個人情報保護法施行細則 2016-03-02

個人情報保護法施行細則
公布期日：1996-05-01
改正期日：2016-03-02

2016年3月2日法務部法令字第10503502120号により、第 9～15、17、18条改正公布；2016年3月15日より施行

第 1 条
本細則は個人情報保護法（以下本法という）第55条の規定により制定する。

第 2 条
本法にいう個人とは、現在生存する自然人をいう。 

第 3 条
本法第2条第1号にいう間接的方法で識別できるとは、当該情報を有する公務機構又は非公務機関がこの情報のみをもって直接識別することができず、その他の情報と照合、組み合わせ、結びつけるなどして、始めて当該特定個人を識別できることをいう。 

第 4 条
本法第2条第1号にいうカルテの個人情報とは、医療法第67条第2　　項に記載されている各号の情報をいう。
本法第2条第1号にいう医療の個人情報とは、カルテ及び医師又はその他の医事人員により、病気、傷害、身体障害の治療、矯正、予防を目的とするか、又はその他の医学上の正当な理由をもって、行われる診察及び治療、又は前記の診察結果に基づく処方、投薬、施術若しくは処置により生じた個人の情報をいう。
本法第2条第1号にいう遺伝子の個人情報とは、人体のDNAから構成され、特定機能を支配する遺伝単位の情報をいう。
本法第2条第1号にいう性生活の個人情報とは、性的指向又は性的慣行の情報をいう。
本法第2条第1号にいう健康診断の個人情報とは、特定疾病に対する診断又は治療を行う目的で、医療行為による検査で生じた情報ではない。
本法第2条第1号にいう犯罪前科の個人情報とは、起訴猶予、職権による不起訴又は裁判所による有罪判決の確定、執行の記録をいう。 

第 5 条
本法第2条第2号所定の個人情報ファイルは、ファイルバックアップを含む。

第 6 条
本法第2条第4号にいう削除とは、すでに保存した個人情報を個人情報ファイルから消すことをいう。
本法第2条第4号にいう内部伝達とは、公務機関又は非公務機関自体の内部データの伝達をいう。

第 7 条
個人情報の収集、管理又は利用の委託を受けた法人、団体又は自然人は、委託機関に適用すべき規定によりこれを行う。 

第 8 条
他人に個人情報の収集、管理又は利用を委託するに当たって、委託機関は受託者に対して適切な監督を行わなければならない。
前項の監督は、少なくとも次に掲げる事項を含まなければならない。
一、収集、管理又は利用しようとする個人情報の範囲、種類、特定目的及びその期間。
二、受託者が、第12条第2項について講じる措置。
三、再受託した者がいるときは、その約定の受託者。
四、受託者又はその被用者が本法、他の個人情報保護法又はその法規命令に違反したときの委託機関に通知すべき事項及び取るべき救済措置。
五、委託機関がもし受託者に対して指示を保留したときのその保留した指示事項。
六、委託関係の終了又は解除のときの個人情報記憶メディアの返還、及び受託者が委託契約の履行により保存の方法で所持する個人情報の削除。
第一項の監督について、委託機関は、定期的に受託者による執行状況の確認、且つ確認結果の記録を行わなければならない。
受託者は、委託機関が指示する範囲においてのみ、個人情報の収集、管理又は利用をすることができる。受託者は委託機関の指示が本法、他の個人情報保護法又はその法規命令に違反すると認めたとき、直ちに委託機関に通知しなければならない。 

第 9 条
本法第6条第1項但書第1号、第8条第2項第1号、第16条但書第1号、第19条第1項第1号、第20条第1項但書第1号にいう法律とは、法律又は法律により具体的且つ明確に授権した法規、命令をいう。 

第 10 条
本法第6条第1項但書第2号及び第5号、第8条第2項第2号及び第3号、第10条但書第2号、第15条第1号、第16条にいう法定職務とは、次に掲げる法律で規定されている公務機関の職務をいう。
一、法律、法律の授権による命令。
二、自治条例。
三、法律又は自治条例の授権による自治規則。
四、法律又は中央（政府）法規の授権による委託規則。 

