個人情報保護関連法案文

27日閣議決定された個人情報保護法案の全文は次の通り。

◇        ◇
個人情報の保護に関する法律


目次

第一章 総則(第一条・第二条)
第二章 基本原則(第三条−第八条)
第三章 国及び地方公共団体の責務等(第九条−第十一条)
第四章 個人情報の保護に関する施策等
 第一節 個人情報の保護に関する基本方針(第十二条)
 第二節 国の施策(第十三条−第十五条)
 第三節 地方公共団体の施策(第十六条−第十八条)
 第四節 国及び地方公共団体の協力(第十九条)
第五章 個人情報取扱事業者の義務等
 第一節 個人情報取扱事業者の義務(第二十条−第四十一条)
 第二節 民間団体による個人情報の保護の推進(第四十二条−第五十四条)
第六章 雑則(第五十五条−第六十条)
第七章 罰則(第六十一条−第六十四条) 附則

第一章 総則

(目的)
第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本原則及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
3 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人(独立行政法人通則法(平成十一年法律第百三号)第二条第一項に規定する独立行政法人をいう。以下同じ。)のうち別に法律で定めるもの
四 特殊法人(法律により直接に設立された法人又は特別の法律により特別の設立行為をもって設立された法人であって、総務省設置法(平成十一年法律第九十一号)第四条第十五号の規定の適用を受けるものをいう。以下同じ。)のうち別に法律で定めるもの
五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
4 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
5 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
6 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

第二章 基本原則
第三条 個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、個人情報を取り扱う者は、次条から第八条までに規定する基本原則にのっとり、個人情報の適正な取扱いに努めなければならない
(利用目的による制限)
第四条 個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な範囲内で取り扱われなければならない。
(適正な取得)
第五条 個人情報は、適法かつ適正な方法で取得されなければならない。
(正確性の確保)
第六条 個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保たれなければならない。
(安全性の確保)
第七条 個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理のために必要かつ適切な措置が講じられるよう配慮されなければならない。
(透明性の確保)
第八条 個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければならない

第三章 国及び地方公共団体の責務等
(国の責務)
第九条 国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。
(地方公共団体の責務)
第十条 地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。
(法制上の措置等)
第十一条 政府は、国の行政機関について、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。
2 政府は、独立行政法人及び特殊法人について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確保されるよう法制上の措置その他必要な措置を講ずるものとする。
3 政府は、前二項に定めるもののほか、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。

第四章 個人情報の保護に関する施策等
第一節 個人情報の保護に関する基本方針
第十二条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
2 基本方針は、次に掲げる事項について定めるものとする。
一 個人情報の保護に関する施策の推進に関する基本的な方向
二 国が講ずべき個人情報の保護のための措置に関する事項
三 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
四 独立行政法人及び特殊法人が講ずべき個人情報の保護のための措置に関する基本的な事項
五 個人情報取扱事業者及び第四十五条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項
六 個人情報の取扱いに関する苦情の円滑な処理に関する事項
七 その他個人情報の保護に関する施策の推進に関する重要事項
3 内閣総理大臣は、国民生活審議会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなければならない。
4 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
5 前二項の規定は、基本方針の変更について準用する。
第二節 国の施策
(地方公共団体等への支援)
第十三条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
(苦情処理のための措置)
第十四条 国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。
(個人情報の適正な取扱いを確保するための措置)
第十五条 国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。
第三節 地方公共団体の施策
(保有する個人情報の保護)
第十六条地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
(区域内の事業者等への支援)
第十七条 地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。
(苦情の処理のあっせん等)
第十八条 地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。
第四節 国及び地方公共団体の協力
第十九条国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。

第五章 個人情報取扱事業者の義務等
第一節 個人情報取扱事業者の義務
(利用目的の特定)
第二十条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第二十一条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
次に掲げる場合については、適用しない。
3 前二項の規定は、
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第二十二条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
(取得に際しての利用目的の通知等)
第二十三条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保)
第二十四条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
(安全管理措置)
第二十五条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第二十六条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第二十七条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(第三者提供の制限)
第二十八条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次の各号に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の手段又は方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4 次の各号に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(保有個人データに関する事項の公表等)
第二十九条 個人情報取扱事業者は、保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 すべての保有個人データの利用目的(第二十三条第四項第一号から第三号までに該当する場合を除く。)
三 次項、次条第一項、第三十一条第一項又は第三十二条第一項若しくは第二項の規定による求めに応じる手続(第三十五条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第二十三条第四項第一号から第三号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(開示)
第三十条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は適用しない。
(訂正等)
第三十一条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(利用停止等)
第三十二条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十一条の規定に違反して取り扱われているという理由又は第二十二条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十八条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(理由の説明)
第三十三条 個人情報取扱事業者は、第二十九条第三項、第三十条第二項、第三十一条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
(開示等の求めに応じる手続)
第三十四条 個人情報取扱事業者は、第二十九条第二項、第三十条第一項、第三十一条第一項又は第三十二条第一項若しくは第二項の規定に基づく求め(以下この条において「開示等の求め」という。)に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
2 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 開示等の求めは、政令で定めるところにより、代理人によってすることができる。
4 個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(手数料)
第三十五条個人情報取扱事業者は、第二十九条第二項の規定による利用目的の通知又は第三十条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
(個人情報取扱事業者による苦情の処理)
第三十六条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(報告の徴収)
第三十七条 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。
(助言)
第三十八条 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。
(勧告及び命令)
第三十九条 主務大臣は、個人情報取扱事業者が第二十一条から第二十三条まで、第二十五条から第三十二条まで又は第三十五条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2 主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。
3 主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第二十一条、第二十二条、第二十五条から第二十七条まで又は第二十八条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
(配慮義務)
第四十条 主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行う場合においては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げることがないよう配慮しなければならない。
(主務大臣)
第四十一条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会(以下「大臣等」という。)を主務大臣に指定することができる。
一 個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事業を所管する大臣等
二 個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等
2 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。
3 各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。
第二節 民間団体による個人情報の保護の推進
(認定)
第四十二条 個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次の各号に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、主務大臣の認定を受けることができる。
一 業務の対象となる個人情報取扱事業者(以下「対象事業者」という。)の個人情報の取扱いに関する第四十七条の規定による苦情の処理
二 個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三 前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務
2 前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。
3 主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。
(欠格条項)
第四十三条 次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。
一 この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
二 第五十三条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者
三 その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの
イ 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行こを受けることがなくなった日から二年を経過しない者
ロ 第五十三条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者(認定の基準)
第四十四条 主務大臣は、第四十二条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。
一 第四十二条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。
二 第四十二条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。
三 第四十二条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。
(廃止の届出)
第四十五条 第四十二条第一項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を主務大臣に届け出なければならない。
2 主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。
(対象事業者)
第四十六条 認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。
2 認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
(苦情の処理)
第四十七条 認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
2 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
3 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。
(個人情報保護指針)
第四十八条 認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成し、公表するよう努めなければならない。
2 認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
(目的外利用の禁止)
第四十九条 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
(名称の使用制限)
第五十条 認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。
(報告の徴収)
第五十一条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
(命令)
第五十二条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。

