การจัดเก็บข้อมูลควรจัดเก็บข้อมูลอย่างไรให้ปลอดภัย

1. การรักษาความลับ (Confidentiality) ให้บุคคลผู้มีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้ ต้องมีการควบคุมการเข้าถึง ข้อมูลเป็นความลับต้องไม่เปิดเผยกับผู้ไม่มีสิทธิ

2. ความถูกต้องแท้จริง (Integrity) มีเกราะป้องกันความถูกต้องครบถ้วนสมบูรณ์ของข้อมูล และวิธีการประมวลผล ต้องมีการควบคุมความผิดพลาด ไม่ให้ผู้ไม่มีสิทธิมาเปลี่ยนแปลงแก้ไข

3. ความสามารถพร้อมใช้เสมอ (Availability) ให้บุคคลผู้มีสิทธิเท่านั้นเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการ ต้องมีการควบคุมไม่ให้ระบบล้มเหลว มีสมรรถภาพทำงานต่อเนื่อง ไม่ให้ผู้ไม่มีสิทธิมาทำให้ระบบหยุดการทำงาน

     ความปลอดภัยของข้อมูลสารสนเทศ (Information Security)

บริษัทฯ มีนโยบายให้ความปลอดภัยและการรักษาความลับของข้อมูล โดยบริษัทฯ ใช้ระบบรักษาความปลอดภัยที่มีมาตรฐานสูงทั้งในด้านเทคโนโลยีและกระบวนการเพื่อป้องกันการโจรกรรมข้อมูลที่เป็นความลับ บริษัทฯ ได้กำหนดให้มีระบบความปลอดภัยที่มีประสิทธิภาพ เพื่อให้มั่นใจได้ว่าเว็บไซต์และข้อมูลของบริษัทฯ มีการรักษาความปลอดภัยที่ได้มาตรฐาน รวมถึงการเลือกใช้ Firewall System, Anti-Virus System ที่มีมาตรฐานความปลอดภัยสูง รวมทั้งได้ใช้เทคโนโลยี เข้ารหัสข้อมูลที่ระดับ 128 บิท (128 Bit Encryption) ซึ่งเป็นการเข้ารหัสข้อมูลระดับสูงสำหรับการทำธุรกรรมผ่านบริการทางอินเทอร์เน็ต นอกจากนี้ บริษัทฯ ยังกำหนดให้ลูกค้าต้องลงทะเบียนก่อนจึงจะสามารถใช้บริการได้

บริษัทฯ ได้มีการเลือกใช้เทคโนโลยีระบบคอมพิวเตอร์ที่มีระบบการรักษาความปลอดภัยในขั้นพื้นฐานที่เป็นมาตรฐานสากลอยู่แล้ว และเสริมด้วยการทำงานด้านอุปกรณ์ความปลอดภัยเฉพาะอีกชั้น และโดยหลักการทั่วไปในการควบคุมและรักษาความปลอดภัยให้กับระบบข้อมูลข่าวสาร ได้แก่การควบคุมส่วนต่าง ๆ ของระบบอย่างรัดกุม วิธีการที่ใช้ในการควบคุมมีดังนี้

1.  การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control)
โดยมีระดับวิธีการ 3 วิธีคือ

-  การควบคุมจากระบบภายในของซอฟต์แวร์ (Internal Program Control) คือการที่       โปรแกรมนั้นได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบฐานข้อมูลภายในระบบเอง 

-  การควบคุมความปลอดภัยโดยระบบปฏิบัติการ (Operating System Control) คือการควบคุมสิทธิการเข้าถึงและการใช้ข้อมูลในส่วนต่าง ๆ ภายในระบบคอมพิวเตอร์ของผู้ใช้คนหนึ่ง และจำแนกแตกต่างจากผู้ใช้คนอื่น ๆ

-  การควบคุมและการออกแบบโปรแกรม (Development Control) คือการควบคุมตั้งแต่การออกแบบ การทดสอบก่อนการใช้งานจริง

2. การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control)
โดยเลือกใช้เทคโนโลยีทางด้านฮาร์ดแวร์ ที่สามารถควบคุมการเข้าถึง และป้องกันการทำงานผิดพลาด ด้วยอุปกรณ์ภายในตัวเอง

3. การใช้นโยบายในการควบคุม (Policies)
โดยมีการประกาศใช้นโยบาย และการปรับปรุงนโยบายให้มีการทำงานสอดคล้องกับการดำเนินธุรกิจ และสภาพแวดล้อมที่เปลี่ยนแปลง โดยมีผลบังคับใช้ทั้งองค์กร

