onefence Archives - Security & Privacy Combined

June 2, 2023 Article

สังคมไทยตื่นตัวแค่ไหน กับกฎหมาย PDPA

ปัญหาการละเมิดข้อมูลส่วนบุคคลเป็นสิ่งที่เกิดขึ้นมาอย่างยาวนาน และยังไม่ได้รับการแก้ไข หรือการป้องกันอย่างจริงจัง กระทั่งมีการร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ขึ้น และบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน พ.ศ 2565 ผ่านมา 1 ปี มีปัญหาและอุปสรรคใดเกิดขึ้นบ้าง และแนวทางต่อไปของกฎหมายฉบับนี้จะเป็นอย่างไร ตลอด 1 ปีที่ผ่านมา นอกจากหน่วยงานทั้งภาครัฐ และเอกชน ที่เริ่มตื่นตัว จะเห็นได้ว่า องค์กรที่มีหน้าที่โดยตรง อย่าง สำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เริ่มภารกิจมากมาย ไม่ว่าจะเป็นการออกกฎหมายลูก การจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการออกแนวทางปฎิบัติเมื่อถูกละเมิดข้อมูลส่วนบุคคล และการให้ความรู้แก่ประชาชนในแง่มุมต่าง ๆ เพื่อสร้างการตระหนักรู้ที่มากขึ้น ขณะที่ Security Pitch ได้สอบถามไปยัง…

June 1, 2023 Article

ความเปลี่ยนแปลง หลังบังคับใช้ PDPA ครบ 1 ปี

1 มิถุนายน พ.ศ. 2565 คือวันแรกที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ถูกบังคับใช้อย่างเป็นทางการ ถือเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล และความเป็นส่วนตัวของข้อมูลฉบับแรก ครั้งนี้ Security Pitch จะพาทุกท่านไปย้อนรอยกันว่า ตลอด 1 ปีที่ผ่านมา ประเทศไทยมีความเปลี่ยนแปลงอย่างไรบ้าง หลังการประกาศใช้กฎหมายฉบับนี้ เรียกได้ว่า 1 ปีที่ผ่านมา เป็นปีที่ท้าทายสำหรับองค์กร และหน่วยงานต่าง ๆ เพราะนับตั้งแต่มีการบังคับใช้กฎหมาย องค์กรต่าง ๆ ก็ต้องปรับตัวครั้งใหญ่ โดยเฉพาะองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคลอยู่เป็นจำนวนมาก รวมถึงต้องจัดตั้งคณะทำงานเพื่อให้สอดคล้องกับกฎหมายฉบับนี้ แต่ก็ยังมีบางองค์กรที่ยังมีแนวคิดว่าการปฏิบัติตามกฎหมาย PDPA ยังไม่ใช่สิ่งที่จำเป็น สิ้นเปลืองงบประมาณ หรือยังไม่รู้ว่าฝ่ายใดต้องเป็นผู้รับผิดชอบ ส่วนหนึ่งก็เพราะบุคลากรในองค์กรเองยังขาดความรู้ความเข้าใจ และขาดการตระหนักรู้เกี่ยวกับกฎหมาย ด้วยเหตุนี้องค์กรจำนวนไม่น้อยจึงยังไม่สามารถบริหารจัดการข้อมูลส่วนบุคคล…