第 11 条
本法第6条第1項但書第2号及び第5号、第8条第2項第2号にいう法定義務とは、非公務機関が法律又は法律により具体的且つ明確に授権した法規、命令で規定した義務をいう。

第 12 条
本法第6条第1項但書第2号及び第5号にいう適切な安全維持措置、第18条にいう安全維持事項、第19条第1項第2号及び第27条第1項にいう適切な安全措置とは、公務機関又は非公務機関が、個人情報が窃取、改ざん、毀損、滅失又は漏洩されることを防ぐために、行う技術的又は組織的な措置をいう。
前項措置は、次に掲げる事項を含むことができ、且つ個人情報の保護を果たそうとする目的との間に、適切な比率があることを原則とする。
一、管理者及び相当な資源の配置。
二、個人情報範囲の確定。
三、個人情報のリスク評価及び管理体制。
四、事故の予防、通報及び対応体制。
五、個人情報の収集、管理及び利用にあたる内部管理手順。
六、情報の安全管理及び人員管理。
七、認識についての広報及び教育研修。
八、設備の安全管理。
九、情報安全に関する検査体制。
十、使用記録、履歴資料及び証拠の保存。
十一、個人情報安全維持の全体的、持続的改善。 

第 13 条
本法第6条第1項但書第3号、第9条第2項第2号、第19条第1項第3号にいう、当事者自ら公開の個人情報とは、当事者が自ら不特定の人又は特定多数の人に対して開示した個人情報をいう。
本法第6条第1項但書第3号、第9条第2項第2号、第19条第1項第3号にいう、合法的に公開した個人情報とは、法律又は法律が具体的、明確に授権した法規、命令により、公示、公告又はその他合法的な方法で公開された個人情報をいう。

第 14 条
本法第6条第1項但書第6号、第11条第2項及び第3項但書所定の当事者の書面による同意方法については、電子署名法の規定により、電子書面で行うことができる。 

第 15 条
本法第7条第2項所定の単独で行う意思表示について、もしそれを他の意思表示と同一の書面で行うとき、収集者は、適切な位置で当事者にその内容を知らせ、且つ同意の確認を得なければならない。

第 16 条
本法第8条、第9条及び第54条所定の告知方法は、口頭、書面、電話、ショートメッセージ、電子メール、ファックス、電子書面又は当事者が知悉又は知ることができるに十分なその他の方法で行うことができる。 

第 17 条
本法第6条第1項但書第4号、第9条第2項第4号、第16条但書第5号、第19条第1項第4号及び第20条第1項但書第5号にいう、特定当事者を識別できない情報とは、一部の資料をコード、匿名にしたり、隠蔽するか、又はその他の方法により当該特定個人を識別できない個人情報をいう。

第 18 条
本法第10条但書第3号にいう第三者の重大な利益の妨害になるとは、第三者個人の生命、身体、自由、財産又はその他重大な利益の害になることをいう。

第 19 条
当事者が、本法第11条第1項の規定により、公務機関又は非公務機関に対して個人情報の修正又は補充を要求するとき、適切な釈明をしなければならない。

第 20 条
本法第11条第3項にいう特定目的の消失とは、次に掲げるいずれかの事由に該当することをいう。
一、公務機関の撤廃又は組織変更により業務を受理する機関がなくなった。
二、非公務機関の運営停止、解散により、業務を受理する機関がなくなったり、その従事する事業項目の変更により元の収集目的に合致しなくなった。
三、特定目的が既に達成され、継続的な管理又は利用の必要がなくなった。
四、当該特定目的が達成できない又は存在しないと認定するに足りる他の事由に該当する。

