個人情報の保護に関する法律(平成十五年法律第五十七号)
Act on the Protection of Personal Information(Act No. 57 of 2003)
最終更新:平成二十一年法律第四十九号
Last Version: Act No. 49 of 2009
TOC
History

  • March 1, 2023
    • Last Version: Act No. 37 of 2021
    • Translated Date: November 5, 2021
    • Dictionary Version: 14.0
  • February 4, 2016
    • Last Version: Act No. 49 of 2009
    • Translated Date: February 21, 2014
    • Dictionary Version: 8.0
  • March 31, 2009
    • Last Version: Act No. 119 of 2003
    • Translated Date: April 1, 2009
    • Dictionary Version: 1.0

個人情報の保護に関する法律
Act on the Protection of Personal Information
平成十五年五月三十日法律第五十七号
Act No. 57 of May 30, 2003
目次
Table of Contents
第一章 総則(第一条-第三条)
Chapter I General Provisions(Articles 1 to 3)
第二章 国及び地方公共団体の責務等(第四条-第六条)
Chapter II Responsibilities of the National and Local Governments(Articles 4 to 6)
第三章 個人情報の保護に関する施策等
Chapter III Measures to Protect Personal Information
第一節 個人情報の保護に関する基本方針(第七条)
Section 1 Basic Privacy Policy(Article 7)
第二節 国の施策(第八条-第十条)
Section 2 National Measures(Articles 8 to 10)
第三節 地方公共団体の施策(第十一条-第十三条)
Section 3 Measures by Local Governments(Articles 11 to 13)
第四節 国及び地方公共団体の協力(第十四条)
Section 4 Cooperation between the National and Local Governments(Article 14)
第四章 個人情報取扱事業者の義務等
Chapter IV Obligations of Business Operators Handling Personal Information
第一節 個人情報取扱事業者の義務(第十五条-第三十六条)
Section 1 Obligations of Business Operators Handling Personal Information(Articles 15 to 36)
第二節 民間団体による個人情報の保護の推進(第三十七条-第四十九条)
Section 2 Furthering the Protection of Personal Information in the Private Sector(Articles 37 to 49)
第五章 雑則(第五十条-第五十五条)
Chapter V Miscellaneous Provisions(Articles 50 to 55)
第六章 罰則(第五十六条-第五十九条)
Chapter VI Penal Provisions(Articles 56 to 59)
附 則
Supplementary Provisions
第一章 総則
Chapter I General Provisions
(目的)
(Purpose)
第一条この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
Article 1This Act aims to protect the rights and interests of individuals while ensuring due consideration for the usefulness of Personal Information by setting forth basic principles for the proper handling of Personal Information, providing for the government's creation of a basic policy with regard to this, and establishing other particulars to serve as a basis for measures to protect Personal Information, as well as by clarifying the responsibilities, etc. of the national and local governments and establishing the obligations, etc. that enterprises handling Personal Information are required to fulfill, in light of the significantly expanded uses to which Personal Information is being put as our advanced information- and communication-based society evolves.
(定義)
(Definitions)
第二条この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
Article 2(1)The term "Personal Information" as used in this Act means information about a living individual which can be used to identify that specific individual due to its inclusion of a name, date of birth, or other such information(this includes any information that can be cross-checked against other information and thereby used to identify that specific individual).
この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
(2)The term "Database, etc. of Personal Information" as used in this Act means a set of information which includes Personal Information and which:
特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(i)is structurally organized to enable a computer to be used to retrieve certain Personal Information from it; or
前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
(ii)is other than as set forth in the preceding item, but that Cabinet Order provides for as being structurally organized to enable certain Personal Information to be easily retrieved from it.
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(3)The term "Business Operator Handling Personal Information" as used in this Act means a business operator that has a Database, etc. of Personal Information for business use;however, the following entities are excluded:
国の機関
(i)national government organs;
地方公共団体
(ii)local governments;
独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
(iii)incorporated administrative agencies and other such entities (meaning independent administrative agencies and other such entities as provided in Article 2, paragraph (1) of the Act on the Protection of Personal Information Held by Incorporated Administrative Agencies (Act No. 59 of 2003); the same applies hereinafter);
地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
(iv)local incorporated administrative agencies (meaning local incorporated administrative agencies as provided in Article 2, paragraph (1) of the Local Incorporated Administrative Agencies Act (Act No. 118 of 2003); the same applies hereinafter);
その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
(v)an entity that Cabinet Order provides for as being unlikely to harm the rights and interests of individuals, considering the volume of the Personal Information that they handle and their way of using it.
この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
(4)The term "Personal Data" as used in this Act means Personal Information compiled in a Database, etc. of Personal Information.
この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
(5)The term "Retained Personal Data" as used in this Act means Personal Data that an Business Operator Handling Personal Information has the authority to disclose; to correct, add, or delete content from; to discontinue use of; to erase; or to discontinue provision of to a third party, other than what Cabinet Order provides for as data whose known presence or absence from a database is likely to harm the public interest or other interests, and other than data that will be deleted within the period of less than one year that Cabinet Order specifies.
この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(6)The term "Person" as used in this Act in relation to Personal Information means the specific individual that the Personal Information can be used to identify.
(基本理念)
(Basic Principles)
第三条個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
Article 3The proper handling of Personal Information must be pursued in view of the fact that Personal Information should be handled cautiously based on the philosophy of respecting the autonomy of the individual.
第二章 国及び地方公共団体の責務等
Chapter II Responsibilities, etc. of the National and Local Governments
(国の責務)
(Responsibilities of the National Government)
第四条国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。
Article 4The National Government is responsible for comprehensively formulating and implementing the necessary measures to ensure the proper handling of Personal Information in conformity with the purport of this Act.
(地方公共団体の責務)
(Responsibilities of Local Governments)
第五条地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。
Article 5Local governments are responsible for formulating and implementing the necessary measures to ensure the proper handling of Personal Information based on the characteristics of the area, in conformity with the purport of this Act.
(法制上の措置等)
(Legislative Measures, etc.)
