情報政策ユニットの文書フォーマットの統一 －　美しい情報政策ユニットを目指して　－

改正

個人情報保護法

の概要と

中小企業の実務への影響

01 改正法の

概要

と中小企業への

影響

02 個人情報の

定義

の

明確化

03

取得（利用目的）

に関する対応

04

情報管理

に関する対応

05

提供

に関する対応

06

公表・開示等

に関する対応

07

匿名加工情報

の取扱い

08

個人情報保護員会

の新設とその権限

01

改正法の

概要

と中小企業への

影響

全体像

このたびの個人情報保護法・マイナンバー法の改正案により、何がどのように改 正されるのか。 改正法の全体像について解説します。

METI 経済産業省

1. 何が改正されるのか?

4

■

個人情報保護法とマイナンバー法の両方

が改正される



施行日：公布の日から

2年を超えない範囲内で政令で定める

「個人情報保護員会」の設置は、

2016年1月1日



マイナンバー法は「番号法」

から「番号利用法」へ

01

全体像

個人情報保護法

マイナンバー法

（番号利用法）

個人情報の保護と有用性の確保に関す

る制度改正

○個人情報の取扱いの監視監督権限を

有する第三者機関（個人情報保護委

員会）を特定個人情報保護委員会を

改組して設置 など

特定個人情報（マイナンバー）の利用

の推進に係る制度改正

○金融分野、医療等分野等における利用

範囲の拡充

⇒預貯金口座への付番、特定健診・保

健指導に関する事務における利用、予

防接種に関する事務における接種履

歴の連携等

METI 経済産業省

■

個人情報保護法

の改正のポイント

2. 適切な規律の下で個人

情報等の有用性を確保

・匿名加工情報に関する加工方法や取扱い等の規定の整備 ・個人情報保護指針の作成や届出、公表等の規定の整備

3. 個人情報の保護を強化

（名簿屋対策）

・トレーサビリティの確保（第三者提供に係る確認及び記録の作成 義務） ・不正な利益を図る目的による個人情報データベース提供罪の新設

1. 個人情報の定義の明確

化

4. 個人情報保護委員会の

新設及びその権限

・個人情報保護委員会を新設し、現行の主務大臣の権限を一元 化

5. 個人情報の取扱いのグ

ローバル化

・国境を越えた適用と外国執行当局への情報提供に関する規定の 整備 ・外国にある第三者への個人データの提供に関する規定の整備 ・個人情報の定義の明確化（身体的特徴等が該当） ・要配慮個人情報（いわゆる機微情報）に関する規定の整備 ・本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等 厳格化 ・利用目的の変更を可能とする規定の整備 ・取扱う個人情報が5,000人以下の小規模取扱事業者への対応

6. その他改正事項

01

全体像

1. 何が改正されるのか?

METI 経済産業省



個人情報保護法の内容が改正されたもの



内容は改正されていないが、これまでは取扱う個人情報が

5,000人以下の小規模取扱事業者であるために適用されて

こなかった規制が、今後は適用されるもの

（次ページ）

改正なし

5,000件以下にも適用拡大

改正あり

全体像

01

全体像

1. 何が改正されるのか?

■

中小企業から見ると2つの影響

METI 経済産業省

現

行

法

（定義）

第2条

３ この法律において「

個人情報取扱事業者

」とは、個人情報データベース等を事業の用に供して

いる者をいう。

ただし、次に掲げる者を除く

。

一～四（略）

五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少な

いものとして政令で定める者

改

正

法

（定義）

第2条

５ この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供して

いる者をいう。ただし、次に掲げる者を除く。

一～四（略）

（削除）

政令 （個人情報取扱事業者から除外される者） 第二条 法第二条第三項第五号 の政令で定める者は、その事業の用に供する個人情報データベース等 を構成する個人情報によって識別される特定の個人の数（当該個人情報データベース等の全部又は一部 が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、 又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構 成する個人情報によって識別される特定の個人の数を除く。）の合計が過去六月以内のいずれの日 においても五千を超えない者とする。

01

全体像

1. 何が改正されるのか?

METI 経済産業省

■

定義（2条）

■

個人情報取扱事業者の義務



利用目的の特定（

15条）



利用目的による制限（

16条）



適正な取得（

17条）



取得に際しての利用目的の通知等（

18条）



データ内容の正確性の確保（

19条）



安全管理措置（

20条）



従業者の監督（

21条）



委託先の監督（

22条）



第三者提供の制限（

23条）



保有個人データに関する事項の公表等（

24条）



開示、内容の訂正、追加又は削除、利用の

停止、消去及び第三者への提供の停止等（

25～31条）

取得（利用目的）

内容の正確性

情報管理

第三者提供

公表・開示等

01

全体像

2.