第 21 条
次に掲げるいずれかの事由に該当するものは、本法第11条第3項但書所定の職務執行又は業務のために必須なものである。
一、法令規定又は契約において保存期限の約定がある。
二、削除すると、当事者の保護に値する利益の侵害につながると認定するに足りる理由がある。
三、削除できないその他正当な事由がある。 

第 22 条
本法第12条にいう適切な方法による通知とは、即時に口頭、書面、電話、ショートメッセージ、電子メール、ファックス、電子書面又は当事者が知悉又は知ることができるその他の方法で行うことをいう。ただし、掛かる費用が多すぎる場合、技術的実行性及び当事者のプライバシー保護を考慮し、インターネット、新聞メディア又はその他適切な公開方法で行うことができる。
本法第12条の規定により、当事者に通知するに当たっては、その内容に個人情報が侵害された事実及び既に採った対応策が含まれていなければならない。

第 23 条
公務機関の本法第17条の規定による公開は、個人情報ファイル作成後、一ヶ月以内に行わなければならない。変更時も同様である。公開の方法は特定とし、任意的変更は避けなければならない。
本法第17条にいうその他適切な方法とは、政府公報、新聞、雑誌、メールマガジン又はその他公衆の閲覧に供することができる方法で公開することをいう。

第 24 条
公務機関が個人情報ファイルを保有するときは、個人情報保護ポリシーを制定しなければならない。 

第 25 条
本法第18条にいう特定の人員とは、個人情報ファイルを管理及び維持する能力があり、且つ機関で個人情報ファイル安全維持のための継続的な仕事を担当することができる人員をいう。
公務機関は、特定の人員に安全維持事項を処理する能力を持たせるために、専門分野に関連する教育研修を受けさせなければならない。 

第 26 条
本法第19条第1項第2号所定の契約又は契約に類似する関係については、本法改正施行後に成約したものに限らない。

第 27 条
本法第19条第1項第2号所定の契約関係は、主契約、及び非公務機関が当事者との当該契約を履行するために、必要な第三者との接触、交渉又は連絡行為及び支払又は第三者への支払い行為にかかわるものを含む。
本法第19条第1項第2号にいう類似契約の関係とは、次に掲げるいずれかの状況に該当するものをいう。
一、非公務機関と当事者との間で成約の前に、契約締結の準備若しくは交渉、又は取引の目的のために、行う接触又は交渉行為。
二、契約が無効、取消し、解除、終了により消滅又は履行完了したときに、非公務機関と当事者が、権利の行使、義務の履行、又は個人情報の完全性の確保を目的とする連絡行為。 

第 28 条
本法第19条第1項第7号にいう一般的に得られる出所とは、マスメディア、インターネット、新聞、雑誌、政府公報及びその他一般人が個人情報を知悉又はそれと接触することができるルートをいう。 

第 29 条
本法第22条の規定に基づく検査の実施にあたっては、秘密保持及び検査を受けた者の名誉に注意しなければならない。 

第 30 条
本法第22条第2項の規定により、没収又は証拠となり得る個人情報やそのファイルを押収又は複製するにあたっては、受領書を作成し、それにその名称、数量、所有者、場所及び期間を記載しなければならない。
本法第22条第1項及び第2項の規定に基づく検査の実施後に、記録を作成しなければならない。
前項の記録をその場で作成したときは、受検者に閲覧及び署名をさせ、且つその写しを渡さなければならない。署名を拒否したときは、その事由を明記しなければならない。
事後に記録を作成したときは、受検者に送達し、且つ一定期間において意見の陳述をすることができると告知しなければならない。 

第 31 条
本法第52条第1項にいう公益団体とは、民法又はその他の法律により設立され、且つ個人情報を保護する専門能力を有する公益社団法人、財団法人及び行政法人をいう。 

第 32 条
本法改正施行前に既に収集又は管理していた、当事者が提供した個人情報については、改正施行後も管理を継続し、及び特定目的で利用することができる。特定目的の利用以外の場合は、本法の改正施行後の規定によらなければならない。 

第 33 条
本細則の施行期日は、法務部により定める。