醫院應依第五條第一項第四款規定，對所持有之個人資料檔案，設置必要之安全設備及防護措施。

前項安全設備及防護措施，應包括下列事項：
一、訂定各類設備或儲存媒體之使用規範。
二、個人資料內容於蒐集、處理或利用時，訂定並採取適當之加密措施或配置安全防護系統。
三、個人資料有備份之需要時，訂定備份機制、管理及保護程序。
四、訂定資料之銷毀程序，包括電腦、自動化機器或其他儲存媒介物於報廢、汰換或轉作其他用途時，確保個人資料完全移除或清除，無洩漏之虞。