１．個人の権利の在り方

・利⽤停⽌・消去等の個⼈の請求権について、不正取得等の⼀部の法違反の場合に加えて、個⼈の権利⼜は正当な利益が害されるおそれがある場合にも要件を緩和する。
・保有個⼈データの開⽰⽅法（※）について、電磁的記録の提供を含め、本⼈が指⽰できるようにする。
（※）現行は、原則として、書面の交付による方法とされている。
・個⼈データの授受に関する第三者提供記録について、本⼈が開⽰請求できるようにする。
・６ヶ⽉以内に消去する短期保存データについて、保有個⼈データに含めることとし、開⽰、利⽤停⽌等の対象とする。
・オプトアウト規定（※）により第三者に提供できる個⼈データの範囲を限定し、①不正取得された個⼈データ、②オプトアウト規定により提供された個⼈データについても対象外とする。
（※）本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。　

２．事業者の守るべき責務の在り⽅

・漏えい等が発⽣し、個⼈の権利利益を害するおそれがある場合（※）に、委員会への報告及び本⼈への通知を義務化する。
（※）一定数以上の個人データの漏えい、一定の類型に該当する場合に限定。
・違法⼜は不当な⾏為を助⻑する等の不適正な⽅法により個⼈情報を利⽤してはならない旨を明確化する。

３．事業者による⾃主的な取組を促す仕組みの在り⽅

・認定団体制度について、現⾏制度（※）に加え、企業の特定分野(部⾨)を対象とする団体を認定できるようにする。
（※）現行の認定団体は、対象事業者のすべての分野（部門）を対象とする。

４．データ利活⽤に関する施策の在り⽅

・イノベーションを促進する観点から、⽒名等を削除した「仮名加⼯情報」を創設し、内部分析に限定する等を条件に、開⽰・利⽤停⽌請求への対応等の義務を緩和する。
・提供元では個⼈データに該当しないものの、提供先において個⼈データとなることが想定される情報の第三者提供について、本⼈同意が得られていること等の確認を義務付ける。

５．ペナルティの在り⽅

・委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。
（※）命令違反：６月以下の懲役又は３０万円以下の罰金→ １年以下の懲役又は１００万円以下の罰金
（※）虚偽報告等：３０万円以下の罰金→ ５０万円以下の罰金
・ データベース等不正提供罪、委員会による命令違反の罰⾦について、法⼈と個⼈の資⼒格差等を勘案して、法⼈に対しては⾏為者よりも罰⾦刑の最⾼額を引き上げる（法⼈重科）。
（※）個人と同額の罰金（５０万円又は３０万円以下の罰金） → １億円以下の罰金

６．法の域外適⽤・越境移転の在り⽅

・⽇本国内にある者に係る個⼈情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
・外国にある第三者への個⼈データの提供時に、移転先事業者における個⼈情報の取扱いに関する本⼈への情報提供の充実等を求める。

※ その他、本改正に伴い、「⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律」及び「医療分野の研究開発に資するための匿名加⼯医療情報に関する法律」においても、⼀括法として所要の措置（漏えい等報告、法定刑の引上げ等）を講ずる。