殯葬服務業應確認蒐集個人資料之特定目的，依特定目的之必要性，界定
所蒐集、處理及利用個人資料之類別或範圍，並定期清查所保有之個人資
料現況。
殯葬服務業經清查發現有非屬特定目的必要範圍內之個人資料或特定目的
消失、期限屆滿而無保存必要者，應予刪除、銷毀或其他停止蒐集、處理
或利用等適當之處置，並留存相關紀錄至少五年。
殯葬服務業使用資通訊系統蒐集、處理或利用個人資料達一萬筆以上者，
應採取下列資訊安全措施：
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案與資料庫之存取控制及保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控及因應機制。
前項第五款及第六款所定措施，應定期演練及檢討改善。

一、為規範明確並利後續查考，第二項增列紀錄留存年限規定。
二、鑑於殯葬服務業使用資通訊系統蒐集、處理或利用個人資料筆數達一
    定規模者，其使用者個人資料於使用資通訊服務時被竊取、洩漏、竄
    改或其他侵害事故發生，影響層面較廣，並考量殯葬服務業規模大小
    ，使用資通訊系統蒐集、處理或利用個人資料達一萬筆以上者，應採
    取資訊安全措施，爰增訂第三項之資料安全管理措施規定，以落實保
    護個人資料。
三、參酌私立骨灰（骸）存放設施已使用量及生前殯葬服務契約業者簽訂
    數量，故第三項以業者管理一萬筆以上個人資料為適用對象為宜。
四、隨網路科技之進步，恐有個人資料遭外部網路入侵或非法或異常使用
    行為損害情形，爰增訂第四項規定，針對第三項第五款及第六款所定
    措施，定明殯葬服務業應定期進 行演練及檢討改善。