個人情報保護法の解説

個人情報保護法の対象となる事業者は…

個人情報保護法の対象となる事業者を次のように定義しています。

３　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三　独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成十五年法律第五十九号）第二条第一項に規定する独立行政法人等をいう。以下同じ。）

ここで、さらに説明が必要になる単語が２つ。

• 個人情報データベス等
• 事業のように供している者
  

個人情報データベースとは次のように定義されています。

２　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

とどのつまり、エクセルに入力したデータやあいうえお順に差し込んだ名刺入れが該当するわけですな。
なので、会社の個人情報をすべて紙で保管し、パッとみて分からないようにランダムに並べておけばその会社は個人情報取扱い事業者ではい＝個人情報保護法の罰則を受けないと言うわけですねｗ
そんな非効率的な対策をしている会社なんてないと思いますがｗ

そして、もう一つ「事業のように供している者」とは、経済産業省のガイドラインに次のように解説されています。

「事業の用に供している」の「事業」とは、一定の目的を持って反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない。

わかりにくいので、例を挙げると商品を販売するために、お客様の住所録を使って営業したりすることですな。
また、営利事業のみを対象とする者ではないとありますが、これはNPO法人やボランティア団体なども対象にしているぞと言っているわけです。ただ、別の個人情報保護法がある「国の機関」「地方公共団体」「独立行政法人等」は含まれないですけどね。

まとめると、個人情報保護法の対象になる事業者は、個人情報を記入（入力）した台帳などをもっていて、継続して事業を行っている者となります。

補足：個人情報保護法の対象外となる事業者は「取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者」と言われています。経済産業省のガイドラインでは次のように定義されています。ただし、これはあくまでも目安なので、5000と言う数字を意識しすぎると勧告、命令、緊急命令などを受ける可能性があります（個人情報保護法の設計者から話を聞いてきたので間違いはないかと思います）

政令第２条では、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６ヶ月以内のいずれの日においても５０００人を超えない者とする。５０００人を超えるか否かは、当該事業者の管理するすべての個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和により判断する。ただし、同一個人の重複分は除くものとする。

内閣府　個人情報の保護に関する法律
http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html

経済産業省　個人情報保護ガイドライン
http://www.meti.go.jp/policy/it_policy/press/0005321/

法令DB
http://law.e-gov.go.jp/cgi-bin/idxsearch.cgi