現行

の個人情報保護法の全体像

02

個人情報の

定義

の

明確化

（１）個人情報の定義の明確化（改正点）

METI 経済産業省

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる

氏名、生年月日その他の記述等により特定の個人を識別することができるもの

（他の情報と容易に照合することができ、それにより特定の個人を識別すること

ができることとなるものを含む。）をいう。

指紋認識データや顔認識データ等 身体的特性に関する情報 旅券番号や端末ID等の個人又は 個人の使用する機器等に関する情報 人種、信条、社会的身分、病歴等の 機微（要配慮）情報

現行法の定義

グレーゾーンの内容や 個人の権利利益の侵 害の可能性、度合は 情報通信技術の進 展や個人の主観等複 数の要素により、時代 とともに変わる。どの個 人情報も一律で良い か。

個人情報及び要配慮個人情報となるかどうかを明確化

改正あり

02

定義

個人情報の定義の明確化

1. 背景と課題

METI 経済産業省 11 生存する個人に関する情報であって、当該情報に含まれる氏名、 生年月日その他の記述等により特定の個人を識別することができるもの 他の情報と容易に照合ができ、それにより特定の個人をすること 識別することができることとなるも の 特定の個人の身体の一部の 特徴を電子計算機のために 変換した符号 対象者ごとに異なるものとなるように 役務の利用、商品の購入又は書 類に付される符号 氏名 個人情報と紐づく 移動履歴や購買履歴 住所 生年 月日

個人情報

指紋認識 データ 顔認識 データ 旅券 番号 免許証 番号 事業者 次のいずれかに該当する文字、番号、記号その他の符号の うち政令で定めるものが含まれるもの 個人情報 事業者 （受領）

本人

取得 個人情報の定義の明確化 ＜例＞ ＜例＞ 第三者 提供 ・第三者提供の同意 _{・オプトアウト規定} ・共同利用 ・委託 特定の個人の身体的特徴を 変換したもの等は特定の個人を 識別する情報であるため、これを 個人情報として明確化する。

02

定義

個人情報の定義の明確化

2.「個人情報」を明確に

改正あり

METI 経済産業省

現

行

法

（定義）

第2条

「個人情報」とは、

生存する個人に関する情報

であって、

当該情報に含まれる氏名、生年月日

その他の記述等により特定の個人を識別

することができるもの（

他の情報と容易に照合

すること

ができ、それにより

特定の個人を識別

することができることとなるものを含む。）をいう。

改

正

法

（定義）

第2条

この法律において「個人情報」とは、

生存する個人に関する情報

であって、次の各号のいずれか

に該当するものをいう。

一 「

当該情報に含まれる氏名、生年月日その他の記述等

（文書、図画若しくは電磁的記録

（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができな

い方式をいう。次項第二号において同じ。）で作られる記録をいう。第十人条第二項におい

て同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された

一切の事項（個人識別符号を除く。）をいう。以下同じ。）

により特定の個人を識別

するこ

とができるもの（

他の情報と容易に照合

することができ、それにより

特定の個人を識別

すること

ができることとなるものを含む。）

二

個人識別符号が含まれるもの

「

個人識別符合

が含まれるもの」が「個人情報」として新たに類型化

02

定義

個人情報の定義の明確化

2.「個人情報」を明確に

改正あり

METI 経済産業省 （定義） 改正法第2条 （略） ２ この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、 記号その他の符号のうち、政令で定めるものをいう。 一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、 記号その他の符号であって、当該特定の個人を識別することができるもの 二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てら れ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により 記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発 行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記 録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別すること ができるもの

特定の個人の身体の一部の特徴

を電子計算機のために変換した

符号

対象者ごとに異なるものとなるよう

に役務の利用、商品の購入又は書類

に付される符号

指紋認識 データ 顔認識 データ 旅券 _番号 免許証 _番号

改正あり

個人情報の定義の明確化

2.「個人情報」を明確に

02

定義

■

「

個人識別符号

」とは？

METI 経済産業省

Ushijima & Partners

事業者 個人情報 事業者 （受領） 要配慮個人情報

本人

＜例＞人種、信条、社会的身分、病歴、犯罪被害情報、犯罪の経歴 個人情報 要配慮個人情報 本人同意を得ない取得を原則禁止 不当な差別又は偏見が生じないようにその取扱いについて特に配慮 を要する記述等 （定義） 改正法第2条 ３ この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経 歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じない ようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

改正あり

02

定義

個人情報の定義の明確化

3. 要配慮個人情報

本人の同意のない第三者提供の特例 （オプトアウト規定）から除外 ※後述

METI 経済産業省

■ 現行法でも、各省庁のガイドラインに規定あり



経済産業分野ガイドラインにおける規制

 雇用管理情報は「病歴、収入、家族関係等の機微に触れる情報」を含む 利用目的の通知・公表に関して「労働者等に労働者等に内容が確実に伝わる媒 体を選択する等の配慮を行う」 オプトアウトによる第三者提供、共同利用における「本人が容易に知りうる状 態」に関し、「本人が定期的に閲覧すると想定されるウェブサイトへの継続的な 掲載、事業所内において広く頒布されている刊行物における定期的な掲載等によ り、本人が確実に知り得ると想定される状態に置くものとする」  漏えいした場合に、「経済産業大臣（主務大臣）に、逐次速やかに報告を行うこ とが望ましい」とされている。



雇用管理分野ガイドラインでは「雇用管理に関する個人情報のう

ち健康情報を取り扱うに当たっての留意事項について」を公表



金融分野ガイドラインにおける規制

 「政治的見解、信教（宗教、思想及び信条をいう。）、労働組合への加盟、人種 及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報（ 以下「機微（センシティブ）情報」という。）については、」原則として、「取 得、利用又は第三者提供を行わない」

