刘颖 译:《日本个人信息保护法》(2020年最新版本)
扫描上图二维码,立即预约报名!
原文载《北外法学》2021年第2期(总第六期)
译者:刘颖,北京航空航天大学法学院副教授、博士生导师,最高人民法院中国应用法学研究所互联网司法研究中心研究员。
仅供学习,如有侵权,请联系删除!
日本个人信息保护法
《日本个人信息保护法》于2003年7月16日由《平成15年法律第57号》制定,后分别于2009年6月5日、2015年9月9日、2016年5月27日、2017年5月24日、2018年7月27日、2019年5月31日、2020年6月12日,经《平成21年法律第49号》、《平成27年法律第65号》、《平成28年法律第51号》、《平成29年法律第36号》、《平成30年法律第80号》、《令和元年法律第16号》、《令和2年6月12日法律第44号》,作出若干修改。本译文是其2020年6月12日修改后的最新条文,将在2022年6月11日前由政令规定的日期起施行。
本文系北京市社会科学基金项目“破产法中的合同规则研究”(项目编号:17FXC028)的阶段性成果。
目 录
第一章 总则(第1条~第3条)
第二章 国家及地方公共团体的职责等(第4条~第6条)
第三章 个人信息保护的措施等
第一节 个人信息保护的基本方针(第7条)
第二节 国家的措施(第8条~第10条)
第三节 地方公共团体的措施(第11条~第13条)
第四节 国家与地方公共团体的协作(第14条)
第四章 个人信息处理者的义务等
第一节 个人信息处理者等的义务(第15条~第35条)
第二节 假名加工信息处理者等的义务(第35条之2、第35条之3)
第三节 匿名加工信息处理者等的义务(第36条~第39条)
第四节 监督(第40条~第46条)
第五节 民间团体对个人信息保护的推进(第47条~第58条)
第六节 送达(第58条之2~第58条之5)
第五章 个人信息保护委员会(第59条~第74条)
第六章 杂则(第75条~第81条)
第七章 罚则(第82条~第88条)
第一章 总 则
(立法目的)
第一条 本法的立法目的在于,在高度信息通信社会的深化所带来的对个人信息的利用显著扩大的背景下,通过对个人信息的正当处理的基本理念、由政府制定基本方针及采取其他保护个人信息的措施等基本事项作出规定,明确国家和地方公共团体的职责等,并对个人信息处理者应遵守的义务等作出规定,从而重视个人信息的正当且有效的利用在促进新兴产业的创造、实现充满活力的经济社会和富足的国民生活上的作用以及其他个人信息的作用,保护个人的权利和利益。
(定义)
第二条 本法所称的“个人信息”,是指属于下列各项情形之一的、生存着的个人的信息:
(一)通过该信息中所含有的姓名、出生年月日或其他记述等{指以文字、图画或电磁记录[以电磁方式(指电子方式、磁气方式及其他人类无法感知的方式。后一款第二项相同)制作的记录。第十八条第二款及第二十八条第一款相同]所记载或记录的,或者以声音、动作或其他方式所表示的所有事项(个人识别符号除外。以下相同)},可识别特定个人(包括容易与其他信息相对照,并可借此识别特定个人的情形);
(二)含有个人识别符号。
本法所称的“个人识别符号”,是指属于下列各项情形之一的文字、号码、记号或其他符号中,政令所规定的符号:
(一)为了用于电子计算机而将特定个人身体的某一部分特征变换为文字、号码、记号或其他符号中,可识别该特定个人的符号;
(二)个人在利用面向个人提供的服务时或购买面向个人出售的商品时被分配的、或者在面向个人发行的卡片或其他书面材料中所记载的或以电磁方式记录的文字、号码、记号或其他符号中,因在分配、记载或记录中对不同的利用人、购买人或接受发行人进行了区分而可识别特定利用人、购买人或接受发行人的符号。
本法所称的“敏感个人信息”,是指含有政令所规定的为避免本人在人种、宗教信仰、社会身份、病历、犯罪经历、因犯罪而被害的事实及其他方面遭受歧视、偏见或者其他不利益而需要在处理上予以特别注意的记述等的个人信息。
本法所称的“个人信息数据库等”,是指属于下列各项情形之一的(依照政令的规定,从使用方式上看不存在侵害个人权利和利益之可能性的信息集合物除外)、含有个人信息的信息集合物:
(一)为了能够用电子计算机检索而将特定个人信息予以体系化构建;
(二)前一款规定的情形以外,依照政令的规定,为了能够容易检索而将特定个人信息予以体系化构建。
本法所称的“个人信息处理者”,是指正在将个人信息数据库等用于业务的主体,但下列主体除外:
(一)国家机关;
(二)地方公共团体;
(三)独立行政法人等(指《关于保护独立行政法人等所保存的个人信息的法律》(平成15年法律第59号)第二条第一款规定的独立行政法人等。以下相同);
(四)地方独立行政法人(指《地方独立行政法人法》(平成15年法律第118号)第二条第一款规定的地方独立行政法人。以下相同)。
本法所称的“个人数据”,是指构成个人信息数据库等的个人信息。
本法所称的“保存中的个人数据”,是指个人信息处理者有权进行公开、修改或追加或删除内容、停止使用、删除、停止向第三者提供等处理活动的个人数据,但依照政令的规定其存在与否明确后将导致公共利益或其他利益受损的个人数据除外。
本法就个人信息所称的“本人”,是指因个人信息而被识别的特定个人。
本法所称的“假名加工信息”,是指针对下列各项规定的个人信息相应地采取同项规定的措施,以为了不与其他信息相对照就无法识别特定个人,而对其个人信息进行加工后,所得到的关于该个人的信息:
(一)第一款第一项规定的个人信息 删除该个人信息中所含有的部分记述等(包括以打乱可使该部分记述等复原的规律性的方式,将其替换为其他记述等);
(二)第一款第二项规定的个人信息 删除该个人信息中所含有的全部个人识别符号(包括以打乱可使该个人识别符号复原的规律性的方式,将其替换为其他记述等)。
本法所称的“假名加工信息处理者”,是指正在将为了能够用电子计算机检索而将特定假名加工信息予以体系化构建以及其他依照政令的规定为了能够容易检索而将特定假名加工信息予以体系化构建的、含有假名加工信息的信息集合物(在第三十五条之二第一款称为“假名加工信息数据库等”)用于业务的主体。但是,第五款各项规定情形者除外。
本法所称的“匿名加工信息”,是指针对下列各项规定的个人信息相应地采取同项规定的措施,以为了无法识别特定个人,而对其个人信息进行加工,并使之无法复原后,所得到的关于该个人的信息:
(一)第一款第一项规定的个人信息 删除该个人信息中所含有的部分记述等(包括以打乱可使该部分记述等复原的规律性的方式,将其替换为其他记述等);
(二)第一款第二项规定的个人信息 删除该个人信息中所含有的全部个人识别符号(包括以打乱可使该个人识别符号复原的规律性的方式,将其替换为其他记述等)。
本法所称的“匿名加工信息处理者”,是指正在将为了能够用电子计算机检索而将特定匿名加工信息予以体系化构建以及其他依照政令的规定为了能够容易检索而将特定匿名加工信息予以体系化构建的、含有匿名加工信息的信息集合物(在第三十六条第一款称为“匿名加工信息数据库等”)用于业务的主体。但是,第五款各项规定情形者除外。
(基本理念)
第三条 鉴于个人信息乃是应在尊重个人之人格的理念下得到慎重处理的信息,因而必须实现个人信息的正当处理。
第二章 国家及地方公共团体的职责等
(国家的职责)
第四条 国家有责任按照本法的宗旨,为确保个人信息的正当处理,综合设计必要的措施,并加以实施。
(地方公共团体的职责)
第五条 地方公共团体有责任按照本法的宗旨,根据其所在地区的特点,为确保个人信息的正当处理,设计必要的措施,并加以实施。
(法律措施等)
第六条 政府应当根据个人信息的性质及使用方式,针对为了实现给个人的权利、利益以更强保护而有必要确保在其正当处理上采取严格态度的个人信息,采用必要的法律措施及其他措施使之能够得到特别的保护,同时应当通过与国际机构及其他国际组织的合作,为构建各国政府共同参与并取得国际协调的个人信息相关制度而采取必要的措施。
第三章 个人信息的保护措施等
第一节 个人信息保护的基本方针
第七条 政府应当为实现个人信息的保护措施之综合且整体的推进,制定个人信息保护的基本方针(以下称为“基本方针”)。
基本方针应当规定下列事项:
(一)推进个人信息的保护措施的基本方向;
(二)国家应为个人信息保护而采取的措施的相关事项;
