個人情報保護法[編集]

第1章　総則[編集]

第1条（目的）本法は，個人情報の処理及び保護に関する事項を定めるところにより，個人の自由及び権利を保護し，もって個人の尊厳及び価値を具現することを目的とする。<改正 2014.3.24.>

第2条（定義）本法において使用する用語の意義は，次の通りとする。 <改正 2014.3.24.>

1. 「個人情報」とは，生存する個人に関する情報であって，姓名，住民登録番号及び映像等を通じて個人を知り得ることのできる情報（当該情報のみでは特定個人を知り得ることができなくても他の情報と容易に結合して知り得ることのできるものを含む）をいう。

2. 「処理」とは，個人情報の収集，生成，連携，連動，記録，保存，保有，加工，編集，検索，出力，訂正，復旧，利用，提供，公開，破棄その他これに類似した行為をいう。

3. 「情報主体」とは，処理される情報により知り得ることのできる者であって，その情報の主体となる者をいう。

4. 「個人情報ファイル」とは，個人情報を容易に検索することができるよう一定の規則に従って体系的に配列し，又は構成した個人情報の集合物をいう。

5. 「個人情報処理者」とは，業務を目的として個人情報ファイルを運用するため自ら又は他人を通じて個人情報を処理する公共機関，法人，団体及び個人等をいう。

6. 「公共機関」とは，次の各目の機関をいう。

イ. 国会，裁判所，憲法裁判所，中央選挙管理委員会の行政事務를 処理する機関，中央行政機関（大統領所属機関及び国務総理所属機関を含む）及びその所属機関，地方自治団体

ロ. その他の国家機関及び公共団体の中，大統領令で定める機関

7. 「映像情報処理機器」とは，一定の空間に持続的に設置され人又は事物の映像等を撮影し，又はこれを有・無線網を通じて伝送する装置であって，大統領令で定める装置をいう。

第3条（個人情報保護原則）①個人情報処理者は，個人情報の処理目的を明確にしなければならず，その目的に必要な範囲において最小限の個人情報のみを適法且つ正当に 収集しなければならない。

②個人情報処理者は，個人情報の処理目的に必要な範囲において適切に個人情報を処理しなければならず，その目的外の用途に活用してはならない。

③個人情報処理者は，個人情報の処理目的に必要な範囲において個人情報の正確性，完全性及び最新性が保障されるようにしなければならない。

④個人情報処理者は，個人情報の処理方法及び種類等に従い情報主体の権利が侵害される可能性及びその危険の程度を考慮して個人情報を安全に管理しなければならない。

⑤個人情報処理者は，個人情報処理方針等個人情報の処理に関する事項を公開しなければならず，閲覧請求権等情報主体の権利を保障しなければならない。

⑥個人情報処理者は，情報主体の私生活侵害を最小化する方法によって個人情報を処理しなければならない。

⑦個人情報処理者は，個人情報の匿名処理が可能な場合においては，匿名によって処理されうるようにしなければならない。

⑧個人情報処理者は，本法及び関係法令で規定する責任及び義務を遵守し実践することによって情報主体の信頼を得るため努めなければならない。

第4条（情報主体の権利）情報主体は，自身の個人情報処理に関して，次の各号の権利を有する。

1. 個人情報の処理に関する情報の提供を受ける権利

2. 個人情報の処理に関する同意与否，同意範囲等を選択し，決定する権利

3. 個人情報の処理与否を確認し，個人情報について閲覧（写本の発給を含む。以下同じ）を要求する権利

4. 個人情報の処理 停止，訂正・削除及び破棄を要求する権利

5. 個人情報の処理により発生した被害を迅速且つ公正な手続きによって救済される権利

第5条（国家等の責務）①国家及び地方自治団体は，個人情報の目的外 収集，誤用・濫用及び無分別な監視・追跡等による弊害を防止し，人間の尊厳及び個人の私生活保護を図るための施策を講じなければならない。

②国家・地方自治団体は，第4条による情報主体の権利を保護するため法令の改善等必要な施策を策定しなければならない。

③国家・地方自治団体は，個人情報の処理に関する不合理な社会的慣行を改善するため，個人情報処理者の自立的な個人情報保護活動を尊重し，促進・支援しなければならない。

④国家・地方自治団体は，個人情報の処理に関する法令又は条例を制定し，又は改正するときは，本法の目的に符合するようにしなければならない。

第6条（他の法律との関係）個人情報保護に関しては，他の法律に特別の規定がある場合を除いては，本法で定めるところによる。 <改正 2014.3.24.>

第2章　個人情報保護政策の樹立等[編集]

第7条（個人情報保護委員会）①個人情報保護に関する事項を審議・議決するため大統領所属として，個人情報保護委員会（以下「保護委員会」という）を置く。 保護委員会は，その権限に属する業務を独立して遂行する。

②保護委員会は，委員長 1名，常任委員1名を含む15名以内の委員で構成するが，常任委員は，政務職公務員として任命する。

③委員長は，委員の中から公務員でない者で大統領が委嘱する。

④委員は，次の各号のいずれか一に該当する者を大統領が任命し，又は委嘱する。この場合において，委員中，5名は国会が選出した者を，5名は最高裁判所長官が指名する者を各々任命し，又は委嘱する。

1. 個人情報 保護に関する市民社会団体又は消費者団体から推薦を受けた者

2. 個人情報処理者で構成される事業者団体から推薦を受けた者

3. その他個人情報に関する学識及び経験の豊富な者

⑤委員長及び委員の任期は3年とするが，1次に限り連任することができる。

⑥保護委員会の会議は，委員長が必要であると認め，又は在籍委員 4分の1以上の要求がある場合に委員長が招集する。

⑦保護委員会は，在籍委員過半数の出席及び出席委員過半数の賛成により議決する。

⑧保護委員会の事務を支援するために保護委員会に事務局を置く。

⑨第1項から第8項までに規定する事項のほか，保護委員会の組織及び運営に必要な事項は，大統領令で定める。

第8条（保護委員会の機能等）①保護委員会は，次の各号の事項を審議・議決する。<改正 2015.7.24.>

1. 第8条の2による個人情報侵害要因評価に関する事項

1の2. 第9条による基本計画及び第10条による施行計画

2. 個人情報 保護に関する政策，制度及び法令の改善に関する事項

3. 個人情報の処理に関する公共機関間の意見調整に関する事項

4. 個人情報保護に関する法令の解釈・運用に関する事項

5. 第18条第2項第5号による個人情報の利用・提供に関する事項

6. 第33条第3項による影響評価 結果に関する事項

7. 第61条第1項による意見提示に関する事項

8. 第64条第4項による措置の勧告に関する事項

9. 第66条による処理結果の公表に関する事項

10. 第67条第1項による年次報告書の作成・提出に関する事項

11. 個人情報保護に関して大統領，保護委員会の委員長又は委員2名以上が会議に附する事項

12. その他本法又は他の法令により保護委員会が審議・議決する事項

②保護委員会は，第1項各号の事項を審議・議決するために必要な場合，次の各号の措置を取ることができる。 <改正 2015.7.24.>

1. 関係公務員，個人情報保護に関する専門知識のある者又は市民社会団体及び関連事業者からの意見聴取

2. 関係機関等に対する資料提出又は事実照会の要求

③第2項第2号による要求を受けた関係機関等は，特別の事情がなければこれに応じなければならない。 <新設 2015.7.24.>

④保護委員会は，第1項第2号の事項を審議・議決したときは，関係 機関にその改善を勧告することができる。<新設 2015.7.24.>

⑤保護委員会は，第4項による勧告内容の履行与否を点検することができる。 <新設 2015.7.24.>

第8条の2（個人情報侵害要因評価）①中央行政機関の長は，所管法令の制定又は改正を通じて個人情報処理を伴う政策又は制度を導入・変更するときは，保護委員会に個人情報侵害要因評価を要請しなければならない。

②保護委員会が第1項による要請を受けたときは，当該法令の個人情報侵害要因を分析・検討し，その法令の所管機関の長にその改善のため必要な事項を勧告することができる。

③第1項による個人情報侵害要因評価の手続き及び方法に関して必要な事項は，大統領令で定める。

[本条新設 2015.7.24.]

第9条（基本計画）①保護委員会は，個人情報の保護及び情報主体の権益保障のため3年ごと個人情報保護基本計画（以下「基本計画」という）を関係中央行政機関の長と合議して樹立する。 <改正 2013.3.23.，2014.11.19.，2015.7.24.>

②基本計画には，次の各号の事項が含まれなければならない。

1. 個人情報保護の基本目標及び推進方向

2. 個人情報保護に関連する制度及び法令の改善

3. 個人情報侵害防止のための対策

4. 個人情報保護自立規制の活性化

5. 個人情報保護教育・広報の活性化

6. 個人情報保護のための専門人材の養成

7. その他個人情報保護のために必要な事項

③国会，裁判所，憲法裁判所，中央選挙管理委員会は，当該機関（その所属機関を含む）の個人情報保護のための基本計画を樹立・施行することができる。

第10条（施行計画）①中央行政機関の長は，基本計画に従い毎年個人情報保護のための施行計画を作成して保護委員会に提出し，保護委員会の審議・議決を経て施行しなければならない。

②施行計画の樹立・施行に必要な事項は，大統領令で定める。

第11条（資料提出要求等）①保護委員会は，基本計画を効率的に樹立するために個人情報処理者，関係 中央行政機関の長，地方自治団体の長及び関係機関・団体等に個人情報処理者の法規遵守状況及び個人情報管理実態等に関する資料の提出又は意見の陳述等を要求することができる。 <改正 2013.3.23.，2014.11.19.，2015.7.24.>

②行政自治大臣は，個人情報保護政策推進，成果評価等のため必要な場合において，個人情報処理者，関係 中央行政機関の長，地方自治団体の長及び関係機関・団体等を対象として個人情報管理水準及び実態把握等のための調査を実施することができる。 <新設 2015.7.24.>

③中央行政機関の長は，施行計画を効率的に樹立・推進するために所管分野の個人情報処理者に対して第1項による資料提出等を要求することができる。 <改正 2015.7.24.>

④第1項から第3項までによる資料提出等の要求を受けた者は，特別の事情がなければこれに従わなければならない。 <改正 2015.7.24.>

⑤第1項から第3項までによる資料提出等の範囲及び方法等必要な事項は，大統領令で定める。 <改正 2015.7.24.>

第12条（個人情報 保護指針）①行政自治大臣は，個人情報の処理に関する基準，個人情報侵害の類型及び予防措置等に関する標準個人情報保護指針（以下「標準指針」という）を定め，個人情報処理者にその遵守を勧奨することができる。 <改正 2013.3.23.，2014.11.19.>

②中央行政機関の長は，標準指針に従い，所管分野の個人情報処理に関する個人情報保護指針を定め個人情報処理者にその遵守を勧奨することができる。

③国会，裁判所，憲法裁判所及び中央選挙管理委員会は，当該機関（その所属機関を含む）の個人情報保護指針を定め施行することができる。

第13条（自律規制の促進及び支援）行政自治大臣は，個人情報処理者の自律的な個人情報保護活動を促進し，支援するため次の各号の必要な施策を策定しなければならない。 <改正 2013.3.23.，2014.11.19.>

1. 個人情報保護に関する教育・広報

2. 個人情報保護に関連する機関・団体の育成及び支援

3. 個人情報保護認証マークの導入・施行支援

4. 個人情報処理者の自律的な規約の制定・施行の支援

5. その他個人情報処理者の自律的個人情報保護活動を支援するために必要な事項

第14条（国際協力）①政府は，国際的環境における個人情報保護水準を向上させるため必要な施策を策定しなければならない。

②政府は，個人情報国外移転により情報主体の権利が侵害されないように関連施策を策定しなければならない。

第3章　個人情報の処理[編集]

