以下に個人情報保護法の要点を記載します。
契約書整備などを検討される場合は、当事務所の契約書作成業務をご検討下さい。

個人情報の定義

個人情報とは「生存する個人に関する情報」であって、氏名・住所・職業などの記述によって特定の個人を識別できるものと提起されています。（法２条１項）
こうした情報が個人情報保護法の保護対象となります。

そのため会社等の法人情報は同法の対象外ですが、名簿の中に担当者氏名が記述されていたりすると、その担当者の個人識別情報となるので、同法の対象となりうる場合もあります。

個人情報データベースの定義

特定の個人情報を氏名や電話番号などで検索できるように体系的に整理されたものを「個人情報データベース等」と定義しています。（法２条２項）
更に個人情報データベース等を構成する個々の個人情報を「個人データ」と定義しています。（法２条４項）
個人データに関しては、コンピューター上のデータベースに限定されるものではなく、紙媒体の名簿であっても「個人データ」とみなされます。

保有個人データの定義

個人データのうちで、顧客等が開示・訂正・利用停止の請求権を持つものを「保有個人データと定義しています。（法２条）
但し、６ヶ月より短期間のうちに消去される個人データは、顧客等による開示請求権の対象外となります。（施行令４条）

個人情報取扱事業者の定義と除外

民間において、個人情報データベース等を「事業の用に供している」者を、「個人情報取扱事業者」と定義しています。（法２条３項）
この「事業の用に供している」という表現は、反復継続性を持つものであれば、非営利活動でも対象となります。
尚、過去６ヶ月以内に５，０００件を超えない個人情報の集合は、同法の適用外で、これを扱う者は「個人情報取扱事業者」から除外されます。（施行令２条）

利用目的の特定

個人情報取扱事業者は、個人情報の利用目的を特定しなくてはなりません。（法１５条）
事業者の事業目的に照らして、合理的だと判断できる程度までに、利用目的を特定しておく必要があります。
また、個人情報取扱事業者は、利用目的の範囲を超えて、個人情報の利用することが禁止されています。（法１６条）

適正な取得

個人情報取扱事業者は、虚偽の説明や不正な手段で個人情報を取得することを禁じられています。（法１７条）

個人情報取得に際して利用目的を通知

個人情報を取得する場合は、利用目的を本人に通知するか、又は公表しなくてはいけません。（法１８条）
具体的な通知方法は、契約書への記載の他、文書での郵送や電話・ｅメールでも構いません。公表方法は、ホームページやカタログへの掲載、事業者での掲示などがあります。
個人から直接個人情報を取得する場合（アンケート等）は、あらかじめ利用目的を明示する必要があります。

また、電子的方法による個人情報取得にも利用目的の通知が必要となります。例えば、ホームページでクッキー（cookies）を利用し、アクセス解析等をしている場合は、その利用目的を明示しておく必要があります。
フォーム・メールで顧客の個人情報を取得する場合も、当然ながら利用目的を明示しておく必要があります。

安全管理措置

個人情報取扱事業者は、個人データの安全管理のために適切な措置をしなくてはなりません。そのために、従業員の監督や外注先（委託先）の監督の責任もあります。（法２０〜２２条）

個人情報の第三者提供の制限

個人情報取扱事業者は、顧客本人の同意を得ずに、個人データを第三者に提供してはいけません。（法２３条）
但し、事前に「本人の請求があれば第三者提供を停止する」「必要事項を本人に通知又は公表」する制度（オプトアウト制度）を用意すれば、本人の同意が無くても第三者提供が可能となります。（法２３条２項）

顧客（個人）の請求権

個人情報取扱事業者は、個人保有データの利用目的について、本人の請求があれば回答をしなくてはなりません。（法２４条）
また、本人から個人保有データの開示、訂正、利用停止の請求があれば、回答をする必要があります。（法２５〜２７条）
情報開示等に関する手数料は、合理的な範囲内で情報請求者に請求できます。（法３０条）

実効性担保

個人情報取扱事業者に義務違反（法１６〜１８条・２０〜２７条・３０条２項）があった場合は、主務大臣に対して是正の勧告・命令をするよう請求できます。（法３４条）
また、主務大臣の勧告・命令に違反した者には、６月以下の懲役又は３０万円以下の罰金が処せられます。（法５６条）