「個人情報取扱事業者」に該当しない「小規模事業者」とは、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6ヶ月以内のいずれの日においても5,000を超えないもの、をいいます。
そこで、問題の5,000を超えるかどうかは、その事業者が管理する全ての個人情報データベース等によって識別される個人の数の総和で考えます。ただし、同一人物が含まれる場合は、重複分は除かれます。
たとえば、ある事業者が顧客データを4,000人分、従業員データを3,000人分有しており、そのうち同一人物が100人分含まれる場合、4,000人分+3,000人分-100人分=6,900人分となり、「一定量」を超えるため、「個人情報取扱事業者」となります。
ただ、「小規模事業者」は、「個人情報保護法」の義務は課せられないとしても、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取り扱いが図られなければならない」(法第3条)という個人情報保護法の基本理念を尊重すべきだ、としています。
