令和４年４月１日施行される個人情報保護法より、「個人情報取扱事業者及び個人関連情報取扱事業者の義務（民間分野）」の条文を抜粋、これからnoteを使って、ガイドラインやQAの内容を整理しようと思ってます。

※只今「用語の定義」を整理しており、こちらの整理が進んでおりません。

※漢数字が読みにくかったので、算用数字に書き換えてます。
※第１項の項番号は記載しない習わしですが、あえて付記してます
※号番号は丸数字にして、枠で括ってみました。

第１７条（利用目的の特定）

１　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。

２　個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

第１８条（利用目的による制限）

１　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

３　前２項 の規定は、次に掲げる場合については、適用しない。

①　法令に基づく場合

②　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

③　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

④　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

⑤　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的（以下この章において「学術研究目的」という。）で取り扱う必要があるとき（当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

⑥　学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

第１９条（不適正な利用の禁止）

１　個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

第２０条（適正な取得）

１　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

２　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

①　法令に基づく場合

②　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

③　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

④　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

⑤　当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき（当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

⑥　学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき（当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。）。

⑦　当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第５７条 第１項 各号 に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合

⑧　その他前各号に掲げる場合に準ずるものとして政令で定める場合

第２１条（取得に際しての利用目的の通知等）

１　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

２　個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

３　個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

４　前３項 の規定は、次に掲げる場合については、適用しない。

①　利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

②　利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

③　国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

四　取得の状況からみて利用目的が明らかであると認められる場合

第２２条（データ内容の正確性の確保等）

１　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

第２３条（安全管理措置）

１　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

第２４条（従業者の監督）

１　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

第２５条（委託先の監督）

１　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

第２６条（漏えい等の報告等）

１　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

２　前項 に規定する場合には、個人情報取扱事業者（同項 ただし書の規定による通知をした者を除く。）は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

第２７条（第三者提供の制限）

１　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

①　法令に基づく場合

②　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

③　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

④　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

⑤　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき（個人の権利利益を不当に侵害するおそれがある場合を除く。）。

⑥　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき（当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。）。

⑦　当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、 前項 の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は 第２０条 第１項 の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの（その全部又は一部を複製し、又は加工したものを含む。）である場合は、この限りでない。

①　第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第３０条 第１項 第①号 及び 第３２条 第１項 第①号 において同じ。）の氏名

②　第三者への提供を利用目的とすること。

③　第三者に提供される個人データの項目

④　第三者に提供される個人データの取得の方法

⑤　第三者への提供の方法

⑥　本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

⑦　本人の求めを受け付ける方法

⑧　その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

３　個人情報取扱事業者は、前項 第①号 に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項 第③号 から 第⑤号 まで、第⑦号 又は 第⑧号 に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

４　個人情報保護委員会は、第２項 の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。

５　次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

①　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

②　合併その他の事由による事業の承継に伴って個人データが提供される場合

③　特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

６　個人情報取扱事業者は、前項 第三号 に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

第２８条（外国にある第三者への提供の制限）

１　個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下この条及び 第３１条 第１項 第②号 において同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第３項 において「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下 この項及 び 次項 並びに同号において同じ。）に個人データを提供する場合には、前条 第１項 各号 に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

２　個人情報取扱事業者は、前項 の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

３　個人情報取扱事業者は、個人データを外国にある第三者（第１項 に規定する体制を整備している者に限る。）に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

第２９条（第三者提供に係る記録の作成等）

１　個人情報取扱事業者は、個人データを第三者（第１６条 第２項 各号 に掲げる者を除く。以下この条及び次条（第３１条 第３項 において読み替えて準用する場合を含む。）において同じ。）に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が 第２７条 第１項 各号 又は 第５項 各号のいずれか（前条 第１項 の規定による個人データの提供にあっては、第２７条 第１項 各号のいずれか）に該当する場合は、この限りでない。

２　個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

第３０条（第三者提供を受ける際の確認等）

１　個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が 第２７条 第１項 各号 又は 第５項 各号 のいずれかに該当する場合は、この限りでない。