第1節 個人情報の収集，利用，提供等[編集]

第15条（個人情報の収集・利用）①個人情報処理者は，次の各号のいずれか一に該当するときは，個人情報を収集することができ，その収集目的の範囲において利用することができる。

1. 情報主体の同意を受けたとき

2. 法律に特別の規定があり，又は法令上の義務を遵守するため避けられないとき

3. 公共機関が法令等で定める所管業務の遂行のために避けられないとき

4. 情報主体との契約の締結及び履行のためやむを得ず必要なとき

5. 情報主体若しくはその法定代理人が意思表示をすることができない状態にあり，又は住所不明等により事前同意を受けることができない場合であって，明らかに情報主体又は第3者の急迫の生命，身体，財産の利益のために必要であると認められる場合

6. 個人情報処理者の正当な利益を達成するために必要な場合であって，明らかに情報主体の権利よりも優先する場合。この場合において，個人情報処理者の正当な利益と相当の関係があり，且つ合理的な範囲を超過しない場合に限る。

②個人情報処理者は，第1項第1号による同意を受けるときは，次の各号の事項を情報主体に知らせなければならない。 次の各号のいずれか一の事項を変更する場合においても，これを知らせ，同意を受けなければならない。

1. 個人情報の収集・利用目的

2. 収集しようとする個人情報の項目

3. 個人情報の保有及び利用の期間

4. 同意を拒否する権利がある旨の事実及び同意拒否による不利益がある場合においては，その不利益の内容

第16条（個人情報の収集制限）①個人情報処理者は，第15条第1項各号のいずれか一に該当し，個人情報を収集する場合においては，その目的に必要な最小限の個人情報を収集しなければならない。 この場合において，最小限の個人情報収集である旨の立証責任は，個人情報処理者が負担する。

②個人情報処理者は，情報主体の同意を受けて個人情報を収集する場合において，必要な最小限の情報以外の個人情報の収集には，同意しないことができる旨の事実を具体的に知らせて個人情報を収集しなければならない。 <新設 2013.8.6.>

③個人情報処理者は，情報主体が必要な最小限の情報以外の個人情報収集に同意しないという理由で情報主体に財貨又はサービスの提供を拒否してはならない。 <改正 2013.8.6.>

第17条（個人情報の提供）①個人情報処理者は，次の各号のいずれか一に該当する場合においては，情報主体の個人情報を第3者に提供（共有を含む。以下同じ）することができる。

1. 情報主体の同意を受けた場合

2. 第15条第1項第2号・第3号及び第5号により個人情報を収集した目的の範囲で個人情報を提供する場合

②個人情報処理者は，第1項第1号による同意を受けるときは，次の各号の事項を情報主体に知らせなければならない。 次の各号のいずれか一の事項を変更する場合においても，これを知らせ同意を受けなければならない。

1. 個人情報の提供を受ける者

2. 個人情報の提供を受ける者の個人情報利用目的

3. 提供する個人情報の項目

4. 個人情報の提供を受ける者の個人情報の保有及び利用の期間

5. 同意を拒否する権利がある旨の事実及び同意拒否による不利益がある場合においては，その不利益の内容

③個人情報処理者が個人情報を国外の第3者に提供するときは，第2項各号による事項を情報主体に知らせ同意を受けなければならず，本法に違反する内容で個人情報の国外移転に関する契約を締結してはならない。

第18条（個人情報の目的外利用・提供制限）①個人情報処理者は，個人情報를 第15条第1項による範囲を超えて利用し，又は第17条第1項及び第3項による範囲を超えて第3者に提供してはならない。

②第1項にも拘らず個人情報処理者は，次の各号のいずれか一に該当する場合においては，情報主体又は第3者の利益を不当に侵害する恐れのあるときを除いては，個人情報を目的外の用途に利用し，又はこれを第3者に提供することができる。 但し，第5号から第9号までの場合は，公共機関の場合に限る。

1. 情報主体から別途の同意を受けたとき

2. 他法に特別の規定があるとき

3. 情報主体若しくはその法定代理人が意思表示をすることができない状態にあり，又は住所不明等により事前同意を受けることができない場合であって，明らかに情報主体若しくは第3者の急迫の生命，身体，財産の利益のために必要であると認められるとき

4. 統計作成及び学術研究等の目的のために必要な場合であって，特定個人を知り得ることのことができない形態で個人情報を提供する場合

5. 個人情報を目的外の用途に利用し，又はこれを第3者に提供しなければ他法に定める所管業務を遂行することができない場合であって，保護委員会の審議・議決を経たとき

6. 条約その他の国際協定の履行のために外国政府又は国際機構に提供するため必要なとき

7. 犯罪の捜査並びに公訴の提起及び維持のため必要なとき

8. 裁判所の裁判業務遂行のため必要なとき

9. 刑及び監護，保護処分の執行のため必要なとき

③個人情報処理者は，第2項第1号による同意を受けるときは，次の各号の事項を情報主体に知らせなければならない。 次の各号のいずれか一の事項を変更する場合においても，これを知らせて同意を受けなければならない。

1. 個人情報の提供を受けた者

2. 個人情報の利用目的（提供時においては提供を受ける者の利用目的をいう）

3. 利用又は提供する個人情報の項目

4. 個人情報の保有及び利用の期間（提供時においては，提供を受ける者の保有及び利用の期間をいう）

5. 同意を拒否する権利がある旨の事実及び同意拒否による不利益がある場合においては，その不利益の内容

④公共機関は，第2項第2号から第6号まで，第8号及び第9号により個人情報を目的外の用途に利用し，又はこれを第3者に提供する場合においては，その利用又は提供の法的根拠，目的及び範囲等に関して必要な事項を行政自治省令で定めるところに従い官報又はインターネットホームページ等に掲載しなければならない。 <改正 2013.3.23.，2014.11.19.>

⑤個人情報処理者は，第2項各号のいずれか一の場合に該当し，個人情報を目的外の用途で第3者に提供する場合においては，個人情報の提供を受ける者に利用目的，利用方法その他必要な事項について制限をし，又は個人情報の安全性確保のために必要な措置を策定するよう要請しなければならない。この場合，要請を受けた者は，個人情報の安全性確保のために必要な措置を取らなければならない。

[題目改正 2013.8.6.]

第19条（個人情報の提供を受けた者の利用・提供制限）個人情報処理者から個人情報の提供を受けた者は，次の各号のいずれか一に該当する場合を除いては，個人情報の提供を受けた目的外の用途に利用し，又はこれを第3者に提供してはならない。

1. 情報主体から別途の同意を受けたとき

2. 他の法律に特別の規定があるとき

第20条（情報主体以外から収集した個人情報の収集元等の告知）①個人情報処理者が情報主体以外から収集した個人情報を処理するときは，情報主体の要求があるときは，直ちに次の各号の全ての事項を情報主体に知らせなければならない。

1. 個人情報の収集元

2. 個人情報の処理目的

3. 第37条による個人情報処理の停止を要求する権利がある旨の事実

②第1項にも拘らず，処理する個人情報の種類・規模，従業員数及び売上額規模等を考慮して大統領令で定める基準に該当する個人情報処理者が第17条第1項第1号に従い情報主体以外から個人情報を収集し処理するときは，第1項各号の全ての事項を情報主体に通知しなければならない。 但し，個人情報処理者が収集した情報に連絡先等の情報主体に通知することのできる個人情報が含まれない場合においてはこの限りではない。 <新設 2016.3.29.>

③第2項本文により通知する場合，情報主体に通知する時期・方法及び手続き等必要な事項は，大統領令で定める。 <新設 2016.3.29.>

④第1項及び第2項本文は，次の各号のいずれか一に該当する場合においては，適用しない。但し，本法による情報主体の権利よりも明らかに優先する場合に限る。 <改正 2016.3.29.>

1. 告知を要求する対象となる個人情報が第32条第2項各号のいずれか一に該当する個人情報ファイルに含まれている場合

2. 告知により他人の生命・身体を害する恐れがあり，又は他人の財産その他の利益を不当に侵害する恐れがある場合

第21条（個人情報の破棄）①個人情報処理者は，保有期間の経過，個人情報の処理目的達成等，その個人情報が不必要となったときは，遅滞なくその個人情報を破棄しなければならない。 但し，他の法令に従い保存しなければならない場合においては，この限りではない。

②個人情報処理者が第1項に従い個人情報を破棄するときは，復旧又は再生されないよう措置しなければならない。

③個人情報処理者が第1項但書きに従い個人情報を破棄せずに保存すべき場合においては，当該個人情報又は個人情報ファイルを他の個人情報と分離して保存・管理しなければならない。

④個人情報の破棄方法及び手続き等に必要な事項は，大統領令で定める。

第22条（同意を受ける方法）①個人情報処理者は，本法による個人情報の処理について情報主体（第5項による法定代理人を含む。以下この条において同じ）の同意を受けるときは，各々の同意事項を区分して情報主体がこれを明確に認知することができるように通知し，各々同意を受けなければならない。

②個人情報処理者は，第15条第1項第1号，第17条第1項第1号，第23条第1項第1号及び第24条第1項第1号に従い個人情報の処理について情報主体の同意を受けるときは，情報主体との契約締結等のために情報主体の同意なく処理することのできる個人情報及び情報主体の同意が必要な個人情報を区分しなければならない。 この場合において，同意なく処理することのできる個人情報である旨の立証責任は，個人情報処理者が負担する。 <改正 2016.3.29.>

③個人情報処理者は，情報主体に財貨若しくはサービスを広報し，又は販売を勧誘するために個人情報の処理についての同意を受けようとするときは，情報主体がこれを明らかに認知することができるように通知し，同意を受けなければならない。

④個人情報処理者は，情報主体が第2項に従い選択的に同意することができる事項を同意せず，又は第3項及び第18条第2項第1号による同意をしないという理由で情報主体に財貨若しくはサービスの提供を拒否してはならない。

⑤個人情報処理者は，満14歳未満の児童の個人情報を処理するために本法による同意を受けなければならないときは，その法定代理人の同意を受けなければならない。 この場合において，法定代理人の同意を受けるために必要な最小限の情報は，法定代理人の同意なく当該児童から直接収集することができる。

⑥第1項から第5項までに規定する事項以外の情報主体の同意を受ける詳細な方法及び第5項による最小限の情報の内容に関して必要な事項は，個人情報の収集媒体等を考慮して大統領令で定める。

第2節 個人情報の処理制限[編集]

第23条（敏感情報の処理制限）①個人情報処理者は，思想・信念，労働組合・政党の加入・脱退，政治的見解，健康，性生活等に関する情報その他情報主体の私生活を著しく侵害する恐れがある個人情報であって，大統領令で定める情報（以下「敏感情報」という）を処理してはならない。 但し，次の各号のいずれか一に該当する場合においてはこの限りではない。<改正 2016.3.29.>

1. 情報主体に第15条第2項各号又は第17条第2項各号の事項を通知し，他の個人情報の処理についての同意と別に同意を受けたとき

2. 法令において敏感情報の処理を要求し，又は許容するとき

②個人情報処理者が第1項各号に従い敏感情報を処理するときは，その敏感情報が紛失・盗難・流出・偽造・変造又は毀損されないよう第29条による安全性確保に必要な措置を取らなければならない。 <新設 2016.3.29.>

