有了專人負責個人資料管理業務後,下一個必要進行之步驟是機關個人資料『適法性分析』。所謂『適法性分析』簡單來說,就是依據機關所被賦予之職權或應盡之義務中,到底可以『合法』接觸個人資料到什麼地步。這是一個準備動作,用意是為了後續在開始制定個人資料管理機制時,可以省略這些已經法定授予的權利,專心去處理非法定授權的個人資料。當然,這就要機關個業務負責人自己進行,也只有業務負責人才知道該項業務受哪些法令規範,例如:勞動基準法。後續在完成實際個資盤點後,兩相比對,即可找出兩者之差異,機關再專注在差異部分即可,而已符合的部分可以用機關內部的管理辦法進行約束,並透過定期稽核,保證被授權使用之個人資料可以繼續合法使用。