改正あり

02

定義

個人情報の定義の明確化

3. 要配慮個人情報

METI 経済産業省 （適正な取得） 17条2項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要 配慮個人情報を取得してはならない。 一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得る ことが困難であるとき。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、 本人の同意を得ることが困難であるとき。 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行す ることに対して協力する必要がある場合であって、本人の同意を得ることにより当該事 務の遂行に支障を及ぼすおそれがあるとき。 五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲 げる者その他個人情報保護委員会規則で定める者により公開されている場合 六 その他前各号に掲げる場合に準ずるものとして政令で定める場合

取得について、あらかじめの本人の同意が必要



オプトアウトによる第三者提供（

34ページ）もできない

改正あり

02

定義

個人情報の定義の明確化

3. 要配慮個人情報

METI 経済産業省

■

中小企業が「要配慮個人情報」を取り扱う場面とは



従業員の雇用管理情報



「病歴」が含まれることがある（15ページ）



どの宗教を信教しているか



デモ活動等の情報



収入や信用情報は、原則としてあたらないと考えられる



各省庁のガイドラインによる規制に注意

改正あり

02

定義

個人情報の定義の明確化

3. 要配慮個人情報

03

取得（利用目的）

に関する

対応

（１）利用目的の特定，通知又は公表（5,000件以外にも適用拡大）

（２）利用目的による制限（5,000件以外にも適用拡大）

METI 経済産業省

■

利用目的の特定

■

利用目的の通知・公表



本人に通知する

or 公表する（同意は必要ない）



本人から、直接、書面等で取得する場合には「明示」が必要

Ushijima & Partners 個人情報保護法（利用目的の特定） 第15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的 （以下「利用目的」という。）をできる限り特定しなければならない。 個人情報保護法（取得に際しての利用目的の通知等） 第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を 公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなけ ればならない。 個人情報保護法（取得に際しての利用目的の通知等） 第18条 2 本人から、契約書その他の書面（電子的方式等を含む）に記載された当該本人の 個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなけれ ばならない。（略）

適用拡大

03

取得

1. 適用拡大で対応を要する事項

METI 経済産業省

■

利用目的による制限



利用目的の範囲を超えた利用には、

事前の本人の同意

が必要

■

適正取得

Ushijima & Partners

20 個人情報保護法（利用目的による制限） 第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定さ れた利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 2 （略） 3 前2項の規定は、次に掲げる場合については、適用しない。 一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが 困難であるとき。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人 の同意を得ることが困難であるとき。 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行するこ とに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支 障を及ぼすおそれがあるとき 個人情報保護法（適正な取得） 第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

適用拡大

03

取得

1. 適用拡大で対応を要する事項

METI 経済産業省

利用目的変更の制限を緩和

当初の 利用目的 データ収集 左記を超えた範囲の 利用目的 本人 新たなデータ 利活用 相当の関連性を有すると_{合理的に認められる範囲} の利用目的 変更可能 本人の同意が必要 IT技術の進展により、多種多様なデータの蓄積、分析が可 能に。取得時の利用目的と関連性を有する一定の範囲の目 的変更を認めることで、新たな価値創造が可能になる

。

現行法でも変更は可能だが、各省のガイドラ インで厳格に運用。この範囲を超える場合は、 個別に本人同意を得ることが必要。 現行法における経済産業省のガイドラ インでの例示 【本人が想定することが困難でないと 認められる範囲内に該当する事例】 事例）「当社の行う○○事業における 新商品・サービスに関する情報のお知 らせ」とした利用目的において「既存 の商品・サービスに関する情報のお知 らせ」を追加すること。 【同意が必要な事例】 事例）就職のための履歴書情報をもと に、自社の商品の販売促進のために自 社取扱商品のカタログと商品購入申込 書を送る場合

■

利用目的の変更制限の緩和

（改正点）

改正あり

03

取得

2. 利用目的の制限の緩和

(1) 背景と課題

METI 経済産業省 第15条 （略） ２ 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性 を有すると合理的に認められる範囲を超えて行ってはならない。 個人情報

本人

当初の 利用目的 変更後の利用目的 取得

事業者

変更前の利用目的と相当の関 連性を有すると合理的に認められ る範囲を認められる範囲で可能。 取得時の 利用目的 ①同意あり ②法令等に基づく場合 に目的外利用が可能 変更可能な利用目的 相当の関連性を有すると合理的に認められる範囲 取得時の 利用目的 ①同意あり ②法令等に基づく場合 に目的外利用が可能 関連性を有すると合理的に認められる範囲

○現行法

○改正法

変更可能な利用目的

改正あり

03

取得

2. 利用目的の制限の緩和

(2) 改正後

04

情報管理

に関する対応

（１）安全管理措置（5,000件以外にも適用拡大）

（２）従業者に対する監督（5,000件以外にも適用拡大）

（３）委託先に対する監督（5,000件以外にも適用拡大）

METI 経済産業省

■ 情報管理の内容

(1) 個人データの漏えい、滅失又はき損の防止その他の個人データの

安全管理

のために必要かつ適切な措置

(2)

従業者

に対する必要かつ適切な監督

(3)