(三)地方公共团体应为个人信息保护而采取的措施的相关基本事项;
(四)独立行政法人等应为个人信息保护而采取的措施的相关基本事项;
(五)地方独立行政法人应为个人信息保护而采取的措施的相关基本事项;
(六)个人信息处理者、假名加工信息处理者、匿名加工信息处理者及第五十条第一款规定的认定个人信息保护团体应为个人信息保护而采取的措施的相关基本事项;
(七)个人信息处理方面的投诉之顺利处理的相关事项;
(八)其他推进个人信息的保护措施的相关重要事项。
内阁总理大臣应当将个人信息保护委员会制定的基本方针的方案,提交到内阁会议决定。
前一款规定的内阁会议的决定作出后,内阁总理大臣应当立即公布基本方针。
前两款的规定,准用于基本方针的变更。
第二节 国家的措施
(对地方公共团体等的支持)
第八条 国家应当为支持地方公共团体制定或实施的个人信息保护措施、以及国民或个人信息处理者等为确保个人信息的正当处理所进行的活动,制定实现信息的提供、个人信息处理者等所应采取的措施的适当且有效的实施所必需的指引,并采取其他的必要措施。
(处理投诉的措施)
第九条 国家应当为实现个人信息处理者与本人之间发生的个人信息处理方面的投诉之适当且迅速的处理,采取必要的措施。
(确保个人信息的正当处理的措施)
第十条 国家应当通过适当地划分与地方公共团体之间的职能,为确保后一章规定的个人信息处理者对个人信息的正当处理,采取必要的措施。
第三节 地方公共团体的措施
(对地方公共团体等所保存的个人信息的保护)
第十一条 地方公共团体应当在考虑其所保存的个人信息的性质、保存该个人信息的目的等因素的基础上,尽力采取能够确保其所保存的个人信息得到正当处理的必要措施。
地方公共团体应当根据其设立的地方独立行政法人的性质及业务内容,尽力采取能够确保该地方独立行政法人所保存的个人信息得到正当处理的必要措施。
(对本地区内个人信息处理者等的支持)
第十二条 地方公共团体应当为确保个人信息的正当处理,尽力采取支持本地区内个人信息处理者及居民所必要的措施。
(处理投诉的斡旋等)
第十三条 地方公共团体应当为个人信息处理者与本人之间所发生的个人信息处理方面的投诉得到适当且迅速的处理,尽力进行处理投诉的斡旋及采取其他的必要措施。
第四节 国家与地方公共团体的协作
第十四条 国家和地方公共团体应当在采取个人信息的保护措施上相互协作。
第四章 个人信息处理者的义务等
第一节 个人信息处理者等的义务
(使用目的的特定)
第十五条 个人信息处理者在处理个人信息时,应当尽可能地将使用该个人信息的目的(以下称为“使用目的”)特定。
个人信息处理者变更使用目的的,不得超出足以合理地认为与变更前的使用目的具有关联性之范围。
(基于使用目的的限制)
第十六条 未事先取得本人的同意,个人信息处理者不得超出达到依照前一条的规定所特定的使用目的所必要的范围处理个人信息。
未事先取得本人的同意,个人信息处理者不得在因合并或其他事由而从其他个人信息处理者处承受业务并收集个人信息后,超出达到业务承受前该个人信息的使用目的所必要的范围处理个人信息。
前两款的规定不适用于下列情形:
(一)以法令为依据的情形;
(二)为保护人的生命、身体或财产而有必要,却又难以取得本人的同意的情形;
(三)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人的同意的情形;
(四)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,却又有可能因需要取得本人的同意而导致对该事务的执行造成障碍的情形。
(不当使用的禁止)
第十六条之二 个人信息处理者不得以有可能助长或诱发违法或不当行为的方式来使用个人信息。
(正当的收集)
第十七条 个人信息处理者不得以虚假及其他不正当的手段收集个人信息。
除下列情形外,未事先取得本人的同意,个人信息处理者不得收集敏感个人信息:
(一)以法令为依据的情形;
(二)为保护人的生命、身体或财产而有必要,却又难以取得本人的同意的情形;
(三)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人的同意的情形;
(四)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,却又有可能因需要取得本人的同意而导致对该事务的执行造成障碍的情形;
(五)相关敏感个人信息已被本人、国家机关、地方公共团体、第七十六条第一款各项规定的主体及《个人信息保护委员会规则》规定的其他主体公开的情形;
(六)政令规定的、类似于前几项情形的其他情形。
(收集时对使用目的的通知等)
第十八条 除已事先公布使用目的的情形外,个人信息处理者收集个人信息后,应当迅速将其使用目的通知给本人,或者予以公布。
无论前一款的规定如何,个人信息处理者因与本人签订合同而收集合同书及其他书面材料(包括电磁记录。以下于本款中相同)上所记载的该本人的个人信息、以及其他直接从本人处收集相关书面材料上所记载的该本人的个人信息的,应当事先向本人明示其使用目的。但是,为保护人的生命、身体或财产而有紧急必要的情形,不在此限。
个人信息处理者变更使用目的后,应当将变更后的使用目的通知给本人,或者予以公布。
前三款的规定不适用于下列情形:
(一)有可能因将该个人信息的使用目的通知给本人、或者予以公布,而侵害本人或第三方的生命、身体、财产及其他权利或利益的情形;
(二)有可能因将该个人信息的使用目的通知给本人、或者予以公布,而侵害该个人信息处理者的权利或正当利益的情形;
(三)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,但有可能因将该个人信息的使用目的通知给本人、或者予以公布,而对该事务的执行造成障碍的情形;
(四)从收集的状况看,足以认为使用目的是明确的情形。
(对数据内容之准确性的确保等)
第十九条 个人信息处理者应当尽力在达到使用目的所必要的范围内,将个人数据保持在准确且最新的内容,同时在丧失使用的必要后,立即删除该个人数据。
(安全管理措施)
第二十条 个人信息处理者应当为防止其所处理的个人数据发生泄露、灭失或毁损以及其他对个人数据的安全管理,采取必要且适当的措施。
(对员工的监督)
第二十一条 个人信息处理者在让其员工处理个人数据的,应当对员工进行必要且适当的监督,以实现对该个人数据的安全管理。
(对受托方的监督)
第二十二条 个人信息处理者在将个人数据的处理全部或部分委托给他人的,应当对受托方进行必要且适当的监督,以实现对该被委托处理的个人数据的安全管理。
(泄露等事态的报告等)
第二十二条之二 在处理的个人数据发生泄露、灭失、毁损及其他《个人信息保护委员会规则》所规定的、有可能对个人的权利和利益造成损害的、涉及个人数据的安全保障的事态时,个人信息处理者应当依照《个人信息保护委员会规则》的规定将发生相关事态的情况报告给个人信息保护委员会。但是,个人信息处理者是受到其他个人信息处理者的委托处理全部或部分个人数据、且已经依照《个人信息保护委员会规则》的规定将发生相关事态的情况通知给该其他个人信息处理者的情形,不在此限。
在前一款规定的情形,个人信息处理者(已进行前一款但书规定的通知的个人信息处理者除外)应当依照《个人信息保护委员会规则》的规定将发生相关事态的情况通知给本人。但是,难以通知本人、且已经为保护本人的权利和利益采取必要替代措施的情形,不在此限。
(向第三方提供的限制)
第二十三条 除下列情形外,未事先取得本人的同意,个人信息处理者不得将个人数据提供给第三方:
(一)以法令为依据的情形;
(二)为保护人的生命、身体或财产而有必要,却又难以取得本人的同意的情形;
(三)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人的同意的情形;
(四)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,却又有可能因需要取得本人的同意而导致对该事务的执行造成障碍的情形。