May 31, 2023 Article

องค์กรปลอดภัย ข้อมูลไม่รั่วไหล ควรเริ่มใส่ใจระบบไซเบอร์ขององค์กร

ปัจจุบันองค์กรจำนวนมากล้วนเข้าสู่การทำ Digital Transformation ไม่เว้นแม้แต่สถานพยาบาลที่เริ่มยกเลิกการจัดเก็บข้อมูลผู้ใช้บริการในรูปแบบเอกสารที่จัดเก็บยาก ด้วยเสี่ยงต่อการชำรุด และสูญหาย ขณะที่การจัดเก็บบนระบบเครือข่าย นอกจากช่วยอำนวยความสะดวก ยังลดจำนวนบุคลากรที่ทำงานได้มากกว่า แต่ก็ปฏิเสธไม่ได้ว่าสิ่งที่ต้องระมัดระวังคือความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่อาจทำให้สูญเสียการเป็น องค์กรปลอดภัย ไม่กี่ปีที่ผ่านมา มีทั้งองค์กรเอกชน และหน่วยงานภาครัฐประสบกับปัญหาภัยคุกคามทางไซเบอร์มากขึ้น ภัยเหล่านั้นไม่เพียงทำให้ระบบเครือข่ายขององค์กรเสียหาย แต่ยังอาจทำให้ข้อมูลรั่วไหล หรือ ถูกนำออกไปใช้ในทางมิชอบ ซ้ำร้ายองค์กรยังอาจสูญเสียความเชื่อมั่น และตกเป็นจำเลยสังคมไปในที่สุด ทั้งนี้ ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับองค์กรต่าง ๆ ในประเทศไทย มักเกิดขึ้นจากความผิดพลาดของมนุษย์ หรือ เกิดจากช่องโหว่ของระบบที่องค์กรอาจไม่เคยพบมาก่อน ทำให้ผู้คุกคามสามารถโจมตีระบบเครือข่ายได้อย่างง่ายดาย ซึ่งสถานพยาบาล ถือเป็นอีกหนึ่งเป้าหมายที่มักประสบกับปัญหาเหล่านี้ เช่น กรณีข้อมูลส่วนบุคคลของผู้ใช้บริการโรงพยาบาลแห่งหนึ่งในประเทศไทยรั่วไหล แสดงให้เห็นว่า แม้โรงพยาบาลจะได้รับการรับรองมาตรฐาน ก็ไม่อาจมั่นใจได้ว่าระบบไซเบอร์จะได้รับการปกป้องอย่างดีเพียงพอ อย่างไรก็ตาม ปัจจุบันมีสถานพยาบาลจำนวนไม่น้อยเริ่มตื่นตัว หามาตรการที่ปลอดภัยกว่าเดิมให้กับระบบเครือข่ายขององค์กร ทว่าจะมั่นใจได้อย่างไรว่า มาตรการป้องกันที่มีอยู่เพียงพอต่อภัยคุกคามที่คืบคลานเข้ามา…

May 30, 2023 Article

จำเป็นไหม? ที่ต้องให้ “ความยินยอม”

การได้รับการรักษาพยาบาลจากบุคลากรทางการแพทย์ เป็นสิทธิขั้นพื้นฐานที่ประชาชนพึงได้รับ ทว่าในการรักษา หรือ เข้ารับบริการในสถานพยาบาล อาจต้องใช้ข้อมูลส่วนบุคคลประกอบการรักษา เมื่อมีการประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ขึ้น การขอความยินยอมจากเจ้าของข้อมูลจึงเป็นเรื่องสำคัญ ในจุดนี้เองอาจทำให้หลายคนสงสัยว่า หากไม่ให้ ความยินยอม เพื่อนำข้อมูลของตนเองไปใช้ในสถานพยาบาล จะสามารถทำได้หรือไม่ หรือจะส่งผลอย่างไรกับการรักษา Security Pitch มีคำตอบครับ ทำไม? ผู้เข้ารับบริการต้องให้ “ความยินยอม“ ปฏิเสธไม่ได้ว่าการให้ความยินยอมต่อสถานพยาบาลถือเป็นเรื่องสำคัญ และเกี่ยวข้องโดยตรงกับการรักษา เนื่องจากวัตถุประสงค์หนึ่งของการขอความยินยอมให้จัดเก็บ หรือ ประมวลผลข้อมูลส่วนบุคคล ก็คือการเก็บบันทึกข้อมูลการรักษาหรือข้อมูลสุขภาพ กรณีที่ผู้ป่วยอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ข้อมูลต่าง ๆ เหล่านี้ก็อาจถูกนำมาใช้เพื่อช่วยเหลือในการรักษาได้อย่างทันท่วงที ขณะเดียวกันบางสถานพยาบาลยังอาจระบุถึงวัตถุประสงค์ทางการตลาดไว้ในเอกสารขอความยินยอม ด้วยเหตุนี้เองผู้เข้ารับบริการจึงควรทำความเข้าใจ อ่านเนื้อหาให้ถี่ถ้วน ก่อนตัดสินใจให้ความยินยอมในการจัดเก็บ หรือ ประมวลผลข้อมูลส่วนบุคคลก่อนทุกครั้ง ไม่ให้ความยินยอม…

