個人情報保護法第５６条に「第三十四条（主務大臣の勧告、命令）に違反をした場合、 ６ヶ月以下の懲役又は３０万円以下の罰金に処する」 とあり、また第５７条には「監督官庁への報告を怠ったり、嘘の報告をした場合３０万円以下の罰金に処する」 とあります。

これらの刑罰が科せられる対象者は個人情報保護法第５８条で 「社長、役員、一般従業員で違反行為をした行為者（人）が罰せられる」 ことに加えて、会社は懲役にできませんから 「会社そのものは罰金刑」と制定されています。

上記罰則について、緊急の場合は即命令を発することもできますが 事前に勧告や命令があり、罰則が突然降り懸ってくることは考えられません。 しかし保有している個人情報の数が少ないから罰則の適用はないと 漏洩したり、管理している個人情報が不正確で 誰かに損害を与えた場合その責任から逃れられません。

個人情報保護法で義務を課せられていなくても、民法では損害賠償が定められていますので適用事業者じゃないといって、いい加減な個人情報の取扱をしていた場合、責任がないと主張することは難しいでしょう。

もし過去６ヶ月以内のいずれの日においても５０００件を超えないデータを不注意によって流出してしまった場合、基本的には個人情報保護法による罰則の適用はありません。

ただし、民事・刑事上の罰則が科せられる可能性はあります。 損害賠償が争われる場合は、過失の有無が争点になりますが、個人情報保護対策の有無は重要な事実関係になるでしょう。
前にも記述しましたが、適用除外だと思っていても、いつ適用されるか分かりませんので注意が必要です。

一般の個人情報取扱事業者も上記を正しく理解しておきましょう。