ความปลอดภัยของข้อมูล data security

1. การรักษาความลับ (Confidentiality) ให้บุคคลผู้มีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้ ต้องมีการควบคุมการเข้าถึง ข้อมูลเป็นความลับต้องไม่เปิดเผยกับผู้ไม่มีสิทธิ

2. ความถูกต้องแท้จริง (Integrity) มีเกราะป้องกันความถูกต้องครบถ้วนสมบูรณ์ของข้อมูล และวิธีการประมวลผล ต้องมีการควบคุมความผิดพลาด ไม่ให้ผู้ไม่มีสิทธิมาเปลี่ยนแปลงแก้ไข

3. ความสามารถพร้อมใช้เสมอ (Availability) ให้บุคคลผู้มีสิทธิเท่านั้นเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการ ต้องมีการควบคุมไม่ให้ระบบล้มเหลว มีสมรรถภาพทำงานต่อเนื่อง ไม่ให้ผู้ไม่มีสิทธิมาทำให้ระบบหยุดการทำงาน

     ความปลอดภัยของข้อมูลสารสนเทศ (Information Security)

บริษัทฯ มีนโยบายให้ความปลอดภัยและการรักษาความลับของข้อมูล โดยบริษัทฯ ใช้ระบบรักษาความปลอดภัยที่มีมาตรฐานสูงทั้งในด้านเทคโนโลยีและกระบวนการเพื่อป้องกันการโจรกรรมข้อมูลที่เป็นความลับ บริษัทฯ ได้กำหนดให้มีระบบความปลอดภัยที่มีประสิทธิภาพ เพื่อให้มั่นใจได้ว่าเว็บไซต์และข้อมูลของบริษัทฯ มีการรักษาความปลอดภัยที่ได้มาตรฐาน รวมถึงการเลือกใช้ Firewall System, Anti-Virus System ที่มีมาตรฐานความปลอดภัยสูง รวมทั้งได้ใช้เทคโนโลยี เข้ารหัสข้อมูลที่ระดับ 128 บิท (128 Bit Encryption) ซึ่งเป็นการเข้ารหัสข้อมูลระดับสูงสำหรับการทำธุรกรรมผ่านบริการทางอินเทอร์เน็ต นอกจากนี้ บริษัทฯ ยังกำหนดให้ลูกค้าต้องลงทะเบียนก่อนจึงจะสามารถใช้บริการได้

บริษัทฯ ได้มีการเลือกใช้เทคโนโลยีระบบคอมพิวเตอร์ที่มีระบบการรักษาความปลอดภัยในขั้นพื้นฐานที่เป็นมาตรฐานสากลอยู่แล้ว และเสริมด้วยการทำงานด้านอุปกรณ์ความปลอดภัยเฉพาะอีกชั้น และโดยหลักการทั่วไปในการควบคุมและรักษาความปลอดภัยให้กับระบบข้อมูลข่าวสาร ได้แก่การควบคุมส่วนต่าง ๆ ของระบบอย่างรัดกุม วิธีการที่ใช้ในการควบคุมมีดังนี้

1.  การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control)
โดยมีระดับวิธีการ 3 วิธีคือ

-  การควบคุมจากระบบภายในของซอฟต์แวร์ (Internal Program Control) คือการที่       โปรแกรมนั้นได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบฐานข้อมูลภายในระบบเอง 

-  การควบคุมความปลอดภัยโดยระบบปฏิบัติการ (Operating System Control) คือการควบคุมสิทธิการเข้าถึงและการใช้ข้อมูลในส่วนต่าง ๆ ภายในระบบคอมพิวเตอร์ของผู้ใช้คนหนึ่ง และจำแนกแตกต่างจากผู้ใช้คนอื่น ๆ

-  การควบคุมและการออกแบบโปรแกรม (Development Control) คือการควบคุมตั้งแต่การออกแบบ การทดสอบก่อนการใช้งานจริง

2. การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control)
โดยเลือกใช้เทคโนโลยีทางด้านฮาร์ดแวร์ ที่สามารถควบคุมการเข้าถึง และป้องกันการทำงานผิดพลาด ด้วยอุปกรณ์ภายในตัวเอง

