第一章　総則

（目的）

第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんが み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護 に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情 報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の 権利利益を保護することを目的とする。

（定義）

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる 氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合 することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

2. この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲 げるものをいう。
   1. 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
   2. 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成した ものとして政令で定めるもの

3. この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
   1. 国の機関
   2. 地方公共団体
   3. 独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成十五年法律第五十九号）第二条第一項に規定する独立行政法人等をいう。以下同じ。
   4. 地方独立行政法人（地方独立行政法人法（平成十五年法律第百十八号）第二条第一項に規定する地方独立行政法人をいう。以下同じ。
   5. その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
4. この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
5. この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、 その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
6. この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

第二章　国及び地方公共団体の責務等

（国の責務）

第四条　国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。

（地方公共団体の責務）

第五条　地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情 報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。

（法制上の措置等）

第六条　政府は、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特に その適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講 じられるよう必要な法制上の措置その他の措置を講ずるものとする。

第三章　個人情報の保護に関する施策等

第一節　個人情報の保護に関する基本方針

第七条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に 関する基本方針（以下「基本方針」という。）を定めなければならない。

2. 基本方針は、次に掲げる事項について定めるものとする。
   1. 個人情報の保護に関する施策の推進に関する基本的な方向
   2. 国が講ずべき個人情報の保護のための措置に関する事項
   3. 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
   4. 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
   5. 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
   6. 個人情報取扱事業者及び第四十条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保 護のための措置に関する基本的な事項
   7. 個人情報の取扱いに関する苦情の円滑な処理に関する事項
   8. その他個人情報の保護に関する施策の推進に関する重要事項
3. 内閣総理大臣は、消費者委員会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなけれ ばならない。
4. 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなけれ ばならない。
5. 前二項の規定は、基本方針の変更について準用する。

第二節　国の施策

（地方公共団体等への支援）

第八条　国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等 が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき 措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。

（苦情処理のための措置）

第九条　国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るた めに必要な措置を講ずるものとする。

（個人情報の適正な取扱いを確保するための措置）

第十条　国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人 情報の適正な取扱いを確保するために必要な措置を講ずるものとする。

第三節　地方公共団体の施策

（地方公共団体等が保有する個人情報の保護）

第十一条　地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、そ の保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。

2. 地方公共団体は、その設立に係る地方独立行政法人について、その性格及び業務内容に応じ、その保 有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。

（区域内の事業者等への支援）

第十二条　地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対 する支援に必要な措置を講ずるよう努めなければならない。

（苦情の処理のあっせん等）

第十三条　地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に 処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならな い。

第四節　国及び地方公共団体の協力

第十四条　国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。

第四章　個人情報取扱事業者の義務等

第一節　個人情報取扱事業者の義務

（利用目的の特定）

第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」 という。）をできる限り特定しなければならない。

2. 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると 合理的に認められる範囲を超えて行ってはならない。

（利用目的による制限）

第十六条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用 目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2. 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに 伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の 利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3. 前二項の規定は、次に掲げる場合については、適用しない。
   1. 法令に基づく場合
   2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難で あるとき。
   3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を 得ることが困難であるとき。
   4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対し て協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすお それがあるとき。

（適正な取得）

第十七条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

（取得に際しての利用目的の通知等）

第十八条　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している 場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2. 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書 その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作ら れる記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他 本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その 利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要があ る場合は、この限りでない。
3. 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、 又は公表しなければならない。
4. 前三項の規定は、次に掲げる場合については、適用しない。
   1. 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
   2. 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
   3. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
   4. 取得の状況からみて利用目的が明らかであると認められる場合

（データ内容の正確性の確保）

第十九条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新 の内容に保つよう努めなければならない。

（安全管理措置）

第二十条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人 データの安全管理のために必要かつ適切な措置を講じなければならない。

（従業者の監督）

第二十一条　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人デ ータの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

（委託先の監督）

第二十二条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱い を委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行 わなければならない。

