{参考}
個人情報の保護に関する法律
(平成一五年五月三十日法律第五十七号)
第四章 個人情報取扱事業者の義務等
第一節 個人情報取扱事業者の義務
(利用目的の特定)
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的
(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と
相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定によ
り特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱っては
ならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者か
ら事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の
同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲
を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。 一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の
同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合
であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事
務を遂行することに対して協力する必要がある場合であって、本人の同意を
得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第十七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得しては
ならない。
(取得に際しての利用目的の通知等)
第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目
的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又
は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結
することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知
覚によっては認識することができない方式で作られる記録を含む。以下この項
において同じ。)に記載された当該本人の個人情報を取得する場合その他本人
から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、
本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身
体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的に
ついて、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、
身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業
者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協
力する必要がある場合であって、利用目的を本人に通知し、又は公表するこ
とにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保)
第十九条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人デー
タを正確かつ最新の内容に保つよう努めなければならない。
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の
防止その他の個人データの安全管理のために必要かつ適切な措置を講じなけれ
ばならない。
(従業者の監督)
第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっ
ては、当該個人データの安全管理が図られるよう、当該従業者に対する必要か
つ適切な監督を行わなければならない。
(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場
合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を
受けた者に対する必要かつ適切な監督を行わなければならない。
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同
意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の
同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合
であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事
務を遂行することに対して協力する必要がある場合であって、本人の同意を
得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求
めに応じて当該本人が識別される個人データの第三者への提供を停止すること
としている場合であって、次に掲げる事項について、あらかじめ、本人に通知
し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわ
らず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の手段又は方法
四 本人の求めに応じて当該本人が識別される個人データの第三 者への提供を停止すること。
3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合
は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知
り得る状態に置かなければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規
定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データ
の取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並
びに共同して利用される個人データの項目、共同して利用する者の範囲、利
用する者の利用目的及び当該個人データの管理について責任を有する者の氏
名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得
る状態に置いているとき。
5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個
人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、
変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得
る状態に置かなければならない。
(保有個人データに関する事項の公表等)
第二十四条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、
本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に
置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 すべての保有個人データの利用目的(第十八条第四項第一号から第三号ま
でに該当する場合を除く。)
三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二
項の規定による求めに応じる手続(第三十条第二項の規定により手数料の額
を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し
必要な事項として政令で定めるもの
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの
利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しな
ければならない。ただし、次の各号のいずれかに該当する場合は、この限りで
ない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明ら
かな場合 二 第十八条第四項第一号から第三号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利
用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を
通知しなければならない。
(開示)
第二十五条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データ
の開示(当該本人が識別される保有個人データが存在しないときにその旨を知
らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定
める方法により、遅滞なく、当該保有個人データを開示しなければならない。
ただし、開示することにより次の各号のいずれかに該当する場合は、その全部
又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあ
る場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれ
がある場合
三 他の法令に違反することとなる場合
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全
部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、
その旨を通知しなければならない。
3 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方
法により当該本人が識別される保有個人データの全部又は一部を開示すること
とされている場合には、当該全部又は一部の保有個人データについては、同項
の規定は、適用しない。
(訂正等)
第二十六条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データ
の内容が事実でないという理由によって当該保有個人データの内容の訂正、追
加又は削除(以下この条において「訂正等」という。)を求められた場合には、
その内容の訂正等に関して他の法令の規定により特別の手続が定められている
場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を
行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければ
ならない。
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内
容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨
の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、
その内容を含む。)を通知しなければならない。
(利用停止等)
第二十七条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データ
が第十六条の規定に違反して取り扱われているという理由又は第十七条の規定
に違反して取得されたものであるという理由によって、当該保有個人データの
利用の停止又は消去(以下この条において「利用停止等」という。)を求めら
れた場合であって、その求めに理由があることが判明したときは、違反を是正
するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わ
なければならない。ただし、当該保有個人データの利用停止等に多額の費用を
要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利
利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでな
い。
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが
第二十三条第一項の規定に違反して第三者に提供されているという理由によっ
て、当該保有個人データの第三者への提供の停止を求められた場合であって、
その求めに理由があることが判明したときは、遅滞なく、当該保有個人データ
の第三者への提供を停止しなければならない。ただし、当該保有個人データの
第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停
止することが困難な場合であって、本人の権利利益を保護するため必要なこれ
に代わるべき措置をとるときは、この限りでない。
3 個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの
全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わ
ない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データ
の全部若しくは一部について第三者への提供を停止したとき若しくは第三者へ
の提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を
通知しなければならない。
(理由の説明)
第二十八条 個人情報取扱事業者は、第二十四条第三項、第二十五条第二項、第二十六
条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一
部について、その措置をとらない旨を通知する場合又はその措置と異なる措置
をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなけれ
ばならない。
(開示等の求めに応じる手続)
第二十九条 個人情報取扱事業者は、第二十四条第二項、第二十五条第一項、第二十六
条第一項又は第二十七条第一項若しくは第二項の規定による求め(以下この条
において「開示等の求め」という。)に関し、政令で定めるところにより、そ
の求めを受け付ける方法を定めることができる。この場合において、本人は、
当該方法に従って、開示等の求めを行わなければならない。
2 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる
保有個人データを特定するに足りる事項の提示を求めることができる。この場
合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをす
ることができるよう、当該保有個人データの特定に資する情報の提供その他本
人の利便を考慮した適切な措置をとらなければならない。
3 開示等の求めは、政令で定めるところにより、代理人によってすることがで
きる。
4 個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を
定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しな
ければならない。
(手数料)
第三十条 個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は
第二十五条第一項の規定による開示を求められたときは、当該措置の実施に関
し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を
勘案して合理的であると認められる範囲内において、その手数料の額を定めな
ければならない。
(個人情報取扱事業者による苦情の処理)
第三十一条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な
処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努
めなければならない。
|
|