九十八条第一項第一号の項中「第十八条若しくは第十九条」を「第十八条、第十九条、第三十条の二第四項若しくは第九項、第三十条の三若しくは第三十一条の三第五項」に、「)若しくは第十九条」を「)、第十九条若しくは第三十条の三」に改め、同表第百二十五条第三項の規定により読み替えて適用する第九十八条第一項第二号の項中「又は第二十八条」を「、第二十八条、第三十条の二第十項若しくは第十一項又は第三十一条の三第六項若しくは第七項」に改め、同表に次のように加える。
|
第百二十五条の二第二項 |
若しくは第七十一条第一項 |
、行政手続における特定の個人を識別するための番号の利用等に関する法律第三十条第一項の規定により読み替えて適用する第七十一条の三の規定により読み替えて適用する第六十九条第二項第一号若しくは同法第四十三条の二第一項の規定により読み替えて適用する同法第十九条第四号若しくは第十六号 |
第三十条第二項中「第六号」を「第七号」に、「及び第二十七条から第三十条」を「、第二十七条から第三十条の二まで、第三十一条の三及び第三十五条第七項から第十項」に改め、同項の表第十八条第三項第二号の項の中欄中「本人」を「、本人」に改め、同項の下欄中「本人の」を「、本人の」に改め、同項の次に次のように加える。
|
第三十条の三 |
法令に基づく場合等 |
人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合及び行政手続における特定の個人を識別するための番号の利用等に関する法律第九条第五項の規定に基づく場合 |
|
第三十五条第一項 |
、第三十条の二第四項若しくは第九項、第三十条の三若しくは第三十一条の三第五項 |
若しくは第三十条の三 |
第三十条第二項の表第三十五条第三項の項中「又は第二十八条」を「、第二十八条、第三十条の二第十項又は第三十一条の三第六項」に改め、同表に次のように加える。
|
第四十条の二第一項の規定により読み替えて適用する第十八条第一項 |
あらかじめ本人の法定代理人の同意を得ないで、前条 |
前条 |
|
第四十条の二第一項の規定により読み替えて適用する第十八条第二項 |
あらかじめ本人の法定代理人の同意を得ないで、承継前 |
承継前 |
|
第四十条の二第一項の規定により読み替えて適用する第十八条第三項第二号 |
、本人の法定代理人 |
、本人の法定代理人の同意があり、又は本人の法定代理人 |
|
第五十八条の三第二項 |
又は第三十五条第九項第一号、第四十条の二第一項の規定により読み替えて適用する第十八条第一項若しくは第二項、第二十条第二項各号列記以外の部分、第二十七条第一項各号列記以外の部分、第二十八条第一項若しくは第三十五条第七項第一号若しくは第二号若しくは第四十条の二第二項の規定により読み替えて適用する第三十一条第一項第一号 |
又は行政手続における特定の個人を識別するための番号の利用等に関する法律第三十条第二項の規定により読み替えて適用する第四十条の二第一項の規定により読み替えて適用する第十八条第三項第二号若しくは同法第四十三条の二第一項の規定により読み替えて適用する同法第十九条第四号若しくは第十六号 |
第三十一条第一項中「第七十条」の下に「、第七十二条の三」を加え、同項の表第六十九条第一項の項の次に次のように加える。
|
第七十一条の二 |
法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(第七十二条の三において「法令に基づく場合等」という。) |
人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(独立行政法人等にあっては、当該場合及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第九条第五項の規定に基づく場合) |
第三十一条第一項の表第八十九条第五項の項中「(平成二十五年法律第二十七号)」を削り、同表に次のように加える。
|
第百二十五条の二第二項 |
、訂正請求又は利用停止請求 |
又は訂正請求 |
|
|
、訂正請求若しくは利用停止請求又は第七十一条の三の規定により読み替えて適用する第六十九条第二項第一号若しくは第七十一条第一項 |
若しくは訂正請求又は行政手続における特定の個人を識別するための番号の利用等に関する法律第四十三条の二第一項の規定により読み替えて適用する同法第十九条第十六号 |
第三十一条第二項中「第七十条」の下に「、第七十二条の三」を加え、同項の表第六十九条第一項の項の次に次のように加える。
|
第七十一条の二 |
