○国土交通省告示第千五百号
個人情報の保護に関する法律(平成十五年法律第五十七号)第八条の規定に基づき、個人情報の取
扱いを確保するために国土交通省所管分野における事業者等が講ずべきガイドラインを次のように
定める。
平成十六年十二月二日
国土交通大臣 北側 一雄
国土交通省所管分野における個人情報保護に関するガイドライン
(趣旨)
第一条 このガイドラインは、個人情報の保護に関する法律(平成十五年法律第五十七号。以下「法」
という。)第七条第一項の規定に基づき定められた「個人情報の保護に関する基本方針」(平成
十六年四月二日閣議決定)を受け、また、法第八条の規定に基づき、国土交通省が所管する分野及
び法第三十六条第一項ただし書により指定を受けた分野(以下「国土交通省所管分野」という。)
における事業者等が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定
めるものである。
(適用範囲)
第二条 このガイドラインは、国土交通省所管分野における事業者等が個人情報の適正な取扱いの確保
に関して行う活動に対して適用する(次項及び第三項に規定する場合を除く)。
2 雇用管理(船員に係るものを除く。)に関しては、「雇用管理に関する個人情報の適正な取扱い
を確保するために事業者が講ずべき措置に関する指針」(平成十六年厚生労働省告示第二百五十九
号)によるものとする。
3 船員の雇用管理に関しては、「船員の雇用管理に関する個人情報の適正な取扱いを確保するため
に事業者が講ずべき措置に関する指針」(平成十六年国土交通省告示第千百八十一号)によるものと
する。
(定義)
第三条 このガイドラインにおいて、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
一 個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の
記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、
それにより特定の個人を識別することができることとなるものを含む。)をいう。
二 個人情報データベース等 個人情報を含む情報の集合物であって、次に掲げるものをいう。
イ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
ロ 電子計算機を用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、
五十音順、年月日順等)に従って整理・分類することにより、特定の個人情報を容易に検索
することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に
置いているもの
三 個人情報取扱事業者 個人情報データベース等を事業の用に供している者をいう。ただし、次
に掲げる者を除く。
イ 国の機関
ロ 地方公共団体
ハ 独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二
条第一項に規定する独立行政法人等
ニ 地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人
ホ その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定
の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データ
ベース等で個人情報として氏名又は住所若しくは居所(地図上又は電子計算機の映像面上にお
いて住所又は居所の所在の場所を示す表示を含む。)若しくは電話番号のみが含まれる場合で
あって、これを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データ
ベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計
が過去六ヶ月以内のいずれの日においても五千を超えない者
四 個人データ 個人情報データベース等を構成する個人情報をいう。
五 保有個人データ 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消
去及び第三者への提供の停止を行うことができる権限を有する個人データをいう。ただし、次のイ
又はロの場合を除く。
イ 当該個人データの存否が明らかになることにより公益その他の利益が害されるものとして、
次に掲げるもの。
(一) 本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
(二) 違法又は不当な行為を助長し、又は誘発するおそれがあるもの
(三) 国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又
は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
(四) 犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
ロ 六ヶ月以内に消去する(更新することは除く。)こととなるもの。
六 本人 個人情報によって識別される特定の個人をいう。
(利用目的の特定)
第四条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目
的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有す
ると合理的に認められる範囲を超えて行ってはならない。
(取得に際しての利用目的の通知等)
第五条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表してい
る場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契
約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方
式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得す
る場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、
本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護の
ために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知
し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他
の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な
利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場
合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼす
おそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
(利用目的による制限)
第六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、第四条の規定により特定された
利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継するこ
とに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個
人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困
難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同
意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに
対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を
及ぼすおそれがあるとき。
(適正な取得)
第七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
(データ内容の正確性の確保)
第八条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最
新の内容に保つよう努めなければならない。
(安全管理措置)
第九条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損(以下「漏えい等」
という。)の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技術的安全管
理措置を講じなければならない。その際、本人の個人データが漏えい等をした場合に本人が被る権
利利益の侵害の大きさを考慮し、必要かつ適切な措置を講じるものとする。
2 個人情報取扱事業者は、組織的安全管理のために次に掲げる事項について措置を講ずるよう努め
るものとする。
一 個人情報保護管理者の設置
二 個人データの安全管理措置を講じるための組織体制の整備
三 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
四 個人データ取扱台帳の整備
五 個人データの安全管理措置の評価、見直し及び改善
六 事故又は違反への対処について手続きの策定
3 個人情報取扱事業者は、人的安全管理のために次に掲げる事項について措置を講ずるよう努める
ものとする。
一 従業者の雇用及び委託契約時における非開示契約の締結
二 従業者に対する教育、啓発の実施
4 個人情報取扱事業者は、物理的安全管理のために次に掲げる事項について措置を講ずるよう努め
るものとする。
一 入退館(室)管理の実施
二 盗難等に対する対策
三 機器、装置等の物理的な保護
5 個人情報取扱事業者は、技術的安全管理のために次に掲げる事項について措置を講ずるよう努め
るものとする。
一 個人データへのアクセスにおける識別と認証
二 個人データへのアクセス制御
三 個人データへのアクセス権限の管理
四 個人データのアクセスの記録
五 個人データを取り扱う情報システムに対する不正ソフトウェア対策
六 個人データの移送・通信時の対策
七 個人データを取り扱う情報システムの動作確認時の対策
八 個人データを取り扱う情報システムの監視
(従業者の監督)
第十条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人デー
タの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第十一条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱い
を委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を
行わなければならない。
2 個人情報取扱事業者は、個人情報の保護について十分な措置を講じている者を委託先として選定す
るための基準を設けるよう努めるものとする。
3 個人情報取扱事業者は、前項の規定を遵守するために次に掲げる事項について委託契約時に明確化
に努めるものとする。
一 個人データの安全管理に関する事項。例えば次に掲げる事項。
イ 個人データの漏えい等の防止、盗用の禁止に関する事項
ロ 委託契約範囲外の加工、利用の禁止
ハ 委託契約範囲外の複写、複製の禁止
ニ 委託処理期間
ホ 委託処理終了後の個人データの返還・消去・破棄に関する事項
二 個人データの取扱いの再委託を行うに当たっての委託元への報告とその方法
三 個人データの取扱い状況に関する委託者への報告の内容及び頻度
四 委託契約の内容、期間が遵守されていることの確認
五 委託契約の内容、期間が遵守されなかった場合の措置
六 個人データの漏えい等の事故が発生した場合の報告・連絡に関する事項
七 個人データの漏えい等の事故が発生した場合における委託元と委託先の責任の範囲
(第三者提供の制限)
第十二条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、
