最初にすべき作業です。
自社にある個人情報の洗い出しを行います。
具体的には、すべての部署の協力を得て、あらゆる個人情報を洗い出し、個人情報一覧表を作成します。
個人情報一覧表は、個人情報の利用目的、媒体（紙、データ等）、入手経路、利用部署、保管場所、保管期間、廃棄方法等をまとめます。

ココがポイント！
個人情報の定義は「個人が特定できる情報」となります。
この洗い出しの作業は難しくはないですが、面倒な作業です。
したがって、本来個人情報であっても、これを認めたくないという意識が出てきてしまい、個人情報一覧表に記載しないという傾向があります。
しかし、現地審査の時に記載漏れが分かると、審査員は「洗い出し作業のやり直し」を指示します。
要は最初の作業に戻らなければいけないわけです。
これは作業はもちろん、精神的に参ってしまいますね。
やはり最初に行うこの洗い出しは面倒であっても漏れなく行うことが非常に重要です。