第六条政府は、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。
Article 6The Government must take the necessary legislative and other measures to ensure that there are special measures in place to protect Personal Information whose strict proper handling it is particularly necessary to ensure in order to further protect the rights and interests of individuals, in view of the nature of the Personal Information and the way in which it is used.
第三章 個人情報の保護に関する施策等
Chapter III Measures, etc. to Protect Personal Information
第一節 個人情報の保護に関する基本方針
Section 1 Basic Policy
第七条政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
Article 7(1)The Government must establish a basic policy (hereinafter referred to as a "Basic Policy"), so as to further comprehensive and integrated measures to protect Personal Information.
基本方針は、次に掲げる事項について定めるものとする。
(2)The Basic Policy must provide for the following matters:
個人情報の保護に関する施策の推進に関する基本的な方向
(i)the basic approach of action for furthering measures to protect Personal Information;
国が講ずべき個人情報の保護のための措置に関する事項
(ii)the matters of the measures to protect Personal Information that are to be taken by the national government;
地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
(iii)the basic matters of the measures to protect Personal Information that are to be taken by local governments;
独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
(iv)the basic matters of the measures to protect Personal Information that are to be taken by incorporated administrative agencies and other such entities;
地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
(v)the basic matters of the measures to protect Personal Information that are to be taken by local incorporated administrative agencies;
個人情報取扱事業者及び第四十条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項
(vi)the basic matters of the measures to protect Personal Information that are to be taken by Business Operator Handling Personal Information and by Accredited Personal Information Protection Organizations as provided in Article 40, paragraph (1);
個人情報の取扱いに関する苦情の円滑な処理に関する事項
(vii)matters about the smooth processing of complaints about the handling of Personal Information;
その他個人情報の保護に関する施策の推進に関する重要事項
(viii)other material matters for furthering measures to protect Personal Information.
内閣総理大臣は、消費者委員会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなければならない。
(3)The Prime Minister must hear the opinion of the Consumer Commission, prepare a draft Basic Policy, and ask for Cabinet approval.
内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
(4)Following the Cabinet approval under the preceding paragraph, the Prime Minister must disclose the Basic Policy to the public without delay.
前二項の規定は、基本方針の変更について準用する。
(5)The provisions of the preceding two paragraphs apply mutatis mutandis to amendments to the Basic Policy.
第二節 国の施策
Section 2 National Measures
(地方公共団体等への支援)
(Support for Local Governments, etc.)
第八条国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
Article 8The national government must take the necessary measures, such as providing information and formulating guidelines to ensure that enterprises and others properly and effectively implement the measures that they are required to take, in order to support the measures to protect Personal Information which local governments formulate and implement, and in order to support action that the people, enterprises, and others take to ensure the proper handling of Personal Information.
(苦情処理のための措置)
(Complaint Processing Measures)
第九条国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。
Article 9The national government must take the necessary measures to ensure the appropriate, prompt processing of complaints arising between enterprises and Persons with regard to the handling of Personal Information.
(個人情報の適正な取扱いを確保するための措置)
(Measures to Ensure Proper Handling of Personal Information)
第十条国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。
Article 10The national government must take the necessary measures to ensure the proper handling of Personal Information by Business Operator Handling Personal Information as provided in the next Chapter, by effecting an appropriate division of roles between the national and local governments.
第三節 地方公共団体の施策
Section 3 Local Government Measures
(地方公共団体等が保有する個人情報の保護)
(Protection of Personal Information Held by Local Governments, etc.)
第十一条地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
Article 11(1)A local government must endeavor to take the necessary measures to ensure the proper handling of the Personal Information it holds, in consideration of such factors as the nature of the Personal Information and the purpose, etc. for which it holds that Personal Information.
地方公共団体は、その設立に係る地方独立行政法人について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
(2)A local government must endeavor to take the necessary measures to ensure the proper handling of Personal Information that is held by the local incorporated administrative agencies it has established, in accordance with the nature of the agency and the content of its operations.
(区域内の事業者等への支援)
(Support for Area Enterprises, etc.)
第十二条地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。
Article 12A local government must endeavor to take the necessary measures to support enterprises and residents within its territory so as to ensure the proper handling of Personal Information.
(苦情の処理のあっせん等)
(Mediation, etc. for Complaint Processing)
第十三条地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。
Article 13A local government must endeavor to provide mediation for complaint processing and take other necessary measures to ensure that any complaint arising between an enterprise and a Person with regard to the handling of Personal Information is handled appropriately and promptly.
第四節 国及び地方公共団体の協力
Section 4 Cooperation between the National and Local Governments
第十四条国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。
Article 14National and local governments must cooperate in taking measures to protect Personal Information.
第四章 個人情報取扱事業者の義務等
Chapter IV Obligations, etc. of Business Operators Handling Personal Data
第一節 個人情報取扱事業者の義務
Section 1 Obligations of Business Operators Handling Personal Data
(利用目的の特定)
(Specifying the Purpose of Use)
第十五条個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
Article 15(1)In handling Personal Information, the Business Operator Handling Personal Information must specify as precise as is possible about the purpose for which it uses that information (hereinafter referred to as the "Purpose of Use").
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(2)A Business Operator Handling Personal Information must not change the Purpose of Use beyond a scope that makes it reasonable to consider the Purpose of Use after the change to be appreciably related to what it was before the change.
(利用目的による制限)
(Restriction Due to Purpose of Use)
第十六条個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
Article 16(1)A Business Operator Handling Personal Information must not handle Personal Information beyond the scope necessary for achieving the Purpose of Use specified pursuant to the provisions of the preceding Article without in advance obtaining the Person's consent to do so.
個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
(2)If, due to a merger or other such circumstances, a Business Operator Handling Personal Information acquires Personal Information when succeeding to the business of another Business Operator Handling Personal Information, it must not handle that Personal Information beyond the scope necessary for achieving the pre-succession Purpose of Use for that Personal Information without in advance obtaining the Person's consent to do so.
