日本个人信息保护法.doc

日本个人信息保护法[01] 　（平成15年[02]法律第57号）吕艳滨* 译目次    第一章总则（第1条-第3条）    第二章国家以及地方公共团体的职责等（第4条-第6条）    第三章个人信息保护的措施等    第一节个人信息保护的基本方针（第7条）    第二节国家的政策（第8条-第10条）    第三节地方公共团体的政策（第11条-第13条）    第四节国家以及地方公共团体的协助（第14条）    第四章个人信息处理业者的义务等    第一节个人信息处理业者的义务（第15条-第36条）    第二节民间团体对个人信息保护的推进（第37条-第49条）    第五章杂则（第50条-第55条）    第六章罚则（第56条-第59条）    附则     第一章 总则    （目的）    第1条有鉴于随着高度信息通信社会的不断发展，对个人信息的利用显著扩大，本法特就个人信息的正当处理，对其基本理念、政府制定基本方针以及其他个人信息保护措施的基本事项作出规定，对国家以及地方公共团体的职责等予以明确，同时，对个人信息处理业者应遵守的义务等做出规定，以期在充分顾及个人信息的有用性的同时对个人的权利利益加以保护。

    （定义）    第2条本法所称的"个人信息"系指，与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分（包含可以较容易地与其他信息向比照并可以借此识别出特定个人的信息）    2本法所称的"个人信息数据库等"系指，下述各项所规定的包含个人信息的集合物    一、可以利用计算机检索特定的个人信息的、系统地构成的物品；    二、除了前项所规定的物品之外，由政令规定的、可以容易地检索个人信息的、系统地构成的物品    3本法所称的"个人信息处理业者"系指，将个人信息数据库用于其业务的当事人但是，下述当事人除外    一、国家机关；    二、地方公共团体；    三、独立行政法人等（指《关于保护独立行政法人等所持有之个人信息的法律》（平成15年[03]（2003年）法律第59号）第2条第1款所规定的独立行政法人等以下相同    四从其所处理的个人信息的数量以及利用方法考虑，对个人的权利利益造成危害的可能性较小且由政令所规定的当事人    4本法所称的"个人数据"系指，构成个人数据库等的个人信息    5本法所称的"所持有之个人数据"系指，个人信息处理业者有权公开、修订、追加、删除、停止利用、消去以及停止向第三者提供的个人数据，但是，不包括根据政令之规定、因明确其存在与否而有害于公共利益以及其他利益的数据或者根据政令之规定应在一年之内消去的数据。

    6本法就个人信息所称的"本人"系指，利用个人信息可识别出的特定个人    （基本理念）    第3条鉴于应当在尊重个人人格的理念之下慎重处理个人信息，有关方面必须设法正当处理个人信息     第二章 国家以及地方公共团体的职责等    （国家的职责）    第4条国家有责任根据本法之规定制定确保正当处理个人信息所必需的综合性政策，并加以实施    （地方公共团体的职责）    第5条地方公共团体有责任依照本法之规定，根据该地方公共团体所在区域的特殊情况，制定确保正当处理个人信息所必需的政策，并加以实施    （法制上的措施等）    第6条政府应当针对国家行政机关采取法制上的措施以及其他必要的措施，以便综合考虑该行政机关所持有之个人信息的性质、持有该个人信息的目的等，确保其正当处理所持有之个人信息    2政府应当针对独立行政法人采取法制上的措施以及其他必要的措施，以便根据其性质以及业务内容确保其正当处理所持有之个人信息    3除上述两项的规定以外，政府应当采取必要的法制上的措施以及其他措施，以便根据个人信息的性质和利用方法，对于进一步保护个人的权利利益、特别是确保对个人信息严格地进行正当处理所必需的个人信息，采取加以保护所必需的特别措施。

     第三章 个人信息保护的政策等    第一节个人信息保护的基本方针    第7条政府必须制定有关个人信息保护的基本方针（以下称为"基本方针"），以便综合性地、从整体上推进保护个人信息的相关措施    2基本方针应当包括下述事项：    一推进个人信息保护措施的基本性方向；    二国家应就保护个人信息所采取的措施所涉及的事项；    三地方公共团体应就保护个人信息所采取的措施所涉及的基本性事项；    四独立行政法人等应就保护个人信息所采取的措施所涉及的基本性事项；    五个人信息处理业者以及根据第40条第1款之规定所认定的个人信息保护团体应就保护个人信息所采取的措施所涉及的基本性事项；    六与顺畅地处置涉及个人信息处理的投诉有关的事项；    七其他推进个人信息保护的措施所涉及的重要事项；    3内阁总理大臣必须听取国民生活审议会的意见，制定基本方针的方案，并请求内阁会议予以决定    4前一款所规定的内阁会议的决定一经作出，内阁总理大臣必须毫不迟延地公布基本方针    5前两款之规定准用于基本方针的变更    第二节国家的措施    （对地方公共团体等的支持）    第8条为了对地方公共团体制定或者实施个人信息保护措施以及对确保公民或业者等恰当地处理个人信息进行支持，国家应当制定准则或者采取其他必要的措施，以便恰当且有效地提供信息、实施业者等所应采取的措施。