（第三者提供の制限）

第二十三条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個 人データを第三者に提供してはならない。

2. 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識 別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項につい て、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にか かわらず、当該個人データを第三者に提供することができる。
   1. 第三者への提供を利用目的とすること。
   2. 第三者に提供される個人データの項目
   3. 第三者への提供の手段又は方法
   4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3. 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容につい て、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4. 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第 三者に該当しないものとする。
   1. 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部 を委託する場合
   2. 合併その他の事由による事業の承継に伴って個人データが提供される場合
   3. 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される 個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理に ついて責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り 得る状態に置いているとき。
5. 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について 責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通 知し、又は本人が容易に知り得る状態に置かなければならない。

（保有個人データに関する事項の公表等）

第二十四条　個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る 状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。

2. 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求めら れたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに 該当する場合は、この限りでない。
   　

   1. 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
   2. 第十八条第四項第一号から第三号までに該当する場合
3. 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の 決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

（開示）

第二十五条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示（当該本人 が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。）を求めら れたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければ ならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開 示しないことができる。

2. 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示 しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3. 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別 される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有 個人データについては、同項の規定は、適用しない。

（訂正等）

第二十六条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でな いという理由によって当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂正等」 という。）を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定め られている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結 果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

2. 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部に ついて訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、そ の旨（訂正等を行ったときは、その内容を含む。）を通知しなければならない。

（利用停止等）

第二十七条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定 に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理 由によって、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。） を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要 な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個 人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、 本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

2. 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十三条第一項の規定 に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止 を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人デ ータの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停 止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権 利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3. 個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部につい て利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づ き求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三 者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなら ない。

（理由の説明）

第二十八条　個人情報取扱事業者は、第二十四条第三項、第二十五条第二項、第二十六条第二項又は前条 第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知 する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう 努めなければならない。

（開示等の求めに応じる手続）

第二十九条　個人情報取扱事業者は、第二十四条第二項、第二十五条第一項、第二十六条第一項又は第二 十七条第一項若しくは第二項の規定による求め（以下この条において「開示等の求め」という。）に関 し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、 本人は、当該方法に従って、開示等の求めを行わなければならない。

2. 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定す るに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易 かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その 他本人の利便を考慮した適切な措置をとらなければならない。
3. 開示等の求めは、政令で定めるところにより、代理人によってすることができる。
4. 個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本 人に過重な負担を課するものとならないよう配慮しなければならない。

（手数料）

第三十条　個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は第二十五条第一項 の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。

2. 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると 認められる範囲内において、その手数料の額を定めなければならない。

（個人情報取扱事業者による苦情の処理）

第三十一条　個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなけれ ばならない。

2. 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

（報告の徴収）

第三十二条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人 情報の取扱いに関し報告をさせることができる。

（助言）

第三十三条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人 情報の取扱いに関し必要な助言をすることができる。

（勧告及び命令）

第三十四条　主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条ま で又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認め るときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措 置をとるべき旨を勧告することができる。

2. 主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係 る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該 個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。
3. 主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から 第二十二条まで又は第二十三条第一項の規定に違反した場合において個人の重大な権利利益を害する事 実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反 行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。

（主務大臣の権限の行使の制限）

第三十五条　主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命 令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。

2. 前項の規定の趣旨に照らし、主務大臣は、個人情報取扱事業者が第五十条第一項各号に掲げる者（そ れぞれ当該各号に定める目的で個人情報を取り扱う場合に限る。）に対して個人情報を提供する行為に ついては、その権限を行使しないものとする。

（主務大臣）

第三十六条　この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の 規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのう ち特定のものについて、特定の大臣又は国家公安委員会（以下「大臣等」という。）を主務大臣に指定 することができる。

1. 個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大 臣（船員の雇用管理に関するものについては、国土交通大臣）及び当該個人情報取扱事業者が行う事業を所管する大臣等
2. 個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該 個人情報取扱事業者が行う事業を所管する大臣等
2. 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければな らない。
3. 各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならな い。

第二節　民間団体による個人情報の保護の推進

（認定）

第三十七条　個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おう とする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。） は、主務大臣の認定を受けることができる。

1. 業務の対象となる個人情報取扱事業者（以下「対象事業者」という。）の個人情報の取扱いに関す る第四十二条の規定による苦情の処理
2. 個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
3. 前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務
2. 前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。
3. 主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。

