1. การรักษาความลับ (Confidentiality) ให้บุคคลผู้มีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้ ต้องมีการควบคุมการเข้าถึง ข้อมูลเป็นความลับต้องไม่เปิดเผยกับผู้ไม่มีสิทธิ Show 2. ความถูกต้องแท้จริง (Integrity) มีเกราะป้องกันความถูกต้องครบถ้วนสมบูรณ์ของข้อมูล และวิธีการประมวลผล ต้องมีการควบคุมความผิดพลาด ไม่ให้ผู้ไม่มีสิทธิมาเปลี่ยนแปลงแก้ไข 3. ความสามารถพร้อมใช้เสมอ (Availability) ให้บุคคลผู้มีสิทธิเท่านั้นเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการ ต้องมีการควบคุมไม่ให้ระบบล้มเหลว มีสมรรถภาพทำงานต่อเนื่อง ไม่ให้ผู้ไม่มีสิทธิมาทำให้ระบบหยุดการทำงาน ความปลอดภัยของข้อมูลสารสนเทศ (Information Security) บริษัทฯ มีนโยบายให้ความปลอดภัยและการรักษาความลับของข้อมูล โดยบริษัทฯ ใช้ระบบรักษาความปลอดภัยที่มีมาตรฐานสูงทั้งในด้านเทคโนโลยีและกระบวนการเพื่อป้องกันการโจรกรรมข้อมูลที่เป็นความลับ บริษัทฯ ได้กำหนดให้มีระบบความปลอดภัยที่มีประสิทธิภาพ เพื่อให้มั่นใจได้ว่าเว็บไซต์และข้อมูลของบริษัทฯ มีการรักษาความปลอดภัยที่ได้มาตรฐาน รวมถึงการเลือกใช้ Firewall System, Anti-Virus System ที่มีมาตรฐานความปลอดภัยสูง รวมทั้งได้ใช้เทคโนโลยี เข้ารหัสข้อมูลที่ระดับ 128 บิท (128 Bit Encryption) ซึ่งเป็นการเข้ารหัสข้อมูลระดับสูงสำหรับการทำธุรกรรมผ่านบริการทางอินเทอร์เน็ต นอกจากนี้ บริษัทฯ ยังกำหนดให้ลูกค้าต้องลงทะเบียนก่อนจึงจะสามารถใช้บริการได้ บริษัทฯ ได้มีการเลือกใช้เทคโนโลยีระบบคอมพิวเตอร์ที่มีระบบการรักษาความปลอดภัยในขั้นพื้นฐานที่เป็นมาตรฐานสากลอยู่แล้ว และเสริมด้วยการทำงานด้านอุปกรณ์ความปลอดภัยเฉพาะอีกชั้น และโดยหลักการทั่วไปในการควบคุมและรักษาความปลอดภัยให้กับระบบข้อมูลข่าวสาร ได้แก่การควบคุมส่วนต่าง ๆ ของระบบอย่างรัดกุม วิธีการที่ใช้ในการควบคุมมีดังนี้ 1. การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control) - การควบคุมจากระบบภายในของซอฟต์แวร์ (Internal Program Control) คือการที่ โปรแกรมนั้นได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบฐานข้อมูลภายในระบบเอง - การควบคุมความปลอดภัยโดยระบบปฏิบัติการ (Operating System Control) คือการควบคุมสิทธิการเข้าถึงและการใช้ข้อมูลในส่วนต่าง ๆ ภายในระบบคอมพิวเตอร์ของผู้ใช้คนหนึ่ง และจำแนกแตกต่างจากผู้ใช้คนอื่น ๆ - การควบคุมและการออกแบบโปรแกรม (Development Control) คือการควบคุมตั้งแต่การออกแบบ การทดสอบก่อนการใช้งานจริง 2. การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control) 3. การใช้นโยบายในการควบคุม (Policies) 4. การป้องกันทางกายภาพ (Physical Control) การจัดการด้านความปลอดภัยของระบบเครือข่าย Counter Service จะประกอบด้วยองค์ประกอบ 3 ส่วนดังนี้ 1. โครงสร้างพื้นฐานด้านความปลอดภัย a.การติดตั้งระบบ Firewall บริษัทฯ ได้ติดตั้ง Firewall ซึ่งเป็นเทคโนโลยีที่ทำการป้องกันผู้บุกรุกเข้า-ออกระบบ และกำหนดโซนการให้บริการ การเข้าถึงข้อมูล ที่เหมาะสม b.การติดตั้งระบบ Anti-Virus เพื่อทำการป้องกัน และกำจัดไวรัสที่มีการอัพเดตข้อมูลอย่างสม่ำเสมอ c.