第24条（固有識別情報의 処理 制限）①個人情報処理者は，次の各号の場合を除いては，法令により個人を固有に区別するために付与された識別情報であって，大統領令で定める情報（以下「固有識別情報」という）を処理することができない。

1. 情報主体に第15条第2項各号又は第17条第2項各号の事項を通知し，他の個人情報の処理に対する同意と別に同意を受けた場合

2. 法令において具体的に固有識別情報の処理を要求し，又は許容する場合

②削除 <2013.8.6.>

③個人情報処理者が第1項各号に従い固有識別情報を処理するときは，その固有識別情報が紛失・盗難・流出・偽造・変造又は毀損されないよう大統領令で定めるところにより，暗号化等安全性確保に必要な措置をしなければならない。 <改正 2015.7.24.>

④行政自治大臣は，処理する個人情報の種類・規模，従業員数及び売上額規模等を考慮して大統領令で定める基準に該当する個人情報処理者が第3項に従い安全性確保に必要な措置を取ったか否かについて大統領令で定めるところにより，定期的に調査しなければならない。 <新設 2016.3.29.>

⑤行政自治大臣は，大統領令で定める専門機関に第4項による調査を遂行させることができる。 <新設 2016.3.29.>

第24条の2（住民登録番号処理の制限）①第24条第1項にも拘らず，個人情報処理者は，次の各号のいずれか一に該当する場合を除いては，住民登録番号を処理することができない。 <改正 2016.3.29.>

1. 法律・大統領令・国会規則・最高裁判所規則・憲法裁判所規則・中央選挙管理委員会規則及び監査院規則で具体的に住民登録番号の処理を要求し，又は許容した場合

2. 情報主体又は第3者の急迫の生命，身体，財産の利益のために明らかに必要であると認められる場合

3. 第1号及び第2号に準じて住民登録番号処理が不可避な場合として安全行政省令で定める場合

②個人情報処理者は，第24条第3項にも拘らず，住民登録番号が紛失・盗難・流出・偽造・変造又は毀損されないよう暗号化措置を通じて安全に保管しなければならない。この場合，暗号化適用対象及び対象別適用時期等に関して必要な事項は，個人情報の処理規模及び流出時の影響等を考慮して大統領令で定める。 <新設 2014.3.24.，2015.7.24.>

③個人情報処理者は，第1項各号に従い住民登録番号を処理する場合においても，情報主体がインターネットホームページを通じて会員に加入する段階においては，住民登録番号を使用しなくても会員に登録することができる方法を提供しなければならない。 <改正 2014.3.24.>

④安全行政大臣は，個人情報処理者が第3項による方法を提供することができるよう関係法令の整備，計画の樹立，必要な施設及びシステムの構築等諸般の措置を策定・支援することができる。 <改正 2014.3.24.>

[本条新設 2013.8.6.] [施行日 : 2017.3.30] 第24条の2第1項第1号

第25条（映像情報処理機器の設置・運営制限）①何人も次の各号の場合を除いては，公開の場所に映像情報処理機器を設置・運営してはならない。

1. 法令において具体的に許容しているとき

2. 犯罪의 予防 및 捜査のために必要なとき

3. 施設安全 및 火災 予防のために必要なとき

4. 交通取締のために必要なとき

5. 交通情報의 収集・分析 및 提供のために必要なとき

②何人も不特定多数が利用する銭湯，化粧室，サウナ，脱衣室等，個人の私生活を著しく侵害する恐れのある場所の内部を見ることができるよう映像情報処理機器を設置・運営してはならない。 但し，刑務所，精神保健福祉センター等の法令に基づき人を勾留し，又は保護する施設であって，大統領令で定める施設については，この限りではない。

③第1項各号により映像情報処理機器を設置・運営しようとする公共機関の長及び第2項但書きにより映像情報処理機器を設置・運営しようとする者は，公聴会・説明会の開催等大統領令で定める手続きを経て，関係専門家及び利害関係人の意見を収㪘しなければならない。

④第1項各号により映像情報処理機器を設置・運営する者（以下「映像情報処理機器運営者」という）は，情報主体が容易に認識することができるよう次の各号の事項が含まれる案内板を設置する等必要な措置を取らなければならない。 但し，「軍事基地及び軍事施設保護法」 第2条第2号による軍事施設，「統合防衛法」第2条第13号による国家重要施設その他大統領令で定める施設については，この限りではない。<改正 2016.3.29.>

1. 設置の目的及び場所

2. 撮影の範囲及び時間

3. 管理責任者の姓名及び連絡先

4. その他大統領令で定める事項

⑤映像情報処理機器運営者は，映像情報処理機器の設置目的と異なる目的で映像情報処理機器を任意に操作し，又は設置目的と異なる場所を映してはならず，録音機能は，使用することができない。

⑥映像情報処理機器運営者は，個人情報が紛失・盗難・流出・偽造・変造又は毀損されないよう第29条により安全性確保に必要な措置を取らなければならない。 <改正 2015.7.24.>

⑦映像情報処理機器運営者は，大統領令で定めるところにより，映像情報処理機器運営・管理方針を策定しなければならない。この場合において，第30条による個人情報処理方針を定めないことができる。

⑧映像情報処理機器運営者は，映像情報処理機器の設置・運営に関する事務を委託することができる。 但し，公共機関が映像情報処理機器の設置・運営に関する事務を委託する場合においては，大統領令で定める手続き及び要件によらなければならない。

第26条（業務委託による個人情報の処理制限）①個人情報処理者が第3者に対して個人情報の処理業務を委託するときは，次の各号の内容が含まれた文書によらなければならない。

1. 委託業務の遂行の目的外での個人情報の処理の禁止に関する事項

2. 個人情報の技術的・管理的保護措置に関する事項

3. その他個人情報の安全な管理のために大統領令で定める事項

②第1項により個人情報の処理業務を委託する個人情報処理者（以下「委託者」という）は，委託する業務の内容及び個人情報処理業務の委託を受け処理する者（以下「受託者」という）を情報主体がいつでも容易に確認することができるよう大統領令で定める方法によって公開しなければならない。

③委託者が財貨又はサービスを広報し，又は販売を勧誘する業務を委託する場合においては，大統領令で定める方法に従い委託する業務の内容及び受託者を情報主体に知らせなければならない。委託する業務の内容又は受託者が変更された場合もまた同様とする。

④委託者は，業務委託により情報主体の個人情報が紛失・盗難・流出・偽造・変造又は毀損されないよう受託者を教育し，処理状況点検等大統領令で定めるところにより，受託者が個人情報を安全に処理しているか否かを監督しなければならない。 <改正 2015.7.24.>

⑤受託者は，個人情報処理者から委託を受けたその業務範囲を超過して個人情報を利用し，又は第3者に提供してはならない。

⑥受託者が委託を受けた業務に関連して個人情報を処理する過程で本法に違反して発生した損害賠償責任については，受託者を個人情報処理者の所属職員とみなす。

⑦受託者に関しては，第15条から第25条まで，第27条から第31条まで，第33条から第38条まで及び第59条を準用する。

第27条（営業譲渡等による個人情報の移転制限）①個人情報処理者は，営業の全部又は一部の譲渡・合併等により個人情報を他人に移転する場合においては，あらかじめ次の各号の事項を大統領令で定める方法により当該情報主体に通知しなければならない。

1. 個人情報を移転しようとする事実

2. 個人情報の移転を受ける者（以下「営業譲受者等」という）の姓名（法人の場合においては，法人の名称をいう），住所，電話番号及びその他の連絡先

3. 情報主体が個人情報の移転を望まない場合において措置しうる方法及び手続き

②営業譲受者等は，個人情報の移転を受けたときは，遅滞なくその事実を大統領令で定める方法により情報主体に通知しなければならない。 但し，個人情報処理者が第1項によりその移転事実を既に通知したときは，この限りではない。

③営業譲受者等は，営業の譲渡・合併等により個人情報の移転を受けた場合においては，移転の際の本来の目的でのみ個人情報を利用し，又は第3者に提供することができる。この場合において，営業譲受者等は，個人情報処理者とみなす。

第28条（個人情報取扱者に対する監督）①個人情報処理者は，個人情報を処理するにあたって個人情報が安全に管理されうるよう役職員，派遣労働者，時間制労働者等の個人情報処理者の指揮・監督を受けて個人情報を処理する者（以下「個人情報取扱者」という）に対して適切な管理・監督を行わなければならない。

②個人情報処理者は，個人情報の適正な取扱いを保障するため個人情報取扱者に対して定期的に必要な教育を実施しなければならない。

第4章　個人情報の安全な管理[編集]

第29条（安全措置義務）個人情報処理者は，個人情報が紛失・盗難・流出・偽造・変造又は毀損されないよう内部管理計画の樹立，接続記録保管等大統領令で定めるところにより，安全性確保に必要な技術的・管理的及び物理的措置を取らなければならない。 <改正 2015.7.24.>

第30条（個人情報処理方針の樹立及び公開）①個人情報処理者は，次の各号の事項を含む個人情報の処理方針（以下「個人情報 処理方針」という）を定めなければならない。この場合において公共機関は，第32条により登録対象となる個人情報ファイルについて個人情報処理方針を定める。 <改正 2016.3.29.>

1. 個人情報の処理目的

2. 個人情報の処理及び保有の期間

3. 個人情報の第3者提供に関する事項（該当する場合にのみ定める）

4. 個人情報処理の委託に関する事項（該当する場合にのみ定める）

5. 情報主体及び法定代理人の権利・義務及びその行使方法に関する事項

6. 第31条による個人情報保護責任者の姓名又は個人情報保護業務並びに関連苦情を処理する部署の名称及び電話番号等の連絡先

7. インターネット接続情報ファイル等個人情報を自動で収集する装置の設置・運営及びその拒否に関する事項（該当する場合にのみ定める）

8. その他個人情報の処理に関して大統領令で定める事項

②個人情報処理者が個人情報処理方針を樹立し，又は変更するときは，情報主体が容易に確認することができるよう大統領令で定める方法に従い公開しなければならない。

③個人情報処理方針の内容と個人情報処理者と情報主体との間に締結した契約の内容が異なる場合においては，情報主体に有利なものを適用する。

④行政自治大臣は，個人情報処理方針の作成指針を定め個人情報処理者にその遵守を勧奨することができる。 <改正 2013.3.23.，2014.11.19.>

第31条（個人情報 保護責任者の指定）①個人情報処理者は，個人情報の処理に関する業務を総括して責任を負う個人情報保護責任者を指定しなければならない。

②個人情報保護責任者は，次の各号の業務を遂行する。

1. 個人情報保護計画の樹立及び施行

2. 個人情報処理の実態及び慣行の定期的な調査及び改善

3. 個人情報処理に関連する苦情の処理及び被害救済

4. 個人情報の流出及び誤・濫用防止のための内部統制システムの構築

5. 個人情報保護教育計画の樹立及び施行

6. 個人情報ファイルの保護及び管理・監督

7. その他個人情報の適切な処理のために大統領令で定める業務

③個人情報保護責任者は，第2項各号の業務を遂行するにあたり必要な場合において，個人情報の処理状況，処理体系等について随時に調査し，又は関係当事者から報告を受けることができる。

④個人情報保護責任者は，個人情報保護に関して本法その他の関係法令の違反事実を知ったときは，直ちに改善措置を取らなければならず，必要であれば所属機関又は団体の長に改善措置を報告しなければならない。