对于可提供给第三方的个人数据,个人信息处理者决定在本人要求后便停止将可识别该本人的个人数据提供给第三方,并依照《个人信息保护委员会规则》的规定事先将下列事项通知给本人、或者置于本人能够轻易知悉的状态,同时向个人信息委员会提出了申报的,则无论前一款的规定如何,个人信息处理者均可以将该个人数据提供给第三方。但是,可提供给第三方的个人数据为敏感个人数据、违反第十七条第一款收集的个人数据及被其他个人信息处理者依照本款的规定提供的个人数据(包括全部或部分复制或者加工后的个人数据)的情形,不在此限。
(一)实施向第三方提供的个人信息处理者的姓名或名称、住所、法人的情形其法定代表人(有代表人或管理人的非法人团体的情形其代表人或管理人。以下本条、第二十六条第一款第一项、第二十七条第一款第一项相同)的姓名;
(二)以向第三方提供为使用目的;
(三)可提供给第三方的个人数据中的项目;
(四)可提供给第三方的个人数据中的收集方式;
(五)提供给第三方的方式;
(六)在本人要求后便停止将可识别该本人的个人数据提供给第三方;
(七)受理本人要求的方式;
(八)其他《个人信息保护委员会规则》规定的保护个人的权利和利益所必需的事项。
在前一款第一项规定的事项发生变更时、或者停止实施同款规定的个人数据的提供时,个人信息处理者应当立即依照《个人信息保护委员会规则》的规定将相关情况通知给本人、或者置于本人能够轻易知悉的状态,并向个人信息委员会提出申报。在欲变更前一款第三项至第五项、第七项、第八项规定的事项时,个人信息处理者应当事先依照《个人信息保护委员会规则》的规定将相关情况通知给本人、或者置于本人能够轻易知悉的状态,并向个人信息委员会提出申报。
接到第二款规定的申报后,个人信息保护委员会应当依照《个人信息保护委员会规则》的规定公布该申报的相关事项。接到前一款规定的申报后,个人信息保护委员会也应当采取同样的措施。
关于以上各款规定的适用,在下列情形,接受相关个人数据之提供的主体不属于第三方。
(一)因个人信息处理者在达到使用目的所必要的范围内将个人数据的处理全部或部分委托给他人,而被提供相关个人数据的情形;
(二)因合并或其他事由而发生业务的承受,而被提供相关个人数据的情形;
(三)已将可与特定他人共同使用的个人数据提供给该特定他人,且已事先将相关情况、可共同使用的个人数据的项目、共同使用人的范围、使用人的使用目的以及该个人数据的管理责任人的姓名或名称、住所、法人的情形其法定代表人的姓名通知给本人、或者置于本人能够轻易知悉的状态。
在前一款第三项规定的个人数据的管理责任人的姓名或名称、住所、法人的情形其法定代表人的姓名发生变更时,个人信息处理者应当立即将相关情况通知给本人、或者置于本人能够轻易知悉的状态。在欲变更同项规定的利用人的利用目的或者管理责任人时,个人信息处理者应当事先将相关情况通知给本人、或者置于本人能够轻易知悉的状态。
(向境外第三方提供的限制)
第二十四条 除前一条第一款各项规定的情形外,个人信息处理者向境外(指本国域外的国家或地区。以下相同)(《个人信息保护委员会规则》规定的、被认为在保护个人的权利和利益上处于与我国同等水平的、已建立个人信息保护制度的国家或地区除外。以下本条及第二十六条之二第一款第二项相同)第三方[构建有符合《个人信息保护委员会规则》所规定的标准的、持续采取与本节规定的个人信息处理者就个人数据的处理所应采取的措施相当的措施(在第三款称为“相当措施”)所必需的体制的第三方除外。以下本款、下一款及第二十六条之二第一款第二项相同]提供个人数据的,应当事先取得本人就向境外第三方提供的同意。在此情形,前一条的规定不适用。
个人信息处理者欲依照前一款的规定取得本人的同意时,应当依照《个人信息保护委员会规则》的规定,事先将相关境外个人信息保护制度、第三方采取的个人信息保护措施及其他可供本人参考的信息提供给本人。
个人信息处理者将个人信息提供给境外第三方(仅限于构建有第一款规定的体制的第三方)后,应当依照《个人信息保护委员会规则》的规定,采取必要措施确保该第三方持续采取相当措施,并在本人要求后将该必要措施的相关信息提供给本人。
(有关向第三方提供的记录的制作等)
第二十五条 个人信息处理者将个人数据提供给第三方[第二条第五款各项规定的主体除外。以下于本条、下一条(包括第二十六条之二第三款准用的情形)相同]后,应当依照《个人信息保护委员会规则》的规定,制作有关提供个人数据的年月日、第三方的姓名或名称及其他《个人信息保护委员会规则》所规定的事项的记录。但是,该个人数据的提供属于第二十三条第一款各项或第五款各项的情形之一(在依照前一条第一款的规定提供个人数据的情形,则为第二十三条第一款各项的情形之一)的,不在此限。
个人信息处理者应当将前一款的记录自制作之日起保存至《个人信息保护委员会规则》规定的期限。
(接受第三方提供时的确认等)
第二十六条 个人信息处理者接受第三方提供个人数据时,应当依照《个人信息保护委员会规则》的规定,确认下列事项。但是,个人数据的提供属于第二十三条第一款各项或者第五款各项的情形之一的,不在此限。
(一)该第三方的姓名或名称、住所、法人的情形其法定代表人的姓名;
(二)该第三方收集个人数据的过程。
个人信息处理者进行前一款规定的确认时,同款的第三方不得对该个人信息处理者虚构确认所涉及的事项。
个人信息处理者进行了第一款规定的确认后,应当依照《个人信息保护委员会规则》的规定,制作有关接受个人数据的提供的年月日、确认所涉及的事项及其他《个人信息保护委员会规则》所规定的事项的记录。
个人信息处理者应当将前一款的记录自制作之日起保存至《个人信息保护委员会规则》规定的期限。
(个人相关信息的向第三方提供的限制等)
第二十六条之二 在预计第三方将会把个人相关信息(仅限于构成个人相关信息数据库等的信息。以下相同)作为个人数据收集时,除第二十三条第一款各项规定的情形外,个人相关信息处理者{指第二条第五款各项规定的主体以外的、正在将个人相关信息数据库等[为了能够用电子计算机检索而将特定个人相关信息予以体系化构建以及其他依照政令的规定为了能够容易检索而将特定个人相关信息予以体系化构建的、含有个人相关信息(生存着的个人的信息中,不属于个人信息、假名加工信息及匿名加工信息的部分。以下相同)的信息集合物。以下于本款相同]用于业务的主体。以下相同}未就下列事项事先依照《个人信息保护委员会规则》的规定进行确认的,不得将个人相关信息提供给该第三方。
(一)就第三方接受个人相关信息处理者提供个人相关信息、并将之作为可识别本人的个人数据收集,已取得本人的同意;
(二)在向境外第三方提供的情形,欲取得前一项规定的本人的同意时,已依照《个人信息保护委员会规则》的规定,事先将相关境外个人信息保护制度、第三方采取的个人信息保护措施及其他可供本人参考的信息提供给本人。
第二十四条第三款的规定,准用于个人相关信息处理者依照前一款的规定提供个人相关信息的情形。在此情形,第二十四条第三款中“采取必要措施确保该第三方持续采取相当措施,并在本人要求后将该必要措施的相关信息提供给本人”替换为“采取必要措施确保该第三方持续采取相当措施”。
前一条第二款至第四款的规定,准用于个人相关信息处理者依照本条第一款的规定进行确认的情形。在此情形,前一条第三款中“接受个人数据的提供的年月日”替换为“提供个人数据的年月日”。
(保存中的个人数据的相关事项的公布等)
第二十七条 对于保存中的个人数据,个人信息处理者应当将下列事项置于本人能够知悉的状态(包括根据本人的要求立即予以答复的情形):
(一)个人信息处理者的姓名或名称、住所、法人的情形其法定代表人的姓名;
(二)全部保存中的个人数据的使用目的(属于第十八条第四款第一项至第三项规定的情形除外);
(三)应对下一款规定的要求和下一条第一款(包括同条第五款准用的情形)、第二十九条第一款、第三十条第一款、第三款及第五款规定的请求的程序(在依照第三十条第二款的规定确定手续费的金额的情形,包括该手续费的金额);
(四)前三项规定的事项以外的、政令规定的、确保保存中的个人数据的正当处理所必要的事项。
在本人要求个人信息处理者通知其可识别该本人的保存中的个人数据的使用目的时,个人信息处理者应当立即通知本人。但是,属于下列各项情形之一的,不在此限:
(一)按照前一款的规定,可识别该本人的保存中的个人数据的使用目的是明确的情形;
(二)属于第十八条第四款第一项至第三项规定的情形。
个人信息处理者依照前一款的规定决定不将保存中的个人数据的使用目的通知给本人的,应当立即将该决定通知给本人。
(公开)