法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(第七十二条の三において「法令に基づく場合等」という。) |
人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(独立行政法人等にあっては、当該場合及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第九条第五項の規定に基づく場合) |
第三十一条第二項の表第九十七条の項中「(平成二十五年法律第二十七号)」を削り、同表に次のように加える。
|
第百二十五条の二第二項 |
、訂正請求又は利用停止請求 |
又は訂正請求 |
|
|
、訂正請求若しくは利用停止請求又は第七十一条の三の規定により読み替えて適用する第六十九条第二項第一号若しくは第七十一条第一項 |
若しくは訂正請求又は行政手続における特定の個人を識別するための番号の利用等に関する法律第四十三条の二第一項の規定により読み替えて適用する同法第十九条第十六号 |
第三十一条第三項中「第七十六条」を「第七十一条の二、第七十一条の三、第七十六条」に改め、「、第九十七条」の下に「、第百二十五条の二」を加え、「及び第六十七条から第六十九条第一項まで」を「、第六十七条から第六十九条第一項まで、第七十一条の二及び第七十一条の三」に改め、同項の表第六十九条第一項の項の次に次のように加える。
|
第七十一条の二 |
法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(第七十二条の三において「法令に基づく場合等」という。) |
人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合(独立行政法人等にあっては、当該場合及び行政手続における特定の個人を識別するための番号の利用等に関する法律第九条第五項の規定に基づく場合) |
第三十一条第三項の表に次のように加える。
|
第百二十五条の二第二項 |
、訂正請求又は利用停止請求 |
又は訂正請求 |
|
|
、訂正請求若しくは利用停止請求又は第七十一条の三の規定により読み替えて適用する第六十九条第二項第一号若しくは第七十一条第一項 |
若しくは訂正請求又は行政手続における特定の個人を識別するための番号の利用等に関する法律第四十三条の二第一項の規定により読み替えて適用する同法第十九条第十六号 |
第三十四条第一項中「措置」の下に「又は当該違反行為に係る事実の本人に対する通知若しくは公表その他の個人の権利利益を保護するために必要な措置(以下この条において「是正措置等」という。)」を加え、同条第二項中「措置」を「是正措置等」に改め、同条第三項中「あるため」を「あり、又は個人の重大な権利利益の侵害が切迫しているため」に、「当該違反行為の中止その他違反を是正するために必要な措置」を「是正措置等」に改め、同条の次に次の一条を加える。
(取扱関係役務提供者等に対する要請)
第三十四条の二 委員会は、前条第二項又は第三項の規定による命令を受けた者(以下この条において「違反者」という。)が当該命令に従わない場合において、当該違反者が当該命令に係る違反行為に係る特定個人情報の取扱いのために用いる役務を提供する取扱関係役務提供者(当該違反者から特定個人情報の取扱いの全部又は一部の委託を受けた者その他の当該違反者との契約に基づき当該違反者がその特定個人情報の取扱いのために用いる役務を提供する者をいう。以下この項及び次項において同じ。)があるときは、当該取扱関係役務提供者に対して、当該違反行為に係る特定個人情報の取扱いの停止、当該役務の提供の停止その他の当該違反行為を中止させるために必要な措置をとるべき旨を要請することができる。
2 取扱関係役務提供者は、前項の規定による要請を受けて当該要請に係る措置を講じた場合において、当該命令を受けた違反者に生じた損害については、賠償の責めに任じない。
3 委員会は、前条第二項又は第三項の規定による命令をした場合であって、当該違反行為が特定電気通信(特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(平成十三年法律第百三十七号)第二条第一号に規定する特定電気通信をいう。以下この項において同じ。)による特定個人情報を含む情報の送信であるときは、当該特定電気通信による情報の流通に係る同法第二条第三号に規定する特定電気通信役務を提供する特定電気通信役務提供者(同法第二条第四号に規定する特定電気通信役務提供者をいう。次項において同じ。)に対して、特定電気通信による当該情報の流通を防止する措置をとるべき旨を要請することができる。