⑤個人情報処理者は，個人情報保護責任者が第2項各号の業務を遂行するにあたって，正当な理由なく不利益を与え，又は受けさせてはならない。

⑥個人情報 保護責任者の指定要件，業務，資格要件その他必要な事項は，大統領令で定める。

第32条（個人情報ファイルの登録及び公開）①公共機関の長が個人情報ファイルを運用する場合においては，次の各号の事項を行政自治大臣に登録しなければならない。 登録した事項が変更された場合においても，また同様とする。<改正 2013.3.23.，2014.11.19.>

1. 個人情報ファイルの名称

2. 個人情報ファイル運営の根拠及び目的

3. 個人情報ファイルに記録される個人情報の項目

4. 個人情報の処理方法

5. 個人情報の保有期間

6. 個人情報を一般的又は反復的に提供する場合においては，その提供を受ける者

7. その他大統領令で定める事項

②次の各号のいずれか一に該当する個人情報ファイルについては，第1項を適用しない。

1. 国家 安全，外交上の秘密その他国家の重大な利益に関する事項を記録した個人情報ファイル

2. 犯罪の捜査，公訴の提起及び維持，刑及び監護の執行，矯正処分，保護処分，保安観察処分並びに出入国管理に関する事項を記録した個人情報ファイル

3. 「租税犯処罰法」による反則行為の調査及び「関税法」による反則行為の調査に関する事項を記録した個人情報ファイル

4. 公共機関の内部的業務処理のみのために使用される個人情報ファイル

5. 他の法令によって秘密として分類された個人情報ファイル

③行政自治大臣は，必要であれば第1項による個人情報ファイルの登録事項及びその内容を検討し，当該公共機関の長に対して改善を勧告することができる。 <改正 2013.3.23.，2014.11.19.>

④行政自治大臣は，第1項による個人情報ファイルの登録状況を誰でも容易に閲覧することができるように公開しなければならない。 <改正 2013.3.23.，2014.11.19.>

⑤第1項による登録及び第4項による公開の方法，範囲及び手続きに関して必要な事項は，大統領令で定める。

⑥国会，裁判所，憲法裁判所，中央選挙管理委員会（その所属機関を含む）の個人情報ファイルの登録及び公開に関しては，国会規則，最高裁判所規則，憲法裁判所規則及び中央選挙管理委員会規則で定める。

第32条の2（個人情報保護認証）①行政自治大臣は，個人情報処理者の個人情報処理及び保護に関連する一連の措置が本法に符合するか否か等に関して認証することができる。

②第1項による認証の有効期間は，3年とする。

③行政自治大臣は，次の各号のいずれか一に該当する場合においては，大統領令で定めるところにより，第1項による認証を取り消すことができる。 但し，第1号に該当する場合においては，取り消さなければならない。

1. 虚偽又はその他の不正な方法によって個人情報保護認証を受けたとき

2. 第4項による事後管理を拒否又は妨害したとき

3. 第8項による認証基準に達しなくなったとき

4. 個人情報保護関連法令を違反し，その違反事由が重大であるとき

④行政自治大臣は，個人情報保護認証の実効性維持のために年1回以上事後管理を実施しなければならない。

⑤行政自治大臣は，大統領令で定める専門機関に第1項による認証，第3項による認証取消し，第4項による事後管理及び第7項による認証審査員の管理業務を遂行させることができる。

⑥第1項による認証を受けた者は，大統領令で定めるところにより，認証の内容を表示し，又は広報することができる。

⑦第1項による認証のために必要な審査を遂行する審査員の資格及び資格取消しの要件等については，専門性及び経歴その他必要な事項を考慮して大統領令で定める。

⑧そのほか，個人情報の管理体系，情報主体の権利保障，安全性確保措置の本法符合与否その他の第1項による認証の基準・方法・手続きその他必要な事項は，大統領令で定める。

[本条新設 2015.7.24.]

第33条（個人情報 影響評価）①公共機関の長は，大統領令で定める基準に該当する個人情報ファイルの運用により情報主体の個人情報侵害が憂慮されるときは，その危険要因の分析及び改善事項を導出するための評価（以下「影響評価」という）を行い，その結果を行政自治大臣に提出しなければならない。この場合において公共機関の長は，影響評価を行政自治大臣が指定する機関（以下「評価機関」という）の中で依頼しなければならない。 <改正 2013.3.23.，2014.11.19.>

②影響評価を行う場合においては，次の各号の事項を考慮しなければならない。

1. 処理する個人情報の数

2. 個人情報の第3者提供与否

3. 情報主体の権利を害する可能性及びその危険程度

4. その他大統領令で定める事項

③行政自治大臣は，第1項により提出を受けた影響評価結果に対して，保護委員会の審議・議決を経て意見を提示することができる。 <改正 2013.3.23.，2014.11.19.>

④公共機関の長は，第1項により影響評価を行った個人情報ファイルを第32条第1項により登録するときは，影響評価結果をともに添付しなければならない。

⑤行政自治大臣は，影響評価の活性化のため関係専門家の育成，影響評価基準の開発・普及等必要な措置を講じなければならない。 <改正 2013.3.23.，2014.11.19.>

⑥第1項による評価機関の指定基準及び指定取消し，評価基準，影響評価の方法・手続き等に関して必要な事項は，大統領令で定める。

⑦国会，裁判所，憲法裁判所，中央選挙管理委員会（その所属機関を含む）の影響評価に関する事項は，国会規則，最高裁判所規則，憲法裁判所規則 及び中央選挙管理委員会規則で定めるところによる。

⑧公共機関以外の個人情報処理者は，個人情報ファイルの運用により情報主体の個人情報侵害が憂慮される場合においては，影響評価をするために積極的に努めなければならない。

第34条（個人情報流出の通知等）①個人情報処理者は，個人情報が流出したことを知ったときは，遅滞なく当該情報主体に対して次の各号の事実を通知しなければならない。

1. 流出した個人情報の項目

2. 流出した時点及びその経緯

3. 流出により発生しうる被害を最小化するために情報主体が取りうる方法等に関する情報

4. 個人情報処理者の対応措置及び被害救済の手続き

5. 情報主体に被害が発生した場合に申告等を受け付けることのできる担当部署及び連絡先

②個人情報処理者は，個人情報が流出した場合その被害を最小化するための対策を講じ，必要な措置を取らなければならない。

③個人情報処理者は，大統領令で定める規模以上の個人情報が流出した場合においては，第1項による通知及び第2項による措置結果を遅滞なく行政自治大臣又は大統領令で定める専門機関に申告しなければならない。この場合において，行政自治大臣又は大統領令で定める専門機関は，被害拡散の防止，被害復旧等のための技術を支援することができる。 <改正 2013.3.23.，2014.11.19.>

④第1項による通知の時期，方法及び手続き等に関して必要な事項は，大統領令で定める。

第34条の2（課徴金の賦課等）①行政自治大臣は，個人情報処理者が処理する住民登録番号が紛失・盗難・流出・偽造・変造又は毀損されたときは，5億圓以下の課徴金を賦課・徴収することができる。但し，住民登録番号が紛失・盗難・流出・偽造・変造又は毀損されないよう個人情報処理者が第24条第3項による安全性確保に必要な措置を尽くした場合においては，この限りではない。<改正 2014.11.19.，2015.7.24.>

②行政自治大臣は，第1項による課徴金を賦課する場合においては，次の各号の事項を考慮しなければならない。 <改正 2014.11.19.，2015.7.24.>

1. 第24条第3項による安全性確保に必要な措置履行の努力の程度

2. 紛失・盗難・流出・偽造・変造又は毀損された住民登録番号の程度

3. 被害拡散防止のための後続措置履行の与否

③行政自治大臣は，第1項による課徴金を納付すべき者が納付期限までに納付しないときは，納付期限の翌日から課徴金を納付した日の前日までの期間について，納付しなかった課徴金の年100分の6の範囲において大統領令で定める加算金を徴収する。この場合において，加算金を徴収する期間は，60箇月を超えてはならない。<改正 2014.11.19.>

④行政自治大臣は，第1項による課徴金を納付すべき者が納付期限までに納付しないときは，期間を定めて督促をを行い，その指定した期間内に課徴金及び第2項による加算金を納付しないときは，国税滞納処分の例に従い徴収する。 <改正 2014.11.19.>

⑤課徴金の賦課・徴収に関してその他必要な事項は，大統領令で定める。

[本条新設 2013.8.6.]

第5章　情報主体の権利保障[編集]

第35条（個人情報の閲覧）①情報主体は，個人情報処理者が処理する自身の個人情報についての閲覧を当該個人情報処理者に要求することができる。

②第1項にも拘らず，情報主体が自身の個人情報についての閲覧を公共機関に要求しようとするときは，公共機関に直接閲覧を要求し，又は大統領令で定めるところにより，行政自治大臣を通じて閲覧を要求することができる。 <改正 2013.3.23.，2014.11.19.>

③個人情報処理者は，第1項及び第2項による閲覧の要求を受けたときは，大統領令で定める期間内に情報主体が当該個人情報を閲覧することができるようにしなければならない。この場合において，当該期間内に閲覧することができない正当な事由があるときは，情報主体にその事由を知らせ閲覧を延期することができ，その事由が消滅したときは，遅滞なく閲覧させなければならない。

④個人情報処理者は，次の各号のいずれか一に該当する場合においては，情報主体にその事由を知らせ閲覧を制限し，又は拒絶することができる。

1. 法律により閲覧が禁止され，又は制限される場合

2. 他人の生命・身体を害する恐れがあり，又は他人の財産及びその他の利益を不当に侵害する恐れがある場合

3. 公共機関が次の各目のいずれか一に該当する業務を遂行するときに重大な支障を来す場合

イ. 徴税の賦課・徴収又は払戻しに関する業務

ロ. 「初・中等教育法」 및 「高等教育法」による各級学校，「生涯教育法」による生涯教育施設その他の他法により設置された高等教育機関における成績評価又は入学者選抜に関する業務

다. 学力・技能及び採用に関する試験，資格審査に関する業務

라. 補償金・給付金算定等に対して進行中である評価又は判断に関する業務

마. 他法に従い進行中である監査及び調査に関する業務

⑤第1項から第4項までの規定による閲覧要求，閲覧制限，通知等の方法及び手続きに関して必要な事項は，大統領令で定める。

第36条（個人情報の訂正・削除）①第35条により自らの個人情報を閲覧した情報主体は，個人情報処理者に対してその個人情報の訂正又は削除を要求することができる。 但し，他の法令においてその個人情報が収集対象として明示されている場合においては，その削除を要求することができない。

②個人情報処理者は，第1項による情報主体の要求を受けたときは，個人情報の訂正又は削除に関して他の法令に特別の手続きが規定されている場合を除いては，遅滞なくその個人情報を調査し情報主体の要求に従い訂正・削除等必要な措置を行った後その結果を情報主体に通知しなければならない。

③個人情報処理者が第2項により個人情報を削除するときは，復旧又は再生されないように措置しなければならない。

④個人情報処理者は，情報主体の要求が第1項但書きに該当するときは，遅滞なくその内容を情報主体に通知しなければならない。

⑤個人情報処理者は，第2項による調査を行うとき，必要であれば当該情報主体に訂正・削除要求事項の確認に必要な証拠資料を提出させることができる。

⑥第1項・第2項及び第4項による訂正又は削除要求，通知方法及び手続き等に必要な事項は，大統領令で定める。

第37条（個人情報の処理停止等）①情報主体は，個人情報処理者に対して自身の個人情報処理の停止を要求することができる。この場合において，公共機関に対しては，第32条により登録対象となる個人情報ファイル中自身の個人情報に対する処理の停止を要求することができる。

