会社が、個人情報の漏洩を防ぐためには、会社内にある全ての個人情報を網羅的に把握し、保護すべき個人情報を特定する必要があります。しかし、会社の取り扱う個人情報は無数にあり、会社のどの部門が、業務のどの過程で、どの媒体に、どのような個人情報を保有しているのかを特定することは困難です。
そこで、個人情報を特定するための手順を確立しておく必要があります(JIS Q 15001:2006 3.3.1参照)。
例えば、まず、(1)会社の部門及び業務過程において、どのような個人情報を取り扱い、その個人情報がどのような経路を辿るのかをフローチャートにまとめます。そして、(2)(1)を基にして、個人情報の内容、保有している部署、記載されている媒体、保管場所、廃棄方法等の項目を整理した個人情報管理台帳を作成します。