3. การใช้นโยบายในการควบคุม (Policies)
โดยมีการประกาศใช้นโยบาย และการปรับปรุงนโยบายให้มีการทำงานสอดคล้องกับการดำเนินธุรกิจ และสภาพแวดล้อมที่เปลี่ยนแปลง โดยมีผลบังคับใช้ทั้งองค์กร

4. การป้องกันทางกายภาพ (Physical Control)
การมีมาตรการการเข้าถึงศูนย์คอมพิวเตอร์ และเครื่องคอมพิวเตอร์ที่สำคัญได้เฉพาะเจ้าหน้าที่ที่เกี่ยวข้องเท่านั้น รวมทั้งมีระบบสำรองข้อมูลอย่างสม่ำเสมอ

        การจัดการด้านความปลอดภัยของระบบเครือข่าย Counter Service จะประกอบด้วยองค์ประกอบ 3 ส่วนดังนี้

    1. โครงสร้างพื้นฐานด้านความปลอดภัย

a.การติดตั้งระบบ Firewall บริษัทฯ ได้ติดตั้ง Firewall ซึ่งเป็นเทคโนโลยีที่ทำการป้องกันผู้บุกรุกเข้า-ออกระบบ และกำหนดโซนการให้บริการ การเข้าถึงข้อมูล ที่เหมาะสม
- กำหนดขอบเขต และโซนการทำงานที่เหมาะสม
- กำหนดบริการ และการเข้าถึงระบบสำหรับผู้ที่ได้รับอนุญาตเท่านั้น

b.การติดตั้งระบบ Anti-Virus เพื่อทำการป้องกัน และกำจัดไวรัสที่มีการอัพเดตข้อมูลอย่างสม่ำเสมอ

c.การติดตั้งระบบ SSL บริษัทฯ เลือกใช้ SSL เวอร์ชั่นล่าสุด ซึ่งบริษัท และธนาคารชั้นนำส่วนใหญ่เลือกใช้ เนื่องจากมีประสิทธิภาพในการรักษาความปลอดภัยขั้นสูง  หน้าที่ของ SSL คือ สลับที่ข้อมูลและแปลงเป็นรหัสตัวเลขทั้งหมด ยิ่งความละเอียดในการเข้ารหัสมีมากเท่าไร ความปลอดภัยก็ยิ่งสูงขึ้นเท่านั้น ระดับความละเอียดของการเข้ารหัสมีหน่วยเป็น บิท  โดยเว็บไซท์บริษัทฯ ได้ใช้การเข้ารหัสระดับ 128 บิท ซึ่งถือว่าเป็นระดับที่บริษัท และธนาคารชั้นนำของโลกใช้อยู่

d.การติดตั้งระบบปฏิบัติการที่มีระดับความปลอดภัยที่ระดับ C2 โดยการติดตั้ง และเปิดใช้เฉพาะบริการที่เหมาะสม และจำเป็นเท่านั้น

เมื่อข้อมูลกลายเป็นขุมทรัพย์สำหรับบริษัทใหญ่และในบางครั้งการใช้ข้อมูลมากเกินไปก็ทำให้คนที่เกี่ยวข้องเดือดร้อนได้ การปรับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) จึงกลายเป็นสิ่งสำคัญ เพื่อคุ้มครองความเป็นส่วนตัวของข้อมูล (Data Privacy) และเพิ่มความปลอดภัยในการใช้ข้อมูล (Data Security) ให้กับทุกๆ คน

โดยบทความนี้เป็นการสรุป พ.ร.บ.ข้อมูลส่วนบุคคลอย่างย่อเท่านั้น หากต้องการรายละเอียดเพิ่มเติมรวมถึงข้อกฎหมายเชิงลึกสามารถอ่านได้ที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

รู้จัก PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

Personal Data Protection Act (PDPA) หรือในชื่อไทยคือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ออกมาเพื่อดูแลข้อมูลของผู้คนภายในประเทศไม่ให้องค์กหรือกลุ่มคนกลุ่มใดกลุ่มหนึ่งนำข้อมูลของเราไปใช้โดยไม่ได้รับความยินยอม