②個人情報処理者は，第1項による要求を受けたときは，遅滞なく情報主体の要求に従い個人情報処理の全部を停止し，又は一部を停止しなければならない。 但し，次の各号のいずれか一に該当する場合においては，情報主体の処理停止要求を拒絶することができる。

1. 法律に特別の規定があり，又は法令上の義務を遵守するためやむを得ない場合

2. 他人の生命・身体を害する恐れがあり，又は他人の財産及びその他の利益を不当に侵害する恐れがある場合

3. 公共機関が個人情報を処理しなければ，他法に定める所管業務を遂行することができない場合

4. 個人情報を処理しなければ，情報主体と約定したサービスを提供することができない等，契約の履行が困難な場合であって，情報主体がその契約の解止の意思を明確に表明しない場合

③個人情報処理者は，第2項但書きにより処理停止要求を拒絶したときは，情報主体に対して遅滞なくその事由を知らせなければならない。

④個人情報処理者は，情報主体の要求に従い処理が停止された個人情報について，遅滞なく当該個人情報の破棄等必要な措置を講じなければならない。

⑤第1項から第3項までの規定による処理停止の要求，処理停止の拒絶，通知等の方法及び手続きに必要な事項は，大統領令で定める。

第38条（権利行使の方法及び手続き）①情報主体は，第35条による閲覧，第36条による訂正・削除，第37条による処理停止等の要求（以下「閲覧等要求」という）を文書等大統領令で定める方法・手続きに従い代理人にさせることができる。

②満14歳未満の児童の法定代理人は，個人情報処理者にその児童の個人情報閲覧等の要求をすることができる。

③個人情報処理者は，閲覧等の要求をする者に対して大統領令で定めるところにより手数料及び郵送料（写本の郵送を請求する場合に限る）を請求することができる。

④個人情報処理者は，情報主体が閲覧等の要求をしうる具体的な方法及び手続きを整備し，これを情報主体が分かるように公開しなければならない。

⑤個人情報処理者は，情報主体が閲覧等の要求に対する拒絶等の措置について不服がある場合異議を提起することができるよう必要な手続きを整備し，案内しなければならない。

第39条（損害賠償責任）①情報主体は，個人情報処理者が本法を違反した行為により損害を受けたときは，個人情報処理者に対して損害賠償を請求することができる。この場合において，その個人情報処理者は，故意又は過失がないことを立証しなければ，責任を免れることができない。

②削除 <2015.7.24.>

③個人情報処理者の故意又は重大な過失により個人情報が紛失・盗難・流出・偽造・変造又は毀損された場合であって，情報主体に損害が発生したときは，裁判所は，その損害額の3倍を超えない範囲で損害賠償額を定めることができる。 但し，個人情報処理者が故意又は重大な過失がないことを証明したときは，この限りではない。<新設 2015.7.24.>

④裁判所は，第3項の賠償額を定めるときは，次の各号の事項を考慮しなければならない。 <新設 2015.7.24.>

1. 故意又は損害発生の恐れを認識した程度

2. 違反行為により受けた被害の規模

3. 違法行為により個人情報処理者が取得した経済的利益

4. 違反行為による罰金及び課徴金

5. 違反行為の期間・回数等

6. 個人情報処理者の財産状態

7. 個人情報処理者が情報主体の個人情報の紛失・盗難・流出の後当該個人情報を回収するために努力した程度

8. 個人情報処理者が情報主体の被害救済のために努力

第39条の2（法定損害賠償の請求）①第39条第1項にも拘らず，情報主体は，個人情報処理者の故意又は過失により個人情報が紛失・盗難・流出・偽造・変造又は毀損されたときは，300万圓以下の範囲において相当の金額を損害額として賠償を請求することができる。この場合において，当該個人情報処理者は，故意又は過失がないことを立証しなければ，責任を免れることができない。

②裁判所は，第1項による請求のある場合において，弁論全体の趣旨及び証拠調査の結果を考慮して第1項の範囲において相当の損害額を認めることができる。

③第39条により損害賠償を請求した情報主体は，事実審弁論の終結前までその請求を第1項による請求に変更することができる。

[本条新設 2015.7.24.]

第6章　個人情報紛争調停委員会[編集]

第40条（設置及び構成）①個人情報に関する紛争の調停のために個人情報紛争調停委員会（以下「紛争調停委員会」という）を置く。

②紛争調停委員会は，委員長 1名を含む20名以内の委員で構成し，委員は，当然職委員及び委嘱委員で構成する。 <改正 2015.7.24.>

③委嘱委員は，次の各号のいずれか一に該当する者の中から保護委員会委員長が委嘱し，大統領令で定める国家機関所属公務員は，当然職委員となる。 <改正 2013.3.23.，2014.11.19.，2015.7.24.>

1. 個人情報保護業務を管掌する中央行政機関の高位公務員団に属する公務員として在職した者又はこれに相当する公共部門及び関連団体の職に在籍し，若しくは在職した者であって個人情報保護業務の経験のある者

2. 大学又は公認された研究機関において副教授以上又はこれに相当する職に在籍し，又は在籍した者

3. 判事・検事又は弁護士として在籍し，又は在籍した者

4. 個人情報保護に関する市民社会団体又は消費者団体から推薦を受けた者

5. 個人情報処理者で構成される事業者団体の役員として在籍し，又は在籍した者

④委員長は，委員の中から公務員でない者で保護委員会委員長が委嘱する。 <改正 2013.3.23.，2014.11.19.，2015.7.24.>

⑤委員長及び委嘱委員の任期は2年とするが，1次に限り連任することができる。 <改正 2015.7.24.>

⑥紛争調停委員会は，紛争調停業務を効率的に遂行するために必要であるときは，大統領令で定めるところにより，調停事件の分野別に5名以内の委員で構成される調停部を置くことができる。この場合において，調停部が紛争調停委員会から委任を受けて議決した事項は，紛争調停委員会で議決したものとみなす。

⑦紛争調停委員会又は調停部は，在籍委員過半数の出席で開議し，出席委員過半数の賛成で議決する。

⑧保護委員会は，紛争調停受理，事実確認等紛争調停に必要な事務を処理することができる。 <改正 2015.7.24.>

⑨本法で定める事項以外に紛争調停委員会運営に必要な事項は，大統領令で定める。

第41条（委員の身分保障）委員は，資格停止以上の刑の言渡しを受け，又は心身上の障害により職務を遂行することができない場合を除いては，その意思に反して免職され，又は解嘱されない。

第42条（委員の除斥・忌避・回避）①紛争調停委員会の委員は，次の各号のいずれか一に該当する場合においては，第43条第1項に従い紛争調停委員会に申立てられた紛争調停事件（以下，本条において「事件」という）の審議・議決から除斥される。

1. 委員又はその配偶者若しくは配偶者であった者がその事件の当事者となり，又はその事件に関して共同の権利者若しくは義務者の関係にある場合

2. 委員がその事件の当事者と親族であり，又は親族であった場合

3. 委員がその事件に関して証言，鑑定，法律諮問をした場合

4. 委員がその事件に関し当事者の代理人として関与し，又は関与した場合

②当事者は，委員に対して公正な審議・議決を期待しがたい事情のあるときは，委員長に忌避申立てをすることができる。この場合において，委員長は，忌避申立てについて紛争調停委員会の議決を経ずに決定する。

③委員が第1項又は第2項の事由に該当する場合においては，自らその事件の審議・議決から回避することができる。

第43条（調停の申立て等）①個人情報に関する紛争の調停を希望する者は，紛争調停委員会に紛争調停を申し立てることができる。

②紛争調停委員会は，当事者一方から紛争調停申立てを受けたときは，その申立て内容を相手方に通知しなければならない。

③公共機関が第2項による紛争調停の通知を受けた場合においては，特別の事由がなければ紛争調停に応じなければならない。

第44条（処理期間）①紛争調停委員会は，第43条第1項による紛争調停の申立てを受けた日から60日以内にこれを審査し，調停案を作成しなければならない。 但し，やむを得ない事情のあるときは，紛争調停委員会の議決で処理期間を延長することができる。

②紛争調停委員会は，第1項但書きに従い処理期間を延長した場合においては，期間延長の事由及びその他の期間延長に関する事項を申立人に通知しなければならない。

第45条（資料の要請等）①紛争調停委員会は，第43条第1項により紛争調停の申立てを受けたときは，当該紛争の調停のために必要な資料を紛争当事者に要請することができる。この場合において，紛争当事者は，正当な事由がなければ要請に従わなければならない。

②紛争調停委員会は，必要であると認めるときは，紛争当事者又は参考人を委員会に出席させ，その意見を聴取することができる。

第46条（調停前合意勧告）紛争調停委員会は，第43条第1項に従い紛争調停の申立てを受けたときは，当事者に対してその内容を提示し，調停前合意を勧告することができる。

第47条（紛争の調停）①紛争調停委員会は，次の各号のいずれか一の事項を含めて調停案を作成することができる。

1. 調査対象侵害行為の中止

2. 原状回復，損害賠償その他必要な救済措置

3. 同一又は類似の侵害の再発を防止するため必要な措置

②紛争調停委員会は，第1項により調停案を作成したときは，遅滞なく各当事者に提示しなければならない。

③第1項に従い調停案の提示を受けた当事者が，提示を受けた日から15日以内に受諾与否を通知しないときは，調停を拒否したものとみなす。

④当事者が調停内容を受諾した場合において，紛争調停委員会は，調停書を作成し，紛争調停委員会の委員長及び各当事者が記名捺印しなければならない。

⑤第4項による調停の内容は，裁判上和解と同一の効力を有する。

第48条（調停の拒否及び中止）①紛争調停委員会は，紛争の性質上紛争調停委員会で調停することが適合しないと認め，又は不正の目的で調停が申し立てられたと認める場合においては，その調停を拒否することができる。この場合，調停拒否の事由等を申立人に通知しなければならない。

②紛争調停委員会は，申立てを受けた調停事件に対する処理手続きを進行中に一方当事者が訴えを提起したときは，その調停の処理を中止し，これを当事者に通知しなければならない。

第49条（集団紛争調停）①国家及び地方自治団体，個人情報保護団体及び機関，情報主体，個人情報処理者は，情報主体の被害又は権利侵害が多数の情報主体に対し同一又は類似の類型で発生する場合であって，大統領令で定める事件については，紛争調停委員会に一括的な紛争調停（以下「集団紛争調停」という）を依頼し，又は申し立てることができる。

②第1項により集団紛争調停の依頼，又は申立てを受けた紛争調停委員会は，その議決により第3項から第7項までの規定による集団紛争調停の手続きを開始することができる。この場合において，紛争調停委員会は，大統領令で定める期間中その手続きの開始を公告しなければならない。

③紛争調停委員会は，集団紛争調停の当事者でない情報主体又は個人情報処理者からその紛争調停の当事者に追加で含まれうるようにする申立てを受けることができる。

④紛争調停委員会は，その議決で第1項及び第3項による集団紛争調停の当事者の中から共同の利益を代表するのに最も適合する1人又は数人を代表当事者として選任することができる。

⑤紛争調停委員会は，個人情報処理者が紛争調停委員会の集団紛争調停の内容を受諾したときは，集団紛争調停の当事者でない者であって被害を受けた情報主体に対する保障計画書を作成し，紛争調停委員会に提出するよう勧告することができる。

⑥第48条第2項にも拘らず，紛争調停委員会は，集団紛争調停の当事者である多数の情報主体のうち一部の情報主体が裁判所に訴えを提起したときは，その手続きを中止せず，訴えを提起した一部の情報主体をその手続きから除外する。