委託を受けた者

に対する必要かつ適切な監督

(4) データ

内容の正確性

の確保等（改正点）

■

なお、マイナンバー法の安全管理措置は2016年1月から

適用がある（従業員100人以下等の事業者に軽減措置あ

り）

適用拡大

04

情報管理

1. これまで適用除外であった小規模

事業者は何をしなければならないのか

METI 経済産業省

(1) 安全管理措置



個人データの漏えい、滅失またはき損の防止等のために「必要か

つ適切な措置」

を講じる義務がある



「必要かつ適切な措置」とは何かは、各省庁のガイドライン等に

おいて示されている。

分野 所管省庁 医療（一般） 厚生労働省 医療（研究） 文部科学省 厚生労働省 経済産業省 文部科学省 厚生労働省 厚生労働省 金融 金融庁 信用 経済産業省 電気通信 総務省 分野 所管省庁 雇用管理（一般） 厚生労働省 雇用管理（船員） 国土交通省 職業紹介等（一般） 厚生労働省 職業紹介等（船員） 国土交通省 労働者派遣（一般） 厚生労働省 労働者派遣（船員） 国土交通省 労働組合 厚生労働省 企業年金 厚生労働省 農林水産 農林水産省 分野 所管省庁 放送 総務省 郵便 総務省 信書便 総務省 経済産業 経済産業省 警察 国家公安委員会 法務 法務省 外務 外務省 財務 財務省 文部科学 文部科学省 分野 所管省庁 福祉 厚生労働省 国土交通 国土交通省 環境 環境省 防衛 防衛省

適用拡大

04

情報管理

2. 適用拡大で対応を要する事項

～安全管理措置

（安全管理措置） 第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防 止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

METI 経済産業省

(2) 従業者に対する監督



従業者に対する「必要かつ適切な監督」

を講じる義務がある

(3) 委託先の監督



委託先に対する「必要かつ適切な監督」

を講じる義務がある



各「必要かつ適切な監督」とは何かは、各省庁のガイドライン

等（前ページ）において示されている。

適用拡大

04

情報管理

2. 適用拡大で対応を要する事項

～安全管理措置

（従業者の監督） 第21条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、 当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を 行わなければならない。 （委託先の監督） 第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、 その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対す る必要かつ適切な監督を行わなければならない。

METI 経済産業省

データ内容の正確性の確保等



消去の努力義務

が規定された



従前のガイドラインから努力義務であるとされていたため、大きな変更

はない。



マイナンバー法による個人番号の廃棄・消去義務に注意

適用拡大

04

情報管理

改正あり

3. 個人データの消去

現

行

法

第19条（データ内容の正確性の確保） 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確 かつ最新の内容に保つよう努めなければならない。

改

正

案

第19条（データ内容の正確性の確保等） 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確か つ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく 消去するよう努めなければならない。

05

提供

に関する対応

（１）提供をする側の義務

① 事前の本人同意の原則（5,000件以外にも適用拡大）

② オプトアウトによる第三者提供（5,000件以外にも適用拡大＋改正点）

③ 第三者提供についての記録・説明義務（改正点）

④ 外国事業者への第三者提供についての事前の本人同意（改正点）

（２）提供を受ける側の義務－確認・記録義務（改正点）

（３）データベース提供罪（改正点）

METI 経済産業省

■

事前の本人同意の原則



個人データを第三者に提供するには、原則として、

事前の本人の

同意

が必要



ただし、委託、合併等、共同利用に伴う提供については、第三者

提供にあたらない（改正法

23条5項）ことから、本人同意は不要

■

オプトアウトによる第三者提供

–

第三者提供についての事前の本人同意は不要

–

規制強化

（改正点次ページ以下）

29 June 29, 2015

適用拡大

05

提供

1. 提供する側の義務

(1) 適用拡大で対応を要する事項

個人情報保護法（第三者提供の制限） 改正法第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ない で、個人データを第三者に提供してはならない。 一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難で あるとき。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意 を得ることが困難であるとき。 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対し て協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそ れがあるとき。

METI 経済産業省

■

第三者提供の制限



委託

、合併等、

共同利用

は、第三者提供に当たらない

適用拡大

05

提供

1. 提供する側の義務

(1) 適用拡大で対応を要する事項

第23条 （略） ５ 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用に ついては、第三者に該当しないものとする。 一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの 全部又は一部を委託することに伴って当該個人データが提供される場合 二 合併その他の事由による事業の承継に伴って個人データが提供される場合 三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合で あって、その旨並びに共同して利用される個人データの項目、共同して利用する者の 範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏 名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に 置いているとき。 6 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの 管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容につ いて、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければなら ない。

METI 経済産業省

■

第三者提供の制限



「オプトアウト」によれば同意なく第三者提供できる

（次ページ）

05

提供

1. 提供する側の義務

(1) 適用拡大で対応を要する事項

適用拡大

第23条 （略） ２ 個人情報取扱事業者は、第三者に提供される個人データ（要配慮個人情報を除く。以下 この項において同じ。）について、本人の求めに応じて当該本人が識別される個人データ の第三者への提供を停止することとしている場合であって、次に掲げる事項について、個 人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容 易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定に かかわらず、当該個人データを第三者に提供することができる。 一 第三者への提供を利用目的とすること。 二 第三者に提供される個人データの項目 三 第三者への提供の方法 四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止するこ と。 五 本人の求めを受け付ける方法 ３ 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、 変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本 人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け 出なければならない。 ４ 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会 規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定 による届出があったときも、同様とする。