前二項の規定は、次に掲げる場合については、適用しない。
(3)The provisions of the preceding two paragraphs do not apply in the following cases:
法令に基づく場合
(i)the enterprise handles the Personal Information outside its Purpose of Use based on laws and regulations;
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(ii)it is necessary for the enterprise to handle the Personal Information outside its Purpose of Use in order to protect the life, body, or property of an individual, and it is difficult to obtain the consent of the Person;
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(iii)there is a special need for the enterprise to handle the Personal Information outside its Purpose of Use in order to improve public health or promote healthy child development, and it is difficult to obtain the consent of the Person;
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(iv)it is necessary for the enterprise to handle the Personal Information outside its Purpose of Use in order to cooperate with a national government organ, local government, or person entrusted thereby with performing the functions prescribed by laws and regulations, and obtaining the consent of the Person is likely to interfere with the performance of those functions.
(適正な取得)
(Proper Acquisition)
第十七条個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
Article 17A Business Operator Handling Personal Information must not acquire Personal Information through deception or other wrongful means.
(取得に際しての利用目的の通知等)
(Notice, etc. of the Purpose of Use at the Time of Acquisition)
第十八条個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
Article 18(1)Unless the Purpose of Use has already been disclosed to the public, an Business Operator Handling Personal Information must promptly notify the Person of that Purpose of Use or disclose this to the public once it has acquired Personal Information.
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
(2)Notwithstanding the provisions of the preceding paragraph, a Business Operator Handling Personal Information must explicitly specify the Purpose of Use to the Person in advance if acquiring, as a result of concluding a contract with the Person, Personal Information about the Person which appears in a written contract or other document (this includes a record created in electronic form, magnetic form, or any other form that cannot be perceived with the human senses; hereinafter the same applies in this paragraph); or if acquiring, directly from the said Person , Personal Information about that Person which appears in a document; provided, however, that this does not apply if there is an urgent necessity to dispense with this requirement in order to protect the life, body or property of an individual.
個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
(3)If a Business Operator Handling Personal Information changes the Purpose of Use, it must notify Persons of the altered Purpose of Use or disclose this to the public.
前三項の規定は、次に掲げる場合については、適用しない。
(4)The provisions of the preceding three paragraphs do not apply in the following cases:
利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(i)notifying the Person of the Purpose of Use or disclosing this to the public is likely to harm the life, body, property, or other rights or interests of the Person or a third party;
利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(ii)notifying the Person of the Purpose of Use or disclosing this to the public is likely to harm the rights or legitimate interests of the Business Operator Handling Personal Information;
国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(iii)it is necessary for the enterprise to cooperate with a national government organ or a local government in performing the functions prescribed by laws and regulations, and notifying the Person of the Purpose of Use or disclosing this to the public is likely to interfere with the performance of those functions;
取得の状況からみて利用目的が明らかであると認められる場合
(iv)the Purpose of Use is considered to be clear, in light of the circumstances in which the Personal Information is acquired.
(データ内容の正確性の確保)
(Maintaining the Accuracy of Data)
第十九条個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
Article 19A Business Operator Handling Personal Information must endeavor to keep the content of Personal Data accurate and up to date, within the scope necessary for achieving the Purpose of Use.
(安全管理措置)
(Security Measures)
第二十条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
Article 20A Business Operator Handling Personal Information must take the necessary and appropriate measures to ensure the secure management of Personal Information, such as measures to prevent leakage, loss, or damage to the Personal Data it handles.
(従業者の監督)
(Supervision of Employees)
第二十一条個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
Article 21In having an employee handle Personal Data, a Business Operator Handling Personal Information must exercise the necessary and appropriate supervision over that employee to ensure the secure management of the Personal Data.
(委託先の監督)
(Supervision of Entrusted Persons)
第二十二条個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
Article 22If a Business Operator Handling Personal Information entrusts another business operator with all or part of the handling of Personal Data, it must exercise the necessary and appropriate supervision over the business operator it entrusts, so as to ensure the secure management of the Personal Data with whose handling it entrusts that business operator.
(第三者提供の制限)
(Restrictions on Provision to a Third Party)
第二十三条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
Article 23(1)A Business Operator Handling Personal Information must not provide a third party with Personal Data without in advance obtaining the Person's consent to do so, except in the following cases:
法令に基づく場合
(i)the enterprise provides the third party with Personal Data based on laws and regulations;
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(ii)it is necessary for the enterprise to provide the third party with the Personal Data in order to protect the life, body, or property of an individual, and it is difficult to obtain the consent of the Person;
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(iii)there is a special need for the enterprise to provide the third party with the Personal Data in order to improve public health or promote healthy child development, and it is difficult to obtain the consent of the Person;
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(iv)it is necessary for the enterprise to provide the third party with the Personal Data in order to cooperate with a national government organ, local government, or person entrusted thereby with performing the functions prescribed by laws and regulations, and obtaining the consent of the Person is likely to interfere with the performance of those functions.
個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
(2)Notwithstanding the provisions of the preceding paragraph, if a Business Operator Handling Personal Information agrees, at the request of a Person, to stop providing a third party with any Personal Data it provides to third parties which can be used to identify the Person, but then notifies the Person of the following information in advance or makes that information readily accessible to the Person in advance, the enterprise may provide that Personal Data to a third party:
第三者への提供を利用目的とすること。
(i)the fact that providing the data to a third party constitutes the Purpose of Use;
第三者に提供される個人データの項目
(ii)the items of the Personal Data it will provide to the third party;
第三者への提供の手段又は方法
(iii)the means or manner in which it will provide the data to a third party;
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(iv)the fact that it will stop providing Personal Data that can be used to identify the Person to a third party at the request of the Person.
個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(3)Before changing a particular set forth in item (ii) or (iii) of the preceding paragraph, the Business Operator Handling Personal Information must notify the Person of the matters of the change or make those details readily accessible to the Person.