⑦集団紛争調停の期間は，第2項による公告が終了した日の翌日から60日以内とする。但し，やむを得ない事情のあるときは，紛争調停委員会の議決で処理期間を延長することができる。

⑧集団紛争調停の手続き等に関して必要な事項は，大統領令で定める。

第50条（調停手続き等）①第43条から第49条までの規定で定めるもののほか，紛争の調停方法，調停手続き及び調停業務の処理等に必要な事項は，大統領令で定める。

②紛争調停委員会の運営及び紛争調停手続きに関して本法に規定のない事項については，「民事調停法」を準用する。

第7章　個人情報団体訴訟[編集]

第51条（団体訴訟の対象等）次の各号のいずれか一に該当する団体は，個人情報処理者が第49条による集団紛争調停を拒否し，又は集団紛争調停の結果を受諾しなかったときは，裁判所に権利侵害行為の差止め・中止を求める訴訟（以下「団体訴訟」という）を提起することができる。

1. 「消費者基本法」 第29条に従い公正取引委員会に登録した消費者団体であって，次の各目の要件を全て備えた団体

イ. 定款に従い常時的に情報主体の権益増進を主たる目的とする団体であること

ロ. 団体の正会員数が1千名以上であること

다. 「消費者基本法」 第29条による登録後3年が経過したこと

2. 「非営利民間団体支援法」 第2条による非営利民間団体であって，次の各目の要件を全て備えた団体

イ. 法律上又は事実上同一の侵害を受けた100名以上の情報主体から団体訴訟提起の要請を受けること

ロ. 定款に個人情報保護を団体の目的として明示した後最近3年以上このための活動実績のあること

다. 団体の常時構成員数が5千名以上であること

라. 中央行政機関に登録されていること

第52条（専属管轄）①団体訴訟の訴えは，被告の主たる事務所又は営業所がある場所，主たる事務所又は営業所のないときは主たる業務担当者の住所のある場所の地方裁判所本庁合議部の管轄に専属する。

②第1項を外国事業者に適用する場合において，大韓民国にあるこれらの主たる事務所・営業所又は業務担当者の住所によって定める。

第53条（訴訟代理人の選任）団体訴訟の原告は，弁護士を訴訟代理人として選任しなければならない。

第54条（訴訟許可の申立て）①団体訴訟を提起する団体は，訴状とともに次の各号の事項を記載した訴訟許可申立書を裁判所に提出しなければならない。

1. 原告及びその訴訟代理人

2. 被告

3. 情報主体の侵害された権利の内容

②第1項による訴訟許可申立書には，次の各号の資料を添付しなければならない。

1. 訴え提起団体が第51条各号のいずれか一に該当する要件を備えていることを疎明する資料

2. 個人情報処理者が調停を拒否しなかった，又は調停結果を受諾しなかったことを証明する書類

第55条（訴訟許可要件等）①裁判所は，次の各号の要件を全て備えた場合に限り，決定で団体訴訟を許可する。

1. 個人情報処理者が紛争調停委員会の調停を拒否し，又は調停結果を受諾しなかったこと

2. 第54条による訴訟許可申立書の記載事項に欠缺のないこと

②団体訴訟を許可し，又は許可しない決定に対しては，即時抗告することができる。

第56条（確定判決の効力）原告の請求を棄却する判決の確定した場合，これと同一の事案に関しては，第51条による他団体は，団体訴訟を提起することができない。 但し，次の各号のいずれか一に該当するときは，この限りではない。

1. 判決が確定した後その事案に関して国家・地方自治団体又は国家・地方自治団体が設立した機関によって新たな証拠が現れたとき

2. 棄却判決が原告の故意によるものであることが明らかとなったとき

第57条（「民事訴訟法」の適用等）①団体訴訟に関して本法に特別の規定のないときは，「民事訴訟法」を適用する。

②第55条による団体訴訟の許可決定のあるときは，「民事執行法」 第4編による保全処分をすることができる。

③団体訴訟の手続きに関して必要な事項は，最高裁判所規則で定める。

第8章　補則[編集]

第58条（適用の一部除外）①次の各号のいずれか一に該当する個人情報に関しては，第3章から第7章までを適用しない。

1. 公共機関が処理する個人情報中，「統計法」に従い収集される個人情報

2. 国家安全保障に関する情報分析を目的として収集又は提供要請される個人情報

3. 公共衛生等公共の安全及び安寧のため緊急に必要な場合であって，一時的に処理される個人情報

4. メディア，宗教団体，政党が各々取材・報道，宣教，選挙立候補者推薦等の固有の目的を達成するため収集・利用する個人情報

②第25条第1項各号に従い公開された場所に映像情報処理機器を設置・運営し，処理される個人情報については，第15条，第22条，第27条第1項・第2項，第34条及び第37条を適用しない。

③個人情報処理者が同窓会，同好会等親睦を図るための団体を運営するため個人情報を処理するときは，第15条，第30条及び第31条を適用しない。

④個人情報処理者は，第1項各号に従い個人情報を処理する場合においても，その目的のため必要な範囲において，最小限の期間に最小限の個人情報のみを処理しなければならず，個人情報の安全な管理のため必要な技術的・管理的及び物理的保護措置，個人情報の処理に関する苦情処理その他個人情報の適切な処理のため必要な措置を策定しなければならない。

第59条（差止行為）個人情報を処理し，又は処理した者は，次の各号のいずれか一に該当する行為をしてはならない。

1. 虚偽その他の不正な手段又は方法により個人情報を取得し，又は処理に関する同意を受ける行為

2. 業務上知り得た個人情報を漏洩し，又は権限なく他人が利用するよう提供する行為

3. 正当な権限なく又は許容された権限を超過して他人の個人情報を毀損，滅失，変更，偽造又は流出する行為

第60条（秘密維持等）次の各号の業務に従事し，又は従事した者は，職務上知り得た秘密を他人に漏洩し，又は職務上の目的以外の用途に利用してはならない。 但し，他の法律に特別の規定があるときは，この限りではない。

1. 第8条による保護委員会の業務

2. 第33条による影響評価業務

3. 第40条による紛争調停委員会の紛争調停業務

第61条（意見提示及び改善勧告）①行政自治大臣は，個人情報保護に影響を及ぼす内容を含む法令又は条例について必要であると認めるときは，保護委員会の審議・議決を経て関係機関に意見を提示することができる。 <改正 2013.3.23.，2014.11.19.>

②行政自治大臣は，個人情報保護のため必要であると認めるときは，個人情報処理者に対して個人情報処理実態の改善を勧告することができる。この場合において，勧告を受けた個人情報処理者は，これを履行するため誠実に努めなければならず，その措置結果を行政自治大臣に通知しなければならない。 <改正 2013.3.23.，2014.11.19.>

③関係中央行政機関の長は，個人情報保護のため必要であると認めるときは，所管法律に従い個人情報処理者に対して個人情報処理実態の改善を勧告することができる。この場合において，勧告を受けた個人情報処理者は，これを履行するため誠実に努めなければならず，その措置結果を関係中央行政機関の長に通知しなければならない。

④中央行政機関，地方自治団体，国会，裁判所，憲法裁判所，中央選挙管理委員会は，その所属機関及び所管公共機関に対して個人情報保護に関する意見を提示し，又は指導・点検することができる。

第62条（侵害事実の申告等）①個人情報処理者が個人情報を処理する際，個人情報に関する権利又は利益の侵害を受けた者は，行政自治大臣に対してその侵害事実を申告することができる。 <改正 2013.3.23.，2014.11.19.>

②行政自治大臣は，第1項による申告の受理・処理等に関する業務を効率的に遂行するため大統領令で定めるところにより，専門機関を指定することができる。この場合において，専門機関は，個人情報侵害申告センター（以下「申告センター」という）を設置・運営しなければならない。 <改正 2013.3.23.，2014.11.19.>

③申告センターは，次の各号の業務を遂行する。

1. 個人情報処理に関する申告の受理・相談

2. 事実の調査・確認及び関係者の意見聴取

3. 第1号及び第2号による業務に伴う業務

④行政自治大臣は，第3項第2号の事実調査・確認等の業務を効率的に行うため必要であるときは，「国家公務員法」第32条の4により所属公務員を第2項による専門機関に派遣することができる。 <改正 2013.3.23.，2014.11.19.>

第63条（資料提出要求と検事）①行政自治大臣は，次の各号のいずれか一に該当するときは，個人情報処理者に対して関係物品・書類その他の資料を提出させることができる。<改正 2013.3.23.，2014.11.19.>

1. 本法を違反する事項を発見し，又は嫌疑があることを知ったとき

2. 本法違反に対する申告を受け，又は申請が受理されたとき

3. その他情報主体の個人情報保護のため必要な場合として大統領令で定めるとき

②行政自治大臣は，個人情報処理者が第1項による資料を提出せず，又は本法を違反した事実があると認められるときは，所属公務員に個人情報処理者及び当該法違反事実に関する関係人の事務所又は事業場に立ち入り，業務状況，帳簿又は書類等を検査させることができる。この場合において，検査をする公務員は，その権限を表す証票を携帯し，これを関係人に見せなければならない。 <改正 2013.3.23.，2014.11.19.，2015.7.24.>

③関係 中央行政機関の長は，所管の法律に従い個人情報処理者に対して第1項による資料提出を要求し，又は個人情報処理者及び当該法違反事実に関連する関係人に対して第2項による検査を行うことができる。 <改正 2015.7.24.>

④保護委員会は，本法を違反する事項を発見し，又は合意があることを知ったときは，行政自治大臣又は関係中央行政機関の長に対して第1項柱書き又は第3項による措置を取るよう要求することができる。この場合において，その要求を受けた行政自治大臣又は関係中央行政機関の長は，特別の事情がなければ，これに応じなければならない。 <新設 2015.7.24.>

⑤行政自治大臣及び関係中央行政機関の長は，第1項及び第2項に従い提出を受け，又は収集した書類・資料等を，本法による場合を除いては，第3者に提供し，又は一般に公開してはならない。 <改正 2013.3.23.，2014.11.19.，2015.7.24.>

⑥行政自治大臣及び関係中央行政機関の長は，情報通信網を通じて資料の提出等を受けた場合又は収集した資料等を電子化した場合においては，個人情報・営業秘密等が流出しないよう制度的・技術的補完措置を取らなければならない。 <改正 2013.3.23.，2014.11.19.，2015.7.24.>

⑦行政自治大臣は，個人情報侵害事故の予防及び効果的な対応のため関係中央行政機関の長と合同で個人情報保護実態を点検することができる。 <新設 2015.7.24.>

第64条（是正措置等）①行政自治大臣は，個人情報が侵害されたと判断すべき相当の根拠があり，且つこれを放置した場合回復し難い被害が発生する恐れがあると認められるときは，本法を違反した者（中央行政機関，地方自治団体，国会，裁判所，憲法裁判所，中央選挙管理委員会は除く）に対して，次の各号に該当する措置を命ずることができる。 <改正 2013.3.23.，2014.11.19.>

1. 個人情報侵害行為の中止

2. 個人情報処理の一時的な停止

3. その他個人情報の保護及び侵害 防止のために必要な措置

②関係 中央行政機関の長は，個人情報が侵害されたと判断すべき相当の根拠があり，且つこれを放置した場合回復し難い被害が発生する恐れがあると認められるときは，所管法律に従い個人情報処理者に対して第1項各号に該当する措置を命ずることができる。

③地方自治団体，国会，裁判所，憲法裁判所，中央選挙管理委員会は，その所属機関及び所管公共機関が本法を違反したときは，第1項各号に該当する措置を命ずることができる。