（欠格条項）

第三十八条　次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。

1. この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日か ら二年を経過しない者
2. 第四十八条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者
3. その業務を行う役員（法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を 含む。以下この条において同じ。）のうちに、次のいずれかに該当する者があるもの
• イ　禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執 行を受けることがなくなった日から二年を経過しない者
• ロ　第四十八条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内 にその役員であった者でその取消しの日から二年を経過しない者

（認定の基準）

第三十九条　主務大臣は、第三十七条第一項の認定の申請が次の各号のいずれにも適合していると認める ときでなければ、その認定をしてはならない。

1. 第三十七条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められて いるものであること。
2. 第三十七条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎 を有するものであること。
3. 第三十七条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによっ て同項各号に掲げる業務が不公正になるおそれがないものであること。

（廃止の届出）

第四十条　第三十七条第一項の認定を受けた者（以下「認定個人情報保護団体」という。）は、その認定 に係る業務（以下「認定業務」という。）を廃止しようとするときは、政令で定めるところにより、あ らかじめ、その旨を主務大臣に届け出なければならない。

2. 主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。

（対象事業者）

第四十一条　認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又 は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。

2. 認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。

（苦情の処理）

第四十二条　認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について 解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査す るとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならな い。

2. 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対 象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
3. 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がない のに、これを拒んではならない。

（個人情報保護指針）

第四十三条　認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的 の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨 に沿った指針（以下「個人情報保護指針」という。）を作成し、公表するよう努めなければならない。

2. 認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、 当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならな い。

（目的外利用の禁止)

第四十四条　認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目 的以外に利用してはならない。

（名称の使用制限）

第四十五条　認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい 名称を用いてはならない。

（報告の徴収）

第四十六条　主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認 定業務に関し報告をさせることができる。

（命令）

第四十七条　主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認 定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることが できる。

（認定の取消し）

第四十八条　主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取 り消すことができる。

1. 第三十八条第一号又は第三号に該当するに至ったとき。
2. 第三十九条各号のいずれかに適合しなくなったとき。
3. 第四十四条の規定に違反したとき。
4. 前条の命令に従わないとき。
5. 不正の手段により第三十七条第一項の認定を受けたとき。
2. 主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。

（主務大臣）

第四十九条　この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の 規定の円滑な実施のため必要があると認める場合は、第三十七条第一項の認定を受けようとする者のう ち特定のものについて、特定の大臣等を主務大臣に指定することができる。

1. 設立について許可又は認可を受けている認定個人情報保護団体（第三十七条第一項の認定を受けよ うとする者を含む。次号において同じ。）については、その設立の許可又は認可をした大臣等
2. 前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業 者が行う事業を所管する大臣等

2. 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。

第五章　雑則

（適用除外）

第五十条　個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。

2. 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせる こと（これに基づいて意見又は見解を述べることを含む。）をいう。
3. 第一項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個 人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自 ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

（地方公共団体が処理する事務）

第五十一条　この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共 団体の長その他の執行機関が行うこととすることができる。

（権限又は事務の委任）

第五十二条　この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その 所属の職員に委任することができる。

（施行の状況の公表）

第五十三条　内閣総理大臣は、関係する行政機関（法律の規定に基づき内閣に置かれる機関（内閣府を除 く。）及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法（平成十一年法律第八十九 号）第四十九条第一項及び第二項に規定する機関並びに国家行政組織法（昭和二十三年法律第百二十号） 第三条第二項に規定する機関をいう。次条において同じ。）の長に対し、この法律の施行の状況につい て報告を求めることができる。

2. 内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。

（連絡及び協力）

第五十四条　内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協 力しなければならない。

（政令への委任）

第五十五条　この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。

第六章　罰則

第五十六条　第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万 円以下の罰金に処する。

第五十七条　第三十二条又は第四十六条の規定による報告をせず、又は虚偽の報告をした者は、三十万円 以下の罰金に処する。

第五十八条　法人（法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同 じ。）の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関し て、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金 刑を科する。

2. 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為 につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の 規定を準用する。

第五十九条　次の各号のいずれかに該当する者は、十万円以下の過料に処する。