การหลุดรั่วของข้อมูลส่วนบุคคลในประเทศไทย และแนวทางเบื้องต้นในการปฏิบัติให้สอดคล้องกับกฎหมาย PDPA

ในช่วงสัปดาห์ที่ผ่านมา (3-9 กันยายน 2564) หลายท่านอาจจะได้ยินข่าวเกี่ยวกับ “การหลุดรั่วของข้อมูลส่วนบุคคล” ในประเทศไทย 2 เหตุการณ์ นี้ครับ

เหตุการณ์แรก เกิดขึ้นเมื่อวันที่ 5 กันยายน 2564 เป็นเหตุการณ์เกี่ยวกับการที่มีผู้ใช้ Account “Inanimate” ได้โพสต์ข้อความในเว็บไซต์ Raidforums.com ซึ่งเป็นเว็บไซต์ใต้ดินที่รวบรวมข้อมูลเกี่ยวกับการถูกเจาะระบบหรือรั่วไหล โดยในโพสต์ดังกล่าว ได้มีการประกาศขายข้อมูลส่วนบุคคลของคนไข้/ผู้ป่วย จำนวน 16 ล้าน records ในราคาเพียง 500 เหรียญสหรัฐ หรือประมาณ 16,240 บาท ซึ่งข้อมูลดังกล่าวเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่มารับบริการที่โรงพยาบาล, ที่อยู่, หมายเลขโทรศัพท์, หมายเลขบัตรประจำตัวประชาชน, ชื่อแพทย์ที่ดูแล, ตารางเวรของแพทย์ , วันเวลาที่มารับบริการ, สิทธิการรักษา, เลขประจำตัวผู้ป่วย เป็นต้น จากข้อมูลที่ปรากฏในโพสต์ อ้างว่า ได้มาจากการแฮกระบบฐานข้อมูลของกระทรวงสาธารณสุข  

เหตุการณ์ต่อมา เกิดขึ้นในช่วงเวลาใกล้เคียงกัน คือ เมื่อวันที่ 6 กันยายน 2564 คือ มีผู้ใช้ Account ชื่อ “THJAX” ได้ประกาศในเว็บไซต์ Raidforums.com ว่า มีชุดข้อมูลส่วนบุคคลของลูกค้าที่ใช้บริการ CPFreshmartshop.com จำนวน 594,585 แถว ที่ประกอบไปด้วย ชื่อ username อีเมล หมายเลขโทรศัพท์ วันเดือนปีเกิด หมายเลขบัตรประจำตัวประชาชน ที่อยู่ เป็นต้น 

ทั้งสองกรณี ในเวลาต่อมา ได้มีการออกตรวจสอบรายละเอียดในเบื้องต้น พบว่า ข้อมูลที่มีการประกาศขายอยู่เว็บไซต์ดังกล่าวนั้น เป็นข้อมูลที่เกิดจากหลุดรั่วของข้อมูลส่วนบุคคลเกิดขึ้นจริง โดยในกรณีแรก โรงพยาบาลเพชรบูรณ์ ได้ดำเนินการตรวจสอบและจัดตั้งคณะกรรมการในการตรวจสอบข้อเท็จจริงเพื่อแก้ไขปัญหาดังกล่าว ส่วนในกรณีที่สอง CP Freshmart ได้ออกมาโพสต์ข้อมูลในเฟสบุ๊กแฟนเพจว่า ทางองค์กรได้ทราบถึงเหตุการณ์แฮกข้อมูลในระบบ โดยกล่าวอ้างว่าเกิดจาก ได้มีการว่าจ้างบริษัทภายนอกซึ่งเป็นผู้ให้บริการ จึงทำให้เกิดการเข้าถึงข้อมูลของลูกค้าที่ใช้บริการโดยไม่ชอบด้วยกฎหมายและไม่ได้รับอนุญาต

จาก 2 เหตุการณ์ดังกล่าวข้างต้น เป็นเหตุการณ์เกี่ยวกับการหลุดรั่วของข้อมูลส่วนบุคคล (Data Breach) ที่ส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล

กฎหมายคุ้มครองข้อมูลส่วนบุคคลในแง่ไหนบ้าง?

กฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้ความสำคัญกับเจ้าของข้อมูลส่วนบุคคล ที่จะได้รับการรับรองคุ้มครองถึงสิทธิเกี่ยวกับ “ข้อมูลส่วนบุคคล” โดยกฎหมายได้กำหนดหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” เอาไว้ว่า จะต้องมีการกำหนดมาตรการในการรักษาความปลอดภัย ให้สอดคล้องกับกฎหมาย PDPA และกฎหมายอื่น ๆ ที่เกี่ยวข้อง

ในส่วนของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ #PDPA ได้มีการพูดถึงบทบาทหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” เกี่ยวกับเรื่องของการป้องกันและรับมือการหลุดรั่วของข้อมูลส่วนเอาไว้เหมือนกันครับ โดยแบ่งเป็น 2 เรื่อง คือ หน้าที่ในการ “ป้องกัน” และ หน้าที่ในการ “แก้ไข”