METI 経済産業省 本人は転売されていることを知らない （知っていればオプトアウトできる） 転売 名簿等

オプトアウト規定を用いている事業者の可視化

本人 いわゆる名簿業者

適用拡大

改正あり

05

提供

1. 提供する側の義務

(2) オプトアウトの厳格化

～背景と課題

いわゆる名簿業者 いわゆる名簿業者 第三者提供のオプトアウト規定が十分に機能していない。 転売

METI 経済産業省

本人

個人データ 個人情報 保護委員会 事業者 （提供）

公 表

②届出事項 の公表 事業者 （受領） あらかじめ次の事項を本人に 通知、又は本人が容易に知 り得る状態に置くとともに 個人情報委員会へ届出 ③取得 本人同意を得ない第 三者提供への関与 (オプトアウト規定の見直し) 個人情報等 ⑤第三者提供 （④） 第三者提 供停止 通知等 事項 拒否す_る場合 ① 届 出 届出 事項 ＜通知、容易に知り得る状態に置く、届出事項＞ ・第三者提供を利用目的にすることとその対象項目 ・第三者への提供の方法 ・求めに応じて第三者提供を停止すること及び本人 の求めを受け付ける方法 オプトアウト規定による第三者提 供をしようとする場合、データの項 目等を個人情報保護委員会へ届 出。個人情報保護委員会は、そ の内容を公表。

適用拡大

改正あり

05

提供

1. 提供する側の義務

(2) オプトアウトの厳格化

～改正後

①通知、又は 本人が容易に 知り得る状態

METI 経済産業省 （第三者提供の制限） 第23条 （略） ２ 個人情報取扱事業者は、第三者に提供される個人データ（要配慮個人情報を除く。以下 この項において同じ。）について、本人の求めに応じて当該本人が識別される個人データ の第三者への提供を停止することとしている場合であって、次に掲げる事項について、個 人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容 易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定に かかわらず、当該個人データを第三者に提供することができる。 一・二 （略） 三 第三者への提供の方法 四 （略） 五 本人の求めを受け付ける方法 ３ 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、 変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本 人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け 出なければならない。 ４ 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会 規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定 による届出があったときも、同様とする。

適用拡大

改正あり

05

提供

1. 提供する側の義務

(2) オプトアウトの厳格化

～改正後

METI 経済産業省

大規模漏えい事例

顧客データベース 通信業者

本 人

DM送付 電話・イベントを 通じて取得 通信教育サービス 等の提供 売却 いわゆる名簿業者 名簿の転 売ルートを トレースでき ない 知らない業者 からのDMで 気づく

名簿屋対策として個人情報の保護を強化

（トレーサビリティ、データベース提供罪）

改正あり

1. 提供する側の義務

(3) 名簿屋対策

～背景と課題

05

提供 ・大手教育出版系企業の顧客情報（個人情報）が名簿事業者経由で他事業者に漏 えい。当該企業のDBシステムの保守・管理委託先に派遣されていたシステムエンジニア を不正競争防止法違反の容疑で逮捕。 事業者 システム保守の委託先 システム保守の再委託先 派遣社員 不正に持ち出し 転売 いわゆる名簿業者 転売 個人情報保護法上 の罰則規定なし

METI 経済産業省

本人

個人データ 個人情報 保護委員会 事業者 （提供） 事業者 （受領） 取得 個人情報等 第三者提供 ＜記録義務＞ ・提供の年月日 ・提供者の取得経緯等 ＜記録義務＞ ・提供の年月日 ・提供先の氏名等 トレーサビリティ（第三者提供の義務） 従事者 提供罪の新設 ₍₃₎ 不正な 利益 (1)業務で取扱い (4)司法手続 きによる刑罰 司法 機関 (2) 提供等 受領者は提供者の氏名やデータ取得経緯等を確認し、 一定期間その内容を保存。また、提供者も、受領者の 氏名等を一定期間保存。 個人情報データベース等を取 り扱う事務に従事する者又は従 事していた者が、不正な利益を 図る目的で提供し、又は盗用 する行為を処罰。

改正あり

05

提供

1. 提供する側の義務

(3) 名簿屋対策

～改正後

METI 経済産業省

■

記録義務

■

説明義務



第三者提供する際に、第三者に対して「当該個人データの取得の

経緯」を説明する義務（

42ページ）

改正あり

05

提供

1. 提供する側の義務

(3) 名簿屋対策

～改正後

改

正

法

（第三者提供に係る記録の作成等） 第25条 個人情報取扱事業者は、個人データを第三者（第二条第五項各号に掲げる者を除く。 以下この条及び次条において同じ。）に提供したときは、個人情報保護委員会規則で定めるとこ ろにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保 護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの 提供が第23条第1項各号又は第5項各号のいずれか（前条の規定による個人データの提供に あっては、第23条第1項各号のいずれか）に該当する場合は、この限りでない。 ２ 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会 規則で定める期間保存しなければならない。