4 特定電気通信役務提供者は、前項の規定による要請を受けて当該要請に係る措置を講じた場合において、当該命令を受けた違反者に生じた損害については、賠償の責めに任じない。
第三十六条中「前三条」を「第三十三条から前条まで」に改める。
第四十三条の次に次の一条を加える。
(十六歳未満の者の特定個人情報に関する読替規定)
第四十三条の二 次の各号のいずれかに該当する場合を除き、十六歳未満の者の特定個人情報についての第十九条(第四号及び第十六号(第二十一条の二第五項(同条第七項において準用する場合を含む。)及び第四十五条の二第五項(同条第七項において準用する場合を含む。)において準用する場合を含む。以下この項において同じ。)に係る部分に限る。)の規定の適用については、第十九条第四号中「同意」とあるのは「法定代理人の同意」と、同条第十六号中「本人」とあるのは「本人の法定代理人」とする。
一 当該特定個人情報を提供する者が、当該特定個人情報が十六歳未満の者のものであることを知らないことについて正当な理由がある場合
二 本人の法定代理人が当該本人の営業を許可していた場合であって、当該特定個人情報を提供する者が当該営業に関して当該特定個人情報を取得したとき。
三 本人に法定代理人がない場合又は当該特定個人情報を提供する者が本人に法定代理人がないと信ずるに足りる相当な理由がある場合
2 次の各号のいずれかに該当する場合を除き、個人番号利用事務等実施者が十六歳未満の者の特定個人情報を取り扱う場合における当該特定個人情報についての第二十九条の四第二項の規定の適用については、同項中「本人に」とあるのは「本人の法定代理人に」と、同項ただし書中「本人へ」とあるのは「本人の法定代理人へ」とする。
一 当該個人番号利用事務等実施者が、当該特定個人情報が十六歳未満の者のものであることを知らないことについて正当な理由がある場合
二 本人の法定代理人が当該本人の営業を許可していた場合であって、当該個人番号利用事務等実施者が当該営業に関して当該特定個人情報を取得したとき。
三 本人に法定代理人がない場合又は当該個人番号利用事務等実施者が本人に法定代理人がないと信ずるに足りる相当な理由がある場合
第四十九条中「図る」を「図り、若しくは本人その他の者に損害を加える」に改める。
第五十一条第一項中「窃取」の下に「若しくは損壊」を、「侵入」の下に「、有線電気通信の傍受」を加える。
(医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律の一部改正)
第三条 医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律(平成二十九年法律第二十八号)の一部を次のように改正する。
目次中「第五十六条」を「第五十六条の二」に改める。
第十九条第三項中「第四十三条の規定は、」を「第二十一条の二及び第三十五条第七項から第十項までの規定は認定匿名加工医療情報作成事業者が認定匿名加工医療情報作成事業に関し管理する医療情報を取り扱う場合について、同法第四十三条の規定は」に、「場合」を「場合について、同法第四十六条の二の規定は認定匿名加工医療情報作成事業者が認定匿名加工医療情報作成事業に関し管理する匿名加工医療情報を取り扱う場合」に改める。
第三十条第二項中「第四十六条」を「第四十六条の二」に改める。
第三十五条第五項中「個人情報の保護に関する法律」の下に「第二十一条の二及び第三十五条第七項から第十項までの規定は認定仮名加工医療情報作成事業者が認定仮名加工医療情報作成事業に関し管理する医療情報を取り扱う場合について、同法」を加える。
第四十六条の見出し中「制限」を「制限等」に改め、同条に次の一項を加える。
3 個人情報の保護に関する法律第二十一条の二及び第三十五条第七項から第十項までの規定は、認定医療情報等取扱受託事業者が認定医療情報等取扱受託事業に関し管理する医療情報を取り扱う場合については、適用しない。
第四十七条第三項中「規定は、」を「規定は」に、「場合」を「場合について、同法第四十六条の二の規定は認定医療情報等取扱受託事業者が認定医療情報等取扱受託事業に関し管理する匿名加工医療情報を取り扱う場合」に改める。
第四十八条第二項中「第四十六条」を「第四十六条第一項及び第二項」に改める。
第六章第一節に次の一条を加える。
(十六歳未満の者の医療情報に関する読替規定)
第五十六条の二 医療情報取扱事業者が十六歳未満の者の医療情報を取り扱う場合(次に掲げる場合を除く。)における当該医療情報についての第五十二条第一項及び第二項並びに第五十三条第一項の規定の適用については、第五十二条第一項中「又はその」とあるのは「若しくはその法定代理人又は本人の」と、同項及び同条第二項中「本人に」とあるのは「本人の法定代理人に」と、第五十三条第一項中「を受けた本人又はその」とあるのは「に係る本人若しくはその法定代理人又は本人の」とする。
