計画の（P）ではなく、点検の（C）からスタートするのはどうだろうか。
個人情報保護では脆弱性が見えていてその解決をする、という考え方がある。
利益などお金とは直接結びつかない目標設定になるため、やらなかったときの事故の損金、というような理屈を立てたくなる。
脆弱性、つまり心配の解消のために計画ではなく（C）点検からのスタートしよう、という場合、なぜPDCAを回すのかという視点を忘れC（点検）結果ばかりが羅列され、時間をかけた割には解決が進んでいない、ということが生じてしまう。

個人情報保護を全社目標に掲げ大きな計画を立てたくなるが、時間をかけて綿密な計画を立てても、アプローチや各自の認識の差、実行できる時間軸などで、計画の5割は修正が必要になる。計画倒れである。

だから漠然とした目標を置くのと同時に、点検（C)で見つけた目先の目標を立てて実行していくことが重要だ、という考え方もできる。
しかし、点検計画がないところで点検を実行するのは点検のレベル差を生じさせ、かえって禍根を残しかねない。

では、どうするのか。