個人情報の集合物をコンピュータで検索できるようにしているデータベースや、容易に検索できるように体系的に構成している物（2つを合わせて個人情報データベースという）を事業の用に供している者のこと（ただし、国の機関、地方公共団体、独立行政法人は除く）。
2015年(平成27年)の法改正以前は保有する個人情報の数が5,000件未満の事業者に関しては、対象外とされていたが、法改正により管理する個人情報の数にかかわらず個人情報取扱事業者に該当することとなった。

個人情報保護法では、個人情報取扱事業者に対し、以下のことを義務付けている。

• 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
• 個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
• 個人データを安全に管理し、従業員や委託先も監督しなければならない。
• あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
• 事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
• 事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
• 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。