中央主管機關依本法第二十一條規定，對殯葬服務業為限制國際傳輸個人
資料之命令或處分時，殯葬服務業應通知所屬人員遵循辦理。
殯葬服務業將個人資料作國際傳輸者，應檢視是否受中央主管機關限制，
告知當事人其個人資料所欲國際傳輸之區域，並對資料接收方為下列事項
之監督：
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對
  象及方式。
二、當事人行使本法第三條所定權利之相關事項。

本辦法修正施行前，未訂定或已訂有計畫之殯葬服務業，應依本辦法規定
訂定或修正，並於本辦法修正施行日起六個月內，將計畫報請直轄市、縣
（市）主管機關備查。

殯葬服務業應確認蒐集個人資料之特定目的，依特定目的之必要性，界定
所蒐集、處理及利用個人資料之類別或範圍，並定期清查所保有之個人資
料現況。
殯葬服務業經清查發現有非屬特定目的必要範圍內之個人資料或特定目的
消失、期限屆滿而無保存必要者，應予刪除、銷毀或其他停止蒐集、處理
或利用等適當之處置，並留存相關紀錄至少五年。
殯葬服務業使用資通訊系統蒐集、處理或利用個人資料達一萬筆以上者，
應採取下列資訊安全措施：
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案與資料庫之存取控制及保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控及因應機制。
前項第五款及第六款所定措施，應定期演練及檢討改善。

殯葬服務業為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故
（以下簡稱個人資料事故），應訂定下列應變、通報及預防機制：
一、個人資料事故發生後應採取之各類措施，包括：
  （一）控制當事人損害之方式。
  （二）查明個人資料事故後通知當事人之適當方式。
  （三）應通知當事人個人資料事故事實、所為因應措施及諮詢服務專
     線等內容。
二、個人資料事故發生後應受通報之對象及其通報方式。
三、個人資料事故發生後，其矯正預防措施之研議機制。
殯葬服務業遇有達一千筆以上之個人資料事故時，應於發現後七十二小時
內將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人
資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是
否於發現個人資料外洩後立即通報等事項，以書面通報直轄市、縣（市）
主管機關，並副知中央主管機關（書面通報格式如附件）。
直轄市、縣（市）主管機關對於重大個人資料事故，得依本法第二十二條
規定對殯葬服務業之應變、通報及預防機制進行實地檢查，並視檢查結果
為後續處置。中央主管機關認有必要時，得督導直轄市、縣（市）主管機
關對於殯葬服務業之相關機制改善情形。

附件-殯葬服務業個人資料事故通報及紀錄表