METI 経済産業省

外国A

外国B

データ収集 ③移転の制限 ②執行協力

ＥＵ

日本

データ収集 ④自由な移転 データ収集 ①域外適用 ※保護水準が不十分な国 主務大臣 外国執行当局 海外事業者に対し、国内 法の適用が不明確

情報通信技術(IT)の進展により、個人情報は国境を越えてグローバルに流通する

時代。グローバルに対応した制度整備が喫緊の課題。

本人

改正あり

05

提供

1. 提供する側の義務

(4) 取扱いのグローバル化

～背景と課題

保護水準が十分でない国に 対してデータ移転を制限でき ていない 日本はＥＵから十分な個人情報保護 レベルを満たしていると認定されていない 二国間協力等の実効的な 執行協力ができていない

METI 経済産業省

本人

個人データ 国内事業者 外国Ａ （認定国） 海外事業者ａ 政府機関 個 人 情 報 保 護 法 の 適 用 情 報 提 供 執 行 第三者提供ａ 外国Ｂ （未認定国） 認 定 国 未 認 定 国 日本と同等水準の制度があるか認定 海外事業者ｂ 外国への第三者提供 第 三 者 提 供 ｂ 取得 (１) 国境を越えた適用 範囲(1) 海外事業者ｃ 第 三 者 提 供 ｃ ＜提供方法＞ 外国にある第三者へ の提供を認める旨の 同意 ＜提供方法＞ ・第三者提供の同意 ・オプトアウト規定 ・共同利用 ・委託 提供先事業者が一定の 要件を満たす保護体制 を整備している場合 ＜提供方法＞ ・第三者提供の同意 ・オプトアウト規定 ・共同利用 ・委託 日本国内の個人情報を取得した外国 の個人情報取扱事業者についても個人 情報保護法を原則適用。 個人情報保護委員会の規則に 則った方法、または個人情報保護委 員会が認めた国、または本人同意に より外国への第三者提供が可能。

改正あり

05

提供

1. 提供する側の義務

(4) 取扱いのグローバル化

～改正後

個人情報保護委員会

METI 経済産業省 （適用範囲） 第七十五条 第十五条、第十六条、第十八条（第二項を除く。）、第十九条から第二十五条まで、第二十七条 から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対す る物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国にお いて当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。 （外国執行当局への情報提供） 第七十八条 委員会は、この法律に相当する外国の法令を執行する外国の当局（以下この条において「外国執 行当局」という。）に対し、その職務（この法律に規定する委員会の職務に相当するものに限る。次項にお いて同じ。）の遂行に資すると認める情報の提供を行うことができる。 ２ 前項の規定による情報の提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、 かつ、次項の規定による同意がなければ外国の刑事事件の捜査（その対象たる犯罪事実が特定された後のも のに限る。）又は審判（同項において「捜査等」という。）に使用されないよう適切な措置がとられなけれ ばならない。 ３ 委員会は、外国執行当局からの要請があったときは、次の各号のいずれかに該当する場合を除き、第一項 の規定により提供した情報を当該要請に係る外国の刑事事件の捜査等に使用することについて同意をするこ とができる。 一 当該要請に係る刑事事件の捜査等の対象とされている犯罪が政治犯罪であるとき、又は当該要請が政治 犯罪について捜査等を行う目的で行われたものと認められるとき。 二 当該要請に係る刑事事件の捜査等の対象とされている犯罪に係る行為が日本国内において行われたとし た場合において、その行為が日本国の法令によれば罪に当たるものでないとき。 三 日本国が行う同種の要請に応ずる旨の要請国の保証がないとき。 ４ 委員会は、前項の同意をする場合においては、あらかじめ、同項第一号及び第二号に該当しないことにつ いて法務大臣の確認を、同項第三号に該当しないことについて外務大臣の確認を、それぞれ受けなければな らない。

改正あり

05

提供

1. 提供する側の義務

(4) 取扱いのグローバル化

～

国外適用等

METI 経済産業省 （外国にある第三者への提供の制限） 第24条 個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下同じ。） （個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護 に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下 この条において同じ。）にある第三者（個人データの取扱いについてこの節の規定により 個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるた めに必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備してい る者を除く。以下この条において同じ。）に個人データを提供する場合には、前条第一項 各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の 同意を得なければならない。この場合においては、同条の規定は、適用しない。

個人データを外国の第三者に提供するには、一定の要件

を満たさない場合には、あらかじめの本人の同意が必要

05

提供

1. 提供する側の義務

(4) グローバル化

～

外国事業者への提供

改正あり

METI 経済産業省

■

確認・記録義務



「個人データの取得の経緯」等を確認する義務



提供に関する記録を作成し、保存する義務

改正あり

05

提供

2. 提供を

受ける

側が負う義務

改

正

法

第26条（第三者提供を受ける際の確認等） 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委 員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個 人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りで ない。 一当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団 体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名 二当該第三者による当該個人データの取得の経緯 ２ 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該 個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。 ３ 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規 則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他 の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。 ４ 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会 規則で定める期間保存しなければならない。

METI 経済産業省 第83条 個人情報取扱事業者（その者が法人（法人でない団体で代表者又は管理人の定めの あるものを含む。第八十七条第一項において同じ。）である場合にあっては、その役員、 代表者又は管理人）若しくはその従業者又はこれらであった者が、その業務に関して取り 扱った個人情報データベース等（その全部又は一部を複製し、又は加工したものを含 む。）を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一 年以下の懲役又は五十万円以下の罰金に処する。