หน้าที่ในการป้องกัน

หน้าที่ในการ “ป้องกัน” มิให้เกิดการหลุดรั่วของข้อมูลส่วนบุคคล คือ การที่ ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม 

โดยหลักการดังกล่าว รัฐได้มีการประกาศใช้บังคับ “ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563” ที่กำหนดมาตรฐานขั้นต่ำ ในการวางระบบความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ที่ต้องให้ความสำคัญใน 3 ด้านหลัก ๆ คือ 

– ด้านการธำรงไว้ซึ่งความลับ (Confidentiality) ซึ่งเป็นมาตรการในการเตรียมความพร้อมเกี่ยวกับความสามารถของระบบในการควบคุมการเข้าถึงข้อมูลเพื่อรักษาข้อมูลให้เป็นความลับ และป้องกันมิให้บุคคลอื่นที่ไม่เกี่ยวข้องเข้าถึงข้อมูลดังกล่าว

– ด้านความถูกต้องครบถ้วน (Integrity) ซึ่งเป็นมาตรฐานเกี่ยวกับการสร้างความน่าเชื่อถือของระบบในการทำงานที่ถูกต้อง ครบถ้วน เป็นปัจจุบัน ตลอดเวลา

– ด้านความพร้อมใช้งาน (Availability) ซึ่งเป็นมาตรการเกี่ยวกับความพร้อมของการใช้งาน เพื่อให้การให้บริการยังคงดำเนินการได้อย่างต่อเนื่อง แม้เกิดปัญหาเกี่ยวกับการหลุดรั่วของข้อมูลส่วนบุคคล

ซึ่งหลักการดังกล่าว ในต่างประเทศ จะรู้จักในนามของ “CIA Triad” ที่เป็นหลักการพื้นฐานของการวางระบบความมั่นคงปลอดภัยสารสนเทศ 

หน้าที่ในการแก้ไข

นอกเหนือจากหน้าที่ในการป้องกันแล้ว บางครั้ง การหลุดรั่วของข้อมูลส่วนบุคคลก็อาจเกิดขึ้นได้โดยไม่คาดฝัน กฎหมายจึงได้กำหนดหน้าที่อีกประการหนึ่งของผู้ควบคุมข้อมูลส่วนบุคคล ในการ “แก้ไข” ครับ

ในการแก้ไขปัญหาที่เกิดขึ้น ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแบ่งบุคคลที่เกี่ยวข้อง โดยหากเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล จะต้อง

– กรณีที่ไม่มีความเสี่ยงต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำการบันทึกเหตุการณ์ดังกล่าวเอาไว้ เพื่อใช้เป็นหลักฐานในการอ้างอิง 

– กรณีเกิดการละเมิดข้อมูลส่วนบุคคล และมีความเสี่ยงต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคล แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับแต่ทราบเหตุการละเมิดข้อมูลส่วนบุคคลเท่าที่จะสามารถกระทำได้

– กรณีการละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล นอกจากจะต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว ยังมีหน้าที่ต้องแจ้งเหตุการณ์ละเมิดดังกล่าว ให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย

จะทำอย่างไรเมื่อเกิดการหลุดรั่วของข้อมูลส่วนบุคคล

แม้ว่าในปัจจุบัน กฎหมาย PDPA จะยังไม่มีผลใช้บังคับแบบเต็มรูปแบบก็ตาม และยังไม่มีการกำหนดหลักเกณฑ์ในการรับมือกับการหลุดรั่วของข้อมูลส่วนบุคคลเอาไว้อย่างชัดเจนก็ตาม แต่การเตรียมความพร้อม เพื่อปฏิบัติให้สอดคล้องกับกฎหมาย เป็นเรื่องสำคัญที่ผู้ประกอบการควรให้ความสำคัญครับ 

ซึ่งหากเราได้ลองศึกษาถึงเหตุการณ์ทั้งสองกรณีดังกล่าวข้างต้น จะเห็นได้ว่า องค์กรทั้งสองได้มีการดำเนินการบางอย่างเมื่อทราบเหตุเกี่ยวกับการหลุดรั่วของข้อมูลส่วนบุคคล ตลอดจนได้มีการตรวจสอบเหตุแห่งการหลุดรั่วของข้อมูล และมีการออกแถลงการณ์เพื่อให้ประชาชนรับรู้รับทราบ ซึ่งการดำเนินการดังกล่าว 

สิ่งที่น่าสนใจ และน่าจะเป็นประโยชน์กับผู้ประกอบการในฐานะที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” คือ เมื่อเกิดเหตุการณ์เกี่ยวกับการหลุดรั่วของข้อมูลส่วนบุคคลเกิดขึ้นแล้ว เราได้เรียนรู้อะไรจากเหตุการณ์ดังกล่าวบ้าง

