主旨：為強化旅宿業個人資料安全維護與監管責任，請旅宿業者確實落實年度自主檢查並積極參與個資安維課程研習班，以提升資安防護意識並降低個資外洩風險，請查照。
說明：
一、鑒於春節旅遊旺季將近，民眾透過網路預訂客房需求與日俱增。旅宿業者除加強各項服務品質及公共安全管理外，應具備資安警覺性，落實內部系統更新及良好之「網路衛生」習慣。有關個人資料之蒐集、處理及利用，請務必依「個人資料保護法」及「交通部指定觀光產業類非公務機關個人資料檔案安全維護計畫及處理辦法」規定辦理。
二、落實年度自主檢查與防護作為：
(一)  定期檢查：業者每年應至少執行 1 次「觀光產業個人資料檔案安全維護自主檢查表」，逐項檢視並針對未符規定事項儘速改善 。
(二)  安全配置強化：應定期實施帳號清查、確認密碼強度符合安全原則，並確保系統版本為最新以減少資訊安全漏洞 。
(三)  資安健診：建議每年實施 1 次資安健診、弱點掃描及資產盤點，以確保資安防護作為 。
(四)  委外監督：若委託第三方廠商(例如訂房系統、財務系統、人資系統、票券系統、...等)處理個資，應依「個人資料保護法施行細則」第8條規定納入自行訂定之「旅宿業個人資料檔案安全維護計畫」中，對受託者為適當監督，並明確約定相關監督事項與方式。
三、針對非公務機關（旅宿業）個資外洩案通報方式及判斷案件
(一)  通報目的事業主管機關:
１、一般案件：一般旅館及民宿業者發現或知悉有個資外洩案件後72小時內填復通報表報縣（市）政府。
２、重大矚目案件：
(１)  定義：經媒體顯著披露之個資外洩案件，例如經平面媒體全國性版面報導、電子媒體專題討論。
(２)  一般旅館及民宿業者發現或知悉有個資外洩案件後24小時內填復通報表報縣（市）政府。
(二)  通知民眾：業者應依個人資料保護法(下稱個資法)第12條規定：「...非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。」同法施行細則第22條第2項規定：「依本法第12條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。」通知當事人。
四、個資外洩案罰則提醒：若未依個資法規定採取適當安全措施，將處新臺幣 2 萬元以上 200 萬元以下罰鍰；情節重大者，最高處 1,500 萬元以下罰鍰，屆期未改正者得按次處罰 。
五、宣導數位教育課程：觀光署「觀光職能e學院」已新增「旅宿業強化個人資料安全維護」基礎數位課程（旅宿業個資安全維護概論及實務）及進階數位課程（旅宿業如何填寫個人資料檔案安全維護自主檢查表）（網址：https://elearning.taiwan.net.tw/Page/index.aspx），請善加利用上述課程，進而提升從業人員之資安防護意識 。
六、為了解旅宿業落實執行情形，並強化旅宿業對個資的監管責任，縣（市）政府將依個資法第22條規定，不定期派員執行個資安全抽檢。
七、相關個人資料法規及表單已分別放置觀光署行政資訊網/業務資訊/觀光產業/旅宿業/個資安全維護項下(https://admin.taiwan.net.tw/businessinfo/FilePage?a=22418)及臺灣旅宿網/旅宿行政資訊/檔案下載項下(https://www.taiwanstay.net.tw/TSA/web_page/TSA040600.jsp)。
八、研習課程預告：為協助業者強化個資維護實務，觀光署預計於 115 年年中辦理「個資安維防護研習班」，屆時請踴躍報名參加。