個人資料保護法(以下簡稱本法)第二十七條規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。」鑒於各級人民團體、合作社及儲蓄互助社等非公務機關,為執行會(社)務需要而經手管理會(社)員個人資料時,為防止個人資料被竊取、竄改、毀損、滅失或洩漏,對所保有之個人資料檔案應採行適當之安全措施,爰依本法第二十七條第三項規定授權,並參酌本法施行細則第十二條規定,訂定內政部指定合作及人民團體類非公務機關個人資料檔案安全維護管理辦法(以下簡稱本辦法),以資內政部指定合作及人民團體類非公務機關遵循,其要點如下:
一、非公務機關應就保有會(社)員之個人資料訂定個人資料檔案安全維護計畫及會(社)務終止後個人資料處理方法(以下簡稱本計畫及處理方法)、訂定內容及報備查期限。(第四條)
二、非公務機關應配置適當管理人員及提供相當資源,以執行本計畫及處理方法,及公告個人資料保護管理政策等事項。(第五條)
三、個人資料特定目的之界定及個人資料檔案現況之盤點、會(社)務流程之風險分析與管控,及相關侵害事故之應變等事項。(第六條至第八條)
四、非公務機關所屬人員為執行會(社)務蒐集、處理及利用個人資料之規範、非公務機關應遵守告知義務等事項。(第九條及第十條)
五、非公務機關國際傳輸個人資料時應遵循事項。(第十一條)
六、非公務機關對於當事人行使本法第三條規定之權利時採取之措施。(第十二條)
七、非公務機關對所保管之個人資料檔案應採取必要適當之防護措施,並應對所屬人員有適度之管理措施。(第十三條及第十四條)
八、非公務機關使用資通訊系統蒐集、處理或利用個人資料時應採取之資訊安全措施。(第十五條)
九、非公務機關應定期或不定期對所屬人員進行教育宣導。(第十六條)
十、本計畫及處理方法之稽核、使用紀錄留存及檢討改善等事項。(第十七條至第十九條)
十一、非公務機關委託他人蒐集、處理或利用個人資料時,應對受託者為適當之監督。(第二十條)
十二、非公務機關會(社)務終止後所保有個人資料之處理方式。(第二十一條)
十三、本辦法施行前之非公務機關,應訂定本計畫及處理方法,並於一定期間內報備查。(第二十二條)