4. การป้องกันทางกายภาพ (Physical Control)
การมีมาตรการการเข้าถึงศูนย์คอมพิวเตอร์ และเครื่องคอมพิวเตอร์ที่สำคัญได้เฉพาะเจ้าหน้าที่ที่เกี่ยวข้องเท่านั้น รวมทั้งมีระบบสำรองข้อมูลอย่างสม่ำเสมอ

        การจัดการด้านความปลอดภัยของระบบเครือข่าย Counter Service จะประกอบด้วยองค์ประกอบ 3 ส่วนดังนี้

    1. โครงสร้างพื้นฐานด้านความปลอดภัย

a.การติดตั้งระบบ Firewall บริษัทฯ ได้ติดตั้ง Firewall ซึ่งเป็นเทคโนโลยีที่ทำการป้องกันผู้บุกรุกเข้า-ออกระบบ และกำหนดโซนการให้บริการ การเข้าถึงข้อมูล ที่เหมาะสม
- กำหนดขอบเขต และโซนการทำงานที่เหมาะสม
- กำหนดบริการ และการเข้าถึงระบบสำหรับผู้ที่ได้รับอนุญาตเท่านั้น

b.การติดตั้งระบบ Anti-Virus เพื่อทำการป้องกัน และกำจัดไวรัสที่มีการอัพเดตข้อมูลอย่างสม่ำเสมอ

c.การติดตั้งระบบ SSL บริษัทฯ เลือกใช้ SSL เวอร์ชั่นล่าสุด ซึ่งบริษัท และธนาคารชั้นนำส่วนใหญ่เลือกใช้ เนื่องจากมีประสิทธิภาพในการรักษาความปลอดภัยขั้นสูง  หน้าที่ของ SSL คือ สลับที่ข้อมูลและแปลงเป็นรหัสตัวเลขทั้งหมด ยิ่งความละเอียดในการเข้ารหัสมีมากเท่าไร ความปลอดภัยก็ยิ่งสูงขึ้นเท่านั้น ระดับความละเอียดของการเข้ารหัสมีหน่วยเป็น บิท  โดยเว็บไซท์บริษัทฯ ได้ใช้การเข้ารหัสระดับ 128 บิท ซึ่งถือว่าเป็นระดับที่บริษัท และธนาคารชั้นนำของโลกใช้อยู่

d.การติดตั้งระบบปฏิบัติการที่มีระดับความปลอดภัยที่ระดับ C2 โดยการติดตั้ง และเปิดใช้เฉพาะบริการที่เหมาะสม และจำเป็นเท่านั้น

ทำไมเราจึงต้องมีล็อคเกอร์ ใส่กุญแจไว้เก็บของสำคัญไม่ให้สูญหายหรือโดนขโมย ข้อมูลที่สำคัญก็เหมือนกันที่ต้องมีมาตรการการเก็บรักษาให้ปลอดภัย อาจใช้การใส่รหัสไว้ส่วนตัว หรือเป็นการเข้ารหัสจากตัวระบบเอง วัตถุประสงค์ก็เพื่อไม่ให้เกิดการละเมิดข้อมูลตามมา ซึ่งจะส่งผลให้เกิดความเสียหายได้

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งไทยได้บังคับใช้บางส่วนมื่อปีที่ผ่านมา กล่าวถึงรายละเอียดการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ โดยข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งรูปแบบออนไลน์และออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ ลายนิ้วมือ เป็นต้น ในส่วนของกฎหมาย GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปก็มีการกล่าวถึงกำหนดระยะเวลาของการเก็บรักษาข้อมูล (Data Retention) ไว้เช่นกัน วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลเพื่อข่มขู่หวังผลประโยชน์จากทั้งตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลที่มีหน้าที่ตัดสินใจในการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูล มีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคลดังนี้

• แจ้งวัตถุประสงค์ที่จะเก็บจากเจ้าของข้อมูลก่อนให้ชัดเจน
• ในกรณีที่ต้องขอความยินยอมต้องให้อิสระเจ้าของข้อมูลในการเลือกให้ความยินยอม
• ต้องเก็บข้อมูลเท่าที่จำเป็น และลบทำลายข้อมูลเมื่อครบกำหนดระยะเวลาที่ได้แจ้งไว้
• แจ้งสถานที่ติดต่อและผู้ดูแลหรือผู้ประสานงาน
• ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น จะซื้อข้อมูลต่อจากที่อื่น หรือใช้ข้อมูลจากแหล่งอื่นไม่ได้ แต่ถ้าจำเป็นต้องใช้ข้อมูลจากแหล่งอื่น ก็ต้องขอความยินยอมจากเจ้าของข้อมูลโดยเร็ว หรือภายใน 30 วัน
• อาจไม่ต้องขอความยินยอมก็ได้ เช่น เป็นกรณีเจ้าของข้อมูลเคยให้ความยินยอมไว้อยู่แล้ว หรือ กรณีเร่งด่วนจำเป็น เจ้าของข้อมูลเกิดอุบัติเหตุต้องเข้ารับการรักษาฉุกเฉิน แพทย์ก็อาจใช้ข้อมูลได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาเป็นรายกรณีไป และศึกษาข้อยกเว้นที่ไม่ต้องขอความยินยอมให้ละเอียดครบถ้วน เพราะหากพลาดพลั้งไป ก็มีความเสี่ยงที่จะทำผิด PDPA และมีโทษตามกฎหมายได้

องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล คงจะทำงานเพียงคนเดียวไม่ได้ ถ้าองค์กรไม่กำหนดนโยบายให้ชัดเจน ในทางปฏิบัติควรให้ทุกฝ่ายในองค์กรทั้ง IT, HR, Marketing, Customer service, Compliance, Sales, กฎหมาย, บัญชี ประชุมร่วมกัน

โดยดำเนินการตาม 6 ขั้นตอน ดังต่อไปนี้

1. จัดทำนโยบายการเก็บรักษาข้อมูล สร้างมาตรฐานการรักษาความปลอดภัยของข้อมูลร่วมกัน เพื่อให้ทิศทางการเก็บข้อมูลในแต่ละฝ่ายเป็นไปในทิศทางเดียวกัน
2. ให้แต่ละฝ่ายระบุข้อมูลที่จำเป็นต้องเก็บ ระยะเวลาที่เก็บข้อมูล หากข้อมูลนั้นจำเป็นจะต้องเก็บ จะเก็บต่อเป็นระยะเวลาเท่าใด หรือถ้าไม่จำเป็นจะลบทำลายได้หรือไม่
3. จัดทำฐานการประมวลผลข้อมูล แบ่งประเภทข้อมูล ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูล hard copy ที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เพื่อจัดเก็บข้อมูลให้เป็นระเบียบ ทำให้มีหลักฐานพิสูจน์อำนาจในการจัดเก็บข้อมูลตามระยะเวลาที่กำหนดด้วย
4. ปฏิบัติตามนโยบายการเก็บรักษาข้อมูล โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบและยินยอมตามวัตถุประสงค์ของการขอเก็บข้อมูล โดยอาจเขียนรวมกับนโยบายความเป็นส่วนตัว (Privacy Policy) หรือจะเขียนแยกเพื่อให้ชัดเจนมากขึ้นก็ได้ สร้าง Privacy Policy สอดคล้อง PDPA ฟรี ! เก็บรักษาและลบทำลายข้อมูลตามระยะเวลาของนโยบายการเก็บรักษาข้อมูล เช่น หากลูกค้าไม่ได้ใช้บริการ ไม่ได้ซื้อสินค้ากับองค์กร หรือไม่ได้เป็นสมาชิกแล้ว ให้มีการลบทำลายข้อมูลลูกค้าและข้อมูลการใช้บริการภายใน 3 ปี การเก็บรักษาข้อมูลส่วนบุคคลของบุคลากรซึ่งมีทั้งข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหว (ลายนิ้วมือ ข้อมูลสุขภาพ) ให้ลบทำลายข้อมูลเมื่อพ้นสภาพพนักงานภายใน 1 ปี การเก็บรักษาเวชระเบียนทางการแพทย์หรือข้อมูลสุขภาพของผู้ป่วยซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว เมื่อผู้ป่วยขาดการติดต่อกับโรงพยาบาลเกิน 5 ปี สามารถลบหรือทำลายข้อมูลนั้นได้ เป็นต้น การลบทำลายข้อมูลก็เพื่อให้องค์กรไม่ต้องดูแลหรือเสียค่าใช้จ่ายเพื่อเก็บรักษาข้อมูลที่ไม่จำเป็นอีกต่อไป
5. จ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้เชี่ยวชาญกฎหมาย PDPA และ GDPR เพื่อขอคำปรึกษาหากไม่มั่นใจว่าองค์กรปฏิบัติถูกต้องหรือไม่ หรือถ้าเกิดเหตุข้อมูลลูกค้าถูกละเมิดจริง ก็เป็นผู้ประสานงานกับหน่วยงานรัฐที่เกี่ยวข้องได้

นโยบายการเก็บรักษาข้อมูลเป็นเครื่องมือที่สำคัญต่อความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า ซึ่งหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กร มีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลแล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ทำให้องค์กรเกิดความน่าเชื่อถือ และยกระดับมาตรฐานองค์กรในสายตาผู้บริโภคได้มากขึ้นอีกด้วย