การติดตั้งระบบ SSL บริษัทฯ เลือกใช้ SSL เวอร์ชั่นล่าสุด ซึ่งบริษัท และธนาคารชั้นนำส่วนใหญ่เลือกใช้ เนื่องจากมีประสิทธิภาพในการรักษาความปลอดภัยขั้นสูง หน้าที่ของ SSL คือ สลับที่ข้อมูลและแปลงเป็นรหัสตัวเลขทั้งหมด ยิ่งความละเอียดในการเข้ารหัสมีมากเท่าไร ความปลอดภัยก็ยิ่งสูงขึ้นเท่านั้น ระดับความละเอียดของการเข้ารหัสมีหน่วยเป็น บิท โดยเว็บไซท์บริษัทฯ ได้ใช้การเข้ารหัสระดับ 128 บิท ซึ่งถือว่าเป็นระดับที่บริษัท และธนาคารชั้นนำของโลกใช้อยู่ d.การติดตั้งระบบปฏิบัติการที่มีระดับความปลอดภัยที่ระดับ C2 โดยการติดตั้ง และเปิดใช้เฉพาะบริการที่เหมาะสม และจำเป็นเท่านั้น เมื่อข้อมูลกลายเป็นขุมทรัพย์สำหรับบริษัทใหญ่และในบางครั้งการใช้ข้อมูลมากเกินไปก็ทำให้คนที่เกี่ยวข้องเดือดร้อนได้ การปรับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) จึงกลายเป็นสิ่งสำคัญ เพื่อคุ้มครองความเป็นส่วนตัวของข้อมูล (Data Privacy) และเพิ่มความปลอดภัยในการใช้ข้อมูล (Data Security) ให้กับทุกๆ คน โดยบทความนี้เป็นการสรุป พ.ร.บ.ข้อมูลส่วนบุคคลอย่างย่อเท่านั้น หากต้องการรายละเอียดเพิ่มเติมรวมถึงข้อกฎหมายเชิงลึกสามารถอ่านได้ที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 รู้จัก PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลPersonal Data Protection Act (PDPA) หรือในชื่อไทยคือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ออกมาเพื่อดูแลข้อมูลของผู้คนภายในประเทศไม่ให้องค์กหรือกลุ่มคนกลุ่มใดกลุ่มหนึ่งนำข้อมูลของเราไปใช้โดยไม่ได้รับความยินยอม พ.ร.บ.นี้ ใกล้ตัวขนาดไหน ? สำหรับประชาชนคนทั่วไปล่ะก็ อาจจะเคยเจอเหตุการณ์ เช่น บริษัทประกันโทรหาเพื่อเสนอขาย หรือมีการโฆษณาผ่านอีเมลจากที่ไหนไม่รู้โดยที่เราไม่ได้ยินยอมมาก่อน ซึ่งการเข้ามาของ PDPA จะช่วยลดเหตุการณ์เหล่านี้ให้น้อยลง เนื่องจากกลุ่มบุคคลการนำข้อมูลไปใช้โดยพละการจะต้องถูกดำเนินการตามกฎหมาย หากใครรู้สึกคุ้นๆ กับ PDPA นี้ก็ไม่ใช่เรื่องแปลก เพราะพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้ปรากฎเป็นข่าวมาพักใหญ่เมื่อช่วงปี 2563 แต่ได้มีการเลื่อนการบังคับใช้จากวันที่ 27 พ.ค.2563 เป็น 1 มิ.ย. 2565 เนื่องจากสถานการณ์ Covid-19 อย่างไรก็ดียังเป็นหน้าที่ของธุรกิจต่างๆ ที่ต้องตรวจสอบว่าธุรกิจของเรามีการละเมิด PDPA อยู่หรือเปล่า PDPA กับความเป็นส่วนตัวและความปลอดภัยของข้อมูลพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้ เป็นกฎหมายที่คุ้มครองข้อมูลทั้งบุคคลธรรมดา นิติบุคคลที่จดทะเบียนในไทย บริษัทในไทย และบริษัทต่างประเทศที่มีการขายสินค้าและบริการในประเทศไทยด้วย โดยครอบคลุมด้านข้อมูลใน 2 ประเด็นหลัก คือการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ไม่ให้คนอื่นมาล่วงละเมิด อีกประเด็นคือความปลอดภัยของข้อมูล (Data Security) การคุ้มครองข้อมูลส่วนบุคคลการคุ้มครองข้อมูลส่วนบุคคลนี้ จะทำให้ประชาชนเข้าถึงวัตถุประสงค์การจัดเก็บข้อมูลของธุรกิจและภาคส่วนต่างๆ ที่มีการใช้ข้อมูล สามารถขอให้ลบ ทำลาย ขอให้ระงับใช้ข้อมูล ร่วมถึงสามารถร้องเรียนและเรียกค่าสินไหมทดแทนกรณีมีการละเมิดหรือใช้ข้อมูลนอกเหนือวัตถุประสงค์ ความปลอดภัยทางข้อมูลมีการกำหนดบทลงโทษสำหรับบุคคล ธุรกิจ หรือหน่วยงานหากมีการเก็บรวบรวมเกินความจำเป็น ไม่ได้มีการรักษาความปลอดภัยทางข้อมูลให้เหมาะสม ไม่แจ้งเหตุเมื่อถูกละเมิดข้อมูล บทลงโทษของ PDPA นั้นมีทั้งทางแพ่ง ทางอาญา และทางปกครอง โดยมีรายละเอียดดังนี้