①　当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

②　当該第三者による当該個人データの取得の経緯

２　前項 の第三者は、個人情報取扱事業者が 同項 の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。

３　個人情報取扱事業者は、第１項 の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

４　個人情報取扱事業者は、前項 の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

第３１条（個人関連情報の第三者提供の制限等）

１　個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第２７条 第１項 各号 に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

①　当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

②　外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

２　第２８条 第３項 の規定は、前項 の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条 第３項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。

３　前条 第２項 から 第４項 までの規定は、第１項 の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条 第３項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

第３２条（保有個人データに関する事項の公表等）

１　個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。

①　当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

②　全ての保有個人データの利用目的（第２１条 第４項 第①号 から 第③号 までに該当する場合を除く。）

③　次項 の規定による求め又は 次条 第１項（同条 第５項 において準用する場合を含む。）、第３４条 第１項 若しくは 第３５条 第１項、第３項 若しくは 第５項 の規定による請求に応じる手続（第３８条 第２項 の規定により手数料の額を定めたときは、その手数料の額を含む。）

④　前③号 に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

①　前項 の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

②　第２１条 第４項 第①号 から 第③号 までに該当する場合

３　個人情報取扱事業者は、前項 の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

第３３条（開示）

１　本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。

２　個人情報取扱事業者は、前項 の規定による請求を受けたときは、本人に対し、同項 の規定により当該本人が請求した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

①　本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

②　当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

③　他の法令に違反することとなる場合

３　個人情報取扱事業者は、第１項 の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は 同項 の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。

４　他の法令の規定により、本人に対し 第２項 本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第１項 及び 第２項 の規定は、適用しない。

５　第１項 から 第３項 までの規定は、当該本人が識別される個人データに係る 第２９条 第１項 及び 第３０条 第３項 の記録（その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第３７条 第２項 において「第三者提供記録」という。）について準用する。

第３４条（訂正等）

１　本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂正等」という。）を請求することができる。

２　個人情報取扱事業者は、前項 の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

３　個人情報取扱事業者は、第１項 の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知しなければならない。

第３５条（利用停止等）

１　本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第１８条若しくは第１９条の規定に違反して取り扱われているとき、又は第２０条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を請求することができる。

２　個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

３　本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第２７条第１項又は第２８条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。

４　個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

５　本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第２６条第１項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

６　個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

７　個人情報取扱事業者は、第１項 若しくは 第５項 の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は 第３項 若しくは 第５項 の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

第３６条（理由の説明）

１　個人情報取扱事業者は、第３２条 第３項、第３３条 第３項（同条 第５項 において準用する場合を含む。）、第３４条 第３項 又は 前条 第７項 の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。

第３７条（開示等の請求等に応じる手続）

１　個人情報取扱事業者は、第３２条 第２項 の規定による求め又は 第３３条 第１項（同条 第５項 において準用する場合を含む。次条 第１項 及び 第３９条 において同じ。）、第３４条 第１項 若しくは第３５条 第１項、第３項 若しくは 第５項 の規定による請求（以下この条及び 第５４条 第１項 において「開示等の請求等」という。）に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。

２　個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

３　開示等の請求等は、政令で定めるところにより、代理人によってすることができる。

４　個人情報取扱事業者は、前３項 の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

第３８条（手数料）

１　個人情報取扱事業者は、第３２条 第２項 の規定による利用目的の通知を求められたとき又は 第３３条 第１項 の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。

２　個人情報取扱事業者は、前項 の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

第３９条（事前の請求）

１　本人は、第３３条 第１項、第３４条 第１項 又は 第３５条 第１項、第３項 若しくは 第５項 の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。

２　前項 の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。

３　前２項 の規定は、第３３条 第１項、第３４条 第１項 又は 第３５条 第１項、第３項 若しくは 第５項 の規定による請求に係る仮処分命令の申立てについて準用する。

第４０条（個人情報取扱事業者による苦情の処理）

１　個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

２　個人情報取扱事業者は、前項 の目的を達成するために必要な体制の整備に努めなければならない。

いったん仮公開