ปัญหาการละเมิดข้อมูลส่วนบุคคลเป็นสิ่งที่เกิดขึ้นมาอย่างยาวนาน และยังไม่ได้รับการแก้ไข หรือการป้องกันอย่างจริงจัง กระทั่งมีการร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ขึ้น และบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน พ.ศ 2565 ผ่านมา 1 ปี มีปัญหาและอุปสรรคใดเกิดขึ้นบ้าง และแนวทางต่อไปของกฎหมายฉบับนี้จะเป็นอย่างไร ตลอด 1 ปีที่ผ่านมา นอกจากหน่วยงานทั้งภาครัฐ และเอกชน ที่เริ่มตื่นตัว จะเห็นได้ว่า องค์กรที่มีหน้าที่โดยตรง อย่าง สำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เริ่มภารกิจมากมาย ไม่ว่าจะเป็นการออกกฎหมายลูก การจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการออกแนวทางปฎิบัติเมื่อถูกละเมิดข้อมูลส่วนบุคคล และการให้ความรู้แก่ประชาชนในแง่มุมต่าง ๆ เพื่อสร้างการตระหนักรู้ที่มากขึ้น ขณะที่ Security Pitch ได้สอบถามไปยัง…
1 มิถุนายน พ.ศ. 2565 คือวันแรกที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ถูกบังคับใช้อย่างเป็นทางการ ถือเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล และความเป็นส่วนตัวของข้อมูลฉบับแรก ครั้งนี้ Security Pitch จะพาทุกท่านไปย้อนรอยกันว่า ตลอด 1 ปีที่ผ่านมา ประเทศไทยมีความเปลี่ยนแปลงอย่างไรบ้าง หลังการประกาศใช้กฎหมายฉบับนี้ เรียกได้ว่า 1 ปีที่ผ่านมา เป็นปีที่ท้าทายสำหรับองค์กร และหน่วยงานต่าง ๆ เพราะนับตั้งแต่มีการบังคับใช้กฎหมาย องค์กรต่าง ๆ ก็ต้องปรับตัวครั้งใหญ่ โดยเฉพาะองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคลอยู่เป็นจำนวนมาก รวมถึงต้องจัดตั้งคณะทำงานเพื่อให้สอดคล้องกับกฎหมายฉบับนี้ แต่ก็ยังมีบางองค์กรที่ยังมีแนวคิดว่าการปฏิบัติตามกฎหมาย PDPA ยังไม่ใช่สิ่งที่จำเป็น สิ้นเปลืองงบประมาณ หรือยังไม่รู้ว่าฝ่ายใดต้องเป็นผู้รับผิดชอบ ส่วนหนึ่งก็เพราะบุคลากรในองค์กรเองยังขาดความรู้ความเข้าใจ และขาดการตระหนักรู้เกี่ยวกับกฎหมาย ด้วยเหตุนี้องค์กรจำนวนไม่น้อยจึงยังไม่สามารถบริหารจัดการข้อมูลส่วนบุคคล…
