發行機構為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事故,應採取下列措施:
一、適當之應變措施,以控制事故對當事人之損害,並通報有關單位。
二、查明事故之狀況並以適當方式通知當事人有關事實、因應措施及諮詢服務專線等。
三、研議預防機制,避免類似事故再次發生。
發行機構遇有個人資料安全事故者,應自事故發生時起算七十二小時內,依附表格式,以電子郵件通報財政部,並應視案情發展適時通報處理情形,以及將整體查處過程、結果與檢討等函報財政部。財政部於接獲發行機構通報後,得依本法第二十二條至第二十五條規定所賦予之職權,為適當之監督管理措施。
發行機構遇有危及正常營運或大量當事人權益之重大個人資料安全事故,第一項預防機制應經公正、獨立且取得相關公認認證資格之專家,進行整體診斷及檢視。