当社において現時点で保有している個人情報は、どう集めても5000件には達しません。当社では個人情報の利用目的を定めたり、セキュリティ確保のための措置を取ったりしなくても良いということでしょうか。
確かに個人情報保護法が適用されなければ、同法の各種の規制は適用されません。もっとも個人情報の漏洩のリスクについては、個人情報取扱事業者であるか否かで異なりません。個人情報取扱事業者でなくても、個人情報が漏洩すれば、プライバシー侵害を理由として損害賠償義務を負う可能性があります。セキュリティ確保のための措置については、入念に検討しておくべきでしょう。