１， 個人の権利の強化：自分の個人情報が他の事業者へどのように提供されているか、記録の開示を事業者に対して求めることが可能になった。個人による自身の個人情報の利用停止・消去等の請求権が拡大され、事業者は対応を求められる範囲が拡大された。

２， 事業者の義務の拡大：違法または不当な行為を助長・誘発する可能性がある個人情報の利用が禁止された。
個人情報の重大な漏えい等が生じた場合には、個人情報保護委員会（H２８年に設置された国の独立性の高い機関、個人番号と個人情報に関する業務を取り扱う）及び本人への通知が事業者に義務付けされた。

３， 認定個人情報保護団体制度の見直し：認定個人情報保護団体の認定は、対象事業者のすべての分野・部門における業務を行う団体を対象としていたが、４月以後は、特定分野・部門の業務を対象とする団体についても認定できることになった。これにより、「通信販売」「証券」「保険」など、企業の特定分野を業務（個人情報保護の指導や苦情処理）とする団体の認定が可能になり、専門知識が必要な分野で自主的な個人情報の保護が推進される。

４， データ利活用の促進：他の情報と照合しない限り特定の個人を識別できないように、氏名等個人情報に含まれる記述を一部削除等して加工した「仮名加工情報」が創設された。万一漏えい等しても、本人の「匿名加工情報」よりも抽象化程度が低い「仮名化」が実務上広く行われている状況を認め、データの利活用を促進することとした。

５， 罰則の強化：委員会の命令に違反した場合、改正前の罰則では６月以下の懲役又は３０万円以下の罰金だったが、改正後は１年以下の懲役又は１００万円以下の罰金と刑の上限が引き上げられた。データベース等不正提供等や委員会に対する虚偽報告等に対する罰金刑について、行為者が個人の場合は５０万円以下、行為者が法人の場合の罰金は１億円以下とし、法人の罰金刑の上限を大幅に上げて、法人との資力の差を考慮した。

６， 外国事業者への規制の強化：インターネット等国境を越えた個人情報の取り扱いの増加に対応し、国内に事業所をもつ外国事業者にも刑罰で担保された報告徴収・立入検査・命令が適用される。外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。