第二十八条 本人可以请求个人信息处理者以提供电磁记录的方式及其他《个人信息保护委员会规则》规定的方式公开可识别该本人的保存中的个人数据。
在接到前一款规定的请求后,个人信息处理者应当立即以该本人依照同款的规定所请求的方式(在以该方式公开需要高额的费用的情形或者其他难以以该方式公开的情形,应采用交付书面材料的方式),公开保存中的个人数据。但是,因公开而导致出现下列情形之一的,个人信息处理者可以不公开全部或部分保存中的个人数据:
(一)有可能侵害本人或第三方的生命、身体、财产及其他权利或利益的情形;
(二)有可能对该个人信息处理者的业务的正常实施造成显著障碍的情形;
(三)其他违反法令的情形。
个人信息处理者决定不公开第一款规定的请求所涉及的全部或部分保存中的个人数据时、该保存中的个人数据不存在时、或者难以以本人依照同款的规定所请求的方式公开时,应当立即将相关情况通知给本人。
在已依照其他法令的规定以相当于第二款正文规定的方式之其他方式对本人公开了可识别该本人的全部或部分保存中的个人数据的情形,对于该全部或部分保存中的个人数据,第一款及第二款的规定不适用。
第一款至第三款的规定,准用于第二十五条第一款及第二十六条第三款规定的可识别本人的个人数据的相关记录(依照政令的规定其存在与否明确后将导致公共利益或其他利益受损的情形除外。在第三十二条第二款称为“第三方提供记录”)。
(订正等)
第二十九条 可识别本人的保存中的个人数据的内容并非事实的,该本人可以请求个人信息处理者对该保存中的个人数据的内容进行订正、追加或删除(以下于本条称为“订正等”)。
在接到前一款规定的请求后,除其他法令就该内容的订正等设有特别程序的情形外,个人信息处理者应当立即在达到使用目的所必需的范围内展开必要的调查,并根据调查的结果对保存中的个人数据的内容进行订正等。
个人信息处理者在对前一款规定的请求所涉及的保存中的个人数据的全部或部分内容进行了订正等时、或者决定不进行订正等时,应当立即将相关情况(在进行了订正等的情形,包括订正等的内容)通知给本人。
(停止使用等)
第三十条 可识别本人的保存中的个人数据被以违反第十六条或第十六条之二规定的方式进行处理时、或者被以违反第十七条规定的方式收集时,本人可以请求个人信息处理者停止使用或者删除(以下于本条称为“停止使用等”)该保存中的个人数据。
在接到前一款规定的请求、且查明该请求具备理由后,个人信息处理者应当立即在纠正违法行为所必要的限度内,对该保存中的个人数据采取停止使用等措施。但是,对该保存中的个人数据采取停止使用等措施需要高额的费用或者其他难以采取停止使用等措施、且为保护本人的权利和利益而采取了必要的替代措施的情形,不在此限。
可识别本人的保存中的个人数据被以违反第二十三条第一款或第二十四条规定的方式提供给了第三方时,本人可以请求个人信息处理者停止将该保存中的个人数据提供给第三方。
在接到前一款规定的请求、且查明该请求具备理由后,个人信息处理者应当立即停止将该保存中的个人数据提供给第三方。但是,停止将该保存中的个人数据提供给第三方需要高额的费用或者其他难以停止向第三方提供、且为保护本人的权利和利益而采取了必要的替代措施的情形,不在此限。
个人信息处理者丧失使用可识别本人的保存中的个人数据之必要时、可识别本人的保存中的个人数据发生了第二十二条之二第一款正文规定的事态时、或者对可识别本人的保存中的个人数据的处理有可能使本人的权利或正当利益受到侵害时,本人可以请求个人信息处理者对该保存中的个人数据采取停止使用等措施、或者停止向第三方提供。
在接到前一款规定的请求、且查明该请求具备理由后,个人信息处理者应当立即在防止本人的权利和利益受到侵害所必要的限度内,对该保存中的个人数据采取停止使用等措施、或者停止向第三方提供。但是,对该保存中的个人数据采取停止使用等措施或停止向第三方提供需要高额的费用或者其他难以采取停止使用等措施或停止向第三方提供、且为保护本人的权利和利益而采取了必要的替代措施的情形,不在此限。
个人信息处理者在对第一款或第五款规定的请求所涉及的全部或部分保存中的个人数据采取了停止使用等措施时、或决定不采取停止使用等措施时、或者停止将第三款或第五款规定的请求所涉及的全部或部分保存中的个人数据提供给第三方时、或决定不停止向第三方提供时,应当立即将相关情况通知给本人。
(理由的说明)
第三十一条 个人信息处理者依照第二十七条第三款、第二十八条第三款(包括同条第五款准用的情形)、第二十九条第三款或者前一条第五款的规定通知本人不采取其所要求或所请求的全部或部分措施、或者通知本人采取不同于该措施的其他措施的,应当尽力向本人说明理由。
(应对公开等的请求等的程序)
第三十二条 对于第二十七条第二款规定的要求、或者第二十八条第一款(包括同条第五款准用的情形。于下一条第一款及第三十四条相同)、第二十九条条第一款、第三十条第一款、第三款或第五款规定的请求(以下于本条及第五十三条第一款称为“公开等的请求等”),个人信息处理者可以依照政令的规定确定受理该要求或请求的方式。在此情形,本人应当按照该方式提出公开等的请求等。
个人信息处理者可以要求本人提示足以特定作为公开等的请求等的对象之保存中的个人数据或者第三方提供记录的事项。在此情形,个人信息处理者应当采取适当措施为本人提供有助于特定保存中的个人数据或者第三方提供记录的信息及其他便利,以使本人能够容易且切实地提出公开等的请求等。
公开等的请求等,可以依照政令的规定由代理人提出。
个人信息处理者在依照前三款的规定确定应对公开等的请求等的程序时,应当注意不给本人造成过重的负担。
(手续费)
第三十三条 在被要求进行第二十七条第二款规定的使用目的的通知、或者接到第二十八条第一款规定的公开的请求后,个人信息处理者可以收取实施相关措施的手续费。
个人信息处理者依照前一款的规定收取手续费的,应当在参考实际费用的基础上,在合理的范围内确定手续费的金额。
(事前的请求)
第三十四条 本人欲就第二十八条第一款、第二十九条第一款、或者第三十条第一款、第三款或第五款规定的请求提起诉讼时,应当事先对将在诉讼中成为被告的主体提出相关请求。在该请求到达之日起经过两周前,本人不得提起诉讼。但是,将在诉讼中成为被告的主体拒绝了本人的请求的情形,不在此限。
前一款的请求,在其通常应已到达的时点,视为已到达。
第二款的规定准用于就第二十八条第一款、第二十九条第一款、或者第三十条第一款、第三款或第五款规定的请求申请保全的情形。
(个人信息处理者对投诉的处理)
第三十五条 个人信息处理者应当尽力适当且迅速地处理个人信息处理方面的投诉。
个人信息处理者应当尽力完善达到前一款的目的所必需的体制。
第二节 假名加工信息处理者等的义务
(假名加工信息的制作等)
第三十五条之二 个人信息处理者在制作假名加工信息(仅限于构成假名加工信息数据库等的信息。以下相同)时,应当按照《个人信息保护委员会规则》规定的、不与其他信息相对照就无法识别特定个人所必需的标准,对个人信息进行加工。
个人信息处理者制作了假名加工信息后、或者收集了假名加工信息及其相关删除信息等(指被用于制作假名加工信息的、从个人信息中删除的记述等及个人识别符号和依照前一款的规定进行加工的方式的相关信息。以下本条及准用下一条第三款的同条第七款相同)后,应当按照《个人信息保护委员会规则》规定的、为防止删除信息等发生泄露所必需的标准,为删除信息等的安全管理采取必要的措施。
无论第十六条的规定如何,除以法令为依据的情形外,假名加工信息处理者(仅限于个人信息处理者。以下本条相同)不得超出达到依照第十五条第一款的规定特定的使用目的所必要的范围处理假名加工信息(仅限于个人信息。以下本条相同)。
第十八条的规定适用于假名加工信息时,同条第一款及第三款中“通知给本人,或者予以公布”替换为“予以公布”,同条第四款第一项至第三项中“通知给本人、或者予以公布”替换为“予以公布”。
假名加工信息处理者在丧失使用作为假名加工信息的个人数据及删除信息等的必要后,应当尽力立即删除该个人数据及删除信息等。在此情形,第十九条的规定不适用。