และในทางปฏิบัติ เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้น สิ่งที่ “ผู้ควบคุมข้อมูลส่วนบุคคล” จะต้องดำเนินการเพื่อให้สอดคล้องกับแนวปฏิบัติที่กฎหมายกำหนดไว้ มีอะไรบ้าง

หลักการหนึ่ง เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ที่เป็นที่นิยมใช้กันในต่างประเทศ คือ “NIST Cybersecurity Framework” โดยหลักการดังกล่าว ได้มีการนำเสนอหลักการและแนวทางปฏิบัติเกี่ยวกับการบริหารจัดการความเสี่ยงเพื่อยกระดับความมั่นคงปลอดภัยขององค์กร เพื่อป้องกันภัย ตรวจสอบภัย และตอบสนองต่อภัยที่เกิดขึ้นอย่างเป็นแบบแผนขั้นตอน 

โดยหลักการสำคัญของ “NIST Cybersecurity Framework” แบ่งออกเป็น 5 ฟังก์ชันหลัก คือ

• Identify – การระบุถึงความเสี่ยงที่เกิดขึ้น เพื่อให้เราสามารถตรวจสอบเหตุการการละเมิดข้อมูลส่วนบุคคลได้อย่างเท่าทัน เพื่อความสะดวกในการกำหนดกลยุทธ์และบริหารจัดการความเสี่ยงที่เกิดขึ้น 
• Protect – การกำหนดมาตรฐานในการควบคุมเพื่อปกป้องระบบขององค์กร
• Detect – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อตรวจจับสถานการณ์ที่ผิดปกติ
• Respond – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อรับมือกับสถานการณ์ผิดปกติที่เกิดขึ้น
• Recovery – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่อง และฟื้นฟูระบบให้กลับคืนมาเหมือนเดิม

ในประเทศไทยก็ได้มีนำหลักการดังกล่าวเข้ามาประยุกต์ใช้ และกำหนดอยู่ใน “พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562” ด้วย โดยการกำหนดกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ จะต้องมีวิธีการและมาตรการ ดังต่อไปนี้

(1) การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของบุคคล

(2) มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น

(3) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์

(4) มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์

(5) มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์

การหลุดรั่วของข้อมูลส่วนบุคคล ไม่ได้เกิดขึ้นได้แต่เฉพาะองค์กรใหญ่ ๆ เท่านั้น องค์กรเล็ก ๆ ก็อาจประสบปัญหาดังกล่าวได้ หากมีมาตรฐานรักษาความมั่นคงปลอดภัยที่ไม่ดีเพียงพอ อย่างไรก็ตาม เรื่องการหลุดรั่วของข้อมูลส่วนบุคคล ไม่มีองค์กรไหนอยากให้เกิด แต่เมื่อเหตุการณ์ดังกล่าว เป็นกรณีที่อาจเกิดขึ้นในทางปฏิบัติ สิ่งสำคัญที่ผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องให้ความสำคัญ คือ การกำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่มีมาตรฐาน สามารถตรวจสอบและป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ และเมื่อเกิดเหตุการณ์หลุดรั่วของข้อมูลส่วนบุคคลแล้ว จะต้องมีมาตรการในการตรวจสอบเพื่อให้พบเหตุดังกล่าวอย่างทันท่วงที เพื่อที่จะได้จำกัดความเสียหายที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล 

และเมื่อเกิดเหตุการณ์ดังกล่าวขึ้นแล้ว ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องดำเนินการตรวจสอบเหตุการณ์ที่เกิดขึ้นโดยละเอียด เพื่อที่จะได้ระบุสาเหตุแห่งการละเมิดข้อมูลส่วนบุคคล และหามาตรการในการแก้ไขเยียวยาเหตุการณ์ที่เกิดขึ้นได้โดยเร็ว โดยจะต้องแจ้งเหตุการณ์ดังกล่าว ให้กับบุคคลที่เกี่ยวข้องอย่างตรงไปตรงมาด้วย 

หวังว่าเหตุการณ์ที่เกิดขึ้นทั้งสองเหตุการณ์ดังกล่าว จะเป็นจุดเริ่มต้นที่ดี ในการให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่กำลังจะมีผลใช้บังคับอย่างเต็มรูปแบบในอนาคตอันใกล้นี้ครับ

สำหรับใครที่สนใจอยากหาข้อมูลเกี่ยวกับกฎหมาย PDPA เพิ่มเติม สามารถอ่านต่อได้ ที่นี่

ในบทความหน้าผมจะมีข้อมูลทางกฎหมายอะไรมาอัปเดตอีกบ้าง สามารถติดตามได้ผ่านเพจการตลาดวันละตอน รวมถึง Twitter และ Blockdit ของการตลาดวันละตอนนะครับ

ที่มาข่าว : brandbuffet.in.th