May 26, 2023 Article

สิทธิและ “ความยินยอม” ของผู้ป่วย สำคัญอย่างไรกับสถานพยาบาล

ปัจจุบันสิทธิส่วนบุคคลเป็นสิ่งที่สำคัญอย่างมาก ด้วยเพราะมีกฎหมายต่าง ๆ ออกมารองรับมากขึ้น ทำให้การทำธุรกรรม หรือกิจกรรมต่าง ๆ มักต้องได้รับความยินยอมเป็นลายลักษณ์อักษร หรือมีหลักฐานยืนยัน ไม่เว้นแม้แต่การเข้ารับบริการในสถานพยาบาล ซึ่งมีหน้าที่ให้การรักษา หรือให้บริการด้านสาธารณสุขแก่ประชาชนก็จำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วย ไม่ว่าจะเป็น ชื่อ-สกุล ประวัติการรักษา หรือข้อมูลสำคัญด้านสุขภาพ ดังนั้นความจำเป็นในการขอ ความยินยอม จึงเป็นสิ่งที่ไม่อาจละเลยได้ ทำไมต้องขอความยินยอมจากผู้เข้ารับบริการ? สำหรับสถานพยาบาล การขอ ความยินยอม จากผู้เข้ารับบริการเป็นสิ่งที่สำคัญไม่แพ้กับการรักษาสวัสดิภาพของผู้เข้ารับบริการ เพราะหากดูตามรายละเอียดใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตราที่ 41 ซึ่งระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้ (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกำหนด (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม…

May 25, 2023 Article

คลายข้อสงสัย การทำ PDPA เป็นหน้าที่ของใคร

อีกเพียง 1 สัปดาห์ ก็จะครบรอบ 1 ปี ของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุลคล พ.ศ.2562 หรือ PDPA แล้ว ซึ่งตลอดระยะเวลาที่ผ่านมา หลายองค์กรได้เริ่มเคลื่อนไหวปรับเปลี่ยนการทำงานให้สอดคล้องกับกฎหมาย ขณะเดียวกันก็มีอีกหลายองค์กรที่ยังมองข้าม เพียงเพราะไม่รู้ว่าเป็นหน้าที่ของใคร Security Pitch พาไปทำความเข้าใจ ถึงความสำคัญของการทำ PDPA และใครบ้างคือผู้รับผิดชอบในส่วนนี้ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ถูกบัญญัติขึ้น โดยมีวัตถุประสงค์เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ลายนิ้วมือ รวมไปถึงข้อมูลที่มีความละเอียดอ่อนของบุคคล เช่น ความเชื่อ รสนิยมทางเพศ ข้อมูลสุขภาพ…

May 19, 2023 Article

รัฐบาลใหม่ กับมาตรการรับมือปัญหา “ข้อมูลรั่วไหล” ในวันที่กฎหมาย pdpa บังคับใช้ใกล้ครบ 1 ปี

ขณะที่สปอตไลท์แทบทุกดวงกำลังส่องไปยังว่าที่รัฐบาลใหม่ ซึ่งกำลังจัดตั้งขึ้นเร็ว ๆ นี้ ไม่เพียงแต่จะมีการคาดเดาถึงตัวบุคคล แต่ประชาชนจำนวนไม่น้อยก็กำลังจับตาว่า จะมีนโยบายด้านใดบ้างที่ถูกหยิบยกมาทำให้เป็นจริงก่อน เพื่อแก้ปัญหาที่เกิดขึ้นในสังคมอย่างจริงจัง และในฐานะที่ Security Pitch เรามองเห็นความสำคัญของความปลอดภัย เป็นหนึ่งในปัจจัยพื้นฐานของชีวิต จึงอยากเห็นนโยบายที่จะมาแก้ปัญหา โดยเฉพาะในเรื่องของความเป็นส่วนตัวของข้อมูลส่วนบุคคล เนื่องจาก 2 ปีที่ผ่านมา ประเทศไทยต้องพบเจอกับปัญหาข้อมูลส่วนบุคคลรั่วไหล เกิดการหลอกลวงโดยแก๊งมิจฉาชีพ อย่าง สแกมเมอร์ คอลเซ็นเตอร์ รวมไปถึงแฮ็กเกอร์ อย่างเหตุการณ์ข้อมูลส่วนบุคคลของประชาชนกว่า 55 ล้านคน รั่วไหล เมื่อไม่กี่เดือนที่ผ่านมา นี่จึงเป็นอีกประเด็นที่น่าสนใจว่า หลังจากการเลือกตั้งแล้ว รัฐบาลใหม่จะใช้อำนาจที่มีแก้ปัญหาดังกล่าวอย่างไรบ้าง หรือจะมีวิธีจัดการ ป้องกันไม่ให้เกิดปัญหาเหล่านี้อีกได้อย่างไร นับเป็นอีกความท้าทายไม่น้อย เพราะประชาชนไม่น้อยยังมองว่า การที่ข้อมูลส่วนบุคคลรั่วไหลไม่ใช่เรื่องใหญ่ และยังไม่มีองค์กรใดที่ให้ความสำคัญเรื่องนี้อย่างแท้จริง รวมไปถึงยังไม่มีกรณีศึกษาที่สำคัญให้ผู้คนรู้สึกตระหนักรู้มากนัก ทั้งที่อีกไม่กี่วันข้างหน้าก็ถึงจะวันที่…

