ถูกขโมยข้อมูลว่าน่ากลัวแล้ว องค์กรทำข้อมูลหลุดยิ่งไปกันใหญ่ 

ปัญหาข้อมูลส่วนบุคคลรั่วไหลในไทยกลายเป็นปัญหาที่สร้างความสั่นคลอนและความวิตกกังวลให้กับประชาชนไม่น้อย เมื่อการให้ข้อมูลส่วนบุคคลกับองค์กรภาครัฐและเอกชน ไม่มีความปลอดภัยอีกต่อไป 

กลายเป็นอีกเหตุการณ์สะเทือนวงการธนาคารและสินเชื่อ หลังมีเหยื่อค้ามนุษย์แก๊งคอลเซ๊นเตอร์เผยข้อมูลว่า ขบวนการแก๊งค์คอลเซ็นเตอร์มีนายทุนคนจีน มีวิธีการอันทันสมัย นั่นคือการใช้เครื่องดูดเงิน โดยไม่ต้องผ่านแอปพลิเคชันหรือลิงก์ จำนวน 4 เครื่อง เครื่องละ 4 ล้านดอลลาร์ สามารถดูดเงินได้ 70 บัญชีต่อวัน 

จากกระแสข่าวดังกล่าว ทำให้ TB-CERT ภายใต้สมาคมธนาคารไทย ออกมาแถลงการณ์ยืนยันว่า การพูดคุยหลอกดูดเงิน ภายใน 2 นาทีโดยไม่ต้องกดลิงก์นั้น ไม่เป็นความจริง พร้อมระบุว่าองค์กรให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection) ของลูกค้าทุกคน และพร้อมปฏิบัติตามข้อกำหนดของกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 

รูปแบบการแฮ็กที่ไม่ใช้ลิงก์และแอปพลิเคชัน แต่ใช้เครื่องดูดเงินและการสนทนาเพียง 2 นาที นั้นอาจยังไม่สามารถทำได้จริง แต่ก็ปฏิเสธไม่ได้ว่ายังมีการแฮ็กที่เป็นไปได้ในอีกหลากหลายรูปแบบ เช่น การใช้มัลแวร์ฝังในเราเตอร์และเว็บไซต์, การแฮ็กจาก Wi-Fi สาธารณะ รวมถึงการขโมยหรือซื้อข้อมูลจากหน่วยงาน หรือองค์กรภาครัฐหรือเอกชน

ตัวอย่างความบกพร่องของการมีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลที่เกิดขึ้นล่าสุด ก็คือเมื่อวันพฤหัสบดีที่ 15 กุมภาพันธ์ที่ผ่านมา มีรายงานว่า หัวหน้าฝ่ายสินเชื่อสถาบันการเงินแห่งหนึ่งนำข้อมูลของลูกค้า ไปขายให้กับแก๊งคอลเซ็นเตอร์ โดยนำข้อมูลทำเป็นไฟล์เอกสารแล้วจำหน่ายต่อให้กับกลุ่มนายหน้าประกัน นายหน้าสินเชื่อของสถาบันธนาคารการเงินอื่น พร้อมกับทยอยนำข้อมูลจำนวน 3,000 – 5,000 รายชื่อ ซึ่งล้วนเป็นเป็นกลุ่มลูกค้าเครดิตดี ไปขายต่อในราคารายชื่อละ 1 บาท สร้างรายได้เดือนละมากกว่า 10,000 บาท และทำมาแล้ว 1-2 ปี

จากเหตุการณ์ดังกล่าวชี้ให้เห็นว่าเมื่อเกิดเหตุข้อมูลรั่วไหล ผู้คนส่วนใหญ่มักจะจับจ้องไปที่การขโมยข้อมูลโดยแฮ็กเกอร์ ทั้งที่แม้จริงแล้วอาจเกิดจากคนในองค์กรเองทำข้อมูลลูกค้าหลุดเป็นจำนวนมาก

ตามกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ระบุถึง โทษของการทำข้อมูลรั่วไหลออกเป็น 2 แบบ คือ ความผิดทางแพ่งและทางอาญา โดยมีรายละเอียดระบุไว้ว่า

ความผิดทางแพ่ง : 

ผู้ประกอบการจะต้องชดใช้ความเสียหายที่เกิดขึ้นจริงกับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย จากการละเมิดข้อมูล และอาจต้องชดใช้เพิ่มเติมสูงสุดอีก 2 เท่าของค่าเสียหายจริง ไม่ว่าผู้ประกอบการจงใจหรือประมาทก็ตาม (เว้นแต่จะพิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้น การกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง หรือ เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย)

ความผิดทางอาญา : 

ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ใช้หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือไปจากวัตถุประสงค์ที่ได้ แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ การกระทำดังกล่าวนำไปสู่โทษทางอาญาทั้งจำทั้งปรับ โดยมีรายละเอียดดังนี้

  1. การประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูล ซึ่งอาจทำให้เจ้าของข้อมูลส่วนบุคคล เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
  2. ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่น เนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
  3. การกระทำความผิดนั้นเกิดจากการที่ผู้ประกอบการแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่น โดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

แล้วองค์กรจะทำอย่างไร เพื่อไม่ให้เกิดเหตุข้อมูลรั่วไหล และเป็นไปตามมาตราฐานการคุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างแรกคือ องค์กรควรต้องมี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) รวมถึงต้องปฏิบัติดังนี้  

  • ควบคุม จำกัดสิทธิ์
  • การเข้าถึงข้อมูลส่วนบุคคลเฉพาะพนักงานหรือเจ้าหน้าที่ที่ได้รับอนุญาตแล้ว
  • กำหนดหน้าที่ความรับผิดชอบของพนักงานหรือเจ้าหน้าที่ที่ได้รับอนุญาต เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล
  • จัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลได้
  • ใช้ระบบจัดการการแจ้งเตือนและขอความยินยอมในการจัดเก็บข้อมูลส่วนบุคคลต่าง ๆ เช่น Cookie Consent Management
  • ตั้งค่าพาสเวิร์ดที่คาดเดาได้ยาก มีความหลากหลาย และเปลี่ยนพาสเวิร์ดเป็นประจำ
  • จัดให้มีการลบหรือทำลายข้อมูลส่วนบุคคลหลังจากพ้นระยะเวลาในการเก็บข้อมูล
  • ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ให้ติดต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับตั้งแต่ทราบเรื่อง และแจ้งให้เจ้าของข้อมูลทราบ พร้อมชี้แจงแนวทางเยียวยา
  • สร้างความตระหนักรู้และความเข้าใจเกี่ยวกับ PDPA ให้กับพนักงานภายในองค์กรอย่างต่อเนื่องและสม่ำเสมอ

ที่มา : PDPACore, PPTVHD

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