次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
(4)In following the cases, the business operator being provided with the Personal Data must not deemed to be a third party as regards the application of the provisions of the preceding three paragraphs:
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(i)if the Business Operator Handling Personal Information entrusts with all or part of the handling of Personal Data within the scope necessary for achieving the Purpose of Use;
合併その他の事由による事業の承継に伴って個人データが提供される場合
(ii)if the Personal Data is provided when a business operator succeeds to the business of the enterprise due to a merger or other such circumstances;
個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
(iii)if specific business operators have joint use of the Personal Data and the enterprise notifies the Person of this in advance as well as notifying the Person of the items of the Personal Data of which the specific business operator have joint use, the extent of the joint users, the users' Purpose of Use, and the name of the business operator responsible for managing the Personal Data, or the enterprise makes the foregoing information readily accessible to the Person in advance.
個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(5)If a user's Purpose of Use or the name of the business operator responsible for managing the Personal Data provided for in item (iii) of the preceding paragraph changes, the Business Operator Handling Personal Information must notify the Person of the content of the change in advance or make the content readily accessible to the Person in advance.
(保有個人データに関する事項の公表等)
(Disclosure, etc. of Information about the Retained Personal Data)
第二十四条個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
Article 24(1)A Business Operator Handling Personal Information must make the following information about the Retained Personal Data accessible to Persons (making that information accessible includes providing answers without delay as requested by Persons):
当該個人情報取扱事業者の氏名又は名称
(i)the name of the Business Operator Handling Personal Information;
すべての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
(ii)the Purpose of Use of all Retained Personal Data (unless this falls under Article 18, paragraph (4), item (i) through (iii));
次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求めに応じる手続(第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
(iii)the procedures for dealing with requests under the provisions of the next paragraph; paragraph (1) of the next Article; Article 26, paragraph (1); or Article 27, paragraph (1) or paragraph (2) (including the amount of the fee, if one is set pursuant to the provisions of Article 30, paragraph (2));
前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
(iv)information other than as set forth in the preceding three items which is specified by Cabinet Order as needing to be made accessible in order to ensure the proper handling of Retained Personal Data.
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(2)If a Business Operator Handling Personal Information is requested by a Person to notify the Person of the Purpose of Use of the Retained Personal Data that can be used to identify the Person, the enterprise must notify the person of this without delay; provided, however, that this does not apply in a case falling under one of the following items:
前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(i)the Purpose of Use of the Retained Personal Data that can be used to identify the Person has been made clear pursuant to the provisions of the preceding paragraph;
第十八条第四項第一号から第三号までに該当する場合
(ii)a case falling under Article 18, paragraph (4), item (i) through (iii).
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(3)If a Business Operator Handling Personal Information decides not to notify the Person of the Purpose of Use of the Retained Personal Data as requested pursuant to the preceding paragraph, the enterprise must notify the Person of this without delay.
(開示)
(Disclosure)
第二十五条個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
Article 25(1)When a Business Operator Handling Personal Information is requested by a Person to disclose the Retained Personal Data that can be used to identify the Person (such disclosure includes informing the person that there is no Retained Personal Data that can be used to identify the Person; the same applies hereinafter), the enterprise must disclose the Retained Personal Data without delay using the means that Cabinet Order provides for; provided, however, that in a case falling under one of the following items, the enterprise may choose not to disclose all or part of the Retained Personal Data:
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(i)if disclosure is likely to harm the life, body, property, or other rights or interests of the Person or a third party;
当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(ii)if disclosure is likely to seriously interfere with the proper implementation of the business of the Business Operator Handling Personal Information;
他の法令に違反することとなる場合
(iii)if disclosure would violate any other law or regulation.
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(2)If a Business Operator Handling Personal Information decides not to disclose all or part of the Retained Personal Data as requested pursuant to the provisions of the preceding paragraph, the enterprise must notify the e Person of this without delay.
他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
(3)If, pursuant to the provisions of any other law or regulation, all or part of the Retained Personal Data that can be used to identify a Person is to be disclosed to the Person by a means equivalent to what is prescribed in the main clause of paragraph (1), the provisions of that paragraph do not apply to either the whole or the relevant part of the Retained Personal Data.
(訂正等)
(Correction, etc.)
第二十六条個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
Article 26(1)If a Business Operator Handling Personal Information is requested by an Person to correct, add, or delete Retained Personal Data that can be used to identify the Person on the grounds that the Retained Personal Data is not factual (such a correction, addition, or deletion is referred to as a "Correction, etc." hereinafter in this Article), unless another law or regulation specifies special procedures for such a Correction, etc. to the data, the enterprise must undertake the necessary investigations without delay within the scope that this is necessary for achieving the Purpose of Use, and, on the basis of the results, Correct the Retained Personal Data.
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(2)Once a Business Operator Handling Personal Information either Corrects all or part of the Retained Personal Data that it has been requested to Correct or decides not to make such a Correction, etc., the enterprise must notify the Person of this (and of the content of the Correction, etc., if made) without delay.
(利用停止等)
(Discontinuance of Personal Data, etc.)
第二十七条個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
Article 27(1)If a Business Operator Handling Personal Information is requested by a Person to discontinue using or delete Retained Personal Data that can be used to identify the Person on the grounds that the Retained Personal Data is being handled in violation of Article 16 or was acquired in violation of Article 17 (such an action is referred to hereinafter in this Article as " discontinuance, etc." of the data), and there are found to be grounds for that request, the enterprise must discontinuance of the relevant Retained Personal Data without delay to the extent necessary to redress the violation; provided, however, that this does not apply if the discontinuance, etc. of the relevant Retained Personal Data would require a costly expenditure or prove otherwise difficult, and the enterprise takes the necessary alternative measures to protect the rights and interests of the Person.
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十三条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(2)If a Business Operator Handling Personal Information is requested by a Person to discontinue providing a third party with Retained Personal Data that can be used to identify the Person on the grounds that the Retained Personal Data is being provided to the third party in violation of Article 23, paragraph (1), and there are found to be grounds for that request, the enterprise must discontinue providing the relevant Retained Personal Data to the third party without delay; provided, however, that this does not apply if to stop providing the third party with the relevant Retained Personal Data would require a costly expenditure or prove otherwise difficult, and the enterprise takes the necessary alternative measures to protect the rights and interests of the Person.