无论第二十三条第一款及第二款和第二十四条第一款的规定如何,除以法令为依据的情形外,假名加工信息处理者不得将作为假名加工信息的个人数据提供给第三方。在此情形,第二十三条第五款中“以上各款”替换为“第三十五条之二第六款”,同款第三项中“通知给本人、或者置于本人能够轻易知悉的状态”替换为“予以公布”,同条第六款中“通知给本人、或者置于本人能够轻易知悉的状态”替换为“予以公布”,第二十五条第一款但书中“属于第二十三条第一款各项或第五款各项的情形之一(在依照前一条第一款的规定提供个人数据的情形,则为第二十三条第一款各项的情形之一)”和第二十六条第一款但书中“属于第二十三条第一款各项或者第五款各项的情形之一”替换为“属于以法令为依据的情形或者第二十三条第五款各项的情形之一”。
假名加工信息处理者在处理假名加工信息时,不得为识别用于制作假名加工信息的个人信息所涉及的本人,而将该假名加工信息与其他信息相对照。
假名加工信息处理者在处理假名加工信息时,不得为打电话、寄送《关于邮政或民间快递业的书信的送达的法律》(平成十四年法律第九十九号)第二条第六项规定的特定快递业者提供的同条第九款的书信、发电报、使用传真或电磁方式(指《个人信息保护委员会规则》所规定的使用电子信息处理系统的方式及其他利用信息通信技术的方式)送信、或者访问居住地,而使用该假名加工信息所含有的联系方式及其他信息。
对于假名加工信息、作为假名加工信息的个人数据及作为假名加工信息的保存中的个人数据,第十五条第二款、第二十二条之二及第二十七条至第三十四条的规定不适用。
(假名加工信息的向第三方提供的限制等)
第三十五条之三 除以法令为依据的情形外,假名加工信息处理者不得将假名加工信息(该信息为个人信息的情形除外。下一款及第三款相同)提供给第三方。
第二十三条第五款及第六款的规定,准用于接受假名加工信息之提供的主体。在此情形,同条第五款中“以上各款”替换为“第三十五条之三第一款”,同款第一项中“个人信息处理者”替换为“假名加工信息处理者”,同款第三项中“通知给本人、或者置于本人能够轻易知悉的状态”替换为“予以公布”,同条第六款中“个人信息处理者”替换为“假名加工信息处理者”,“通知给本人、或者置于本人能够轻易知悉的状态”替换为“予以公布”。
第二十条至第二十二条、第三十五条、前一条第七款及第八款的规定,准用于假名加工信息处理者对假名加工信息的处理。在此情形,第二十条中“泄露、灭失或毁损”替换为“泄露”,前一条第七款中“不得为识别用于制作假名加工信息的个人信息所涉及的本人,而将该假名加工信息与其他信息相对照”替换为“不得为识别用于制作假名加工信息的个人信息所涉及的本人,而收集删除信息等、或者将该假名加工信息与其他信息相对照”。
第三节 匿名加工信息处理者等的义务
(匿名加工信息的制作等)
第三十六条 个人信息处理者在制作匿名加工信息(仅限于构成匿名加工信息数据库等的信息。以下相同)时,应当按照《个人信息保护委员会规则》规定的、使用于识别特定个人及制作匿名加工信息的个人信息无法复原所必需的标准,对个人信息进行加工。
个人信息处理者制作了匿名加工信息后,应当按照《个人信息保护委员会规则》规定的、为防止从用于制作匿名加工信息的个人信息中删除的记述等及个人识别符号和依照前一款的规定进行加工的方式的相关信息发生泄露所必需的标准,为相关信息的安全管理采取必要的措施。
个人信息处理者制作了匿名加工信息后,应当依照《个人信息保护委员会规则》的规定,公布该匿名加工信息所含有的个人相关信息的项目。
个人信息处理者制作匿名加工信息并将该匿名加工信息提供给第三方时,应当依照《个人信息保护委员会规则》的规定,事先公布被提供给第三方的匿名加工信息所含有的个人相关信息中的项目及提供的方式,并同时向该第三方明示提供给其的信息为匿名加工信息。
个人信息处理者制作匿名加工信息并由自己来处理该匿名加工信息时,不得为识别用于制作匿名加工信息的个人信息所涉及的本人,而将该匿名加工信息与其他信息相对照。
个人信息处理者制作了匿名加工信息后,应当尽力为该匿名加工信息的安全管理采取必要且适当的措施,为确保该匿名加工信息的制作及其他处理方面的投诉的处理及其他该匿名加工信息的正当处理采取必要的措施,并公布相关措施的内容。
(匿名加工信息的提供)
第三十七条 匿名加工信息处理者在将匿名加工信息(自己加工个人信息并制作而成的匿名加工信息除外。以下于本节相同)提供给第三方时,应当依照《个人信息保护委员会规则》的规定,事先公布提供给第三方的匿名加工信息所含有的个人相关信息的项目及提供的方式,并同时向该第三方明示提供给其的信息为匿名加工信息。
(识别行为的禁止)
第三十八条 匿名加工信息处理者在处理匿名加工信息时,不得为识别用于制作匿名加工信息的个人信息所涉及的本人,而收集从该个人信息中删除的记述等及个人识别符号和依照第三十六条前一款、《关于保护行政机关所保存的个人信息的法律》(平成十五年法律第五十八号)第四十四条之十第一款(包括准用于同条第二款的情形)、《关于保护独立行政法人等所保存的个人信息的法律》第四十四条之十第一款(包括准用于同条第二款的情形)的规定进行加工的方式的相关信息,或者将该匿名加工信息与其他信息相对照。
(安全管理措施等)
第三十九条 匿名加工信息处理者应当尽力为该匿名加工信息的安全管理采取必要且适当的措施,为确保该匿名加工信息的制作及其他处理方面的投诉的处理及其他该匿名加工信息的正当处理采取必要的措施,并公布相关措施的内容。
第四节 监督
(报告和现场检查)
第四十条 个人信息保护委员会可以在施行前三节及本节规定所必要的限度内,要求个人信息处理者、个人相关信息处理者、假名加工信息处理者、匿名加工信息处理者(以下称为“个人信息处理者等”)及其他相关人员就个人信息、个人相关信息、假名加工信息、匿名加工信息(以下称为“个人信息等”)的处理提交必要的报告或资料,或者让其职员进入到个人信息处理者等或其他相关人员的事务所以及其他必要场所,并对个人信息等的处理展开询问或检查账簿材料及其他物品。
依照前一款的规定进行现场检查的职员应当携带表明其身份的证明书,并在相关人员请求时出示该证明书。
依照第一款的规定进行现场检查的权限,不得解释为以侦查犯罪为目的的权限。
(指导和建议)
第四十一条 个人信息保护委员会可以在施行前三节规定所必要的限度内,就个人信息等的处理对个人信息处理者等进行指导和建议。
(劝告和命令)
第四十二条 个人信息处理者违反第十六条至第十七条、第十八条(包括第一款、第三款及第四款的规定在第三十五条之二第四款的规定下替换适用的情形)、第二十条至第二十二条之二、第二十三条(第四款除外。包括第五款及第六款的规定在第三十五条之二第六款的规定下替换适用的情形)、第二十四条、第二十五条(包括第一款但书的规定在第三十五条之二第六款的规定下替换适用的情形)、第二十六条(第二款除外。包括第一款但书的规定在第三十五条之二第六款的规定下替换适用的情形)、第二十七条、第二十八条[第一款(包括准用于第五款的情形)除外]、第二十九条第二款或第三款、第三十条(第一款、第三款及第五款除外)、第三十三条第二款、第三十五条之二(第四款及第五款除外)、第三十六条(第六款除外)的规定,或者个人相关信息处理者违反第二十六条之二第一款、在第二十六条之二第二款替换准用的第二十四条第三款、在第二十六条之二第三款替换准用的第二十六条第三款及第四款的规定,或者假名加工信息处理者违反第三十五条之三第一款、在第三十五条之三第二款替换准用的第二十三条第五款及第六款、在第三十五条之三第三款替换准用的第二十条至第二十二条及第三十五条之二第七款或第八款的规定,或者匿名加工信息处理者违反第三十七条或第三十八条的规定的,个人信息保护委员会可以在其认为为保护个人的权利和利益而有必要时,劝告该个人信息处理者等为中止相关违法行为及纠正其他违法行为而采取必要的措施。
接到前一款规定的劝告的个人信息处理者等无正当理由而未采取被劝告的措施的,个人信息保护委员会可以在其认为对个人的重大权利或利益的侵害已经迫近时,命令该个人信息处理者等采取被劝告的措施。
无论前两款的规定如何,个人信息处理者违反第十六条至第十七条、第二十条至第二十二条之二、第二十三条第一款、第二十四条第一款或第三款、第三十五条之二第一款至第三款或第六款至第八款、第三十六条第一款或第二款或第五款的规定,或者个人相关信息处理者违反第二十六条之二第一款、在第二十六条之二第二款替换准用的第二十四条第三款的规定,或者假名加工信息处理者违反第三十五条之三第一款、在第三十五条之三第三款替换准用的第二十条至第二十二条及第三十五条之二第七款或第八款的规定,或者匿名加工信息处理者违反第三十八条的规定的,个人信息保护委员会可以在其认为因已存在侵害个人的重大权利或利益之事实而有必要采取紧急措施时,命令该个人信息处理者等为中止该违法行为及纠正其他违法而采取必要的措施。
