JIPDECのガイドラインの文書審査の項目にある、誤入力チェック・保存期間を定める手順・個人情報のバックアップのことですよね。 3.4.3.1は、利用目的の達成に必要な範囲内において・・・となっているので、保存期間は個人情報の利用目的の達成に必要な期間で良いと思います。 推測ですが、質問者さんは、全ての個人情報について何年保管などの一覧表を作成しようとしているのではないでしょうか。 事業の用に供する個人情報単位に詳細な保存期間を定めて、手順書レベルのものを作成できれば、運用する従業者にとってはありがたいことですが、その為にはどのような個人情報が存在するのか、その個人情報の利用目的の達成に必要な期間は何時までなのか、など全て把握しておかなければ作成することはできません。それは、プライバシーマーク取得担当者が全ての業務に精通していなければならず、現実的ではないと思います。 手順は5W1Hになっていれば良いので、いつ・どこで・誰が・何を・何に・どうする、を定めることで手順になるようです。 今回の場合、「毎年何月（または随時）、各部署が個人情報の利用目的の達成に必要な期間を個人情報管理台帳の保存期間欄に記載し、各部署長が個人情報保護管理者の承認を得る。契約書上定められてる期間、法令によるものはその期間とする。」などとするのはいかがでしょうか。 個人情報保護管理者は、全権限を持っているので、その管理者の承認を得るという手順です。 ちなみに参考URLの規程策定・審査対応解説書は、助かりますよ。 ご参考まで。