ปัจจุบันองค์กรจำนวนมากล้วนเข้าสู่การทำ Digital Transformation ไม่เว้นแม้แต่สถานพยาบาลที่เริ่มยกเลิกการจัดเก็บข้อมูลผู้ใช้บริการในรูปแบบเอกสารที่จัดเก็บยาก ด้วยเสี่ยงต่อการชำรุด และสูญหาย ขณะที่การจัดเก็บบนระบบเครือข่าย นอกจากช่วยอำนวยความสะดวก ยังลดจำนวนบุคลากรที่ทำงานได้มากกว่า แต่ก็ปฏิเสธไม่ได้ว่าสิ่งที่ต้องระมัดระวังคือความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่อาจทำให้สูญเสียการเป็น องค์กรปลอดภัย ไม่กี่ปีที่ผ่านมา มีทั้งองค์กรเอกชน และหน่วยงานภาครัฐประสบกับปัญหาภัยคุกคามทางไซเบอร์มากขึ้น ภัยเหล่านั้นไม่เพียงทำให้ระบบเครือข่ายขององค์กรเสียหาย แต่ยังอาจทำให้ข้อมูลรั่วไหล หรือ ถูกนำออกไปใช้ในทางมิชอบ ซ้ำร้ายองค์กรยังอาจสูญเสียความเชื่อมั่น และตกเป็นจำเลยสังคมไปในที่สุด ทั้งนี้ ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับองค์กรต่าง ๆ ในประเทศไทย มักเกิดขึ้นจากความผิดพลาดของมนุษย์ หรือ เกิดจากช่องโหว่ของระบบที่องค์กรอาจไม่เคยพบมาก่อน ทำให้ผู้คุกคามสามารถโจมตีระบบเครือข่ายได้อย่างง่ายดาย ซึ่งสถานพยาบาล ถือเป็นอีกหนึ่งเป้าหมายที่มักประสบกับปัญหาเหล่านี้ เช่น กรณีข้อมูลส่วนบุคคลของผู้ใช้บริการโรงพยาบาลแห่งหนึ่งในประเทศไทยรั่วไหล แสดงให้เห็นว่า แม้โรงพยาบาลจะได้รับการรับรองมาตรฐาน ก็ไม่อาจมั่นใจได้ว่าระบบไซเบอร์จะได้รับการปกป้องอย่างดีเพียงพอ อย่างไรก็ตาม ปัจจุบันมีสถานพยาบาลจำนวนไม่น้อยเริ่มตื่นตัว หามาตรการที่ปลอดภัยกว่าเดิมให้กับระบบเครือข่ายขององค์กร ทว่าจะมั่นใจได้อย่างไรว่า มาตรการป้องกันที่มีอยู่เพียงพอต่อภัยคุกคามที่คืบคลานเข้ามา…
การได้รับการรักษาพยาบาลจากบุคลากรทางการแพทย์ เป็นสิทธิขั้นพื้นฐานที่ประชาชนพึงได้รับ ทว่าในการรักษา หรือ เข้ารับบริการในสถานพยาบาล อาจต้องใช้ข้อมูลส่วนบุคคลประกอบการรักษา เมื่อมีการประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ขึ้น การขอความยินยอมจากเจ้าของข้อมูลจึงเป็นเรื่องสำคัญ ในจุดนี้เองอาจทำให้หลายคนสงสัยว่า หากไม่ให้ ความยินยอม เพื่อนำข้อมูลของตนเองไปใช้ในสถานพยาบาล จะสามารถทำได้หรือไม่ หรือจะส่งผลอย่างไรกับการรักษา Security Pitch มีคำตอบครับ ทำไม? ผู้เข้ารับบริการต้องให้ “ความยินยอม“ ปฏิเสธไม่ได้ว่าการให้ความยินยอมต่อสถานพยาบาลถือเป็นเรื่องสำคัญ และเกี่ยวข้องโดยตรงกับการรักษา เนื่องจากวัตถุประสงค์หนึ่งของการขอความยินยอมให้จัดเก็บ หรือ ประมวลผลข้อมูลส่วนบุคคล ก็คือการเก็บบันทึกข้อมูลการรักษาหรือข้อมูลสุขภาพ กรณีที่ผู้ป่วยอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ข้อมูลต่าง ๆ เหล่านี้ก็อาจถูกนำมาใช้เพื่อช่วยเหลือในการรักษาได้อย่างทันท่วงที ขณะเดียวกันบางสถานพยาบาลยังอาจระบุถึงวัตถุประสงค์ทางการตลาดไว้ในเอกสารขอความยินยอม ด้วยเหตุนี้เองผู้เข้ารับบริการจึงควรทำความเข้าใจ อ่านเนื้อหาให้ถี่ถ้วน ก่อนตัดสินใจให้ความยินยอมในการจัดเก็บ หรือ ประมวลผลข้อมูลส่วนบุคคลก่อนทุกครั้ง ไม่ให้ความยินยอม…