个人信息保护委员会作出前两款的命令后,个人信息处理者等违反该命令的,个人信息保护委员会可以公布相关情况。
(个人信息保护委员会的权限行使的限制)
第四十三条 个人信息保护委员会在依照前三条的规定要求个人信息处理者等提交报告或资料、或者对其进行现场检查、指导、建议、劝告或命令时,不得妨碍言论自由、学术自由、宗教信仰自由及政治活动自由。
根据前一款规定的立法旨趣,对于个人信息处理者等向第七十六条第一款各项规定的主体(仅限于以该各项规定的目的处理个人信息等的情形)提供个人信息等的行为,个人信息保护委员会不得行使其权限。
(权限的授予)
第四十四条 个人信息保护委员会在其认为因存在紧急且重点确保个人信息等之正当处理的必要以及其他政令规定的事由,而在更为有效地对个人信息处理者等进行第四十二条第一款规定的劝告或者同条第二款或第三款规定的命令上是有必要的时,可以依照政令的规定将第二十二条之二第一款、第四十条第一款、在第五十八条之三第三款替换准用的《民事诉讼法》(平成八年法律第一百零九号)第九十九条、第一百零一条、第一百零三条、第一百零五条、第一百零六条、第一百零八条及第一百零九条、第五十八条之四、第五十八条之五规定的权限授予事务主管大臣。
事务主管大臣行使了依照前一款的规定被授予的权限后,应当依照政令的规定将其结果报告给个人信息保护委员会。
事务主管大臣可以依照政令的规定,将其依照第一款的规定被授予的权限及前一款规定的权限全部或部分授予给《内阁设置法》(平成十一年法律第八十九号)第四十三条规定的地方分支部局及其他政令规定的部局或机关的首长。
内阁总理大臣应当将其依照第一款的规定被授予的权限及第二款规定的权限(仅限于涉及金融厅主管范围的权限,但政令规定的权限除外)授予给金融厅长官。
金融厅长官可以依照政令的规定,将其依照前一款的规定被授予的权限部分授予给证券交易等监督委员会。
金融厅长官可以依照政令的规定,将其依照第四款的规定被授予的权限(已依照前一款的规定被授予给证券交易等监督委员会的权限除外)部分授予给财务局长或财务支局长。
证券交易等监督委员会可以依照政令的规定,将其依照第五款的规定被授予的权限部分授予给财务局长或财务支局长。
证券交易等监督委员会应当就依照前一款的规定被授予给财务局长或财务支局长的权限之相关事务,对财务局长或财务支局长进行指挥和监督。
在第五款规定的情形,就证券交易等监督委员会作出的提交报告或资料的要求(包括依照第七款的规定由财务局长或财务支局长作出该要求的情形)而提出的审查请求,只能对证券交易等监督委员会提出。
(事务主管大臣的请求)
第四十五条 事务主管大臣在其认为个人信息处理者等存在违反前三节规定的行为以及其他为确保个人信息处理者等对个人信息等之正当处理而有必要时,可以要求个人信息保护委员会依照本法的规定采取适当的措施。
(事务主管大臣)
第四十六条 本节规定中的事务主管大臣具体如下:
(一)对于个人信息处理者等所进行的个人信息等的处理中涉及雇用管理的事务,事务主管大臣为厚生劳动大臣(对于涉及船员的雇佣管理的事项,事务主管大臣为国土交通大臣)和主管该个人信息处理者等所开展的业务的大臣、国家公安委员会或赌场管理委员会(下一项称为“大臣等”);
(二)对于个人信息处理者等所进行的个人信息等的处理中前一项规定以外的事务,事务主管大臣为主管该个人信息处理者等所开展的业务的大臣等。
第五节 民间团体对个人信息保护的推进
(认定)
第四十七条 欲以确保个人信息处理者等(个人相关信息处理者除外。以下本节相同)对个人信息等(个人相关信息除外。以下本节相同)的正当处理为目的而开展下列业务的法人(包含章程规定有代表人或管理人的非法人团体。后一条第三项第二目相同),可以获得个人信息保护委员会的认定:
(一)对于业务对象即个人信息处理者等(以下称为“对象经营者”)对个人信息等的处理活动,依照第五十二条的规定进行投诉的处理;
(二)就有利于确保个人信息等之正当处理的事项,向对象经营者提供信息;
(三)前两项规定以外的、确保对象经营者对个人信息等之正当处理的相关必要业务。
前一款的认定可以以欲获得认定的主体的业务对象即个人信息处理者等的行业类别及业务范围为限定。
欲获得第一款的认定的主体应当依照政令的规定向个人信息保护委员会提出申请。
个人信息保护委员会作出第一款的认定的,应当将相关情况(在依照第二款的规定在限定业务范围的基础上作出认定的情形,包括认定的业务范围)予以公示。
(失格条款)
第四十八条 属于下列各项情形之一的主体,不得获得前一条第一款的认定:
(一)依照本法的规定被判处刑罚,自其执行结束或免于执行之日起尚未经过两年的;
(二)依照第五十八条第一款的规定被撤消认定,自该撤消之日起尚未经过两年的;
(三)在执行其业务的高管人员(包含其章程规定有代表人或管理人的非法人团体的代表人或管理人。以下于本条相同)中,存在下列人员之一的:
1. 被判处监禁以上的刑罚、或者依照本法的规定被判处刑罚,自其执行结束或免于执行之日起尚未经过两年的;
2. 依照第五十八条第一款的规定被撤消认定的法人中,于该撤销之日以前三十日内仍曾担任该法人的高管人员,且自该撤消之日起尚未经过两年的。
(认定的标准)
第四十九条 个人信息保护委员会不认为第四十七条第一款的认定的申请具备下列全部要件的,不得作出认定。
(一)章程规定有正当且切实地开展第四十七条第一款各项规定的业务所必需的业务实施方式;
(二)拥有足以正当且切实地开展第四十七条第一款各项规定的业务所必需的知识、能力及经营管理基础;
(三)在同时开展有第四十七条第一款各项规定的业务以外的业务的情形,不存在因开展该业务而导致同款各项规定的业务变得不公正的可能性。
(变更的认定等)
第四十九条之二 已获得第四十七条第一款的认定(包括依照同条第二款的规定在限定业务范围的基础上作出的认定。下一条第一款及第五十八条第一款第五项相同)的主体欲变更该认定所涉及的业务范围的,应当获得个人信息保护委员会的认定。但是,《个人信息保护委员会规则》所规定的轻微变更,不在此限。
第四十七条第三款及第四款和前一条的规定,准用于前一款的变更的认定。
(终止的申报)
第五十条 已获得第四十七条第一款的认定(包括前一条第一款的变更的认定)的主体(以下称为“认定个人信息保护团体”)欲终止该认定所涉及的业务(以下称为“认定业务”)的,应当依照政令的规定,事先向个人信息保护委员会申报。
接到前一款规定的申报后,个人信息保护委员会应当将相关情况予以公示。
(对象经营者)
第五十一条 认定个人信息保护团体应当以同意成为其认定业务的对象的个人信息处理者等为对象经营者。在此情形,即便采取了第五十三条第四款规定的措施,对象经营者不遵守同条第一款规定的个人信息保护指引时,认定个人信息保护团体可以将该对象经营者从认定业务的对象中剔除。
认定个人信息保护团体应当公布其对象经营者的姓名或名称。
(投诉的处理)
第五十二条 认定个人信息保护团体在本人及其他相关人员就其对象经营者对个人信息等的处理方面的投诉向其提出解决的申告后,应当提供咨询,给与申告人必要的建议,并对该投诉所涉及的事项展开调查,同时将该投诉的内容通知给相关对象经营者,并要求其迅速解决。
认定个人信息保护团体在认为为解决前一款的申告所涉及的投诉而有必要时,可以要求相关对象经营者以书面或口头方式说明、或者提供资料。
对象经营者在接到认定个人信息保护团体依照前一款规定提出的要求后,无正当理由,不得拒绝。
(个人信息保护指引)
第五十三条 为了确保对象经营者对个人信息等的正当处理,认定个人信息保护团体应当尽力就个人信息的使用目的的特定、安全管理措施、根据公开等的请求等所实施的程序及其他事项、假名加工信息与匿名加工信息的制作方式、信息安全管理措施及其他事项,听取代表消费者意见的人士及其他相关人员的意见,并在此基础上制定符合本法宗旨的指引(以下称为“个人信息保护指引”)。
认定个人信息保护团体依照前一款的规定制定了个人信息保护指引后,应当立即按照《个人信息保护委员会规则》的规定将该个人信息保护指引报备给个人信息保护委员会。在修订了个人信息保护指引后,同样应当进行报备。
