POKET 2015

１　目的（第1条関係）
　本法の目的について，個人情報の適切かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ，個人の権利利益を保護することを目的とすることとされた。

２　定義（第2条関係）

　定義に関し，
　（1）「個人情報」とは生存する個人に関する情報であって，次のいずれかに該当するものとされた（第1項）。
　①当該情報に含まれる氏名，生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ，それにより特定の個人を識別することができることとなるものを含む）
　②個人識別符号（第2項）が含まれるもの

　（2）「個人識別符号」とは次のいずれかに該当する文字，番号，記号その他の符号のうち，政令で定めるものとされた（第2項）。
　①特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字，番号，記号その他の符号であって，当該特定の個人を識別することができるもの
　②個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ，又は個人に発行されるカードその他の書類に記載され，若しくは電磁的方式により記録された文字，番号，記号その他の符号であって，その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ，又は記載され，若しくは記録されることにより，特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

　（3）「要配慮個人情報」とは本人の人種，信条，社会的身分，病歴，犯罪の経歴，犯罪により害を被った事実その他本人に対する不当な差別，偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報とされた（第3項）。

　（4）「個人情報データベース等」の定義について「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く」という文言を加え例外を設けることとされた（第4項）。

　（5）「個人情報取扱事業者」の定義から，その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者（改正前の本条第3項第5号）を削除することとされた（第5項）。

　（6）「匿名加工情報」とは特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって，当該個人情報を復元することができないようにしたものとされた（第9項）。

　（7）「匿名加工情報取扱事業者」とは特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるものを事業の用に供している者とされた（第10項）。

３　国及び地方公共団体の責務等（第6条関係）

　政府は，国際機関その他の国際的な枠組みへの協力を通じて，各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとされた。

 ４　個人情報取扱事業者の義務（第4章第1節関係）

　個人情報取扱事業者の義務として，次に掲げるものを規定することとされた。

　（1）利用目的の特定
　個人情報取扱事業者は，利用目的を変更する場合には，変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならないこととされた（第15条第2項）。

　（2）適切な取得
　個人情報取扱事業者は，一定の場合を除き，あらかじめ本人の同意を得ないで，要配慮個人情報を取得してはならないこととされた（第17条第2項）。

　（3）データ内容の正確性の確保等
　個人情報取扱事業者は，個人データを正確かつ最新の内容に保つとともに，利用する必要がなくなったときは，当該個人データを遅滞なく消去するよう努めなければならないこととされた（第19条）。

　（4）第三者提供の制限
　個人情報取扱事業者は，第三者に提供される要配慮個人情報を除く個人データについて，本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって個人情報保護委員会規則で定めるところにより，あらかじめ，本人に通知し，又は本人が容易に知りうる状態に置くとともに，個人情報保護委員会（後述の８）に届け出たときは，当該個人データを第三者に提供することができることとされた（第23条第2項）。

　（5）外国にある第三者への提供の制限
　個人情報取扱業者は，外国にある第三者に個人データを提供する場合には，一定の場合を除き，あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならないこととされた（第24条）。

　（6）第三者提供に係る記録の作成等
　個人情報取扱事業者は，個人データを第三者に提供したときは，個人情報保護委員会規則で定めるところにより，当該個人データを提供した年月日，当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならないこととされた（第25条）。

　（7）第三者提供を受ける際の確認等
　個人情報取扱事業者が，第三者から個人データの提供を受ける場合は，一定の事項に該当する場合を除き個人情報保護委員会規則で定めるところにより，当該第三者による当該個人データの取得の経緯等を確認し，当該個人データの提供を受けた年月日等の記録を作成し，一定の期間保存しなければならないこととされた（第26条）。

　（8）開示等
　①本人は，個人情報取扱事業者に対し，当該本人が識別される保有個人データの開示を請求することができるとするとともに（第28条第1項），個人データの内容が事実でないときは，内容の訂正，追加又は削除を請求することができることとされた（第29条第1項）。また，保有個人データが，利用目的の制限に係る規定（第16条）に違反して取り扱われているとき又は適切な取得に係る規定（第17条。４（2）を参照）に違反して取得されたものであるときは，当該保有データの利用の停止又は消去を請求することができることとされた（第30条）。
　②本人は，①による請求に係る訴えを提起しようとするときは，その訴えの被告となるべき者に対し，あらかじめ当該請求を行い，かつ，その到達した日から2週間を経過した後でなければ，その訴えを提起することができないこととされた（第34条）。

