結論としては、20個を特定する必要ありません。 異なるお客様（委託元）で、分ける必要はありません。 情報種類（紙、メディア、データ媒体等）が変わるのであれば、別に特定してください。 情報種類で分ける理由は、ライフサイクル（取得から廃棄までの流れ）が変わるからです。 紙とデータ媒体では、取得方法も保管場所も廃棄方法も変わるはずです。 ライフサイクルが変われば、別の個人情報の扱いとなります。（リスク分析が変わるので） ライフサイクルが同種の個人情報は、一つの個人情報として個人情報管理台帳に記載して管理して差支えありません。 その為、委託元より個人情報をもらう都度、特定する必要もありません。 一度特定した個人情報と同種の個人情報であれば、特定は不要です。 おそらく、通常の会社様であれば、「紙」、「USBメモリ・CD-R」、「データ媒体」の3種類特定すれば事足ります。 「紙」、「USBメモリ・CD-R」については、ライフサイクルが同一の会社様もあるかと思いますので、その場合は、 2種類特定すれば問題ありません。 また、本音を言えば、ライフサイクルが同一でも、取り扱う個人情報の内容（氏名、生年月日、住所等）が 大きく変わるのであれば、それも別に特定する必要があります。 ただ、正直、取り扱う個人情報の内容ごとで特定してしまうのはきりがないのでおすすめしません。 （例えば、名刺ひとつとっても個人情報の記載の内容が変わりますので、それで分けていてはきりがありません） 業務内容が同じであれば、取り扱う個人情報の内容を網羅してしまうことをおすすめします。 例えば、業務内容は同じだが、時には、氏名と生年月日だけもらう。時には、氏名、生年月日、住所をもらう。 時には、氏名、口座情報をもらうということであれば、 特定時に個人情報の内容を氏名、生年月日、住所、口座情報と網羅してしまえば、 一つの個人情報として特定できますので楽ですよ。 結論として、 まず業務内容毎で分ける さらにライフサイクルが同種かどうかで分けて 特定するのが一番効率的です。 その後も、リスク分析も業務フロー毎、ライフサイクル毎で分析するのでこのまとめ方が一番効率的ですね。 後、自社取得も良いですが、困った時にはコンサルも使ってくださいね。 私がコンサルティング会社所属なもんで最後に宣伝しておきます笑