May 11, 2023 Article

เริ่มต้นอย่างไร? ให้คนในองค์กรตระหนักถึง “ความปลอดภัย”

ในยุคที่หลายองค์กรต่างหันมาทำ Digital Transformation นอกจากการพัฒนาให้พนักงานในองค์กรสามารถปฏิบัติงานโดยใช้เทคโนโลยีได้อย่างมีประสิทธิภาพมากขึ้นแล้ว ประเด็นความปลอดภัยในองค์กรก็สำคัญไม่น้อย เนื่องจาก ความปลอดภัย ขององค์กรส่งผลโดยตรงต่อความเชื่อมั่น และความยั่งยืน ทั้งนี้การจะสร้างวัฒนธรรมด้านความปลอดภัยอย่างเป็นรูปธรรม อาจต้องเริ่มจากการสร้างการตระหนักรู้ด้านความปลอดภัยให้กับคนในองค์กรเสียก่อน ด้วยเหตุนี้ OneFence จึงขอหยิบเอาวิธีการสร้างการตระหนักรู้ด้านความปลอดภัยมาแนะนำ เพื่อทุกองค์กรจะได้ร่วมสร้างวัฒนธรรมด้านความปลอดภัยที่ดี 1. ปลูกฝังแนวคิดที่ว่าการรักษา “ความปลอดภัย” เป็นความรับผิดชอบของทุกคน ต้องยอมรับว่าคนส่วนใหญ่ยังคงมีแนวคิดว่า การรักษาความปลอดภัยเป็นหน้าที่ความรับผิดชอบของแผนกที่เกี่ยวข้อง ทั้งที่ในความเป็นจริงการสร้างความปลอดภัยเป็นหน้าที่ของทุกคน โดยเฉพาะบุคลากรในองค์กร เนื่องจากปัญหาความปลอดภัยที่ผ่านมาส่วนใหญ่มักเกิดจากตัวของพนักงานในองค์กรเอง ไม่เพียงเท่านั้น ด้วยการปรับเปลี่ยนระบบการทำงานยังอาจเป็นปัจจัยหนึ่งที่ทำให้เกิดช่องโหว่จากการทำงานได้ ดังนั้นจึงต้องมีการปลูกฝังให้พนักงานในองค์กรมีจิตสำนึกว่า ความปลอดภัยขององค์กรเป็นหน้าที่ของทุกคน รวมถึงมีการวางนโยบายช่วยสนับสนุนให้เกิดการมีส่วนรวมสร้างความปลอดภัยในองค์กรให้มากขึ้น 2. พัฒนาโปรแกรมฝึกอบรมการตระหนักถึงความปลอดภัยที่ครอบคลุมในทุกภาคส่วน การมีโปรแกรมฝึกอบรมการตระหนักด้านความปลอดภัยที่ดี เป็นอีกปัจจัยสำคัญที่จะช่วยสร้างวัฒนธรรมความปลอดภัย เพราะเมื่อคนในองค์กรได้รับการฝึกอบรมด้านความปลอดภัยที่ชัดเจน รัดกุม และครอบคลุมแล้ว ก็จะช่วยให้เข้าใจถึงความสำคัญ และความจำเป็นของการดูแลรักษาได้มากขึ้น และยังก่อให้เกิดการยอมรับ ผลักดันให้เกิดนโยบายด้านความปลอดภัย …

April 22, 2023 Article

ลบตัวตน ออกจากอินเทอร์เน็ตได้ไหม ?

