• 利用目的の特定、利用目的による制限（15条、16条）
• 適正な取得、取得に際しての利用目的の通知等（17条、18条）
• データ内容の正確性の確保（19条）
• 安全管理措置、従業者・委託先の監督（20条～22条）
• 第三者提供の制限（23条）
• 公表等、開示、訂正等、利用停止等（24条～27条）
• 苦情の処理（31条）

• 目的の明確化、なぜ必要か、なんのために使うか明確にすること
• 手段の正確化、正しく、安全に保管すること　安全管理措置
• 手順の厳正化、取扱ルールを明確にすること
• 利用の正当化、厳格化、他者に提供を制限すること
• 要求の即応化、本人からの要求に応じること

https://okanehouritu.com/2019/04/16/%E7%AC%AC%E4%B8%89%E8%80%85%E3%81%8C%E6%8F%90%E4%BE%9B%E3%81%99%E3%82%8B%E3%82%B5%E3%83%BC%E3%83%90%E3%81%AB%E5%80%8B%E4%BA%BA%E3%83%87%E3%83%BC%E3%82%BF%E3%82%92%E4%BF%9D%E5%AD%98%E3%81%99%E3%82%8B/

• 当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
• 個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」（法第 23 条第５項第１号）にも該当せず、法第 22 条に基づきクラウドサービス事業者を監督する義務はありません。
• 多くのクラウドサービス（IaaS、PaaS、ストレージサービス等）では、提供したデータの中に個人データが含まれていたとしても、クラウド事業者はそれを取り扱わないことになっている。このようなサービスである場合には、第三者提供にも委託にも当たらないことになる。
• 委託に当たらないクラウドの場合、どのような規制が及ぶか。」という問いに対しても、「自社で管理しているものとして、安全管理措置を講じる義務が生じる。