แน่นอนว่าโทษของกฎหมายนี้ไม่ได้เบาเลย นั่นทำให้ทุกธุรกิจที่ทำงานเกี่ยวกับข้อมูลต้องให้ความสำคัญกับ PDPA ต้องมีการปรับตัวอย่างมาก เพื่อไม่ให้ทำผิดข้อกฎหมายไม่ว่าจะเป็นความประมาทไม่ตั้งใจหรือตั้งใจก็ตามที Tip: กฎหมายนี้ในประเทศแถบยุโรปก็มีเช่นกัน โดยจะใช้ชื่อว่า General Data Protection Regulation (GDPR) โดยต่างกับ PDPA ของไทยที่บุคคลที่คุ้มครองและบทลงโทษของกฎหมาย การปรับธุรกิจเพื่อรับมือกับ PDPA1.ให้ความรู้เพื่อให้คนในองค์กรเกิดความตระหนักและความเข้าใจกับเรื่อง PDPA ไม่เพียงแค่ฝ่ายกฎหมายในองค์กรเท่านั้นที่ต้องให้ความสำคัญกับ PDPA เพราะเรื่องนี้ครอบคลุมตั้งแต่การออกนโยบาย การจัดเก็บข้อมูล ฝ่ายการตลาดที่ต้องทำความเข้าใจกับลูกค้า ดังนั้นทุกธุรกิจจึงต้องมีการกำหนดบทบาทและบุคลากรที่ทำงานเกี่ยวกับเรื่องนี้อย่างจริงจัง เพื่อรับผิดชอบงานด้านนี้ และทำการประสานงานกับเจ้าหน้าที่ที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคลหากเกิดปัญหา 2.มีการชี้แจงเกี่ยวกับการเก็บข้อมูลทุกครั้ง ทางธุรกิจจะต้องมีการชี้แจงกับลูกค้าหรือบุคคลที่กำลังจะเก็บข้อมูลทุกครั้งก่อน และดำเนินการเก็บข้อมูลเมื่ออีกฝ่ายยินยอมเท่านั้น ตัวอย่างในเรื่องนี้มักพบเห็นจากเว็บไซต์ต่างๆ หลายคนอาจเห็นแถบเล็กๆ ที่มีการเขียนระบุเกี่ยวกับ Privacy Policy หรือการอธิบายมาตรการเกี่ยวกับการปกป้องข้อมูลส่วนตัว โดยจะมีรายละเอียดเกี่ยวกับข้อมูลที่จัดเก็บ แหล่งที่มา วัตถุประสงค์การเก็บข้อมูล รวมถึงสิทธิของเจ้าของข้อมูล และในอนาคตจะมีหน้า Privacy Policy เช่นนี้ทุกเว็บไซต์เนื่องจากกฎหมายกำหนด 3.มีการป้องกันทางข้อมูลที่รัดกุม การจารกรรมข้อมูลทางคอมพิวเตอร์เป็นอีกกรณีที่สามารถพบเห็นได้บ่อยครั้งในปัจจุบัน ซึ่งถ้าธุรกิจที่มีการเก็บข้อมูล ไม่ได้มีการป้องกันข้อมูลที่ดีเพียงพอ หรือจงใจปล่อยให้ข้อมูลถูกจารกรรมจนมีผู้เสียหาย อาจถูกดำเนินคดีได้ ดังนั้นควรทำให้แน่ใจว่าเว็บไซต์หรือแพลตฟอร์มที่ถูกสร้างขึ้น มีความแข็งแกร่งมากพอ รวมถึงมีการป้องกันที่ดีพอไม่ให้ถูกเจาะและถูกล้วงข้อมูลได้ง่ายๆ หากมีการปรับเปลี่ยนธุรกิจและการจัดการข้อมูลได้เหมาะสมแล้ว PDPA เองก็เป็นเพียงอีกหนึ่งข้อกฎหมายที่เพิ่มขึ้นมาเพื่อความปลอดภัยของประชาชนคนทั่วไปเท่านั้นเอง สรุปPDPA เป็นอีกกฎหมายใหม่ที่คนทำธุรกิจทุกประเภทที่มีการเก็บข้อมูลลูกค้า ไม่ว่าจะออนไลน์หรือออฟไลน์จำเป็นจะต้องรู้เอาไว้ เพื่อการดำเนินงานที่ถูกต้องและโปร่งใส รวมถึงป้องกันข้อผิดพลาดที่อาจเกิดขึ้นได้ในอนาคต ซึ่งเป็นที่น่าจับตามองว่าหลังจากการประกาศใช้ พ.ร.บ.คุ้มครองส่วนบุคคลนี้ไปแล้ว สถิติการละเมิดข้อมูลรวมถึงความปลอดภัยทางข้อมูลจะลดลงหรือไม่ คงต้องติดตามต่อไปในอนาคต |