１．不適正利用の禁止（社内規程の改訂）

２．保有個人データの利用停止等への対応（社内規程の改訂）

３．漏えい事案等への対応（社内規程の改訂）

４．利用目的の特定（プライバシーポリシーの改訂）

５．保有個人データの公表事項への対応（プライバシーポリシーの改訂）

個人の権利の在り方

• 停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利または正当な利益が害されるおそれがある場合にも要件を緩和する。
• 保有個人データの開示方法（※）について、電磁的記録の提供を含め、本人が指示できるようにする。
  （※）従来は、原則として、書面の交付による方法とされていた。
• 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
• ６ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。

事業者の守るべき責務の在り方

• 漏えい等が発生し、個人の権利利益を害するおそれがある場合（※）に、個人情報保護委員会への報告および本人への通知を義務化する。
  （※）一定数以上の個人データの漏えい、一定の類型に該当する場合等
• 違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。

データ利活用に関する施策の在り方

• イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
• 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。

ペナルティの在り方

• 個人情報保護委員会による命令違反・個人情報保護委員会に対する虚偽報告等の法定刑を引き上げる。
  （※）命令違反：6月以下の懲役または30万円以下の罰金 → 1年以下の懲役または100万円以下の罰金
  虚偽報告等：30万円以下の罰金 → 50万円以下の罰金
• データベース等不正提供罪、個人情報保護委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる（法人重科）。
  （※）個人と同額の罰金（50万円または30万円以下の罰金） → 1億円以下の罰金