個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(3)Once a Business Operator Handling Personal Information either discontinues all or part of the Retained Personal Data that it has been requested to discontinue Using pursuant to paragraph (1) or decides not to discontinue the Use of it, it must notify the Person of this without delay; and once a Business Operator Handling Personal Information either discontinues providing a third party with all or part of the Retained Personal Data that it has been requested to discontinue providing pursuant to the preceding paragraph or decides not to discontinue providing the third party with that data, the enterprise must notify the Person of this without delay.
(理由の説明)
(Explanation of Reasons)
第二十八条個人情報取扱事業者は、第二十四条第三項、第二十五条第二項、第二十六条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
Article 28If, pursuant to the provisions of Article 24, paragraph (3); Article 25, paragraph (2); Article 26, paragraph (2); or paragraph (3) of the preceding Article, a Business Operator Handling Personal Information notifies a Person that has requested the enterprise to take measures that it will not take all or part of the measures requested of it or that it will take different measures, the enterprise must endeavor to explain its reasons for this to the Person.
(開示等の求めに応じる手続)
(Procedures for Dealing with Requests for Disclosure and Other Handling)
第二十九条個人情報取扱事業者は、第二十四条第二項、第二十五条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求め(以下この条において「開示等の求め」という。)に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
Article 29(1)A Business Operator Handling Personal Information may establish, as prescribed by Cabinet Order, how it will accept requests under the provisions of Article 24, paragraph (2); Article 25, paragraph (1); Article 26, paragraph (1); Article 27, paragraph (1) or paragraph (2) (hereinafter any such request is referred to as a "Request for Disclosure or Other Handling" in this Article). In such a case, a Person must Request Disclosure or Other Handling in that way.
個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
(2)A Business Operator Handling Personal Information may request a Person Requesting Disclosure or Other Handling to present sufficient information to identify the Retained Personal Data that would be subject to the disclosure or other handling. In such a case, the Business Operator Handling Personal Information must provide information to help the person identify the relevant Retained Personal Data or take other appropriate measures in consideration of the Person's convenience, so as to allow the Person to easily and accurately Request Disclosure or Other Handling.
開示等の求めは、政令で定めるところにより、代理人によってすることができる。
(3)A person may Request Disclosure or Other Handling through a representative, as prescribed by Cabinet Order.
個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(4)In establishing procedures for dealing with Requests for Disclosure and Other Handling pursuant to the preceding three paragraphs, a Business Operator Handling Personal Information must take care to ensure that the procedures do not impose an excessive burden on Persons.
(手数料)
(Fees)
第三十条個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は第二十五条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
Article 30(1)When a Business Operator Handling Personal Information is requested to notify a person of the Purpose of Use under the provisions of Article 24, paragraph (2) or to make disclosure under the provisions of Article 25, paragraph (1), it may collect a fee for taking the relevant measures.
個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
(2)If a Business Operator Handling Personal Information collects a fee pursuant to the provisions of the preceding paragraph, it must fix the amount of that fee within a scope that can be considered reasonable in consideration of actual costs.
(個人情報取扱事業者による苦情の処理)
(Processing of Complaints by Business Operator Handling Personal Information)
第三十一条個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
Article 31(1)A Business Operator Handling Personal Information must endeavor to process complaints about the handling of Personal Information appropriately and promptly.
個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(2)A Business Operator Handling Personal Information must endeavor to establish the necessary systems for achieving the purpose referred to in the preceding paragraph.
(報告の徴収)
(Collection of Reports)
第三十二条主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。
Article 32The competent minister may have a Business Operator Handling Personal Information report on the handling of Personal Information, to the extent that this is necessary for implementing the provisions of this Section.
(助言)
(Advice)
第三十三条主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。
Article 33The competent minister may advise a Business Operator Handling Personal Information on the handling of Personal Information, to the extent that this is necessary for implementing the provisions of this Section.
(勧告及び命令)
(Recommendations and Orders)
第三十四条主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条まで又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
Article 34(1)If a Business Operator Handling Personal Information violates one of the provisions of Article 16 through Article 18; Article 20 through Article 27; or Article 30, paragraph (2), and the competent minister finds it to be necessary to do so in order to protect the rights and interests of an individual, the minister may recommend the Business Operator Handling Personal Information to stop committing the violation and to take the necessary measures to correct the violation.
主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。
(2)If a Business Operator Handling Personal Information which is issued a recommendation under the provisions of the preceding paragraph does not take the measures as recommended, is without a legitimate reason for failing to do so, and the competent minister finds that serious harm to the rights and interests of individuals is imminent, the minister may order the Business Operator Handling Personal Information to take the measures as recommended.
主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで又は第二十三条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
(3)Notwithstanding the provisions of the preceding two paragraphs, if a Business Operator Handling Personal Information violates one of the provisions of Article 16; Article 17; Article 20 through Article 22; or Article 23, paragraph (1) and the competent minister finds it to be necessary for measures to be taken urgently due to the fact that serious harm is being done to the rights and interests of an individual, the minister may order the Business Operator Handling Personal Information to stop committing the violation and to take the necessary measures to rectify the violation.
(主務大臣の権限の行使の制限)
(Restrictions on the Exercise of Authority by the Competent Minister)
第三十五条主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
Article 35(1)In collecting a report from a Business Operator Handling Personal Information or in advising it, recommending it, or issuing an order to it pursuant to the provisions of one of the preceding three Articles, the competent minister must not interfere with the freedom of expression, academic freedom, freedom of religion, or freedom of political activity.
前項の規定の趣旨に照らし、主務大臣は、個人情報取扱事業者が第五十条第一項各号に掲げる者(それぞれ当該各号に定める目的で個人情報を取り扱う場合に限る。)に対して個人情報を提供する行為については、その権限を行使しないものとする。
(2)In light of the purport of the provisions of the preceding paragraph, the competent minister must not exercise the authority thereof over any action of a Business Operator Handling Personal Information through which the enterprise provides a person set forth in one of the items of Article 50, paragraph (1) with Personal Information (but only if that person will handle the Personal Information for the purpose prescribed in the relevant item).