พ.ร.บ.นี้ ใกล้ตัวขนาดไหน ? สำหรับประชาชนคนทั่วไปล่ะก็ อาจจะเคยเจอเหตุการณ์ เช่น บริษัทประกันโทรหาเพื่อเสนอขาย หรือมีการโฆษณาผ่านอีเมลจากที่ไหนไม่รู้โดยที่เราไม่ได้ยินยอมมาก่อน ซึ่งการเข้ามาของ PDPA จะช่วยลดเหตุการณ์เหล่านี้ให้น้อยลง เนื่องจากกลุ่มบุคคลการนำข้อมูลไปใช้โดยพละการจะต้องถูกดำเนินการตามกฎหมาย

หากใครรู้สึกคุ้นๆ กับ PDPA นี้ก็ไม่ใช่เรื่องแปลก เพราะพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้ปรากฎเป็นข่าวมาพักใหญ่เมื่อช่วงปี 2563 แต่ได้มีการเลื่อนการบังคับใช้จากวันที่ 27 พ.ค.2563 เป็น 1 มิ.ย. 2565 เนื่องจากสถานการณ์ Covid-19 อย่างไรก็ดียังเป็นหน้าที่ของธุรกิจต่างๆ ที่ต้องตรวจสอบว่าธุรกิจของเรามีการละเมิด PDPA อยู่หรือเปล่า

PDPA กับความเป็นส่วนตัวและความปลอดภัยของข้อมูล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้ เป็นกฎหมายที่คุ้มครองข้อมูลทั้งบุคคลธรรมดา นิติบุคคลที่จดทะเบียนในไทย บริษัทในไทย และบริษัทต่างประเทศที่มีการขายสินค้าและบริการในประเทศไทยด้วย โดยครอบคลุมด้านข้อมูลใน 2 ประเด็นหลัก คือการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ไม่ให้คนอื่นมาล่วงละเมิด อีกประเด็นคือความปลอดภัยของข้อมูล (Data Security)

การคุ้มครองข้อมูลส่วนบุคคล

การคุ้มครองข้อมูลส่วนบุคคลนี้ จะทำให้ประชาชนเข้าถึงวัตถุประสงค์การจัดเก็บข้อมูลของธุรกิจและภาคส่วนต่างๆ ที่มีการใช้ข้อมูล สามารถขอให้ลบ ทำลาย ขอให้ระงับใช้ข้อมูล ร่วมถึงสามารถร้องเรียนและเรียกค่าสินไหมทดแทนกรณีมีการละเมิดหรือใช้ข้อมูลนอกเหนือวัตถุประสงค์

ความปลอดภัยทางข้อมูล

มีการกำหนดบทลงโทษสำหรับบุคคล ธุรกิจ หรือหน่วยงานหากมีการเก็บรวบรวมเกินความจำเป็น ไม่ได้มีการรักษาความปลอดภัยทางข้อมูลให้เหมาะสม ไม่แจ้งเหตุเมื่อถูกละเมิดข้อมูล

บทลงโทษของ PDPA นั้นมีทั้งทางแพ่ง ทางอาญา และทางปกครอง โดยมีรายละเอียดดังนี้

• โทษทางอาญา จำคุกไม่เกิน 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท
• ความรับผิดทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง

แน่นอนว่าโทษของกฎหมายนี้ไม่ได้เบาเลย นั่นทำให้ทุกธุรกิจที่ทำงานเกี่ยวกับข้อมูลต้องให้ความสำคัญกับ PDPA ต้องมีการปรับตัวอย่างมาก เพื่อไม่ให้ทำผิดข้อกฎหมายไม่ว่าจะเป็นความประมาทไม่ตั้งใจหรือตั้งใจก็ตามที

Tip: กฎหมายนี้ในประเทศแถบยุโรปก็มีเช่นกัน โดยจะใช้ชื่อว่า General Data Protection Regulation (GDPR) โดยต่างกับ PDPA ของไทยที่บุคคลที่คุ้มครองและบทลงโทษของกฎหมาย