ปัญหาข้อมูลส่วนบุคคลรั่วไหล เป็นปัญหาที่สร้างความกังวลใจให้กับคนจำนวนมาก โดยหนึ่งในสาเหตุที่ข้อมูลเหล่านั้นรั่วไหล ก็คือการที่เจ้าของข้อมูลส่วนบุคคลเองได้มีการโพสต์ข้อมูลลงไปบนอินเทอร์เน็ต เมื่อเรานำข้อมูลอะไรก็ตามโพสต์ลงในอินเทอร์เน็ต นอกจากสิ่งเหล่านั้นจะคงอยู่บนอินเทอร์เน็ตตลอดไป และยังมีโอกาสที่บุคคลอื่นจะสามารถค้นหาข้อมูลของเราได้ ด้วยเหตุนี้เองจึงได้มีการรณรงค์ให้หลีกเลี่ยงการโพสต์ข้อมูลส่วนบุคคล หรือรูปถ่ายที่มีความละเอียดอ่อนลงบนอินเทอร์เน็ต แต่สำหรับคนที่เคยโพสต์ไปแล้ว อาจอยากจะลบข้อมูลเหล่านั้นออกจากอินเทอร์เน็ต ทว่าการลบข้อมูลส่วนบุคคลออกจากโลกออนไลน์นั้นสามารถทำได้หรือไม่ แล้วจะต้องทำอย่างไร Security Pitch มีคำตอบมาฝาก หากจะถามว่าเราสามารถลบข้อมูลที่เคยโพสต์ลงในอินเทอร์เน็ตออก หรือซ่อนตัวตนไม่ให้ใครสามารถค้นหาจนเจอได้หรือไม่ คำตอบก็คือ ปัจจุบันสามารถทำได้แล้ว เพราะในปัจจุบันทั่วโลกได้ตื่นตัวเรื่องการคุ้มครองความเป็นส่วนตัวมากขึ้น และได้ออกนโยบายให้เจ้าของข้อมูลส่วนบุคคลสามารถลบข้อมูลส่วนบุคคล หรือปิดการค้นหาข้อมูลของเราได้ เช่น Google มีการยื่นคำร้องเพื่อลบข้อมูลส่วนบุคคลได้ หรือถ้าหากต้องการลบข้อมูลส่วนบุคคลทั้งหมดบนอินเทอร์เน็ต ก็มีบริการการลบข้อมูลส่วนบุคคลออกจากอินเทอร์เน็ตด้วยเช่นกัน ไม่เพียงเท่านั้นการลบข้อมูลส่วนบุคคล และลบตัวตนออกจากอินเทอร์เน็ตยังสามารถทำได้ด้วยการลบบัญชีอีเมล หรือบัญชีผู้ใช้งานต่าง ๆ ที่ไม่ใช้งานอย่างถาวร นอกจากนี้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหลาย ๆ ประเทศ ยังมีการระบุเอาไว้ว่า เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งไปยังผู้จัดเก็บข้อมูลเพื่อลบข้อมูลส่วนบุคคลออกได้ เช่นเดียวกับในประเทศไทยที่กฎหมาย PDPA…

April 1, 2023 Uncategorized

ข้อมูลส่วนบุคคลรั่วไหล จากภาครัฐ ผิด PDPA อย่างไร ร้องเรียนอย่างไรบ้าง ?

หน่วยงานภาครัฐประมาทเลินเล่อจนทำให้ ข้อมูลส่วนบุคคลรั่วไหล และมีผู้ไม่หวังดีนำไปใช้ในทางมิชอบ ผิดกฎหมาย PDPA อย่างไร? และเจ้าของข้อมูลส่วนบุคคลจะมีขั้นตอนอย่างไรในการฟ้องร้อง หรือร้องเรียนกับใครได้บ้าง? สืบเนื่องจากเหตุการณ์ข้อมูลส่วนบุคคลของคนไทยกว่า 55 ล้านคนเกิดการรั่วไหล จากฝีมือการแฮ็กของแฮ็กเกอร์นาม 9Near ที่ขโมยข้อมูลส่วนบุคคลไปขายบนดาร์กเว็บ และมีการข่มขู่ผ่านสื่อมวลชนว่าหากไม่จ่ายค่าไถ่ข้อมูลจะทำการปล่อยข้อมูลออกไป อาจทำให้ผู้ที่มีความกังวลกลัวว่าข้อมูลส่วนบุคคลของตนจะรั่วไหลโดยคิดว่าเมื่อภาครัฐเป็นผู้ทำให้ข้อมูลส่วนบุคคลรั่วไหลเสียเองจะมีความผิดหรือไม่ และผิดอย่างไร? แล้วจะสามารถฟ้องร้องเพื่อให้ชดเชยความเสียหายได้หรือไม่ ครั้งนี้ Security Pitch จะพาไปทำความเข้าใจในเรื่องข้อกฎหมาย PDPA ที่เกี่ยวข้องให้มากขึ้น ข่าวที่เกี่ยวข้อง – กระแสสังคมจ่อฟ้อง PDPA เอาผิดหน่วยงานหลังแฮ็กเกอร์ขู่ แฉ ข้อมูลส่วนบุคคล คนไทย 55 ล้านคน ก่อนที่จะทราบว่าการรั่วไหลของข้อมูลส่วนบุคคลนั้นจะผิดตามกฎหมายอย่างไร ก็อาจต้องทำความเข้าใจว่า ไม่ว่าข้อมูลส่วนบุคคลแบบใดรั่วไหลออกไปยังสาธารณะ หรือมีการนำไปใช้ในทางมิชอบ และผิดวัตถุประสงค์ องค์กรนั้น…

Tag: onefence