說明：
一、旨案所涉法規如下：
(一)個資法第27條規定：「（第1項）非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；（第2項）中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方。……。」
(二)個資法施行細則第12條第1項規定略以：「本法……第27條第1項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。」
(三)實施辦法第4條規定：「（第1項）學校及幼兒園應依本辦法規定訂定安全維護計畫，落實個人資料檔案之安全維護及管理，防止個人資料被竊取、竄改、毀損、滅失或洩漏；（第2項）學校及幼兒園訂定安全維護計畫時，應視其經營型態、規模、保有個人資料之性質及數量等事項，訂定適當之安全維護措施。……。」
(四)個資法第48條第2項規定：「非公務機關違反第27條第1項或未依第2項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣2萬元以上200萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣15萬元以上1,500萬元以下罰鍰。」
(五)個資法第50條規定：「非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前三條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。」
(六)個資法第22條第1項規定：「中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料。」
二、為落實個人資料保護，請貴校確依個資法及實施辦法規定，辦理個人資料之蒐集、處理及利用，制定「個人資料檔案安全維護計畫」並採行適當之安全維護措施，避免個資外洩事件發生。
三、另依個資法第22條第1項規定，本署得於必要時，就貴校個人資料保護相關措施辦理實地入校檢查。若查貴校有違反個資法及未依實施辦法辦理等事實，將依個資法第48條、第50條及相關個資法罰則處以罰鍰。