JIS Q15001:2006の規定「3.3 計画」の下位規定「3.3.1〜3.3.3」を見てみましょう。以下のように記述されています。

3.3.1 個人情報の特定 3.3.2 法令、国が定める指針その他の規範 3.3.3 リスクなどの認識、分析及び対策 3.3.4 資源、役割、責任及び権限 3.3.5 内部規程（１５種指定） 3.3.6 計画書 3.3.7 緊急事態への準備

「3.3.2 法令、国が定める指針その他の規範」は、なぜ「3.3.1 個人情報の特定」と「3.3.3 リスクなどの認識、分析及び対策」の間にはさんだのでしょうか。
旧JIS（JIS Q15001:1999）では「すべての個人情報を特定し、リスクを認識しなければならない（概述）」と一文になっていました。

この意味は 「3.3.3 リスクなどの認識、分析及び対策」で、アセスメントの対象とすべきリスクの中には、遵守すべき「法令その他の規範等」に違反してしまう「リスク」があり、この点を評価し、これに対応した管理策（コントロール、内部統制）を考えなくてはならないからです。
そのためには、 当該事業者が遵守すべき「法令その他の規範等」とは何なのかを明確化（特定）しておかなくてはなりません。
このため、3.3.2の場所におかれたのです。

ご存じのように、コンプライアンス（法令その他の規範等の遵守）宣言は、マネジメントシステムの方針書に必ず入っている重要な基本項目です。

では、「3.3.1 個人情報の特定」の手順について考えてみましょう。

先ずJIS Q15001:2006に記載されている個人情報の特定に関する規定の概要は「自らの事業の用に供するすべての個人情報を特定するための手順を確立し、かつ、維持する。」とあります。
（JIS原本は著作物として保護されており、原文を記載することはできません。JIS Q15001:2006規格原本は日本規格協会 http://www.jsa.or.jp/aboutus/guide_map.asp?fn=a1_map1.htm で購入してください。）

ここでは大まかに分けて２つのことが要求されています。
１．自らの事業の用に供するすべての個人情報を特定すること
２．そのために必要な手順を確立し、かつ、維持すること
の２点です。

１．自らの事業の用に供するすべての個人情報を特定すること

文字通り「すべての個人情報を特定すること」が必要です。個人情報の特定方法＝調査方式は、多くの手法（アンケート、調査表、インタビュー、業務プロセス分析etc.）がありますが、ここで重要なことは、自社にとって、すべての個人情報を特定することができる適切な調査、特定の方式は何かを考えることです。
体力がある企業は以下のような、業務プロセス分析を行うことをおすすめします。

この業務プロセス分析の利点は、すべての個人情報を見つけ出す確からしさがもっとも高いことです。
更に業務フローや業務記述書の文書化作業の結果の成果物を、局面別のリスク分析に利用することや、日常運用点検プロセスの設計整備、運用が容易になるなど、後半の作業品質を確保し、工数削減を同時にねらえる優れた方法です。

ここで、あまり工数を割けないのであれば、調査票方式等で代替するしかありませんが、その場合は、調査の精度を向上させるため、事前の説明や目的の共有などを確実に実施し万全を期してください。

２．そのために必要な手順を確立し、かつ、維持すること

１．の個人情報の特定作業は漫然と行うのではなく、手順を確立（手順をシステマチックに規定）し、そのルールブックにそって、すべての個人情報を特定することが要求されています。必要な手順を定め、それを維持しなければなりません。
つまり、この手順が、「自らの事業の用に供するすべての個人情報を特定」できるようになっていなければならないということです。

このようにJIS Q15001:2006はその具体的な要求事項そのものを手順として定め、文書化、整備し、その手順にそって実施することを求めているのです。