改正あり

05

提供

3. データベース提供罪

METI 経済産業省

■

保有個人データへの本人の関与

①

保有個人データに関する事項の公表（遅滞なき回答も可）

②

保有個人データに関する利用目的の通知、開示、訂正、利用停止等

の請求（改正点

次ページ）に対する対応



理由の説明



開示等の手続



手数料

適用拡大

06

公表･開示

1. これまで適用除外であった小規模

事業者は何をしなければならないのか

METI 経済産業省 利用停止等（法27条） 訂正等（法26条1項） 利用目的の通知（法24条2項）

本

人

求 め

どのような目的で利用されているのかについて、原則として、本人に通知しなけ ればならない。 原則として、本人に、書面又は本人が同意した方法により開示しなければな らない。 内容が事実でないときは、原則として利用目的の達成に必要な範囲内にお いて、訂正等を行わなければならない｡ ①利用目的による制限、②適正な取得、③第三者提供の制限に違反して いることが判明したときは、違反を是正するために必要な限度で、原則として、 利用停止等を行わなければならない。

保有個人データ

開示（法25条1項） 事業者は本人の求めに応じて、開示、訂正、利用停止を行う義務があり、 行政により監督される。しかしながら、本人が個別に迅速な問題解決を図 るには裁判上の権利が必要だが、同権利があるか明確でない（過去に否 定した裁判例あり。）。

裁判上の権利があることを明確化

適用拡大

改正あり

06

公表･開示

開示等

2. 背景と課題

METI 経済産業省 主務大臣 事業者 本人 _{本人 事業者} 第三者機関の長又は主務大臣

現 行

改正後

裁判所 認定個人情報 保護団体等 認定個人情報 保護団体等 ②開示等 → 終了 _{②開示等 → 終了} ①開示等の求め ②拒否決定・通知 ④´認容 （開示等命令） ④助言・勧告・命令 “適切な開示等を 行いなさい” ④助言・勧告・命令 “適切な開示等を 行いなさい” ③相談等 or ③´申立て ④´棄却 ②拒否決定・通知 ①開示等の求め ③相談等 ※和解（民695,696、民訴89,267,275）による迅速かつ柔軟な解決も可能。

適用拡大

改正あり

06

公表･開示

開示等

3. 改正後

METI 経済産業省

一定の条件のもと自由な利活用を可能とするルールの整備

容易照合性が あり個人情報か？ 乗降履歴データ 個人識別できない ように加工したデータ 駅利用分 析レポート ID変換 不可逆

×

交通系事業者

_{データ分析事業者}

ID 氏名 電話番号 生年月日 乗降駅、日時等 ID － － 生年月 乗降駅、日時等 識別番号（提供都度変換） － － 生年月 乗降駅、日時等 ビッグデータとして パーソナルデータ を利活用できる ルールが不明確

改正あり

07

匿名加工情報

匿名加工情報

1. 背景と課題

交通系データ事例

・大手交通系企業が、乗降履歴情報を個人情報保護法に抵触しない形（個人を識別できない形）で駅のマーケティング資料を作成のためにデータ分析企業へ販売したと説明 しているが、本当に抵触していないか顧客の不安が噴出した。 ・販売する元となる履歴情報から除外する申請を受け付ける対応（約5万件の申請）。

METI 経済産業省

本人

個人情報 匿名加工情報 匿名加工情報 個人情報 保護委員会 ①作成した 匿名加工 情報の項 目を公表

公表

事業者A （加工、提供） 事業者Ｂ （受領、提供） 匿名加工情報 ③匿名加工情報で あることを明示 ⑤匿名加工情報 であることを明示 匿名加工情報 事業者Ｃ （受領） 個人情報 保護委員 会規則で 定める基 準に従う 認定個人情報保護団体 (1)消費者意見を代表す るもの等から意見を聴いて 作成 個人情報 保護指針 本人を識別するための 以下の行為を禁止 ・作成者が削除した記述等 や加工方法の取得 ・他の情報と照合 個人情報 保護指針 ②第三者提 供する項目 等を公表 個人情報 保護指針 (2)届出 （変更） 匿名加工 基準 個人情報保護指針

公表

本人を識別するための以 下の行為を禁止 ・作成者が削除した記述等 や加工方法の取得 ・他の情報と照合 特定の個人を識別すること及びその作成に用いる個人 情報を復元することができないように個人情報を加工した ものを匿名加工情報と定義し、その加工方法を定めると ともに、その取扱いについての規律を設ける。 個人情報 を取得 ・削除した記述等や加工方法 の漏えいを防止 ・他の情報との照合を禁止 ・特定の個人を識別することができ る記述等を削除 ・第三者提供をする項目等を公表

改正あり

07

匿名加工情報

匿名加工情報

2. 改正後

②委員会規則等に基づき、特定の個人 を識別することができる記述等を削除 (3)届出事項の公表

METI 経済産業省 （定義） 第2条 ９ この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当 該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工 して得られる個人に関する情報であって、当該個人情報を復元することができないように したものをいう。 一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除する こと（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述 等に置き換えることを含む。）。 二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削 除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他 の記述等に置き換えることを含む。）。 10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物 であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的 に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に 構成したものとして政令で定めるもの（第三十六条第一項において「匿名加工情報データ ベース等」という。）を事業の用に供している者をいう。ただし、第五項各号に掲げる者 を除く。