一 当該医療情報取扱事業者が、当該医療情報が十六歳未満の者のものであることを知らないことについて正当な理由がある場合
二 本人の法定代理人が当該本人の営業を許可していた場合であって、当該医療情報取扱事業者が当該営業に関して当該医療情報を取得したとき。
三 本人に法定代理人がない場合又は当該医療情報取扱事業者が本人に法定代理人がないと信ずるに足りる相当な理由がある場合
第五十八条中「第五十六条まで」を「第五十六条の二まで」に、「及び第五十六条第一号」を「、第五十六条第一号及び第五十六条の二」に改める。
第六十一条の見出しを「(命令)」に改め、同条第一項中「必要な措置」を「に必要な措置又は当該違反に係る事実の本人に対する通知若しくは公表その他の個人の権利利益を保護するために必要な措置(以下この条において「是正措置等」という。)」に改め、同条第二項から第四項まで、第六項及び第七項中「当該違反を是正するため必要な措置」を「是正措置等」に改め、同条第八項中「、第五十三条第一項若しくは第三項」を「(これらの規定を第五十六条の二の規定により読み替えて適用する場合を含む。)、第五十三条第一項(第五十六条の二(第五十八条において準用する場合を含む。)の規定により読み替えて適用する場合及び第五十八条において準用する場合を含む。)の規定、第五十三条第三項」に、「規定に」を「規定(これらの規定を第五十八条において読み替えて準用する第五十六条の二の規定により読み替えて適用する場合を含む。)に」に、「当該違反を是正するため必要な措置」を「是正措置等」に改める。
第六十八条中「二年」を「三年」に、「百万円」を「百五十万円」に改める。
第六十九条中「図る」を「図り、若しくは本人その他の者に損害を加える」に、「一年」を「二年」に改める。
附 則
(施行期日)
第一条 この法律は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
一 附則第十三条及び第十六条の規定 公布の日
二 附則第十七条の規定 民法等の一部を改正する法律の施行に伴う関係法律の整備等に関する法律(令和八年法律第▼▼▼号)の公布の日又はこの法律の公布の日のいずれか遅い日
三 第一条中個人情報の保護に関する法律の目次の改正規定(「第百八十五条」を「第百八十六条」に改める部分に限る。)、同法第百二十五条第一項及び第二項の改正規定、同法第百六十三条第二項及び第三項の改正規定、同法第百七十六条の改正規定、同法第百七十八条を削る改正規定、同法第百七十九条の改正規定、同条を同法第百七十八条とする改正規定、同法第百八十条の改正規定、同条を同法第百七十九条とし、同条の次に一条を加える改正規定、同法第百八十五条第一号の改正規定、同条を同法第百八十六条とする改正規定、同法第百八十四条第一項の改正規定、同条を同法第百八十五条とする改正規定、同法第百八十三条の改正規定並びに同条を同法第百八十四条とし、同法第百八十二条を同法第百八十三条とし、同法第百八十一条を同法第百八十二条とし、同条の前に一条を加える改正規定、第二条中行政手続における特定の個人を識別するための番号の利用等に関する法律第四十九条の改正規定及び同法第五十一条第一項の改正規定並びに第三条中医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律第六十八条の改正規定及び同法第六十九条の改正規定並びに次条及び附則第三条の規定 公布の日から起算して六月を経過した日
(個人情報の保護に関する法律の一部改正に伴う経過措置)
第二条 第一条の規定(前条第三号に掲げる改正規定に限る。)による改正後の個人情報の保護に関する法律(以下「第三号改正後個人情報保護法」という。)第百六十三条第二項及び第三項の規定は、同号に掲げる規定の施行の日(以下「第三号施行日」という。)以後にする公示送達について適用し、第三号施行日前にした公示送達については、なお従前の例による。
第三条 第三号施行日からこの法律の施行の日(以下「施行日」という。)の前日までの間における第三号改正後個人情報保護法第百八十一条及び第百八十六条の規定の適用については、第三号改正後個人情報保護法第百八十一条中「措置命令」とあるのは「第百四十八条第二項又は第三項の規定による命令」と、第三号改正後個人情報保護法第百八十六条第一号中「第二十七条第八項、第三十条第二項」とあるのは「第三十条第二項」とする。