ปัจจุบันสิทธิส่วนบุคคลเป็นสิ่งที่สำคัญอย่างมาก ด้วยเพราะมีกฎหมายต่าง ๆ ออกมารองรับมากขึ้น ทำให้การทำธุรกรรม หรือกิจกรรมต่าง ๆ มักต้องได้รับความยินยอมเป็นลายลักษณ์อักษร หรือมีหลักฐานยืนยัน ไม่เว้นแม้แต่การเข้ารับบริการในสถานพยาบาล ซึ่งมีหน้าที่ให้การรักษา หรือให้บริการด้านสาธารณสุขแก่ประชาชนก็จำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วย ไม่ว่าจะเป็น ชื่อ-สกุล ประวัติการรักษา หรือข้อมูลสำคัญด้านสุขภาพ ดังนั้นความจำเป็นในการขอ ความยินยอม จึงเป็นสิ่งที่ไม่อาจละเลยได้ ทำไมต้องขอความยินยอมจากผู้เข้ารับบริการ? สำหรับสถานพยาบาล การขอ ความยินยอม จากผู้เข้ารับบริการเป็นสิ่งที่สำคัญไม่แพ้กับการรักษาสวัสดิภาพของผู้เข้ารับบริการ เพราะหากดูตามรายละเอียดใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตราที่ 41 ซึ่งระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้ (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกำหนด (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม…
อีกเพียง 1 สัปดาห์ ก็จะครบรอบ 1 ปี ของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุลคล พ.ศ.2562 หรือ PDPA แล้ว ซึ่งตลอดระยะเวลาที่ผ่านมา หลายองค์กรได้เริ่มเคลื่อนไหวปรับเปลี่ยนการทำงานให้สอดคล้องกับกฎหมาย ขณะเดียวกันก็มีอีกหลายองค์กรที่ยังมองข้าม เพียงเพราะไม่รู้ว่าเป็นหน้าที่ของใคร Security Pitch พาไปทำความเข้าใจ ถึงความสำคัญของการทำ PDPA และใครบ้างคือผู้รับผิดชอบในส่วนนี้ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ถูกบัญญัติขึ้น โดยมีวัตถุประสงค์เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ลายนิ้วมือ รวมไปถึงข้อมูลที่มีความละเอียดอ่อนของบุคคล เช่น ความเชื่อ รสนิยมทางเพศ ข้อมูลสุขภาพ…
