■ 現状ヒアリング ■ 組織の管理体制の確認 ■ 社内情報資産及び個人情報の棚卸 ■ 個人情報の収集・利用・更新・廃棄の手順の確認 ■ 委託先の管理状況の確認 ■ 従業員との守秘義務状況の確認
■ 各役職者・部門の個人情報管理に関する責任と権限を確定 ■ 作成すべき規定類の決定 ■ JISQ15001の全要求事項への対応の基本方針の決定 ■ 個人情報保護方針の策定 ■ 引用するガイドライン・法規制の洗い出し ■ 個人情報保護マニュアルの策定
■ システム管理者サイドの管理施策の決定 (アクセス制御、サーバ設置基準、ウイルス対策、不正アクセス対策等) ■ ユーザの管理施策の決定 (PC使用時の留意点、メール・インターネットの使用留意点、記憶媒体の管理等) ■ 委託先の管理指針と認定基準・契約事項の決定 ■ 入退出管理(施設・サーバルーム等の入退出管理・防災)
■ リスクマネジメント規定 ■ 文書管理規定 ■ 内部監査規定 ■ クレーム及び緊急時対応規定 ■ 委託先管理規定 ■ 社内システム利用規定 ■ 社内システム管理規定 ■ パスワード管理手順 ■ アクセス管理手順 ■ 個人情報管理台帳 その他
■ 委託先の評価並びに契約締結 ■ サーバ設置環境の対策実施 ■ 入退出管理の必要な措置 ■ 個人情報の同意文書作成と掲載 ■ 個人情報保護方針の公開 ■ システム管理施策の運用準備 ■ 物理的リスクへの施策実施 ■ CP文書の社内公開 ■ 必要な台帳類の作成
■ JISQ15001に準拠した社内教育用資料の作成 ■ 教育計画の立案 ■ 社内研修会の開催 ■ 教育記録の作成
■ システム運用の理解度・実践度のチェック ■ システムと実態との乖離のチェックとシステム変更 ■ 安全対策の進捗管理 ■ システム管理サイドの記録・運用体制の浸透度チェック
■ 内部監査員の教育 ■ 内部監査計画書の作成 ■ 内部監査の実施 ■ 内部監査報告書の作成 ■ 是正処置報告書の作成
■ 見直し報告書の作成 ■ 見直し会議の開催・記録 ■ コンプライアンスプログラムの変更
■ 申請書類の作成・準備