在接到前一款规定的个人信息保护指引的报备后,个人信息保护委员会应当按照《个人信息保护委员会规则》的规定公布该个人信息保护指引。
在个人信息保护委员会依照前一款的规定公布个人信息保护指引后,认定个人信息保护团体应当为让对象经营者遵守该个人信息保护指引而提供必要的指导、劝告及采取其他措施。
(目的外使用的禁止)
第五十四条 认定个人信息保护团体不得将在实施认定业务中知晓的信息用于认定业务以外的目的。
(名称使用的限制)
第五十五条 非认定个人信息保护团体者不得使用“认定个人信息保护团体”这一名称及类似名称。
(报告的征收)
第五十六条 个人信息保护委员会可以在施行本节规定所必要的限度内,要求认定个人信息保护团体就认定业务提交报告。
(命令)
第五十七条 个人信息保护委员会可以在施行本节规定所必要的限度内,命令认定个人信息保护团体改善认定业务的实施方式、修订个人信息保护指引以及采取其他必要的措施。
(认定的撤消)
第五十八条 认定个人信息保护团体出现下列各项情形之一的,个人信息保护委员会可以撤销其认定:
(一)出现第四十八条第一项或第三项规定的情形的;
(二)不再符合第四十九条各项情形之一的;
(三)违反第第五十四条的规定的;
(四)不遵守前一条的命令的;
(五)以不正当手段获得第四十七条第一款的认定或者第四十九条之二第一款的变更的认定的。
个人信息保护委员会依照前一款的规定撤销认定后,应当将相关情况予以公示。
第六节 送达
(应予送达的书面材料)
第五十八条之二 第四十条第一款规定的提交报告或资料的要求、第四十二条第一款规定的劝告、同条第二款及第三款规定的命令、第五十六条规定的报告的征收、第五十七条规定的命令、前一条第一款规定的撤销,应当以送达《个人信息保护委员会规则》所规定的书面材料的方式进行。
第四十二条第二款及第三款和第五十七条规定的命令、前一条第一款规定的撤销所涉及的《行政程序法》(平成五年法律第八十八号)第十五条第一款及第三十条规定的通知,应当以送达同法第十五条第一款、第二款或第三十条规定的书面材料的方式进行。在此情形,同法第十五条第三款(包括在同法第三十一条替换准用的情形)的规定不适用。
(对于送达的民事诉讼法的准用)
第五十八条之三 《民事诉讼法》第九十九条、第一百零一条、第一百零三条、第一百零五条、第一百零六条、第一百零八条及第一百零九条,准用于前一条规定的送达。在此情形,同法第九十九条第一款中“执行官”替换为“个人信息保护委员会的职员”,同法第一百零八条中“审判长”和同法第一百零九条中“法院”替换为“个人信息保护委员会”。
(公示送达)
第五十八条之四 在下列情形,个人信息保护委员会可以采取公示送达:
(一)应受送达的主体的住所、居所及其他应予送达的场所无法知晓的情形;
(二)对于应在域外进行的送达,无法适用在前一条替换准用的《民事诉讼法》第一百零八条的规定、或者即便适用该规定也无法完成送达的情形;
(三)依照在前一条替换准用的《民事诉讼法》第一百零八条的规定向域外的管辖机关发送委托后,经过六个月也未收到证明已送达的书面材料的情形。
公示送达应当以在个人信息保护委员会的公告栏公告应送达的书面材料将随时交付给应接受送达的主体的方式进行。
自前一款规定的公告之日起经过两周后,公示送达发生效力。
就应在域外进行的送达采取公示送达的情形,前一款的期间为六周。
(电子信息处理系统)
第五十八条之五 个人信息保护委员会的职员依照《有关促进信息通信技术在行政等程序中的利用的法律》(平成十四年法律第一百五十一号)第七条第一款的规定,使用同法第六条第一款规定的电子信息处理系统就依照本法第五十八条之二的规定送达书面材料这一点进行《有关促进信息通信技术在行政等程序中的利用的法律》第三条第九项规定的处分通知等相关事务时,对于载明在第五十八条之三替换准用的《民事诉讼法》第一百零九条规定的送达的相关事项的书面材料的制作和提交,应当采用将相关事项记录到使用了电子信息处理系统的个人信息保护委员会的电子计算机(包括输入输出装置)所储存的文件中的方式予以替代。
第五章 个人信息保护委员会
(设置)
第五十九条 依照《内阁府设置法》第四十九条第三款的规定,设置个人信息保护委员会(以下称为“委员会”)。
委员会由内阁总理大臣主管。
(任务)
第六十条 委员会的任务,是为重视个人信息的正当且有效利用对创造新兴产业、实现充满活力的经济社会和富足的国民生活的促进作用以及其他个人信息的有用性,保护个人的权利和利益,而力求确保个人信息的正当处理{包括对个人号码利用事务等实施者[指《关于在行政程序中利用识别特定个人的号码等的法律》(平成二十五年法律第二十七号。以下称为“《号码利用法》”)第十二条规定的个人号码利用事务等实施者]进行指导、建议以及采取其他措施}。
(主管事务)
第六十一条 为完成前一条的任务,委员会主管下列事务:
(一)有关基本方针的制定和推进的事务;
(二)有关对个人信息处理者对个人信息的处理、个人相关信息处理者对个人相关信息的处理、个人信息处理者及假名加工信息处理者对假名加工信息的处理、个人信息处理者及匿名加工信息处理者对匿名加工信息的处理进行监督的事务,有关对《关于保护行政机关所保存的个人信息的法律》第二条第一款规定的行政机关对同条第九款规定的行政机关非识别加工信息(仅限于构成同条第十款规定的行政机关非识别加工信息文件的信息)的处理进行监视的事务,有关对独立行政法人等对《关于保护独立行政法人等所保存的个人信息的法律》第二条第九款规定的独立行政法人等非识别加工信息(仅限于构成同条第十款规定的独立行政法人等非识别加工信息文件的信息)的处理进行监督的事务,以及有关向就个人信息、假名加工信息及匿名加工信息的处理方面的投诉的申告进行必要的斡旋及其他处理活动的个人信息处理者等提供协助的事务(第四项规定的事务除外);
(三)有关认定个人信息保护团体的事务;
(四)有关向特定个人信息(指《号码利用法》第二条第八款规定的特定个人信息。第六十三条第四款相同)的处理方面的监视或监督以及投诉的申告进行必要的斡旋及其他处理活动的个人信息处理者等提供协助的事务;
(五)有关特定个人信息保护评价(指《号码利用法》第二十七条第一款规定的特定个人信息保护评价)的事务;
(六)有关推广和启发个人信息的保护及正当且有效的利用的事务;
(七)有关为实施前几项规定的事务所必需的调查和研究的事务;
(八)有关主管事务所涉及的国际协作的事务;
(九)前几项规定以外的、法律(包括依照法律作出的命令)授权给委员会的事务。
(职权行使的独立性)
第六十二条 委员会的委员长及委员,独立行使其职权。
(组织等)
第六十三条 委员会由委员长及八名委员组成。
委员中,四人采用非专任制。
委员长及委员从人格高尚、见识卓越的人士中产生,并经过参、众两院同意后,由内阁总理大臣任命。
委员长及委员中应当包括具有个人信息保护和正当且有效利用方面的学识和经验的人士、在消费者保护方面具有丰富的知识和经验的人士、具有信息处理技术方面的学识和经验的人士、具有特定个人信息所被使用的行政领域方面的学识和经验的人士、在民间企业的实务方面具有丰富的知识和经验的人士以及联合组织(指《地方自治法》(昭和二十二年法律第六十七号)第二百六十三条之三第一款的联合组织中进行了同款规定的申报的组织)所推荐的人士。
(任期等)
第六十四条 委员长及委员的任期为五年。但是,递补的委员长及委员的任期为其前任的剩余任期。
委员长及委员,可以再任。
委员长及委员的任期届满后,在后任获得任命之前,该委员长及委员应当继续履行职务。
在委员长或委员的任期届满、或者出现缺额的情形,因国会闭会或众议院解散而导致无法获得参、众两院的同意的,则无论前一条第三款的规定如何,内阁总理大臣均可以从具有同款规定的资格的人士中任命委员长或委员。
在前一款的情形,被任命的委员应当在其任命后最初召开的国会上获得参、众两院的事后追认。在此情形,若无法获得参、众两院的事后追认的,则内阁总理大臣应当立即罢免该委员长或委员。
(身份保障)
第六十五条 除下列各项情形外,委员长及委员不受违反其自身意愿的罢免:
(一)接到破产清算程序开始的裁定;
(二)因违反本法或《号码利用法》而被判处刑罚;
(三)被判处监禁以上的刑罚;
(四)委员会认定其由于身心上的障碍而无法执行职务、或者存在违反职务上的义务及其他不适合担任委员长或委员的行为。
(罢免)