ขณะที่สปอตไลท์แทบทุกดวงกำลังส่องไปยังว่าที่รัฐบาลใหม่ ซึ่งกำลังจัดตั้งขึ้นเร็ว ๆ นี้ ไม่เพียงแต่จะมีการคาดเดาถึงตัวบุคคล แต่ประชาชนจำนวนไม่น้อยก็กำลังจับตาว่า จะมีนโยบายด้านใดบ้างที่ถูกหยิบยกมาทำให้เป็นจริงก่อน เพื่อแก้ปัญหาที่เกิดขึ้นในสังคมอย่างจริงจัง และในฐานะที่ Security Pitch เรามองเห็นความสำคัญของความปลอดภัย เป็นหนึ่งในปัจจัยพื้นฐานของชีวิต จึงอยากเห็นนโยบายที่จะมาแก้ปัญหา โดยเฉพาะในเรื่องของความเป็นส่วนตัวของข้อมูลส่วนบุคคล เนื่องจาก 2 ปีที่ผ่านมา ประเทศไทยต้องพบเจอกับปัญหาข้อมูลส่วนบุคคลรั่วไหล เกิดการหลอกลวงโดยแก๊งมิจฉาชีพ อย่าง สแกมเมอร์ คอลเซ็นเตอร์ รวมไปถึงแฮ็กเกอร์ อย่างเหตุการณ์ข้อมูลส่วนบุคคลของประชาชนกว่า 55 ล้านคน รั่วไหล เมื่อไม่กี่เดือนที่ผ่านมา นี่จึงเป็นอีกประเด็นที่น่าสนใจว่า หลังจากการเลือกตั้งแล้ว รัฐบาลใหม่จะใช้อำนาจที่มีแก้ปัญหาดังกล่าวอย่างไรบ้าง หรือจะมีวิธีจัดการ ป้องกันไม่ให้เกิดปัญหาเหล่านี้อีกได้อย่างไร นับเป็นอีกความท้าทายไม่น้อย เพราะประชาชนไม่น้อยยังมองว่า การที่ข้อมูลส่วนบุคคลรั่วไหลไม่ใช่เรื่องใหญ่ และยังไม่มีองค์กรใดที่ให้ความสำคัญเรื่องนี้อย่างแท้จริง รวมไปถึงยังไม่มีกรณีศึกษาที่สำคัญให้ผู้คนรู้สึกตระหนักรู้มากนัก ทั้งที่อีกไม่กี่วันข้างหน้าก็ถึงจะวันที่…
หากจะเอ่ยถึง มาตรฐานความปลอดภัย องค์กรส่วนใหญ่มักจะมองว่าความปลอดภัยทางกายภาพเป็นสิ่งที่สำคัญ เนื่องจากเป็นสิ่งที่สามารถจับต้องได้ และการมีมาตรการความปลอดภัยที่ดีก็จะช่วยให้องค์กรได้รับความเชื่อมั่นจากบุคลากร และลูกค้าต่าง ๆ มากขึ้น ทว่าในปัจจุบันที่โลกทางกายภาพและไซเบอร์ถูกหล่อหลอมเข้าไว้ด้วยกัน องค์กรอาจพบเจอกับภัยคุกคามด้านความปลอดภัยทางไซเบอร์ได้ด้วย จึงจำเป็นต้องมีมาตรฐานความปลอดภัยทางไซเบอร์ที่ดี Security Pitch จึงหยิบเอามาตรฐานความปลอดภัยทางไซเบอร์ที่ทุกองค์กรควรจะมี มาฝากกันครับ 1. มาตรฐานความปลอดภัย สารสนเทศ ISO 27001 ISO 27001 เป็นหลักเกณฑ์มาตรฐานที่กำหนดขึ้น เพื่อเป็นโครงสร้างพื้นฐานสำหรับระบบบริหารที่เป็นกลางทางเทคโนโลยี และเพื่อเป็นสิ่งการันตีว่า องค์กรของคุณมีมาตรการความปลอดภัยทางข้อมูลที่มีประสิทธิภาพ โดยมีข้อกำหนดมาตรฐาน ดังนี้ ความสามารถในการเข้าถึงข้อมูล การรักษาความลับ การรักษาให้ระบบสารสนเทศของตน และของผู้มีส่วนร่วม มีความครบถ้วนสมบูรณ์ แนวทางในการปฏิบัติตามกฎหมาย ไม่เพียงเท่านั้นมาตรฐานนี้ยังสามารถใช้งานร่วมกับระบบบริหารอื่น ๆ ได้ เช่น ISO 9001…