第四条 第一条の規定(附則第一条第三号に掲げる改正規定を除く。次条第二項において同じ。)による改正後の個人情報の保護に関する法律(以下「新個人情報保護法」という。)第二十一条の二第一項各号に掲げる事項に相当する事項について、施行日前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。
2 施行日前になされた新個人情報保護法第十六条第五項に規定する特定生体個人識別符号に相当する符号の作成又は同項に規定する特定生体個人情報に相当する情報の取得に関する同意がある場合において、その同意が新個人情報保護法第三十五条第七項第一号又は第二号(これらの規定を第四十条の二第一項の規定により読み替えて適用する場合を含む。)の同意に相当するものであるときは、当該各号の同意があったものとみなす。
第五条 施行日前になされた本人の法定代理人による個人情報(個人情報の保護に関する法律第二条第一項に規定する個人情報をいう。以下同じ。)又は同条第七項に規定する個人関連情報の取扱いに関する同意がある場合において、その同意が新個人情報保護法第三十五条第九項第一号、新個人情報保護法第四十条の二第一項の規定により読み替えて適用する新個人情報保護法第十八条第一項若しくは第二項、第二十条第二項各号列記以外の部分、第二十七条第一項各号列記以外の部分、第二十八条第一項若しくは第三十五条第七項第一号若しくは第二号、新個人情報保護法第四十条の二第二項の規定により読み替えて適用する新個人情報保護法第三十一条第一項第一号又は新個人情報保護法第七十一条の三の規定により読み替えて適用する新個人情報保護法第六十九条第二項第一号若しくは第七十一条第一項の同意に相当するものであるときは、当該各規定の同意があったものとみなす。
2 施行日前になされた第一条の規定による改正前の個人情報の保護に関する法律(以下「旧個人情報保護法」という。)第十八条第一項若しくは第二項、第二十条第二項各号列記以外の部分、第二十七条第一項各号列記以外の部分若しくは第二十八条第一項の規定、旧個人情報保護法第三十一条第一項第一号の規定又は旧個人情報保護法第六十九条第二項第一号若しくは第七十一条第一項の規定による本人の同意があるときは、それぞれ新個人情報保護法第四十条の二第一項の規定により読み替えて適用する新個人情報保護法第十八条第一項若しくは第二項、第二十条第二項各号列記以外の部分、第二十七条第一項各号列記以外の部分若しくは第二十八条第一項の規定、新個人情報保護法第四十条の二第二項の規定により読み替えて適用する新個人情報保護法第三十一条第一項第一号の規定又は新個人情報保護法第七十一条の三の規定により読み替えて適用する新個人情報保護法第六十九条第二項第一号若しくは第七十一条第一項の規定による当該本人の法定代理人の同意があったものとみなす。
第六条 新個人情報保護法第四十条の二第一項の規定により読み替えて適用する新個人情報保護法第二十一条の二第一項各号若しくは第二十七条第二項各号に掲げる事項又は同条第五項第三号に規定する事項に相当する事項について、施行日前に、本人の法定代理人に通知されているときは、当該通知は、当該各規定により行われたものとみなす。
2 施行日前に旧個人情報保護法第二十七条第二項又は第五項第三号の規定による本人への通知がなされているときは、それぞれ新個人情報保護法第四十条の二第一項の規定により読み替えて適用する新個人情報保護法第二十七条第二項又は第五項第三号の規定による当該本人の法定代理人への通知があったものとみなす。
第七条 新個人情報保護法第百四十八条第一項から第三項までの規定は、施行日以後に行われた新個人情報保護法に違反する行為について適用し、施行日前に行われた旧個人情報保護法に違反する行為については、なお従前の例による。
第八条 新個人情報保護法第百四十八条の三から第百四十八条の十六までの規定は、施行日以後に行われた新個人情報保護法第百四十八条の四に規定する課徴金対象行為について適用する。
(行政手続における特定の個人を識別するための番号の利用等に関する法律の一部改正に伴う経過措置)
第九条 施行日前になされた本人の法定代理人による行政手続における特定の個人を識別するための番号の利用等に関する法律第二条第九項に規定する特定個人情報の提供に関する同意がある場合において、その同意が第二条の規定(附則第一条第三号に掲げる改正規定を除く。次項において同じ。)による改正後の同法(以下「新番号利用法」という。)第四十三条の二第一項の規定により読み替えて適用する新番号利用法第十九条第四号又は第十六号(新番号利用法第二十一条の二第五項(同条第七項において準用する場合を含む。)及び第四十五条の二第五項(同条第七項において準用する場合を含む。)において準用する場合を含む。次項において同じ。)の同意に相当するものであるときは、当該各規定の同意があったものとみなす。