    （处理投诉所需的措施）    第9条国家应当采取必要的措施恰当且迅速地处理因处理个人信息而发生于业者和本人之间的投诉    （确保正当处理个人信息所需的措施）    第10条国家应当采取必要的措施通过同地方公共团体恰当地划分职能，确保下一章所规定的个人信息处理业者能够正当地处理个人信息    第三节地方公共团体的措施    （对所持有之个人信息的保护）    第11条地方公共团体必须充分考虑其所持有之个人信息的性质、持有该个人信息的目的等，采取必要的措施确保正当处理其所持有之个人信息    （对本区域内业者等的支持）    第12条地方公共团体必须采取必要的措施支持本区域内的业者以及居民正当处理个人信息    （对处理投诉的协助等）    第13条地方公共团体必须协助对投诉进行处理或者采取其他必要的措施，以便恰当且迅速地处理因处理个人信息而发生于业者与本人之间的投诉    第四节国家以及地方公共团体的协作    第14条国家以及地方公共团体应当相互协作，采取与个人信息保护有关的措施     第四章 个人信息处理业者的义务等    第一节个人信息处理业者的义务    （利用目的之特定）    第15条个人信息处理业者在处理个人信息时，必须尽可能将其利用目的（以下称为"利用目的"）加以特定。

    2 个人信息处理业者变更其利用目的的，不得超出被合理地认定为与变更前的利用目的具有相当关联性的范围    （利用目的上的限制）    第16条个人信息处理业者处理个人信息时，未经本人事先同意，不得超出实现根据前一条之规定而予以特定的利用目的所必需的范围    2个人信息处理业者因合并以及其他事由自其他个人信息处理业者处承袭业务并取得个人信息的，未经本人事先同意，不得超出承袭该业务前为实现该个人信息的利用目的所需的范围处理该个人信息    3前两款之规定不适用于以下情形：    一根据法令之规定可以超出利用范围的；    二对于保护人的生命、身体或者财产极为必要但又很难得到本人同意的；    三对于提高公众卫生或者推进儿童的健康成长有着特殊的需要但又很难得到本人同意的；    四对于国家机关、地方公共团体或者受其委托的当事人完成法令所规定之事务有着予以协助的必要且因得到本人的同意而有可能给该事务之完成造成障碍的    （正当获取）    第17条个人信息处理业者不得以虚假或者其他不正当的手段获取个人信息    （获取个人信息时对利用目的的通知等）    第18条个人信息处理业者取得个人信息之后，除事先公布其利用目的之外，必须尽快将其利用目的通知本人或者予以公布。

    2无论前一款之规定如何，个人信息处理业者同本人签订合同的同时取得记载于合同书以及其他书面资料（包括以电子方式、电磁方式以及其他利用不可以依靠人的知觉加以识别的方式制作的记录以下于本款中相同中的该本人的个人信息以及其它从本人处直接取得记载于书面的该本人之个人信息的，必须事先向本人明示其利用目的但是，对于保护人的生命、身体或者财产有着紧迫的必要的，不在此限    3个人信息处理业者变更利用目的的，必须就已变更的利用目的通知本人或者予以公布    4前三款的规定不适用于下述情形：    一因将利用目的通知本人或者予以公布而有可能危害到第三人的生命、身体、财产以及其他权利利益的；    二因将利用目的通知本人或者公布而有可能危害到该个人信息处理业者的权利或者正当利益的；    三有必要对国家机关或者地方公共团体完成法令所规定之事务提供协作，但是因将利用目的通知本人或予以公布而有可能有碍于完成该事务的；    四从个人信息取得的情形可以认定该利用目的极为明确的    （对数据内容正确性之确保）    第19条个人信息处理业者必须在实现利用目的所必需的范围之内努力确保个人数据具备正确且最新的内容。

    （安全管理措施）    第20条个人信息处理业者必须采取必要且适当的措施防止其所处理之个人数据的泄漏、灭失或毁损以及采取其他措施对个人数据进行安全管理    （对从业者的监督）    第21条个人信息处理业者令其从业者处理个人数据的，必须对该从业者采取必要且适当的监督，以便保障对该个人数据的安全管理    （对被委托人的监督）    第22条个人信息处理业者委托他人从事全部或者部分个人数据的处理业务的，应当对被委托人采取必要且适当的监督，以便保障对被委托处理的个人数据进行安全管理    （向第三人提供个人数据的限制）    第23条除下述情形之外，个人信息处理业者未经本人同意不得向第三人提供个人数据    一依据法令之规定的；    二对于保护人的生命、身体或者财产极为必要但是取得本人同意较为困难的；    三对于提高公共卫生或者推进儿童的健康成长有着特殊的需要但是取得本人同意较为困难的；    四有必要对国家机关、地方公共团体或者受其委托的当事人完成法令所规定的事务进行协作但是如果取得本人的同意将有可能对该事务的完成产生障碍的；    2个人信息处理业者对于向第三人提供的个人数据，应本人之请求应当停止将可识别该本人的个人数据提供给第三人的，就如下事项，如事先已通知本人或者本人处于容易知悉该情形的状态的，则无论前一款之规定如何，均可以将该个人数据提供给第三人。

    一以向第三人提供为其目的的；    二向第三人提供的个人数据的项目；    三向第三人提。