(主務大臣)
(Competent Ministers)
第三十六条この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会(以下「大臣等」という。)を主務大臣に指定することができる。
Article 36(1)The competent ministers under this Section are as follows; provided, however, that the Prime Minister may designate a specific minister or the National Public Safety Commission (hereinafter referred to as "the Minister or the Commission") as the competent minister for specific handling of Personal Information that Business Operator Handling Personal Information carry out, if the Prime Minister finds this to be necessary for the smooth implementation of the provisions of this Section:
個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事業を所管する大臣等
(i)the competent ministers for the handling of Personal Information that Business Operator Handling Personal Information carry out in connection with workforce management are the Minister of Health, Labour and Welfare (or the Minister of Land, Infrastructure, Transport and Tourism, if the workforce management involves mariners) and the Minister or the Commission with jurisdiction over the business undertaking in which the Business Operator Handling Personal Information is engaged;
個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等
(ii)the competent minister for any handling of Personal Information by Business Operator Handling Personal Information other than as set forth in the preceding item is the Minister or the Commission with jurisdiction over the business undertaking in which the Business Operator Handling Personal Information is engaged.
内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。
(2)After designating the competent minister pursuant to the proviso of the preceding paragraph, the Prime Minister must issue public notice indicating this.
各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。
(3)Competent ministers must be in close communication with one another and cooperate in implementing the provisions of this Section.
第二節 民間団体による個人情報の保護の推進
Section 2 Furthering the Protection of Personal Information in the Private Sector
(認定)
(Accreditation)
第三十七条個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、主務大臣の認定を受けることができる。
Article 37(1)A corporation (or an association or foundation without legal personality that has made provisions for a representative or manager; the same applies in (b) of item (iii) of the next Article) seeking to perform services as set forth in one of the following items with the aim of ensuring that Business Operator Handling Personal Information handle that Personal Information properly may be accredited to do so by the competent minister:
業務の対象となる個人情報取扱事業者(以下「対象事業者」という。)の個人情報の取扱いに関する第四十二条の規定による苦情の処理
(i)complaint processing under the provisions of Article 42 for complaints about the handling of Personal Information by Business Operations Handling Personal Information which are covered by the corporation's services (hereinafter each such enterprise is referred to as a "Covered Enterprise");
個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
(ii)providing Covered Enterprises with information about things that contribute to ensuring the proper handling of Personal Information;
前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務
(iii)services beyond what is set forth in the preceding two items which are necessary for ensuring the proper handling of Personal Information by Covered Enterprises.
前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。
(2)A business operator seeking the accreditation referred to in the preceding paragraph must apply to the competent minister as prescribed by Cabinet Order.
主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。
(3)After granting an accreditation as referred to in paragraph (1), the competent minister must issue public notice indicating this.
(欠格条項)
(Conditions for Ineligibility)
第三十八条次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。
Article 38A person falling under one of the following items may not be accredited as referred to in paragraph (1) of the preceding Article:
この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
(i)a business operator that has been sentenced pursuant to any provision of this Act, if two years have not yet passed since the person finished serving the sentence or ceased to be subject to its enforcement;
第四十八条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者
(ii)a business operator whose accreditation has been revoked pursuant to the provisions of Article 48, paragraph (1), if two years have not yet passed since the revocation;
その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの
(iii)a business operator with an executive officer (or with a representative or manager, in an association or foundation without legal personality that has made provisions for a representative or manager; hereinafter the same applies in this Article) that falls under one of the following categories:
禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
(a)a business operator that has been sentenced to imprisonment or a heavier punishment or that has been sentenced pursuant to any provision of this Act, if two years have not yet passed since the business operator finished serving the sentence or ceased to be subject to its enforcement;
第四十八条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者
(b)a business operator that, during the 30 days before the revocation, was the officer of a corporation whose accreditation has been revoked pursuant to the provisions of Article 48, paragraph (1), if two years have not yet passed since the revocation.
(認定の基準)
(Accreditation Standards)
第三十九条主務大臣は、第三十七条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。
Article 39The competent minister must not grant a accreditation unless the minister finds the application for accreditation referred to in Article 37, paragraph (1) to conform to all of the following requirements:
第三十七条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。
(i)the applicant has established the necessary methods of business implementation to allow it to perform the services set forth in the items of Article 37, paragraph (1) properly and reliably;
第三十七条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。
(ii)the applicant's knowledge, capabilities, and financial base are sufficient to allow it to perform the services set forth in the items of Article 37, paragraph (1) properly and reliably;
第三十七条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。
(iii)if the applicant engages in business other than the services set forth in the items of Article 37, paragraph (1), its engagement in that business is unlikely to give rise to unfairness in the services set forth in the items of that paragraph.
(廃止の届出)
(Notification of Discontinuation)
第四十条第三十七条第一項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を主務大臣に届け出なければならない。
Article 40(1)Before discontinuing the services it has been certified to perform (hereinafter referred to as " Accredited Services"), a person accredited as referred to in Article 37, paragraph (1) (hereinafter referred to as a " Accredited Personal Information Protection Organization") must notify the competent minister of this as prescribed by Cabinet Order.
主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。
(2)Upon receiving notification under the provisions of the preceding paragraph, the competent minister must issue public notice indicating this.
(対象事業者)
(Covered Enterprises)
第四十一条認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。
Article 41(1)Each target business operator of an Accredited Personal Information Protection Organization shall be a business operator handling personal information that is a member of the Accredited Personal Information Protection Organization or a Business Operator Handling Personal Information that has agreed to become a target of the accredited businesses.
認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
(2)An Accredited Personal Information Protection Organization must disclose the names of its Covered Enterprises to the public.
(苦情の処理)
(Complaint Processing)
第四十二条認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
Article 42(1)If a Person or other party files for an Accredited Personal Information Protection Organization to resolve a complaint about the handling of Personal Information by a Covered Enterprise, in addition to complying with any request for a consultation about this, providing the Person or other party with the necessary advice, and investigating the circumstances to which the complaint pertains, the organization must notify the Covered Enterprise of the substance and content of the complaint and request that it resolve the complaint expeditiously.
