計画

計画は「個人の特定」、「法令、国が定める指針その他の規範」、「リスクなどの認識、分析及び対策」、「資源、役割、責任及び権限」、「内部規定」、「計画書」、「緊急事態への準備」で構成されています。

個人情報の特定

事業者が事業の用に供するすべての個人情報を特定することを要求。
（個人情報保護マネジメントシステムの管理の対象を明確にすること）

法令、国が定める指針その他の規範

個人情報の取扱いに関する法律や各省が発行しているガイドライン及び事業者が所属する団体や協会などの規範を特定、管理することを要求。

リスクなどの認識、分析及び対策

特定した個人情報に関するリスクアセスメントの実施、その結果に基づいた対策を要求。

資源、役割、責任及び権限

個人情報保護マネジメントシステムに関わる必要な資源提供、管理責任者の任命、責任権限の明確化を要求。

内部規定

個人情報保護マネジメントシステムを遵守するために必要な内部規定の策定を要求。

計画書

個人情報保護マネジメントシステムを実行するのに必要となる計画書（教育や内部監査）の作成を要求。

緊急事態への準備

個人情報保護マネジメントシステムの運用中の緊急事態に対して、発生時の対応策や発生が予想される緊急事態の特定を明確化することを要求。