④保護委員会は，中央行政機関，地方自治団体，国会，裁判所，憲法裁判所，中央選挙管理委員会が本法を違反したときは，当該機関の長に対して第1項各号に該当する措置を取るよう勧告することができる。この場合において，勧告を受けた機関は，特別の事由がなければこれを尊重しなければならない。

第65条（告発及び懲戒勧告）①行政自治大臣は，個人情報処理者に対して本法その他の個人情報保護に関連する法規の違反による犯罪の嫌疑があると認められるに足る相当の理由があるときは，管轄捜査機関に対しその内容を告発することができる。 <改正 2013.3.23.，2014.11.19.>

②行政自治大臣は，本法その他の個人情報保護に関連する法規の違反行為があると認められるに足る相当の理由があるときは，責任のある者（代表者及び責任のある役員を含む）を懲戒することを当該個人情報処理者に対して勧告することができる。この場合において，勧告を受けた者は，これを尊重しなければならず，その結果を行政自治大臣に対して通報しなければならない。 <改正 2013.3.23.，2013.8.6.，2014.11.19.>

③関係 中央行政機関の長は，所管法律に従い個人情報処理者に対して第1項による告発をし，又は所属機関・団体等の長に対して第2項による懲戒勧告をすることができる。この場合において，第2項による勧告を受けた者は，これを尊重しなければならず，その結果を関係中央行政機関の長に通報しなければならない。

第66条（結果の公表）①行政自治大臣は，第61条による改善勧告，第64条による是正措置命令，第65条による告発又は懲戒勧告並びに第75条による過料賦課の内容及び結果について保護委員会の審議・議決を経て公表することができる。 <改正 2013.3.23.，2014.11.19.>

②関係中央行政機関の長は，所管法律に従い第1項による公表をすることができる。

③第1項及び第2項による公表の方法，基準及び手続き等は，大統領令で定める。

第67条（年次報告）①保護委員会は，関係機関等から必要な資料の提出を受け，毎年個人情報保護施策の樹立及び施行に関する報告書を作成し，定期国会開会前までに国会に提出（情報通信網による提出を含む）しなければならない。

②第1項による報告書には，次の各号の内容が含まれなければならない。 <改正 2016.3.29.>

1. 情報主体の権利侵害及びその救済状況

2. 個人情報処理に関する実態調査等の結果

3. 個人情報保護施策の推進状況及び実績

4. 個人情報関連の海外の立法及び政策動向

5. 住民登録番号処理に関連する法律・大統領令・国会規則・最高裁判所規則・憲法裁判所規則・中央選挙管理委員会規則及び監査院規則の制定・改正状況

6. その他個人情報保護施策に関して公開又は報告すべき事項

[施行日 : 2017.3.30] 第67条第2項第5号

第68条（権限の委任・委託）①本法による行政自治大臣又は関係中央行政機関の長の権限は，その一部を大統領令で定めるところにより，特別市長，広域市長，道知事，特別自治道知事又は大統領令で定める専門機関に委任し，又は委託することができる。 <改正 2013.3.23.，2014.11.19.>

②第1項に従い行政自治大臣又は関係中央行政機関の長の権限の委任又は委託を受けた機関は，委任又は委託を受けた業務の処理結果を行政自治大臣又は関係中央行政機関の長に通報しなければならない。 <改正 2013.3.23.，2014.11.19.>

③行政自治大臣は，第1項による専門機関に権限一部を委任し，又は委託する場合において，当該専門機関の業務遂行のために必要な経費を出捐することができる。 <改正 2013.3.23.，2014.11.19.>

第69条（罰則適用時の公務員擬制）行政自治大臣又は関係中央行政機関の長の権限を委託した業務に従事する関係機関の役職員は，「刑法」第129条から第132条までの規定を適用するときは，公務員とみなす。<改正 2013.3.23.，2014.11.19.>

第9章　罰則[編集]

第70条（罰則）次の各号のいずれか一に該当する者は，10年以下の懲役又は1億圓以下の罰金に処する。<改正 2015.7.24.>

1. 公共機関の個人情報処理業務を妨害する目的で公共機関で処理する個人情報を変更し，又は抹消し公共機関の業務遂行の中断・麻痺等深刻な支障をもたらした者

2. 虚偽その他の不正な手段又は方法により他人の処理する個人情報を取得した後，これを営利又は不正な目的で第3者に対し提供した者及びこれを教唆・斡旋した者

第71条（罰則）次の各号のいずれか一に該当する者は，5年以下の懲役又は5千万圓以下の罰金に処する。<改正 2016.3.29.>

1. 第17条第1項第2号に該当しないのに同項第1号に反して情報主体の同意を受けずに個人情報を第3者に提供した者及びその情を知って個人情報の提供を受けた者

2. 第18条第1項・第2項，第19条，第26条第5項又は第27条第3項を違反して個人情報を利用し，又は第3者に対し提供した者及びその情を知りながら営利又は不正な目的で個人情報の提供を受けた者

3. 第23条第1項を違反して敏感情報を処理した者

4. 第24条第1項を違反して固有識別情報を処理した者

5. 第59条第2号を違反して業務上知り得た個人情報を漏洩し，又は権限なく他人が利用するよう提供した者及びその情を知りながら営利又は不正な目的で個人情報の提供を受けた者

6. 第59条第3号を違反して他人の個人情報を毀損，滅失，変更，偽造又は流出した者

第72条（罰則）次の各号のいずれか一に該当する者は，3年以下の懲役又は3千万圓以下の罰金に処する。

1. 第25条第5項を違反して映像情報処理機器の設置目的と異なる目的で映像情報処理機器を任意に操作し，若しくは다른 곳을 비추는者又は録音機能を使用した者

2. 第59条第1号を違反して虚偽その他の不正な手段又は方法により個人情報を取得し，又は個人情報処理に関する同意を受ける行為をした者及びその情を知りながら営利又は不正の目的で個人情報の提供を受けた者

3. 第60条を違反して職務上知り得た秘密を漏洩し，又は職務上の目的外に利用した者

第73条（罰則）次の各号のいずれか一に該当する者は，2年以下の懲役又は2千万圓以下の罰金に処する。<改正 2015.7.24.，2016.3.29.>

1. 第23条第2項，第24条第3項，第25条第6項又は第29条を違反して安全性確保に必要な措置を取らずに個人情報を紛失・盗難・流出・偽造・変造又は毀損された者

2. 第36条第2項を違反して訂正・削除等必要な措置を取らずに個人情報の利用を継続し，又はこれを第3者に提供した者

3. 第37条第2項を違反して個人情報の処理を停止せずに利用を継続し，又は第3者に提供した者

第74条（両罰規定）①法人の代表者又は法人若しくは個人の代理人，使用人，その他の従業員がその法人又は個人の業務に関して第70条に該当する違反行為を行ったときは，その行為者を罰するほか，その法人又は個人を7千万圓以下の罰金に処する。但し，法人又は個人がその違反行為を防止するため当該業務に関して相当の注意及び監督を怠らなかったときは，この限りではない。

②法人の代表者又は法人若しくは個人の代理人，使用人，その他の従業員がその法人又は個人の業務に関して第71条から第73条までのいずれか一に該当する違反行為を行ったときは，その行為者を罰するほか，その法人又は個人に対しても当該条文の罰金刑を科する。但し，法人又は個人がその違反行為を防止するため当該業務に関して相当の注意及び監督を怠らなかったときは，この限りではない。

第74条の2（没収・追徴等）第70条から第73条までのいずれか一に該当する罪を犯した者が当該違反行為に関連して取得した金品その他の利益は，没収することができ，これを没収することができないときは，その価額を追徴することができる。この場合において，没収又は追徴は，他の罰則に付加して課することができる。

[本条新設 2015.7.24.]

第75条（過料）①次の各号のいずれか一に該当する者には，5千万圓以下の過料を課する。

1. 第15条第1項を違反して個人情報を収集した者

2. 第22条第5項を違反して法定代理人の同意を受けなかった者

3. 第25条第2項を違反して映像情報処理機器を設置・運営した者

②次の各号のいずれか一に該当する者には，3千万圓以下の過料を賦課する。<改正 2013.8.6.，2014.3.24.，2015.7.24.，2016.3.29.>

1. 第15条第2項，第17条第2項，第18条第3項又は第26条第3項を違反して情報主体に対し通知すべき事項を通知しなかった者

2. 第16条第3項又は第22条第4項を違反して財貨又はサービスの提供を拒否した者

3. 第20条第1項又は第2項を違反して情報主体に対し同項各号の事実を通知しなかった者

4. 第21条第1項を違反して個人情報を破棄しなかった者

4の2. 第24条の2第1項を違反して住民登録番号を処理した者

4の3. 第24条の2第2項を違反して暗号化措置を取らなかった者

5. 第24条の2第3項を違反して情報主体が住民登録番号を使用しないことのできる方法を提供しなかった者

6. 第23条第2項，第24条第3項，第25条第6項又は第29条を違反して安全性確保に必要な措置を取らなかった者

7. 第25条第1項を違反して映像情報処理機器を設置・運営した者

7の2. 第32条の2第6項を違反して認証を受けていないのに虚偽で認証の内容を表示し，又は広報した者

8. 第34条第1項を違反して情報主体に対し同項各号の事実を通知しなかった者

9. 第34条第3項を違反して措置結果を申告しなかった者

10. 第35条第3項を違反して閲覧を制限し，又は拒絶した者

11. 第36条第2項を違反して訂正・削除等必要な措置を取らなかった者

12. 第37条第4項を違反して処理が停止された個人情報について破棄その他必要な措置を取らなかった者

13. 第64条第1項による是正命令に従わなかった者

③次の各号のいずれか一に該当する者には，1千万圓以下の過料を賦課する。

1. 第21条第3項を違反して個人情報を分離して保存・管理しなかった者

2. 第22条第1項から第3項までの規定を違反して同意を受けた者

3. 第25条第4項を違反して案内板設置その他の必要な措置を取らなかった者

4. 第26条第1項を違反して業務委託時，同項各号の内容が含まれる文書によらなかった者

5. 第26条第2項を違反して委託する業務の内容及び受託者を公開しなかった者

6. 第27条第1項又は第2項を違反して情報主体に対し個人情報の移転事実を通知しなかった者

7. 第30条第1項又は第2項を違反して個人情報処理方針を定めず，又はこれを公開しなかった者

8. 第31条第1項を違反して個人情報保護責任者を指定しなかった者

9. 第35条第3項・第4項，第36条第2項・第4項又は第37条第3項を違反して情報主体に対して知らせるべき事項を知らせなかった者

10. 第63条第1項による関係物品・書類その他の資料を提出せず，又は虚偽で提出した者

11. 第63条第2項による立入り・検査を拒否・妨害又は忌避した者

④第1項から第3項までの規定による過料は，大統領令で定めるところにより，行政自治大臣及び関係中央行政機関の長が賦課・徴収する。この場合において，関係中央行政機関の長は，所管分野の個人情報処理者に対して過料を賦課・徴収する。<改正 2013.3.23.，2014.11.19.>

第76条（過料に関する規定適用の特例）第75条の過料に関する規定を適用するとき，第34条の2により課徴金を賦課した行為については，過料を賦課することができない。

[本条新設 2013.8.6.]

