非公務機關對保有個人資料之環境及實體設備安全，應採取下列措施：
一、依據作業內容之不同，實施適宜之進出管制方式。
二、訂定媒介物之管制方式，並檢視其保管情形。
三、針對不同媒介物存在之環境，建置適度之保護設備或技術。
前項所稱環境，指第十四條所定各類設備、儲存媒體或媒介物之存放區域
。

一、第一項第一款規定非公務機關應針對保有個人資料之環境及實體設備
    （例如檔案室、機房、大型設備或基礎設施），採取進出管制。
二、第一項第二款規定應建立第十四條第四款所定媒介物之保管方式及管
    制機制，例如人員交接應返還所保管之媒介物，檢視媒介物之使用去
    向。
三、第一項第三款規定應針對不同媒介物存在之環境，採取適當監控及保
    護措施，例如：存放待報廢光碟之區域應避免他人接觸，以防範個人
    資料因環境外洩。
四、第二項定明第一項所稱環境之內涵。本辦法對硬體安全之保護規範有
    二，第十四條針對保有個人資料之小型設備及媒介物，由保管人保管
    ，存放地點分散；本條針對保有個人資料之環境，保管人為部門或供
    應商，存放地點集中。