認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
(2)If an Accredited Personal Information Protection Organization finds that it is necessary in connection with the resolution of a complaint under a filing referred to in the preceding paragraph, the organization may request the Covered Enterprise to provide a written or oral explanation or to submit materials.
対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。
(3)If a Covered Enterprise has had a request under the provisions of the preceding paragraph from an Accredited Personal Information Protection Organization, it must not refuse this request without a legitimate reason for doing so.
(個人情報保護指針)
(Personal Information Protection Guidelines)
第四十三条認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成し、公表するよう努めなければならない。
Article 43(1)In order to ensure the proper handling of Personal Information by its Covered Enterprises, an Accredited Personal Information Protection Organization must endeavor to create and disclose to the public guidelines, in keeping with the spirit of this Act, for how to specify the Purpose of Use, for measures to ensure secure management of information, for procedures to deal with Persons' requests, and for other such particulars (hereinafter referred to as "Personal Information Protection Guidelines").
認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
(2)After disclosing Personal Information Protection Guidelines to the public pursuant to the provisions of the preceding paragraph, an Accredited Personal Information Protection Organization must endeavor to guide, recommend, and take other necessary measures to cause its Covered Enterprises to observe the Personal Information Protection Guidelines.
(目的外利用の禁止)
(Prohibition of use outside the purpose)
第四十四条認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
Article 44It is prohibited for an Accredited Personal Information Protection Organization to use information acquired in the course of Accredited Services for purposes other than the Accredited Services use for which the information is provided.
(名称の使用制限)
(Restriction on Name Use)
第四十五条認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。
Article 45A business operator that is not an Accredited Personal Information Protection Organization must not use a name that refers to that business operator as an Accredited Personal Information Protection Organization, and must not use any other name that is confusingly similar to this.
(報告の徴収)
(Collection of Reports)
第四十六条主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
Article 46The competent minister may have an Accredited Personal Information Protection Organization provide a report on Certified Services, to the extent that this is necessary for implementing the provisions of this Section.
(命令)
(Orders)
第四十七条主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
Article 47The competent minister may order an Accredited Personal Information Protection Organization to improve the implementation methods for its Accredited Services, to amend its Personal Information Protection Guidelines, or to take any other necessary measures, to the extent that this is necessary for implementing the provisions of this Section.
(認定の取消し)
(Revocation of Accreditation)
第四十八条主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
Article 48(1)The competent minister may revoke the certification of a Certified Personal Information Protection Organization if:
第三十八条第一号又は第三号に該当するに至ったとき。
(i)it comes to fall under Article 38, item (i) or (iii);
第三十九条各号のいずれかに適合しなくなったとき。
(ii)it ceases to conform to a requirement referred to in one of the items of Article 39;
第四十四条の規定に違反したとき。
(iii)it violates the provisions of Article 44;
前条の命令に従わないとき。
(iv)it fails to comply with an order as referred to in the preceding Article;
不正の手段により第三十七条第一項の認定を受けたとき。
(v)it was accredited as referred to in Article 37, paragraph (1) by wrongful means.
主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
(2)After revoking an accreditation pursuant to the provisions of the preceding paragraph, the competent minister must issue public notice indicating this.
(主務大臣)
(Competent Ministers)
第四十九条この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、第三十七条第一項の認定を受けようとする者のうち特定のものについて、特定の大臣等を主務大臣に指定することができる。
Article 49(1)The competent ministers under this Section are as follows; provided, however, that the Prime Minister may designate a specific Minister etc. as the competent minister for specific business operators seeking to apply for the accreditation referred to in Article 37, paragraph (1), if the Prime Minister finds this to be necessary for the smooth implementation of the provisions of this Section:
設立について許可又は認可を受けている認定個人情報保護団体(第三十七条第一項の認定を受けようとする者を含む。次号において同じ。)については、その設立の許可又は認可をした大臣等
(i)the competent minister for any Accreditation Personal Information Protection Organization whose incorporation was subject to permission or authorization (including a business operator seeking the accreditation referred to in Article 37, paragraph (1); the same applies in the following item) is the Minister or the Commission that granted that permission or authorization;
前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者が行う事業を所管する大臣等
(ii)the competent ministers for an Accredited Personal Information Protection Organization other than as set forth in the preceding item are the Ministers or the Commission with jurisdiction over the business undertakings in which the Covered Enterprises of the Accredited Personal Information Protection Organization are engaged.
内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。
(2)After designating the competent minister pursuant to the proviso of the preceding paragraph, the Prime Minister must issue public notice indicating this.
第五章 雑則
Chapter V Miscellaneous Provisions
(適用除外)
(Exclusion from Application)
第五十条個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。
Article 50(1)The provisions of the preceding Chapter do not apply to a Business Operator Handling Personal Information which is set forth in one of the following items if all or part of the purpose for which it handles that Personal Information is the purpose prescribed in that item:
放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)報道の用に供する目的
(i)broadcasting organizations, newspapers, news services, and other journalistic organizations (this includes individuals who work in News Reporting):use in News Reporting;
著述を業として行う者著述の用に供する目的
(ii)a business operator in the business of creating literary works:use in the creation of literary works;
大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者学術研究の用に供する目的
(iii)a college, university, or other academic or research-oriented institution or organization, or any business operator belonging to the same:use in academics or research;
宗教団体宗教活動(これに付随する活動を含む。)の用に供する目的
(iv)a religious organization:use in a religious activity (this includes activities incidental thereto);
政治団体政治活動(これに付随する活動を含む。)の用に供する目的
(v)a political organization:use in a political activity (this includes activities incidental thereto).
前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
(2)The "News Reporting" prescribed in item (i) of the preceding paragraph means informing the general public of objective facts by presenting them as the truth (this includes stating an opinion or position based on such facts).
