ตรวจสอบกิจกรรม ป้องกันพนักงานปล่อย ‘ข้อมูลส่วนบุคคล’
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เป็นกฎหมายที่ออกมาเพื่อคุ้มครองสิทธิของเจ้าของข้อมูล ขณะเดียวกันก็ทำให้องค์กรตื่นตัว และตระหนักถึงมาตรการในการคุ้มครอง ข้อมูลส่วนบุคคล ตั้งแต่ก่อนการจัดเก็บที่ต้องมีการขอความยินยอม ไปจนถึงการนำไปประมวลผลข้อมูล และมาตรการการรักษาความมั่นคงปลอดภัย ซึ่งทุกขั้นตอนล้วนต้องมีมาตรการที่รัดกุม ทว่าก็มีบ่อยครั้งที่เกลือเป็นหนอน ด้วยมีคนภายในองค์กรนำข้อมูลออกมาปล่อย จนเกิดการละเมิดสิทธิของเจ้าของข้อมูล ซึ่งถือเป็นการปฏิบัติหน้าที่เกินกว่าเหตุ ผลที่ตามมาคือ องค์กรถูกฟ้องร้อง ต้องชดใช้ค่าเสียหาย และเสียชื่อเสียง
และเนื่องจากบางองค์กรมีสถานะเป็นทั้งผู้คุ้มครองข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล นอกจากมีนโยบายในการจัดเก็บ ข้อมูลส่วนบุคคล ที่ถูกต้องตามกฎหมายแล้ว สิ่งสำคัญคือการให้ความรู้และออกมาตรการสำหรับพนักงานในองค์กร เพราะหากเมื่อใดที่มีบุคคลภายในองค์กรกระทำเกินกว่าหน้าที่ หรือการกระทำนั้นไม่เป็นไปตามวัตถุประสงค์ที่องค์กรได้แจ้งไว้ในประกาศความเป็นส่วนตัว จนก่อให้เกิดการละเมิดข้อมูลส่วนบุคคล แม้บุคลากรที่กระทำการจะถือว่ามีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลในกิจกรรมนั้น ๆ โดยทันที แต่องค์กรเองในฐานะต้นสังกัดอาจเข้าข่ายความผิดในฐานะละเลย ตามมาตรา 37(1) ที่ระบุว่า
“ ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษา ความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด ”
นอกจากนี้ยังมีการระบุไว้ใน ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ที่ออกมาในกฎหมายฉบับลูก ตอนหนึ่งว่า
“สำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ มาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องครอบคลุมส่วนประกอบต่าง ๆ ของระบบ สารสนเทศที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เช่น ระบบและอุปกรณ์จัดเก็บข้อมูลส่วนบุคคล เครื่องคอมพิวเตอร์แม่ข่าย (servers) เครื่องคอมพิวเตอร์ลูกข่าย (clients) และอุปกรณ์ต่าง ๆ ที่ใช้ ระบบเครือข่าย ซอฟต์แวร์และแอปพลิเคชัน อย่างเหมาะสมตามระดับ ความเสี่ยง โดยคำนึงถึงหลักการป้องกันเชิงลึก (defense in depth) ที่ควรประกอบด้วยมาตรการป้องกันหลายชั้น (multiple layers of security controls) เพื่อลดความเสี่ยงในกรณีที่มาตรการบางมาตรการ มีข้อจำกัดในการป้องกันความมั่นคงปลอดภัยในบางสถานการณ์”
ดังนั้นการจัดเก็บข้อมูล Log จึงถือเป็นอีกมาตรการการรักษาความปลอดภัยของ ข้อมูลส่วนบุคคล ซึ่งการจัดเก็บ Log ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้นจะต้องมีการจัดเก็บแยกออกจาก Log ที่เกี่ยวข้องกับเครือข่าย หรือ อุปกรณ์ต่าง ๆ ในองค์กรอย่างสิ้นเชิง เพื่อให้ง่ายต่อการบริหารจัดการ และสามารถค้นหาได้หากเกิดกรณีข้อมูลส่วนบุคคลรั่วไหล Log File จะช่วยให้เจ้าหน้าที่สืบสวนสามารถเห็นได้ว่า มีกิจกรรมบนอุปกรณ์ หรือบนเครือข่ายใดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่รั่วไหล และสามารถระบุตัวผู้กระทำผิด หรือสาเหตุที่เกิดจากปัญหาข้อมูลส่วนบุคคลรั่วไหลได้ในที่สุด
ด้วยเหตุนี้ องค์กรต่าง ๆ ที่มีการจัดทำ PDPA จึงควรมีเครื่องมือจัดเก็บ Log File ภายในองค์กร โดยหากเครื่องมือที่ใช้สามารถทำงานร่วมกับโซลูชันด้าน PDPA ได้ ก็จะช่วยให้การจัดการ และการตรวจสอบมีประสิทธิภาพมากขึ้น
Security Pitch มองเห็นความสำคัญของการจัดทำ PDPA และความมั่นคงปลอดภัยทางไซเบอร์ จึงได้พัฒนาแพลตฟอร์ม OneFence ที่ช่วยบริหารจัดการความปลอดภัยแบบครบวงจร เพื่อให้องค์กรของคุณเริ่มต้นสร้างระบบนิเวศด้านความปลอดภัยของข้อมูลให้กับองค์กรของคุณด้วย OneFence กับโซลูชัน Privacy Management ระบบบริหารจัดการการคุ้มครอง ข้อมูลส่วนบุคคล แบบรวมศูนย์ สอดคล้องตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และ Cybersecurity ระบบจัดการความเสี่ยงทางไซเบอร์ขององค์กรแบบครบวงจร สร้างเกราะป้องกันที่แข็งแกร่งให้กับองค์กร และเพิ่มความเชื่อมั่นด้านความปลอดภัยให้องค์กร เพื่อก้าวสู่การเป็นองค์กรที่มีระบบนิเวศด้านความปลอดภัยที่ไร้รอยต่ออย่างแท้จริง
เชื่อมั่นในความปลอดภัย เชื่อมั่นใน OneFence
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]
