非公務機關依前條規定訂定本計畫及處理方法時，應視其組織規模、特性
、保有個人資料之性質及數量等事項，參酌第六條至第二十一條規定，訂
定包含下列各款事項之適當安全維護管理措施；必要時，第二款各目事項
得整併之：
一、非公務機關之組織規模及特性。
二、個人資料檔案之安全管理措施：
    （一）配置管理之人員及相當資源。
    （二）界定蒐集、處理及利用個人資料之範圍。
    （三）個人資料之風險評估及管理機制。
    （四）事故之預防、通報及應變機制。
    （五）個人資料蒐集、處理及利用之內部管理程序。
    （六）設備安全管理、資料安全管理及人員管理措施。
    （七）認知宣導及教育訓練。
    （八）個人資料安全維護稽核機制。
    （九）使用紀錄、軌跡資料及證據保存。
    （十）個人資料安全維護之整體持續改善。
    （十一）業務終止後之個人資料處理方法。

一、考量非公務機關大小規模差異，組織型態不盡相同，尚難作統一規範
    ，爰參照本法施行細則第十二條第二項規定意旨，所採行之安全措施
    與所欲達成之個人資料保護目的間，具有適當比例為原則。爰規定非
    公務機關得參酌其組織規模、特性、保有個人資料之性質及數量等事
    項，參考第六條至第二十二條及本法施行細則第十二條第二項規定，
    訂定適宜並符合比例原則之安全措施，據以執行。
二、考量非公務機關為數眾多，為使公務機關於訂定計畫及處理方法時有
    所適從，明定非公務機關訂定計畫及處理方法時應包括之事項，並保
    留彈性空間，非公務機關得依個別情況，於必要時整併第二款各目之
    相關事項。