■「匿名加工情報」＝

特定の個人を識別できない

ように

個人情報を加工＋当該個人情報を

復元できない

改正あり

07

匿名加工情報

匿名加工情報

3. 「

匿名加工情報

」

METI 経済産業省

■

情報の概念

■

主体の概念

氏名、住所、 生年月日等

個人情報

氏名、住所、 生年月日等

個人情報

匿名加工情報

個人情報取扱事業者

等

個人情報

等

個人情報

取扱事業者

個人情報

取扱事業者

小規模 取扱事業者

匿名加工情報

取扱事業者

改正あり

07

匿名加工情報

匿名加工情報

3. 「

匿名加工情報

」

METI 経済産業省 53

■

匿名加工情報に特有の

取扱い方法



加工方法

 個人情報保護委員会規則で定める基準（「識別」＋「復元」不可）に従い加工（36条1項）



作成

したとき

 委員会規則で定める基準に従い､加工の方法等に関する情報等の安全管理措置を講じる（同条2項）  委員会規則で定めるところにより、個人に関する情報の項目を公表（同条3項）  匿名加工情報の安全管理措置等を講じ、かつ、当該措置の内容を公表するよう努めなければなら ない（同条6項）



自ら取り扱う

際

 本人を識別するために、当該匿名加工情報を他の情報と照合してはならない（同条5項）



第三者に提供

するとき

 委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個 人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当 該提供に係る情報が匿名加工情報である旨を明示しなければならない（同条4項・37条）



第三者から提供を受けた匿名加工情報を取り扱う

際

 本人を識別するために、削除された記述等、加工の方法の情報を取得し、又は当該匿名加工情報 を他の情報と照合してはならない（38条）  匿名加工情報の安全管理措置等を講じ、かつ、当該措置の内容を公表するよう努めなければなら ない（39条） 委員会への「届け出」 （骨子案）は削除 自 社 利 用 に も 適 用 さ れ る と 考 え ら れ る 。 本人の同意は不要

改正あり

07

匿名加工情報

匿名加工情報

3. 「

匿名加工情報

」

METI 経済産業省 （匿名加工情報の作成等） 第36条 個人情報取扱事業者は、匿名加工情報（匿名加工情報データベース等を構成するものに 限る。以下同じ。）を作成するときは、特定の個人を識別すること及びその作成に用いる個人 情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で 定める基準に従い、当該個人情報を加工しなければならない。 ２ 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削 除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏え いを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの 情報の安全管理のための措置を講じなければならない。 ３ 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定める ところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならな い。 ４ 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するとき は、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加 工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当 該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。 ５ 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっ ては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名 加工情報を他の情報と照合してはならない。

改正あり

07

匿名加工情報

匿名加工情報

3. 「

匿名加工情報

」

METI 経済産業省 （つづき） ６ 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のた めに必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他 の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置 の内容を公表するよう努めなければならない。 （匿名加工情報の提供） 第37条 匿名加工情報取扱事業者は、匿名加工情報（自ら個人情報を加工して作成したものを除 く。以下この節において同じ。）を第三者に提供するときは、個人情報保護委員会規則で定め るところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報 の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る 情報が匿名加工情報である旨を明示しなければならない。 （識別行為の禁止） 第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報 の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記 述等若しくは個人識別符号若しくは第三十六条第一項の規定により行われた加工の方法に関 する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。 （安全管理措置等） 第39条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿 名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するた めに必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

改正あり

07

匿名加工情報

匿名加工情報

3. 「

匿名加工情報

」

08

個人情報保護員会

の新設と

その権限

METI 経済産業省 命 令 勧 告 助 言 報 告 徴 収 個人情報取扱事業者 事業所管 大臣 事業所管 大臣

主務大臣

分野 所管省庁 医療（一般） 厚生労働省 医療（研究） 文部科学省 厚生労働省 経済産業省 文部科学省 厚生労働省 厚生労働省 金融 金融庁 信用 経済産業省 電気通信 総務省 分野 所管省庁 雇用管理（一般） 厚生労働省 雇用管理（船員） 国土交通省 職業紹介等（一般） 厚生労働省 職業紹介等（船員） 国土交通省 労働者派遣（一般） 厚生労働省 労働者派遣（船員） 国土交通省 労働組合 厚生労働省 企業年金 厚生労働省 農林水産 農林水産省 分野 所管省庁 放送 総務省 郵便 総務省 信書便 総務省 経済産業 経済産業省 警察 国家公安委員会 法務 法務省 外務 外務省 財務 財務省 文部科学 文部科学省 分野 所管省庁 福祉 厚生労働省 国土交通 国土交通省 環境 環境省 防衛 防衛省 事業等を所管する各省 庁において、審議会の 議論等を経て、27分 野について39のガイドラ インを策定

個人情報保護委員会を設置し、

権限を一元化

主務大臣 ※欧米等では一元化された管理体制をとっている

＜改正前＞

＜改正後＞

改正あり

08

委員会

個人情報保護委員会の新設とその権限

1. 背景と課題