「3.3 計画」は、PLAN(計画)に関する最後の要求事項です。
この要求事項は、個人情報の特定、法規制の特定、リスクアセスメントの実施、経営資源の管理、内部規程・計画書の作成及び緊急事態の準備、という七つの要素で成り立っています。
計画とは
「3.3 計画」は「3.3.1 個人情報の特定」から「3.3.7 緊急事態への準備」までの七つの要求事項で構成される、PLAN(計画)に関する最後の要求事項です。
①個人情報の特定
「3.3.1 個人情報の特定」では、事業者が事業の用に供するすべての個人情報を特定することを要求しています。これは個人情報保護マネジメントシステムの管理の対象を明確にする事を要求しているのです。
②法令、国が定める指針その他の規範
個人情報保護法や個人情報保護以外の個人情報の保護に関する規定がある法律、個人情報保護に関する法律の第8条に基づいて各省庁が発行しているガイドライン及び事業者が所属する団体や協会などの規範を特定し、管理することを「3.3.2 法令、国が定める指針その他の規範」では要求しています。
③リスクなどの認識、分析及び対策
「3.3.3 リスクなどの認識、分析及び対策」では、特定した個人情報(個人データ)に関するリスクアセスメントの実施や、その対策を要求しています。
④資源、役割、責任及び権限
個人情報保護マネジメントシステムに関わる必要な資源の提供、管理責任者の任命、及び責任権限の明確化を要求したものが「3.3.4 資源、役割、責任及び権限」です。
⑤内部規程
「3.3.5 内部規程」では、個人情報保護も姉地面とシステムを順守するために必要な内部規程を策定するよう、要求しています。
⑥計画書
個人情報保護マネジメントシステムを確実に実行するために必要な教育や内部監査に関する計画書の作成を要求したのが「3.3.6 計画書」です。
⑦緊急事態への準備
個人情報保護マネジメントシステムの運用中に起こり得る緊急事態を特定することや、その発生時にどのような対応を行うかを明確化することを「3.3.7 緊急事態への準備」では要求しています。