政府は2016年12月20日、2015年改正個人情報保護法の全面施行を2017年5月30日とする政令を閣議決定した。

 2015年改正法では、新たに顔認識データといった身体的特徴などを個人情報として明確化した。人種、信条、病歴など不当な差別、偏見が生じる可能性のある個人情報は「要配慮個人情報」と定め、原則として本人の同意を得ることを義務化した。改正法は取り扱う個人情報の数が5000件以下の企業なども対象となる。

 名簿業者への対策として、個人データを第三者提供したり提供を受けたりする際に、取得経緯の確認・記録作成などを義務化した。また、新たに個人情報データベースなどを不正な利益を図る目的で第三者に提供や盗用する行為を「個人情報データベース等不正提供罪」として罰則を設けた。

 さらに特定の個人を識別することができないように個人情報を加工した「匿名加工情報」の規定を新設し、個人情報保護法の国外適用のほか、外国の第三者に個人データの提供について一定の制限を設けた。

 企業などが本人に個人データのオプトアウト(利用停止)の手段を提供して、第三者に個人データを提供する場合に必要となる個人情報保護委員会への届け出は、2017年3月1日から受け付ける。