５　匿名加工取扱事業者等の義務（第4章第2節関係）

　（1）匿名加工情報の作成等
　個人情報取扱事業者は，匿名加工情報を作成するときは，特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い，当該個人情報を加工しなければならないこととするとともに，匿名加工情報を作成したときは，その作成に用いた個人情報から削除した記述等及び個人識別符号並びに当該加工の方法に関する情報の漏えいを防止するためにこれらの情報の安全管理のための措置を講じなければならないこととされた（第36条）。

　（2）匿名加工情報の提供
　匿名加工情報取扱事業者は，匿名加工情報を第三者に提供するときは，個人情報保護委員会規則で定めるところにより，あらかじめ，第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに，当該第三者に対して，当該提供に係る情報が匿名加工情報である旨を明示しなければならないこととされた（第37条）。

　（3）識別行為の禁止
　匿名加工情報取扱事業者は，匿名加工情報を取り扱うに当たっては，当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために，当該個人情報から削除された記述等若しくは個人識別符号若しくは上記1の規定により行われた加工の方法に関する情報を取得し，又は当該匿名加工情報を他の情報と照合してはならないこととされた（第38条）。

　（4）安全管理措置等
　匿名加工情報取扱事業者は，匿名加工情報の安全管理のために必要かつ適切な措置，匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ，かつ，当該措置の内容を公表するよう努めなければならないこととされた（第39条）。

６　監督（第4章第3節関係）

　個人情報取扱事業者の監督を行う主体を主務大臣から個人情報保護委員会に改めるとともに，匿名加工情報取扱事業者の監督についても個人情報保護委員会が行うこととし，次に掲げるものを規定することとされた。

　（1）報告及び立入り検査
　個人情報保護委員会は，個人情報取扱事業者又は匿名加工情報取扱事業者（以下，「個人情報取扱事業者等」という。）に対し，個人情報又は匿名加工情報（以下，「個人情報等」という。）の取扱いに関し，必要な報告若しくは資料の提出を求め，又はその職員に，当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ，帳簿書類その他の物件を検査させることができることとされた（第40条）。

　（2）指導及び助言
　個人情報保護委員会は，一定の場合において，個人情報取扱事業者等に対し，個人情報等の取扱いに関し必要な指導及び助言をすることができることとされた（第41条）。

　（3）権限の委任
　個人情報保護委員会は，緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため，必要があると認めるときは，政令で定めるところにより，1による立入検査等の権限を事業所管大臣に委任することができることとされた（第44条）。

　（4）事業所管大臣の請求
　事業所管大臣は，個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは，個人情報保護委員会に対し，この法律の規定に従い適当な措置をとるべきことができることとされた（第45条）

 ７　民間団体による個人情報の保護の促進（第4章第4節関係）

　認定個人情報保護団体の認定及び監督を行う主体を個人情報保護委員会に改め，認定個人情報保護委員会が作成する個人情報保護指針について規定することとされた。

８　個人情報保護委員会（第5章関係）
　内閣府設置法の規定に基づき，個人情報保護委員会を設置し（第59条），任務，所掌事務，組織等（第60条～第74条）について規定することとされた。

９　雑則（第6章関係）

　（1）適用範囲
　一定の規定について，国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が，外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても適用することとされた（第75条）。

　（2）外国執行当局への情報提供
　個人情報保護委員会は，この法律に相当する外国の法令を執行する外国の当局に対し，その職務の遂行に資すると認める情報の提供を行うことができることとされた（第78条）。

１０　罰則（第7章関係）

　個人情報取扱事業者（その者が法人である場合にはその役員，代表者又は管理人）若しくはその従業者又はこれらであった者が，その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し，又は盗用したときは，1年以下の懲役又は50万円以下の罰金に処することとされた（第83条）。

 １１　その他

　その他所要の規定の整備をすることとされた。

　この改正は，平成29年9月8日までに政令で定める日から施行される。ただし，１及び８の改正は，平成28年1月1日から，８の改正の一部は，平成29年5月30日までに政令で定める日より施行される（この８の改正の一部は，平成29年9月8日までに政令で定める日から施行される改正を前提としていることから，この改正は，平成29年5月30日までに政令で定める日より施行される）。