プライバシーマークで求められる運用を行っていく上で、JISQ15001:2017ではいくつか計画書を作成しそれに基づいて個人情報マネジメントシステムを実施しなければなりません。

その中で絶対に作成しなければならない計画書が2つあります。

従業員教育についての計画書

プライバシーマークの規格で求められている個人情報保護に関する教育を行うために、計画書には教育の実施が可能な程度に具体的に内容を記載している必要があります。
記載内容としては、研修名，開催日時，場所，講師，受講対象者及び予定参加者数、研修の概要、使用テキスト、任意参加か否かの区別、予算等が考えられますが、これらは必須項目というわけではありません。あくまで計画された教育内容で個人情報保護マネジメントシステムをきちんと運用できるかという観点で計画書を作成する必要があります。

内部監査についての計画書

最低年に一回内部監査を行う必要がありますが、内部監査を行う前に監査計画書を作成します。個人情報に関する監査のテーマ、監査対象、目的、範囲、手続、スケジュール等が含める事項として考えられますが、こちらも教育計画書と同様必須ではありません。内部監査は、自社の個人情報保護マネジメントシステムが適切に運用されているかチェックするために行うのでその目的を満たす計画書を作ることが前提です。
また上記の内容にプラスして、前回までの監査結果についてのフォローアップを規格上含めてもよいとされています。

また、上記2つは最低限作成しなければならない計画書であり、規格の要求事項では「それらの事項を含めた、必要な計画を立案する」としていることから、必要と判断した場合は他にも計画を立案・文書化すべきでしょう。
具体的には、安全管理計画(情報セキュリティ対策)、委託先の監督、マネジメントレビュー実施のための具体的な計画などが挙げられます。ちなみにLRMでは、取得後も行う必要のある事柄が漏れないように「年間実施項目管理表」という年間のスケジュール表や、定期的に行う運用の確認がスムーズにできるよう「運用確認表」を作成しています。
重要なのは個人情報保護マネジメントシステムを確実に実施していくための計画をつくることです。