個資法施行細則第十二條對於保護個資的各種措施提出了十一項規範，且要求這些措施要與所欲保護之個人資料具有適當比例為原則，而中華數位企業資料保護研究小組在個資專案輔導的過程中，幾乎每一間企業都會問：「顧問啊，什麼是適當比例原則呢？我們企業每一項都要做嗎？如果要做的話，到底哪一項要先做啊？」，其實真正要符合個資法的規範，並不只要做到這十一項，但本文著重在個資安全維護事項，我們就來分析一下，怎麼才是安全維護事項的正確因應觀念。

這十一個項目，在法務部公告施行細則總說明文件中有說明，目的是與國際管理規範接軌並要求以P-D-C-A方法論所建立，並且指出企業可考量組織規模與保有個人資料之數量或內容，依比例原則，建立技術上與組織上之措施。在中華數位輔導的案例中，有些企業完全沒有導入過任何國際標準的經驗，更別說什麼P-D-C-A的架構了，所以碰到的很多企業主管會說，這十一項做法每一項都看的懂，但要從何處開始做就無能為力囉！

我們先來說明這十一項，分別是P-D-C-A的哪一部份， P(Plan)包含有第一到第五項，D(Do)包含第六到第八項，C(Check)包含第九及第十項，A(Action)包含第十一項，既然個資法提到P-D-C-A的做法，這就是一般所謂的過程導向，如下圖是將P-D-C-A應用到個資保護管理系統的模型圖

個人資料保護管理系統之PDCA模型

由上圖來看，我們正確的因應觀念就是在圖中屬於規劃的部份要百分百的落實，因為沒有完善的規劃，在實際執行時就會碰到很多需要修正的地方，這樣會事倍功半，對企業主而言這是不被允許的。

而規劃的部份有下列五項：

1. 配置管理之人員及相當資源
2. 界定個人資料之範圍
3. 個人資料之風險評估及管理機制
4. 事故之預防、通報及應變機制
5. 個人資料蒐集、處理及利用之內部理程序。

再來是執行的部份，包含下列三項：

1. 資料安全管理及人員管理
2. 認知宣導及教育訓練
3. 設備安全管理

一開始我們先來說說資料(個資)「安全」管理，因為有安全這兩個字就會談到風險的管控，就像是您為了人身安全會去買保險來分擔一樣，在前面規劃階段中要百分百落實的其中一項是個人資料風險評估及管理機制，而這一項的目標物就是個人資料，所以我們就必須把要風險評估及管理的目標物找出來，這個工作就是您常聽到的個資盤點了，那您認為這個資盤點是不是也應該要百分百落實呢？而第7項、第8項的人員管理、認知宣導、教育訓練及設備安全管理等，則依據風險評估出來的結果，再視風險管控的需求來投入資源即可。

第三是檢查的階段，包含下列二項：

1. 資料安全稽核機制
2. 使用紀錄、軌跡資料及證據保存

這兩項之中以使用紀錄、軌跡資料及證據保存較重要，這一項所保存的資料將是日後能否充份舉證之所在，也是證明良善管理的手段，所以企業應該要妥善保存相關執行記錄。

最後是改善行動的階段，包含下列一項：

1. 個人資料安全維護之整體持續改善

所有的管理，不可能一開始就盡善盡美，在執行的過程中也會陸續的出現意外狀況，這時必須透過不斷的改善方案，才能使得我們的安全管理達到要求，所以這整個P-D-C-A循環是持續不斷的。

總結以上說明，就這施行細則第十二條中所列的十一項必須全部都要做，但是執行的程度為何，除了前面我們提到的之外，就視 貴組織規模與保有個人資料之數量或內容來決定了，中華數位企資保護小組要提醒您的是，一旦發生個資事件，組織投入的愈多，那過失責任才有可能降到最低。