個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困
難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同
意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに
対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を
及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人
が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事
項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前
項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の手段又は方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容に
ついて、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、
三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は
一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用さ
れる個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データ
の管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人
が容易に知り得る状態に置いているとき。
5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理につ
いて責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、
本人に通知し、又は本人が容易に知り得る状態に置かなくてはならない。
(保有個人データに関する事項の公表等)
第十三条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得
る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 すべての保有個人データの利用目的(第五条第四項第一号から第三号までに該当する場合を除
く。)
三 次項、次条第一項、第十五条第一項又は第十六条第一項若しくは第二項の規定による求めに応
じる手続(第十九条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として次
に掲げるもの。
イ 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
ロ 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該
認定個人情報保護団体の名称及び苦情の解決の申出先
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求
められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のい
ずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第五条第四項第一号から第三号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない
旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(開示)
第十四条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本
人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を
求められたときは、本人に対し、書面の交付(開示の求めを行った者が同意した方法があるときは、
当該方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示する
ことにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について
開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が
識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一
部の保有個人データについては、同項の規定は、適用しない。
(訂正等)
第十五条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実で
ないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において
「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特
別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な
調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一
部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞
なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(利用停止等)
第十六条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第六条の規定
に違反して取り扱われているという理由又は第七条の規定に違反して取得されたものであるという
理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」と
いう。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正す
るために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。た
だし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うこと
が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、
この限りでない。
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十二条第一項の規
定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供
の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該
保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三
者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合
であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りで
ない。
3 個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部に
ついて利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規
定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき
若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通
知しなければならない。
(理由の説明)
第十七条 個人情報取扱事業者は、第十三条第三項、第十四条第二項、第十五条第二項又は前条第三
項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知
する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明する
よう努めなければならない。
(開示等の求めに応じる手続)
第十八条 個人情報取扱事業者は、第十三条第二項、第十四条第一項、第十五条第一項又は第十六条
第一項若しくは第二項の規定による求め(以下この条において「開示等の求め」という。)に関し、
次の各号に掲げるとおり、その求めを受け付ける方法を定めることができる。 この場合において、
本人は、当該方法に従って、開示等の求めを行わなければならない。
一 開示等の求めの申出先
二 開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によっては認
識することができない方式で作られる記録を含む。)の様式その他の開示等の求めの方式
三 開示等の求めをする者が本人又は第三項に規定する代理人であることの確認方法
四 第十九条第一項の手数料の徴収方法
2 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特
定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本
人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定するに資す
る情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 開示等の求めは、次に掲げる代理人によってすることができる。
一 未成年者又は成年被後見人の法定代理人
二 開示等の求めをすることにつき本人が委任した代理人
4 個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続きを定めるに当たって
は、本人に過重な負担を課するものとならないよう配慮しなければならない。
(手数料)
第十九条 個人情報取扱事業者は、第十三条第二項の規定による利用目的の通知又は第十四条第一項
の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であ
ると認められる範囲内において、その手数料の額を定めなければならない。
(個人情報取扱事業者による苦情の処理)
第二十条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなけ
ればならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(漏えい等が発生した場合の対応)
第二十一条 個人情報取扱事業者は、個人データの漏えい等が発生した場合は、事実関係を本人に速
やかに通知するものとする。
2 個人情報取扱事業者は、個人データの漏えい等が発生した場合は、二次被害の防止、類似事案の
発生回避等の観点から、可能な限り事実関係等を公表するものとする。
3 個人情報取扱事業者は、個人データの漏えい等が発生した場合は事実関係を国土交通省に直ちに
報告するものとする。
附 則
(施行期日)
第一条 このガイドラインは平成十七年四月一日より適用する。
(個人情報取扱事業者以外の事業者等による個人情報の取扱い)
第二条 国土交通省所管分野における事業者等であって、個人情報を取り扱うもののうち、第三条第
三号ホの規定により個人情報取扱事業者に該当しないとされるものについても、このガイドライン
に準じて、その適正な取扱いの確保に努めるものとする。
(個人情報取扱事業者による措置)
第三条 個人情報取扱事業者は、必要があると認めるときは、このガイドラインの趣旨を踏まえ、各
分野における事情を勘案した指針等を作成、公表し、これを遵守するよう努めるものとする。
(見直し)
第四条 このガイドラインは、社会情勢の変化、国民の意識の変化、技術動向の変化等諸環境の変化
を踏まえて見直しを図られるものとする。