การปรับธุรกิจเพื่อรับมือกับ PDPA

1.ให้ความรู้เพื่อให้คนในองค์กรเกิดความตระหนักและความเข้าใจกับเรื่อง PDPA

ไม่เพียงแค่ฝ่ายกฎหมายในองค์กรเท่านั้นที่ต้องให้ความสำคัญกับ PDPA เพราะเรื่องนี้ครอบคลุมตั้งแต่การออกนโยบาย การจัดเก็บข้อมูล ฝ่ายการตลาดที่ต้องทำความเข้าใจกับลูกค้า ดังนั้นทุกธุรกิจจึงต้องมีการกำหนดบทบาทและบุคลากรที่ทำงานเกี่ยวกับเรื่องนี้อย่างจริงจัง เพื่อรับผิดชอบงานด้านนี้ และทำการประสานงานกับเจ้าหน้าที่ที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคลหากเกิดปัญหา

2.มีการชี้แจงเกี่ยวกับการเก็บข้อมูลทุกครั้ง

ทางธุรกิจจะต้องมีการชี้แจงกับลูกค้าหรือบุคคลที่กำลังจะเก็บข้อมูลทุกครั้งก่อน และดำเนินการเก็บข้อมูลเมื่ออีกฝ่ายยินยอมเท่านั้น

ตัวอย่างในเรื่องนี้มักพบเห็นจากเว็บไซต์ต่างๆ หลายคนอาจเห็นแถบเล็กๆ ที่มีการเขียนระบุเกี่ยวกับ Privacy Policy หรือการอธิบายมาตรการเกี่ยวกับการปกป้องข้อมูลส่วนตัว โดยจะมีรายละเอียดเกี่ยวกับข้อมูลที่จัดเก็บ แหล่งที่มา วัตถุประสงค์การเก็บข้อมูล รวมถึงสิทธิของเจ้าของข้อมูล และในอนาคตจะมีหน้า Privacy Policy เช่นนี้ทุกเว็บไซต์เนื่องจากกฎหมายกำหนด

3.มีการป้องกันทางข้อมูลที่รัดกุม

การจารกรรมข้อมูลทางคอมพิวเตอร์เป็นอีกกรณีที่สามารถพบเห็นได้บ่อยครั้งในปัจจุบัน ซึ่งถ้าธุรกิจที่มีการเก็บข้อมูล ไม่ได้มีการป้องกันข้อมูลที่ดีเพียงพอ หรือจงใจปล่อยให้ข้อมูลถูกจารกรรมจนมีผู้เสียหาย อาจถูกดำเนินคดีได้

ดังนั้นควรทำให้แน่ใจว่าเว็บไซต์หรือแพลตฟอร์มที่ถูกสร้างขึ้น มีความแข็งแกร่งมากพอ รวมถึงมีการป้องกันที่ดีพอไม่ให้ถูกเจาะและถูกล้วงข้อมูลได้ง่ายๆ

หากมีการปรับเปลี่ยนธุรกิจและการจัดการข้อมูลได้เหมาะสมแล้ว PDPA เองก็เป็นเพียงอีกหนึ่งข้อกฎหมายที่เพิ่มขึ้นมาเพื่อความปลอดภัยของประชาชนคนทั่วไปเท่านั้นเอง

สรุป

PDPA เป็นอีกกฎหมายใหม่ที่คนทำธุรกิจทุกประเภทที่มีการเก็บข้อมูลลูกค้า ไม่ว่าจะออนไลน์หรือออฟไลน์จำเป็นจะต้องรู้เอาไว้ เพื่อการดำเนินงานที่ถูกต้องและโปร่งใส รวมถึงป้องกันข้อผิดพลาดที่อาจเกิดขึ้นได้ในอนาคต

ซึ่งเป็นที่น่าจับตามองว่าหลังจากการประกาศใช้ พ.ร.บ.คุ้มครองส่วนบุคคลนี้ไปแล้ว สถิติการละเมิดข้อมูลรวมถึงความปลอดภัยทางข้อมูลจะลดลงหรือไม่ คงต้องติดตามต่อไปในอนาคต