1. 個人情報・個人情報データベース等（「何を」保護するのか）

（1）個人情報
　1.生きている個人に関する情報で、2.その情報に含まれる記述等により、特定の個人を識別することができるものをいいます。容易に他の情報と照らし合わせることができ、その結果個人が識別できる場合を含みます。
　氏名、住所、電話番号、勤務先、生年月日だけではなく、銀行口座番号情報、クレジットカード番号、アドレス自体から個人の氏名と勤務先が判読できるようなメールアドレス、そして、近時導入されつつある生体認証システムに登録した指紋や顔、掌なども個人情報です。

（2）個人データ
　個人情報を、目次や索引などを用いて検索可能なように整理したデータを個人データといいます。コンピューター管理されているものだけではなく、50音順に並べられた名簿等の紙情報も個人データに該当します。なお、6ヶ月をこえて継続利用する場合、「保有個人データ（開示や内容訂正請求などの対象）」となります。

2. 個人情報取扱事業者（「誰に」保護せよと要求しているのか）

　事業者が取り扱う個人情報によって識別される特定の個人の数が、過去6ヶ月以内のどの日をとっても、5,000を越えない場合、その事業者はこの法律の適用を免れます。逆に、社員情報と顧客情報を合計して5,000を越えていれば、個人情報取扱事業者として、法律を守らなければなりません。
　また、各官庁は、ガイドラインなどによって、5,000を越えていない事業者に対しても、適切な個人情報取扱を求めています（与信事業者、電気通信事業者）。

3. 保護の方法

（1）個人情報の取得
　取得する個人情報の利用目的は、できる限り特定される必要があります。
　たとえば、「サービス向上のために」「営業活動のために」といった文言では、利用目的が特定されているとはいえません。せめて「商品開発のために」等のレベルにまで特定する必要があります。
　また、このように特定した利用目的を、あらかじめ、あるいは事後速やかに本人に通知（メール、電話、郵便、対面など）する必要があります。公表（パンフレット配布、営業所窓口の掲示など）すれば足りるケースもあります。

（2）個人データの利用
　取得した個人情報を整理した個人データは、あらかじめ特定された利用目的以外に用いることが許されません。
　つまり、商品開発のためのアンケートと述べて収集したデータを、DM発送のために利用することはできません。

（3）個人データの正確性等担保
　個人データの内容を、正確かつ最新のものとなるようにつとめ、安全管理措置を講じ、従業者や委託先の監督をなす

（4）個人データの提供
　本人の同意を得ることなく第三者にデータを提供してはなりません。

（5）保有個人データに関する義務
　保有個人データの利用目的などを本人の知りうる状態に置く必要があります。
　また、本人の求めに応じて、開示、訂正、利用停止等を行う。

（6）その他
　苦情の処理につとめ、体制を整備する