附則 <2011.3.29.>[編集]

第1条（施行日）本法は，公布後6箇月が経過した日から施行する。但し，第24条第2項及び第75条第2項第5号は，公布後1年が経過した日から施行する。

第2条（他の法律の廃止）公共機関の個人情報保護に関する法律は，廃止する。

第3条（個人情報紛争調停委員会に関する経過措置）本法施行の際，従前の「情報通信網利用促進及び情報保護等に関する法律」による個人情報紛争調停委員会の行為又は個人情報紛争調停委員会に対する行為は，これに該当する本法による個人情報紛争調停委員会の行為又は個人情報紛争調停委員会に対する行為とみなす。

第4条（処理中の個人情報に関する経過措置）本法施行前に他法令に従い適法に処理された個人情報は，本法に従い処理されたものとみなす。

第5条（罰則の適用に関する経過措置）①本法施行前に従前の「公共機関の個人情報保護に関する法律」を違反した行為に対して罰則を適用するときは，従前の「公共機関の個人情報保護に関する法律」による。

②本法施行前に従前の「情報通信網利用促進及び情報保護等に関する法律」を違反した行為に対して罰則を適用するときは，従前の「情報通信網利用促進及び情報保護等に関する法律」による。

第6条（他の法律の改正）①6ㆍ25戦死者遺骸の発掘等に関する法律の一部を対のとおり改正する。

第14条第1項第2号中，「「公共機関の個人情報保護に関する法律」 第2条第2号」を「「個人情報保護法」 第2条第1号」と改める。

②公職者倫理法の一部を次のとおり改正する。

第6条第6項及び第9項中，「「公共機関の個人情報保護に関する法律」第10条」を各々「「個人情報保護法」 第18条」と改める。

③国家公務員法の一部を次のとおり改正する。

第19条の3第3項中，「「公共機関の個人情報保護に関する法律」 第2条第1号」を「「個人情報保護法」 第2条第6号」と改め，同条第4項中「「公共機関の個人情報保護に関する法律」」を「「個人情報保護法」」と改める。

④発明振興法の一部を次のとおり改正する。

第20条の2第1項中，「「公共機関の個人情報保護に関する法律」」を「「個人情報保護法」」と改める。

⑤信用情報の利用及び保護に関する法律の一部を次のとおり改正する。

第23条第2項第2号を次のとおり改める。

2. 「個人情報保護法」

⑥児童福祉法の一部を次のとおり改正する。

第9条の2第3項中，「「公共機関の個人情報保護に関する法律」」を「「個人情報保護法」」と改める。

⑦法律第10333号 癌管理法の全部を改正する法律の一部を次のとおり改正する。

第14条第1項後段中，「「公共機関の個人情報保護に関する法律」 第3条第2項」を「「個人情報保護法」 第58条第1項」と改める。

第49条中，「「公共機関の個人情報保護に関する法律」 第10条第3項」を「「個人情報保護法」 第18条第2項」と改める。

⑧障害者の差別禁止及び権利救済等に関する法律の一部を次のとおり改正する。

第3条第8号ハ目中，「「公共機関の個人情報保護に関する法律」 第2条第2号」を「「個人情報保護法」 第2条第1号」と改める。

第22条第2項中，「「公共機関の個人情報保護に関する法律」」を「「個人情報保護法」」と改める。

⑨電子署名法の一部を次のとおり改正する。

第24条第2項を削除する。

⑩電子政府法の一部を次のとおり改正する。

第21条第2項中，「「公共機関の個人情報保護に関する法律」 第2条第2号」を「「個人情報保護法」 第2条第1号」と改める。

第39条第4項中，「「公共機関の個人情報保護に関する法律」 第5条」を「「個人情報保護法」 第32条」と，「同法第20条第1項による公共機関個人情報保護審議委員会の審議を経て」を「「個人情報保護法」 第7条による個人情報保護委員会の審議ㆍ議決を経て」と改める。

第42条第1項中，「「公共機関の個人情報保護に関する法律」 第2条第8号」を「「個人情報保護法」 第2条第3号」と，「「公共機関の個人情報保護に関する法律」 第10条第3項第1号及び同条第5項は」を「「個人情報保護法」 第18条第2項第1号及び第19条第1号は」と改める。

⑪ 情報通信網の利用促進及び情報保護等に関する法律の一部を次のとおり改正する。

第4章第4節（第33条，第33条の2，第34条から第40条まで），第66条第1号及び第67条を各々削除する。

第4条第1項ㆍ第3項，第64条の2第3項後段，第65条第1項及び第69条中，「行政安全大臣，知識経済大臣又は放送通信委員会」を各々「知識経済大臣又は放送通信委員会」と改める。

第64条第1項各号以外の部分ㆍ第3項ㆍ第4項 前段・第5項前段ㆍ第6項ㆍ第9項ㆍ第10項，第64条の2第1項ㆍ第2項ㆍ第3項 各号以外の部分前段，第65条第3項，第76条第1項第12号及び第4項から第6項までの規定中，「行政安全大臣又は放送通信委員会」を各々「放送通信委員会」と改める。

⑫債権の公正な推尋に関する法律の一部を다음과 같이 改正한다.

第2条第5号 중 "「公共機関의 個人情報保護に関する法律」 第2条第2号"를 "「個人情報保護法」 第2条第1号"로 한다.

⑬ 출입국管理법 日부를 다음과 같이 改正한다.

第12条の2第6項 및 第38条第3項 중 "「公共機関의 個人情報保護に関する法律」"을 각각 "「個人情報保護法」"로 한다.

⑭ 한국장학재단 설립 등に関する法律 日부를 다음과 같이 改正한다.

第50条第3項 중 "「公共機関의 個人情報保護に関する法律」"을 "「個人情報保護法」"로 한다.

第7条（다른 法令과의 関係）本法 施行 당시 다른 法令에서 종전의 「公共機関의 個人情報保護に関する法律」 또는 그 規定을 인용하고 있는 場合 本法 중 그に該当する規定이 있을 때에는 종전의 規定을 갈음하여 本法 또는 本法의 当該規定을 인용한 것로 본다.

附則 < 2013.3.23.> （政府組織法）[編集]

第1条（施行日）①本法は，公布の日から施行する。

②省略

第2条から第5条まで 省略

第6条（他の法律の改正）①から<149>まで 省略

<150> 個人情報保護法の一部を次のとおり改正する。

第9条第1項，第11条第1項，第12条第1項，第13条 各号以外の部分，第24条第4項，第30条第4項，第32条第1項各号以外の部分前段，同条第3項ㆍ第4項，第33条第1項前段ㆍ後段，同条第3項ㆍ第5項，第34条第3項前段ㆍ後段，第35条第2項，第40条第3項各号以外の部分，同条第4項ㆍ第8項，第61条第1項，同条第2項前段ㆍ後段，第62条第1項，同条第2項 前段，同条第4項，第63条第1項各号以外の部分，同条第2項前段，同条第4項ㆍ第5項，第64条第1項各号以外の部分，第65条第1項，同条第2項前段ㆍ後段，第66条第1項，第68条第1項から第3項まで，第69条及び第75条第4項前段中，「行政安全大臣」を各々「安全行政大臣」と改める。

第18条第4項中，「行政安全省令」を「安全行政省令」と改める。

<151>から<710>まで 省略

第7条 省略

附則 <2013.8.6.>[編集]

第1条（施行日）本法は，公布後1年が経過した日から施行する。

第2条（住民登録番号処理制限に関する経過措置）①本法施行の際，住民登録番号を処理する個人情報処理者は，本法施行日から2年以内に保有する住民登録番号を破棄しなければならない。 但し，第24条の2第1項各号の改正規定のいずれか一に該当する場合は，除く。

②第1項による期間内に保有する住民登録番号を破棄しなかったときは，第24条の2第1項の改正規定を違反したものとみなす。

附則 <2014.3.24.>[編集]

本法は，公布の日から施行する。但し，法律 第11990号 個人情報保護法の一部を改正する法律第24条の2及び第75条第2項第5号の改正規定は，2016年1月1日から施行する。

附則 < 2014.11.19.> （政府組織法）[編集]

第1条（施行日）本法は，公布の日から施行する。但し，付則第6条により改正される法律の中，本法施行前に公布された，又は施行日の到来していない法律を改正した部分は，各々当該法律の施行日から施行する。

第2条から第5条まで 省略

第6条（他の法律の改正）①から<55>まで 省略

<56> 個人情報保護法の一部を次のとおり改正する。

第9条第1項，第11条第1項，第12条第1項，第13条 各号以外の部分，第24条の2第1項第3号，第30条第4項，第32条第1項各号以外の部分前段，同条第3項ㆍ第4項，第33条第1項前段ㆍ後段，同条第3項ㆍ第5項，第34条第3項 前段ㆍ後段，第34条の2第1項本文，同条第2項各号以外の部分，同条第3項前段，同条第4項，第35条第2項，第40条第3項各号以外の部分，同条第4項ㆍ第8項，第61条第1項，同条第2項前段ㆍ後段，第62条第1項，同条第2項 前段，同条第4項，第63条第1項各号以外の部分，同条第2項前段，同条第4項ㆍ第5項，第64条第1項各号以外の部分，第65条第1項，同条第2項前段ㆍ後段，第66条第1項，第68条第1項から第3項まで，第69条及び第75条第4項前段中， 「安全行政大臣」を各々「行政自治大臣」と改める。

第18条第4項中，「安全行政省令」を「行政自治省令」と改める。

<57>から<258>まで 省略

第7条 省略

附則 <2015.7.24.>[編集]

第1条（施行日）本法は，公布の日から施行する。但し，第8条第1項，第8条の2，第9条，第11条第1項，第32条の2，第39条第3項ㆍ第4項，第39条の2，第40条，第75条第2項第7号の2の改正規定は，公布後1年が経過した日から，法律第12504号 個人情報保護法一部改正法律第24条の2第2項前段及び第75条第2項第4号の3の改正規定は，2016年1月1日から各々施行する。

第2条（損害賠償に関する適用例）第39条第3項ㆍ第4項及び第39条の2の改正規定は，本法 施行後に紛失ㆍ盗難ㆍ流出ㆍ偽造ㆍ変造又は毀損された個人情報に関する損害賠償請求分から適用する。

第3条（個人情報保護認証に関する経過措置）本法施行前に行政自治大臣から個人情報 保護認証を受けた者は，第32条の2の改正規定による個人情報保護認証を受けたものとみなす。

第4条（個人情報認証審査員資格に関する経過措置）本法施行前に個人情報保護認証審査員の資格を取得した者は，本法による個人情報保護認証審査員の資格を取得したものとみなす。

第5条（個人情報紛争調停委員会委員の任期に関する経過措置）本法施行前に行政自治大臣が任命し，又は委嘱した紛争調停委員会委員は，第40条の 改正規定による保護委員会が委嘱した紛争調停委員会委員とみなす。

第6条（罰則等に関する経過措置）本法施行前の違反行為に対して罰則又は過料を適用するときは，従前の規定による。

附則 <2016.3.29.>[編集]

第1条（施行日）本法は，公布後6箇月が経過した日から施行する。但し，第24条の2第1項第1号及び第67条第2項第5号の改正規定は，公布後1年が経過した日から施行する。

第2条（情報主体以外から収集した個人情報の収集出処等告知に関する適用例）第20条第2項及び第3項の改正規定は，本法施行後最初に情報主体以外から個人情報を収集する場合から適用する。

第3条（個人情報処理方針に関する経過措置）①本法施行の際，従前の規定による個人情報処理方針は，第30条第1項の改正規定による個人情報処理方針とみなす。

②個人情報処理者は，本法施行後6箇月以内に第1項による個人情報処理方針を第30条第1項の改正趣旨に合うよう改正しなければならない。