2 施行日前になされた第二条の規定による改正前の行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「旧番号利用法」という。)第十九条第四号又は第十六号(旧番号利用法第二十一条の二第五項(同条第七項において準用する場合を含む。)及び第四十五条の二第五項(同条第七項において準用する場合を含む。)において準用する場合を含む。)の規定による本人の同意があるときは、それぞれ新番号利用法第四十三条の二第一項の規定により読み替えて適用する新番号利用法第十九条第四号又は第十六号の規定による当該本人の法定代理人の同意があったものとみなす。
第十条 新番号利用法第三十四条の規定は、施行日以後に行われた新番号利用法に違反する行為について適用し、施行日前に行われた旧番号利用法に違反する行為については、なお従前の例による。
(医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律の一部改正に伴う経過措置)
第十一条 第三条の規定(附則第一条第三号に掲げる改正規定を除く。次項において同じ。)による改正後の医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律(以下「新匿名加工医療情報等法」という。)第五十六条の二の規定により読み替えて適用する新匿名加工医療情報等法第五十二条第一項各号に掲げる事項若しくは同条第二項に規定する事項又は新匿名加工医療情報等法第五十八条において読み替えて準用する新匿名加工医療情報等法第五十六条の二の規定により読み替えて適用する新匿名加工医療情報等法第五十七条第一項各号に掲げる事項若しくは同条第二項に規定する事項に相当する事項について、施行日前に、本人の法定代理人に通知されているときは、当該通知は、当該各規定により行われたものとみなす。
2 施行日前に第三条の規定による改正前の医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律(以下「旧匿名加工医療情報等法」という。)第五十二条第一項若しくは第二項又は第五十七条第一項若しくは第二項の規定による本人への通知がなされているときは、それぞれ新匿名加工医療情報等法第五十六条の二の規定により読み替えて適用する新匿名加工医療情報等法第五十二条第一項若しくは第二項又は新匿名加工医療情報等法第五十八条において読み替えて準用する新匿名加工医療情報等法第五十六条の二の規定により読み替えて適用する新匿名加工医療情報等法第五十七条第一項若しくは第二項の規定による当該本人の法定代理人への通知があったものとみなす。
第十二条 新匿名加工医療情報等法第六十一条(第九項を除く。)の規定は、施行日以後に行われた新匿名加工医療情報等法に違反する行為について適用し、施行日前に行われた旧匿名加工医療情報等法に違反する行為については、なお従前の例による。
(政令への委任)
第十三条 附則第二条から前条までに定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。
(検討)
第十四条 政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
(統計法の一部改正)
第十五条 統計法(平成十九年法律第五十三号)の一部を次のように改正する。
第五十二条第四号中「第二条第九項」を「第二条第十項」に改める。
(個人情報の保護に関する法律等の一部を改正する法律の一部改正)
第十六条 個人情報の保護に関する法律等の一部を改正する法律(令和二年法律第四十四号)の一部を次のように改正する。
附則第十条中「ごとに」を「を目途として」に改める。
(民法等の一部を改正する法律の施行に伴う関係法律の整備等に関する法律の一部改正)
第十七条 民法等の一部を改正する法律の施行に伴う関係法律の整備等に関する法律の一部を次のように改正する。
第二十五条第三号中「(平成十五年法律第五十七号)」の下に「第三十七条第三項及び」を加える。
理 由
個人情報の有用性に配慮しつつ、その一層の保護を図るため、身体の一部の特徴に係る情報が含まれる個人情報等について違法な取扱い等がなくとも本人による利用停止等の請求を可能とするとともに、個人情報の違法な取扱い等によって財産上の利益を得た場合に個人情報保護委員会が課徴金納付を命ずる制度を設けるほか、統計等の作成を行う第三者に個人情報を提供する場合等について本人の同意を不要とする等の措置を講ずる必要がある。これが、この法律案を提出する理由である。