第一項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(3)A Business Operator Handling Personal Information as set forth in one of the items of paragraph (1) must, itself, endeavor to take the necessary and appropriate measures for securely managing Personal Data, to carry out the necessary and appropriate processing of complaints about the handling of Personal Information, and to take other necessary measures for ensuring the proper handling of Personal Information, and must also endeavor to disclose the content of those measures to the public.
(地方公共団体が処理する事務)
(Functions Handled by Local Governments)
第五十一条この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。
Article 51It may be decided, as prescribed by Cabinet Order, that the functions that this Act prescribes as being part of the authority of the competent minister are to be handled by the heads of local governments or by other executive agencies.
(権限又は事務の委任)
(Delegation of Authority or Functions)
第五十二条この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その所属の職員に委任することができる。
Article 52The competent minister may delegate things that are part of the minister's authority or affairs to ministry officials, as prescribed by Cabinet Order.
(施行の状況の公表)
(Disclosure of the Extent to Which This Act Is In Effect)
第五十三条内閣総理大臣は、関係する行政機関(法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関並びに国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関をいう。次条において同じ。)の長に対し、この法律の施行の状況について報告を求めることができる。
Article 53(1)The Prime Minister may collect reports from the heads of the relevant administrative organs (meaning the organs established in the Cabinet pursuant to law (other than the Cabinet Office), organs under the supervision of the Cabinet, the Cabinet Office, the Imperial Household Agency, the institutions prescribed in Article 49, paragraphs (1) and (2) of the Act for Establishment of the Cabinet Office (Act No. 89 of 1999), and the institutions prescribed in Article 3, paragraph (2) of the National Government Organization Act (Act No. 120 of 1948); the same applies in the following Article) about the extent to which this Act is in effect.
内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。
(2)Each year, the Prime Minister must compile the reports set forth in the preceding paragraph and disclose an overview of those reports to the public.
(連絡及び協力)
(Communication and Cooperation)
第五十四条内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協力しなければならない。
Article 54The Prime Minister and the heads of the administrative organs involved in putting this Act into effect must be in close communication and cooperate with one another.
(政令への委任)
(Delegation to Cabinet Order)
第五十五条この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。
Article 55Beyond what is prescribed in this Act, particulars that need to be provided for in order for this Act to be implemented are prescribed by Cabinet Order.
第六章 罰則
Chapter VI Penal Provisions
第五十六条第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。
Article 56A business operator violating an order under Article 34, paragraph (2) or (3) is subject to imprisonment with required labor for not more than six months or to a fine of not more than 300,000 yen.
第五十七条第三十二条又は第四十六条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。
Article 57A business operator failing to make a report under Article 32 or 46 or making a false report is subject to a fine of not more than 300,000 yen.
第五十八条法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
Article 58(1)If the representative of a corporation (or of an association or foundation without legal personality that has made provisions for a representative or manager; hereinafter the same applies in this paragraph) or the agent, employee, or other worker of a corporation or individual commits a violation referred to in one of the preceding two Articles in connection with the business of the corporation or individual, in addition to the offender being subject to punishment, the corporation or individual is subject to the fine prescribed in the relevant Article.
法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
(2)When the provisions of the preceding paragraph apply to an association or foundation without legal personality, the representative or manager of the association or foundation represents it in respect of procedural actions, and the provisions of laws on criminal proceedings that have a corporation as the defendant or suspect apply mutatis mutandis.
第五十九条次の各号のいずれかに該当する者は、十万円以下の過料に処する。
Article 59A business operator falling under one of the following items is subject to a non-criminal fine of not more than 100,000 yen:
第四十条第一項の規定による届出をせず、又は虚偽の届出をした者
(i)a business operator failing to make a notification under Article 40, paragraph (1) or making a false notification;
第四十五条の規定に違反した者
(ii)a business operator violating the provisions of Article 45.
附 則〔抄〕
Supplementary Provisions[Extract]
(施行期日)
(Effective Date)
第一条この法律は、公布の日から施行する。ただし、第四章から第六章まで及び附則第二条から第六条までの規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。
Article 1This Act comes into effect as of the day of its promulgation; provided, however, that the provisions of Chapter IV to Chapter VI and Article 2 to Article 6 of the Supplementary Provisions come into effect as of the date specified by Cabinet Order, which is to fall within two years from the day of promulgation.
(本人の同意に関する経過措置)
(Transitional Measures Concerning Consent of Persons)
第二条この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第十五条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、第十六条第一項又は第二項の同意があったものとみなす。
Article 2If a Person has consented to the handling of Personal Information prior to this Act coming into effect, and this is equivalent to consent for the Personal Information to be handled for a purpose other than the Purpose of Use specified pursuant to Article 15, paragraph (1), the Person is deemed to have given the consent referred to in Article 16, paragraph (1) or paragraph (2).
第三条この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が第二十三条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。
Article 3If an Person has consented to the handling of Personal Information prior to this Act coming into effect, and this is equivalent to consent for Personal Data to be provided to a third party as under Article 23, paragraph (1), the Person is deemed to have given the consent referred to in that paragraph.
(通知に関する経過措置)
(Transitional Measures Concerning Notices)
第四条第二十三条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同項の規定により行われたものとみなす。
Article 4If, prior to this Act coming into effect, a Person has been notified of the information of which the Person must be notified or of the information that must be made readily accessible to the Person pursuant to Article 23, paragraph (2), the Person is deemed to have been notified pursuant to the provisions of that paragraph.
第五条第二十三条第四項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。
Article 5If, prior to this Act coming into effect, a Person has been notified of the information of which the Person must be notified or of the information that must be made readily accessible to the Person pursuant to Article 23, paragraph (4), item (iii), the Person is deemed to have been notified pursuant to the provisions of that paragraph.
(名称の使用制限に関する経過措置)
(Transitional Measures Concerning the Restriction on Name Use)
第六条この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いている者については、第四十五条の規定は、同条の規定の施行後六月間は、適用しない。
Article 6The provisions of Article 45 do not apply for six months after the provisions of that Article come into effect, with respect to a person that is actually using a name that refers to that business operator as an Accredited Personal Information Protection Organization, or any other name that is confusingly similar to this, at the time that this Act comes into effect.