第六十六条 委员长或委员出现前一条各项规定的情形的,内阁总理大臣应当罢免该委员长或委员。
(委员长)
第六十七条 委员长总管委员会的会务,并代表委员会。
委员会应当事先从专任的委员中确定在委员长出现事故时代理委员长的人选。
(会议)
第六十八条 委员会的会议,由委员长召集。
非有委员长和四名以上的委员出席,委员会不得召开会议、进行决议。
委员会的议事由出席者的过半数通过。赞成与反对的票数相同时,由委员长决定是否通过。
无论前一款的规定如何,委员会作出第六十五条第四项的认定,必须由除该本人以外的全员一致赞成。
对于委员长出现事故的情形,在第二款规定的适用上,前一条第二款规定的代理委员长的委员视为委员长。
(专门委员)
第六十九条 委员会可以为调查专门事项而设置专门委员。
专门委员由内阁总理大臣根据委员会的申请予以任命。
在相关专门事项的调查结束后,应当解任专门委员。
专门委员采用非专任制。
(事务局)
第七十条 委员会可以为处理委员会的事务而设置事务局。
事务局应当设置事务局长及其他职员。
事务局长受委员长之命掌管局务。
(政治活动等的禁止)
第七十一条 委员长及委员在任期间不得担任政党及其他政治团体的干部,或者积极地参与政治活动。
除获得内阁总理大臣的许可外,委员长和专任的委员在任期间不得以收取报酬的方式担任其他职务,或者从事营利事业以及其他以金钱利益为目的的业务。
(保密义务)
第七十二条 委员长、委员、专门委员及事务局的职员不得泄露或盗用在职务中获悉的秘密。在去职后,也同样对待。
(薪资)
第七十三条 委员长及委员的薪资由法律另行规定。
(规则的制定)
第七十四条 委员会可以为实施法律或政令、或者依据法律或政令的特别授权,就其主管的事务制定《个人信息保护委员会规则》。
第六章 杂则
(适用范围)
第七十五条 对于个人信息处理者等在向境内的主体提供商品或服务的过程中收集了以该主体为本人的个人信息,然后在境外处理该个人信息、被当作该个人信息收集的个人相关信息、或者用该个人信息制作而成的假名加工信息或匿名加工信息的情形,本法同样适用。
(适用除外)
第七十六条 对于个人信息处理者等中属于下列各项规定情形者,在其处理个人信息等的全部或部分目的相应地为下列各项规定的目的时,第四章的规定不适用:
(一)放送机构、报社、通信社及其他报道机构(包括以报道为业的个人) 以供报道之用为目的;
(二)以著述为业者 以供著述之用为目的;
(三)大学及其他以学术研究为目的的机构、团体及其所属的个人 以供学术研究之用为目的;
(四)宗教团体 以供宗教活动(包括其附随活动)之用为目的;
(五)政治团体 以供政治活动(包括其附随活动)之用为目的。
前一款第一项规定的“报道”,是指将客观事实作为事实告知给不特定的多数人(包括在此基础上表达意见或见解的情形)。
第一款各项规定的个人信息处理者等应当尽力为个人数据、假名加工信息或匿名加工信息的安全管理采取必要且适当的措施,为确保个人信息等(个人相关信息除外。以下本款相同)的处理方面的投诉得到处理以及其他个人信息等的正当处理采取必要的措施,并公布该措施的内容。
(地方公共团体处理的事务)
第七十七条 地方公共团体的首长及其他执行机关可以依照政令的规定,执行本法规定的委员会的权限以及依照第四十四条第一款或第四款的规定被授予给事务主管大臣或金融厅长官的权限的所属事务。
(向外国执行当局提供信息)
第七十八条 委员会可以向执行相当于本法的外国法令的外国当局(以下于本条称为“外国执行当局”)提供其认为有利于该外国执行当局之职务(仅限于相当于本法规定的委员会职务的职务。下一款相同)执行的信息。
在委员会依照前一款的规定提供信息的情形,外国执行当局应当采取适当的措施,确保该信息不被使用于其职务执行以外的方面,而且未经后一款规定的同意的情况下不被使用于外国刑事案件的侦查(仅限于作为对象的犯罪事实已经被特定后的侦查)或审判(在同款称为“侦查等”)中。
在接到外国执行当局的请求后,除下列各项情形外,委员会可以同意外国执行当局将依照第一款规定提供的信息用于其请求所涉及的外国刑事案件的侦查等。
(一)被作为该请求所涉及的刑事案件的侦查等之对象的犯罪为政治犯罪、或者足以认为该请求是以就政治犯罪展开侦查等为目的而提出的;
(二)被作为该请求所涉及的刑事案件的侦查等之对象的犯罪所涉及的行为是在日本国内实施的,且该行为依照日本的法令并不属于犯罪;
(三)提出请求的国家并未保证在日本提出同类请求时会给与配合。
委员会作出前一款的同意,应当事先就不属于同款第一项及第二项规定的情形获得法务大臣的确认,并就不属于同款第三项规定的情形获得外务大臣的确认。
(国际约定的诚实履行等)
第七十八条之二 本法的施行,应当注意不妨碍我国缔结的条约及其他国际约定的诚实履行,并遵守已确立的国际法。
(对国会的报告)
第七十九条 委员会应当每年经内阁总理大臣向国会报告其主管事务的处理状况,并同时公布该处理状况的概要。
(联系和协作)
第八十条 内阁总理大臣和与本法之施行有关的行政机关[指依照法律的规定而设置于内阁的机关(内阁府除外)以及内阁主管之下的机关、内阁府、宫内厅、《内阁府设置法》第四十九条第一款和第二款规定的机关及《国家行政组织法》(昭和二十三年法律第一百二十号)第三条第二款规定的机关]的首长,应当紧密联系并相互协作。
(对政令的授权)
第八十一条 本法规定以外的、在本法的实施上所必要的事项,由政令予以规定。
第七章 罚则
第八十二条 违反第七十二条的规定泄露或盗用秘密的,处两年以下有期徒刑或一百万日元以下罚金。
第八十三条 违反第四十二条第二款或第三款规定的命令的,对于实施了该违法行为的主体,处六个月以下的有期徒刑或三十万日元以下罚金。
第八十四条 个人信息处理者[在其是法人(包括章程规定有代表人或管理人的非法人团体。第八十七条第一款相同)的情形,为其高管人员、代表人或管理人]或其员工、或者曾经是这些主体的主体以为自己或第三方谋求不正当利益为目的而提供或盗用其在业务中处理过的个人信息数据库等(包括对其全部或部分复制或者加工的情形)的,处一年以下有期徒刑或五十万日元以下罚金。
第八十五条 有下列各项规定的情形之一的,对于实施了该违法行为的主体,处五十万日元以下罚金:
(一)未提交第四十条第一款规定的报告或资料、提交虚假的报告、提交虚假的资料,或者不回答委员会职员的质询、作出虚假的答复,或者拒绝、妨碍或回避检查;
(二)未提交第五十六条规定的报告,或者提交虚假的报告。
第八十六条 第八十二条和第八十四条的规定,对在日本以外实施了这两条规定的犯罪行为的主体同样适用。
第八十七条 法人的法定代表人、或者法人或自然人的代理人、职工及其他员工就该法人或自然人的业务实施了下列各项规定的违法行为时,除处罚行为人外,还应当对该法人处本条各项规定的罚金,对该自然人处各条规定的罚金:
(一)第八十三条和第八十四条 一亿日元以下的罚金;
(二)第八十五条 同条规定的罚金。
对于非法人团体适用前一款规定的情形,其代表人或管理人在诉讼行为上代表非法人团体外,并且准用以法人为被告或犯罪嫌疑人时的刑事诉讼相关法律的规定。
第八十八条 有下列各项规定的情形之一的,处十万日元以下的罚款:
(一)违反第二十六条第二款(包括在第二十六条之二第三款准用的情形)或第五十五条的规定的;
(二)未进行第五十条第一款规定的申报、或者进行虚假的申报的。
#DPOHUB介绍#
愿景
一个聚焦数据隐私和数据安全的非盈利性高端学术平台;
一个整合法律、技术及管理的专业数据合规生态体;
一个制造干货、相互赋能及塑造职业品牌的数据合规共同体。
实践
宗旨:实现国际化和本土化深入融合的高端智库。以全球视野,为中国数据立法建言;以中国智慧,为国际数据规则献策。
定位:强调俱乐部的公益性、专业性及影响力。
形式:定期举行线下闭门会议,至少2月一次。
主题:意在解决企业最急需解决的数据合规实务问题。
方案:聚焦“法律+技术+管理”的落地化解决方案,强调差异化策略。
成员:发起人和会员都仅限甲方,乙方只能以合作者或志愿者方式有限度地参与。
特色:定期发布深度报告和白皮书,并择机结集出版。
会员申请|DPOHUB数据保护官俱乐部
申请条件
认可DPOHUB的理念及宗旨;
愿意积极参与DPOHUB的线上线下活动;
愿意参与撰写深度报告、白皮书及实务文章;
在甲方从事数据隐私或数据安全的工作;
愿意缴纳年费。
扫描二维码,立即报名