プライバシーマーク取得はどのような手順で行うのでしょうか。
例えば以下の１３ステップがガイドラインとして示されています。

（1）  個人情報保護方針を定め文書化する Plan （2）  個人情報保護マネジメントシステム策定のための組織（プロジェクト，主管部門）を作る   ↓ （3）  個人情報保護マネジメントシステム策定の作業計画（全体計画）をたてる   ↓ （4）  個人情報保護方針を組織内に周知する   ↓ （5）  個人情報を特定する   ↓ （6）  法令、国が定める指針その他の規範を特定する   ↓ （7）  個人情報のリスクを認識し、分析し対策を検討する   ↓ （8）  必要な資源を確保する（全社組織、苦情対応、教育、監査、緊急時対応、他）   ↓ （9）  個人情報保護マネジメントシステムの内部規程を策定する   ↓ （10）  個人情報保護マネジメントシステムを周知するための教育を実施する   ↓ （11）  個人情報保護マネジメントシステムの運用を開始する   Do （12）  個人情報保護マネジメントシステムの運用状況を点検し改善する   Check （13）  個人情報保護マネジメントシステムの見直しを実施する   Action

下のスケジュール表はもう少し現実的にアクティビティを整理したものです。
左端は想定される組織を示しており、作業は１〜２１までのアクティビティがあります。

個々のアクティビティは必ずしもこの順番でなくてはならないということはありませんが、大枠としてこのような順序で実施することが実際的だと思います。

実際のプロジェクトにおける「第１の難所」はアクティビティ５〜１１迄の
◇全ての個人情報の特定
◇ライフサイクルにおける局面毎のリスク認識
◇リスクアセスメントと安全管理策の適用
◇残存リスクの把握
◇安全管理策の規程類への反映と関連づけ
◇安全管理策のリスクに対する有効性の検証
◇残存リスクの日常点検規定への反映と有効性の検証
◇台帳管理への関連づけと部門管理にした個人情報の移管
などを実施するフェーズです。
この部分にプロジェクトの全工数の４０％程度を割かなければなりません。