以下は、あくまで私の理解ということで、正しいかどうかは各自でご判断ください…と前置きした上で、

●大前提
基本的に対象となるのは、「特定の個人情報を容易に検索できるよう体系的に構成されたデータベース等」を「事業の用に供している」者ということで、顧客情報とか社員情報とかの区別はないです。

●除外条件

• http://www5.cao.go.jp/seikatsu/kojin/seirei/pdfs/kojinseirei507.pdf

上記の政令第五百七号の第二条には、「〜合計が過去六月以内のいずれの日においても五千を超えない者とする。」と書かれてます。

ということで、（今のところは）これに当てはまらなければ全部対象なんだと理解してます。細かい条件（電話帳などは合計に含まれない）は略しちゃったので、知りたい方は政令を確認してください。

●それ以外の除外条件…？
特定の個人情報を容易に検索できるよう【体系的に構成されている】場合が対象なので、特定の個人情報を容易に検索できるよう【体系的に構成されていない】場合は、対象にならないとかって話を聞いたことがあります。なので情報がまったく整理されてない場合は、検索が容易でないので法律の対象外って聞いたことがあります。

ただ、素人考えでも、ＤＢに入力する前のアンケート回答ハガキそれ自体は容易に検索できるようになってないので対象外と言えそうですけど、だからって漏洩したり紛失したら大問題になるのは自明です。

●余談
以前出席したシンポジウムで出た質問で、
「顧客情報で３０００件、社員情報で３０００件なら、合計は６０００件だけど、それぞれのデータベースで５０００件を越えないから大丈夫か？」
というのがありました。
この質問に対し、内閣官房個人情報保護担当室副室長（当時）の小川登美夫氏が、法律をすり抜ける方法を考えるのではなくて、「法の理念を理解して取り組んで欲しい」と言ってました。
この法の理念ってのは「個人の権利利益の保護」のことだと、私は理解しています。
とすると、「５０００件に満たないから責任ないよー」ってのは、個人の権利利益の保護って視点があるとは言えないと思います。なので、保有データの多寡に依らず、他人の情報を管理する（預かる）上で、最低限のことはした方がいいと考えるのが適当でしょう。

●結論
世論を考えると、「法律を守ってるから大丈夫〜！」とは言えないケースが多く出てくるのではないかと思います。個人情報取扱事業者の範疇じゃないから、漏れ漏れでも全然平気〜とか、そんな主張が世間的に許されるとはちょっと思えないし。
というわけで、顧客とか社員とか派遣とかの区別無く、個人を特定できる情報を少なくとも６ヶ月間保有する場合は、５０００件に満たない場合でも管理方法を整備しておくのが吉だと思います。
極論言っちゃうと、６ヶ月以内に廃棄する場合でも細心の注意が必要だと思いますけどね。他人の情報なんだし。
追記：

• 政令第507号を理解する　http://nikkeibp.jp/wcs/leaf/CID/onair/jp/rep02/307546
• ネタ元　http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/06.html#20040602

いやあ、参考になりますねえ。これは必読でしょう。