最初は計画のステップです。計画のステップは「自社にある情報とリスクの洗い出し」と「情報管理規程の作成」の2つに大きく分かれます。 まず、自社に存在している情報(特に、外部に流出したら問題になるようなもの)を選び出して「情報一覧表」にします(図1)。この一覧表には、それぞれの情報の名前(名前が付いていない場合は名前を付けましょう)、管理している部署や担当者の名前、保管形態(紙なのかデータなのか)、情報の内容(どんな情報なのか)、利用目的(何のための情報なのか)、件数、廃棄予定年月などを記入していきます。 続いて「リスク管理表」を用意し、情報一覧表に明記した情報に関する取り扱いの流れをまとめていきます(図2)。ここでは、「どこから入手して、どこで利用して、どこで保管して、どのようにして廃棄するのか」を簡単に文章で表現します。そして、そのそれぞれの局面でどのようなリスクが考えられるのかをリストア