(認定の取消し)
第五十三条 主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
一 第四十三条第一号又は第三号に該当するに至ったとき。
二 第四十四条各号のいずれかに適合しなくなったとき。
三 第四十九条の規定に違反したとき。
四 前条の命令に従わないとき。
五 不正の手段により第四十二条第一項の認定を受けたとき。
2 主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
(主務大臣)
第五十四条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、第四十二条第一項の認定を受けようとする者のうち特定のものについて、特定の大臣等を主務大臣に指定することができる。
一 設立について許可又は認可を受けている認定個人情報保護団体(第四十二条第一項の認定を受けようとする者を含む。次号において同じ。)については、その設立の許可又は認可をした大臣等
二 前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者が行う事業を所管する大臣等
2 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。

第六章 雑則
(適用除外)
第五十五条個人情報取扱事業者のうち次の各号に掲げる者については、前章の規定は適用しない。ただし、次の各号に掲げる者が、専ら当該各号に掲げる目的以外の目的で個人情報を取り扱う場合は、この限りでない。
一 放送機関、新聞社、通信社その他の報道機関報道の用に供する目的
二 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者学術研究の用に供する目的
三 宗教団体宗教活動(これに付随する活動を含む。)の用に供する目的
四 政治団体政治活動(これに付随する活動を含む。)の用に供する目的
2 前項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(地方公共団体が処理する事務)
第五十六条 この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。
(権限又は事務の委任)
第五十七条 この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その所属の職員に委任することができる。
(施行の状況の公表)
第五十八条 内閣総理大臣は、関係する行政機関(法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関並びに国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関をいう。次条において同じ。)の長に対し、この法律の施行の状況について報告を求めることができる。
2 内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。
(連絡及び協力)
第五十九条内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協力しなければならない。
(政令への委任)
第六十条 この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。

第七章 罰則
第六十一条 第三十九条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。
第六十二条 第三十七条又は第五十一条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。
第六十三条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
第六十四条 次の各号のいずれかに該当する者は、十万円以下の過料に処する。
第四十五条第一項の規定による届出をせず、又は虚偽の届出をした者一二第五十条の規定に違反した者附則
(施行期日)
第一条 この法律は、公布の日から施行する。ただし、第五章から第七章まで及び附則第二条から第六条までの規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。
(本人の同意に関する経過措置)
第二条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第二十一条第一項又は第二項の同意があったものとみなす。
第三条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十八条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。
(通知に関する経過措置)
第四条 第二十八条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。
第五条 第二十八条第四項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。
(名称の使用制限に関する経過措置)
第六条 この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている者については、第五十条の規定は、同条の規定の施行後六月間は、適用しない。
(法制上の措置)
第七条 政府は、この法律の公布後一年を目途として、第十一条第一項及び第二項に規定する法制上の措置を講ずるものとする。
(内閣府設置法の一部改正)
第八条 内閣府設置法の一部を次のように改正する。
第四条 第三項中第六十一号を第六十二号とし、第三十九号から第六十号までを一号ずつ繰り下げ、第三十八号の次に次の一号を加える。
三十九個人情報の保護に関する基本方針(個人情報の保護に関する法律(平成十三年法律第号)第十二条第一項に規定するものをいう。)の作成及び推進に関すること。
第十一条中「第三項第六十号」を「第三項第六十一号」に改める。
 第三十八条第一項第一号中「並びに市民活動の促進」を「、市民活動の促進並びに個人情報の適正な取扱いの確保」に改め、同項第三号中「(昭和四十八年法律第百二十一号)」の下に「及び個人情報の保護に関する法律」を加える。
 附則第一条ただし書中「第四条第三項第五十三号」を「第四条第三項第五十四号」に改める。

理由
高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いに関し、基本原則及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定める必要がある。これが、この法律案を提出する理由である。