主な改正点は2つある。1つは，個人情報取扱事業者が外部に業務を委託する際に，委託する業務内容に必要がない個人データの提供を禁じることを明記したこと。個人データとは，容易に検索できるように構成されたデータベースなどに含まれる個人情報を指す。

　もう1つの改正点は，業務委託の際に実施することが望ましい監督内容を明確化したこと。（1）業務委託先は個人情報保護水準を合理的に確認して適切に選定し，適宜評価を実施すること，（2）委託契約には個人データの安全管理措置内容および委託元が個人データ取り扱い状況を把握することを盛り込むこと，（3）個人データ取り扱い状況把握のために，委託契約内容を相互に確認すること---の3点を「実施することが望ましい」と明記した。

というか、一つ目が明記されていなかったことが不思議。
それとも、明記されていなかっただけで禁止はされてたのかな？
自分の周りの個人情報関連の仕事してる人たちは、最初からそんなことしたらだめだと言ってたような気がするけど。