個人情報保護方針は内部向けと外部向けの2つを作成しないといけないの？

　そんなことはありません。内部向けと外部向けを共通で1つ作成しても問題ありません。

　ただし、内部向けと外部向けでは明記しなければならない項目が異なるという点に注意が必要です。内部向けの項目（6項目）+外部向けの項目（2項目）を記載した内容で作成しなければなりません。

　また、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、特定個人情報等の安全管理措置に関する基本方針の策定が求められており、これも共通で1つにしても問題ありませんが、やはり明記しなければならない項目（1項目）があるためそれを盛り込んで作成する必要があります。

　なお、内部向けと外部向けは共通で1つ作成し、 特定個人情報等の安全管理措置に関する基本方針 は別に作成するという会社が多いようです。