ขณะที่สงครามระหว่างรัสเซีย และยูเครน ยังคงคุกกรุ่น ล่าสุด ยูเครนก็พบแฮ็กเกอร์เกลือเป็นหนอน นำเอา ข้อมูลส่วนบุคคล ไปขายให้รัสเซีย งานนี้มีผู้เสียหายมากกว่า 300 ล้านคน มีทั้งข้อมูลของชาวยูเครน และประเทศอื่น ๆ ในทวีปยุโรป เมื่อวันที่ 26 เมษายนที่ผ่านมา เว็บไซต์ Bleeping Computer ได้เปิดเผยว่า ตำรวจไซเบอร์ของยูเครนได้จับกุมชายวัย 36 ปี จากเมือง Netishyn ในข้อหาขาย ข้อมูลส่วนบุคคล และข้อมูลละเอียดอ่อนของผู้คนกว่า 300 ล้านคน โดยข้อมูลส่วนใหญ่เป็นข้อมูลของพลเมืองของยูเครน และประเทศต่าง ๆ ในยุโรป ซึ่งจากการสืบสวนพบว่า ผู้ที่นำข้อมูลไปขายใช้ Telegram เพื่อนำข้อมูลที่ถูกขโมยไปขายให้ผู้ที่สนใจโดยสงวนราคาอยู่ที่…
ปัญหาข้อมูลส่วนบุคคลรั่วไหล เป็นปัญหาที่สร้างความกังวลใจให้กับคนจำนวนมาก โดยหนึ่งในสาเหตุที่ข้อมูลเหล่านั้นรั่วไหล ก็คือการที่เจ้าของข้อมูลส่วนบุคคลเองได้มีการโพสต์ข้อมูลลงไปบนอินเทอร์เน็ต เมื่อเรานำข้อมูลอะไรก็ตามโพสต์ลงในอินเทอร์เน็ต นอกจากสิ่งเหล่านั้นจะคงอยู่บนอินเทอร์เน็ตตลอดไป และยังมีโอกาสที่บุคคลอื่นจะสามารถค้นหาข้อมูลของเราได้ ด้วยเหตุนี้เองจึงได้มีการรณรงค์ให้หลีกเลี่ยงการโพสต์ข้อมูลส่วนบุคคล หรือรูปถ่ายที่มีความละเอียดอ่อนลงบนอินเทอร์เน็ต แต่สำหรับคนที่เคยโพสต์ไปแล้ว อาจอยากจะลบข้อมูลเหล่านั้นออกจากอินเทอร์เน็ต ทว่าการลบข้อมูลส่วนบุคคลออกจากโลกออนไลน์นั้นสามารถทำได้หรือไม่ แล้วจะต้องทำอย่างไร Security Pitch มีคำตอบมาฝาก หากจะถามว่าเราสามารถลบข้อมูลที่เคยโพสต์ลงในอินเทอร์เน็ตออก หรือซ่อนตัวตนไม่ให้ใครสามารถค้นหาจนเจอได้หรือไม่ คำตอบก็คือ ปัจจุบันสามารถทำได้แล้ว เพราะในปัจจุบันทั่วโลกได้ตื่นตัวเรื่องการคุ้มครองความเป็นส่วนตัวมากขึ้น และได้ออกนโยบายให้เจ้าของข้อมูลส่วนบุคคลสามารถลบข้อมูลส่วนบุคคล หรือปิดการค้นหาข้อมูลของเราได้ เช่น Google มีการยื่นคำร้องเพื่อลบข้อมูลส่วนบุคคลได้ หรือถ้าหากต้องการลบข้อมูลส่วนบุคคลทั้งหมดบนอินเทอร์เน็ต ก็มีบริการการลบข้อมูลส่วนบุคคลออกจากอินเทอร์เน็ตด้วยเช่นกัน ไม่เพียงเท่านั้นการลบข้อมูลส่วนบุคคล และลบตัวตนออกจากอินเทอร์เน็ตยังสามารถทำได้ด้วยการลบบัญชีอีเมล หรือบัญชีผู้ใช้งานต่าง ๆ ที่ไม่ใช้งานอย่างถาวร นอกจากนี้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหลาย ๆ ประเทศ ยังมีการระบุเอาไว้ว่า เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งไปยังผู้จัดเก็บข้อมูลเพื่อลบข้อมูลส่วนบุคคลออกได้ เช่นเดียวกับในประเทศไทยที่กฎหมาย PDPA…