Log คืออะไร ? สำคัญอย่างไรกับ PDPA

ปัจจุบันภาครัฐมีการออกกฎหมายหลายฉบับเพื่อรักษาสิทธิส่วนบุคคล และความเป็นส่วนตัวของข้อมูล ไม่ว่าจะเป็น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560, พระราชบัญญัติการคุ้มครองความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งแม้กฎหมายเหล่านี้จะมีจุดมุ่งหมายต่างกัน แต่ภายใต้เนื้อหาก็มีความสอดคล้องกันอยู่ โดยข้อมูล Log หรือข้อมูลจราจรทางคอมพิวเตอร์ เป็นสิ่งหนึ่งที่เกี่ยวข้องกับกฏหมายทั้ง 3 ฉบับนี้ ทั้งทางตรง และทางอ้อม Security Pitch จะพาทุกท่านไปทำความรู้จักกับ Log File ให้มากขึ้น พร้อมทำความเข้าใจว่า องค์กรแบบใดที่ต้องมีการจัดเก็บ Log

Log File คืออะไร?

Log File คือ ไฟล์ข้อมูลที่สร้างขึ้นโดยอัตโนมัติเพื่อบันทึกเหตุการณ์จากระบบคอมพิวเตอร์ ซอฟต์แวร์ ระบบปฏิบัติการ และอุปกรณ์ใด ๆ ก็ตามที่เกี่ยวกับระบบคอมพิวเตอร์ โดยจะจัดเก็บข้อมูลแหล่งกำเนิด, ต้นทาง, ปลายทาง, เส้นทาง, เวลา, วันที่, ปริมาณ หรือ ข้อมูลอื่น ๆ ที่เกี่ยวข้องอย่างละเอียด ไว้ในไฟล์นามสกุล .log เพื่อให้ง่ายต่อการตรวจสอบของเจ้าหน้าที่ที่เกี่ยวข้อง 

ทั้งนี้จุดประสงค์ของ Log File คือ ช่วยในการติดตามกิจกรรมที่เกิดขึ้น และสามารถเรียกดูแบบย้อนหลังได้ ในกรณีที่อาจเกิดความผิดปกติบางอย่างขึ้นในระบบ ก็สามารถตรวจสอบได้ทันทีด้วยการเรียกดู Log File เหล่านี้ได้ในเบื้องต้น เพื่อให้เจ้าหน้าที่ที่เกี่ยวข้องสามารถแก้ปัญหาได้อย่างตรงจุดภายในเวลาอันรวดเร็ว

[2023-06-15 10:45:23] INFO: User ‘JohnDoe’ logged into the server. [2023-06-15 10:46:15] WARNING: Unauthorized modification detected in the ‘sales_data.csv’ file.
[2023-06-15 10:46:15] INFO: User ‘JohnDoe’ accessed the ‘sales_data.csv’ file.
[2023-06-15 10:46:15] INFO: Previous modification timestamp: [2023-06-14 16:32:41]
[2023-06-15 10:46:15] INFO: Current modification timestamp: [2023-06-15 10:46:15]
[2023-06-15 10:46:15] WARNING: Unauthorized changes made to the ‘sales_data.csv’ file by user ‘JohnDoe’.
[2023-06-15 10:46:15] INFO: Original file contents have been compromised.
[2023-06-15 10:46:15] INFO: User ‘JohnDoe’ logged out of the server.

ตัวอย่าง Log File

องค์กรใดบ้างต้องมีการจัดเก็บ Log และต้องจัดเก็บอะไรบ้าง ?

การจัดเก็บ Log หรือ ข้อมูลจราจรทางคอมพิวเตอร์ ถูกระบุไว้ใน พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 มาตรา 26 ว่า 

“ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจําเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์เกินเก้าสิบวัน แต่ไม่เกินหนึ่งปี เป็นกรณีพิเศษเฉพาะราย และเฉพาะคราวได้”

นั่นแปลว่าองค์กรจะต้องมีการจัดเก็บข้อมูล Log เอาไว้อย่างน้อย 90 วัน โดยองค์กรที่จำเป็นต้องจัดเก็บข้อมูล Log นั้น จะต้องเป็นองค์กรที่ได้ระบุไว้ใน ข้อ 5 ของประกาศเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 ที่ออกมาในภายหลัง ดังนี้ 

1. ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง

ได้แก่ ผู้ให้บริการโทรศัพท์พื้นฐาน, โทรศัพท์เคลื่อนที่, ผู้ให้บริการโทรคมนาคมที่ให้บริการโทรศัพท์ติดต่อกันผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์, ผู้ให้บริการวงจรเช่า, ผู้ให้บริการดาวเทียม และผู้ให้บริการ VOIP เป็นต้น และต้องมีจัดเก็บ ดูแลรักษาข้อมูล ได้แก่

  • ข้อมูลที่สามารถระบุและติดตามถึงแหล่งกำเนิด ต้นทาง ปลายทาง และทางสายที่ผ่านของการติดต่อสื่อสารของระบบคอมพิวเตอร์ ดังนี้
    • ข้อมูลระบบชุมสายโทรศัพท์พื้นฐาน โทรศัพท์วิทยุมือถือ และระบบตู้โทรศัพท์สาขา
    • หมายเลขโทรศัพท์ หรือ IP Address เลขหมายวงจร รวมทั้งบริการเสริมอื่น ๆ เช่น บริการโอนสาย ซึ่งจะต้องมีการจะเก็บข้อมูลหมายเลขโทรศัพท์ที่ได้โอนสาย รวมทั้งหมายเลขโทรศัพท์ซึ่งถูกเรียกจากโทรศัพท์ที่มีการโอนด้วย
    • ชื่อ ที่อยู่ ของผู้ใช้บริการหรือผู้ใช้งานที่ลงทะเบียน
    • ข้อมูลเกี่ยวกับวันที่, เวลา และที่ตั้งของ Cell ID ที่มีการใช้บริการ
  • ข้อมูลที่สามารถระบุวันที่ เวลา และ ระยะเวลาของการติดต่อสื่อสารของระบบคอมพิวเตอร์ได้
  • ข้อมูลซึ่งสามารถระบุที่ตั้งในการใช้โทรศัพท์มือถือ หรืออุปกรณ์ติดต่อสื่อสารแบบไร้สายโดยต้องเก็บไว้ในรูปแบบ Centralized Log Server ดังนี้
    • ที่ตั้ง label ในการเชื่อมต่อ (Cell ID) ณ สถานที่เริ่มติดต่อสื่อสาร
    • ข้อมูลซึ่งระบุที่ตั้งทางกายภาพของโทรศัพท์มือถือ อันเชื่อมโยงกับข้อมูลที่ตั้งของ Cell ID ขณะที่มีการติดต่อสื่อสาร
    • ระบบบริการตรวจสอบบุคคลผู้ใช้บริการ

2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์

เช่น ร้านอินเทอร์เน็ต โรงแรม ร้านอาหาร รวมไปถึงบริษัท องค์กร สถานศึกษาต่าง ๆ เป็นต้น โดยจะต้องมีการจัดเก็บข้อมูล ดังนี้

  • ข้อมูลที่สามารถระบุตัวบุคคล ที่เข้ามาใช้ระบบอินเตอร์เน็ตของผู้ให้บริการ
  • เวลาของการเข้าใช้ และเลิกใช้บริการ
  • หมายเลขเครื่องที่ใช้ IP Address (Internet Protocol address)

ในกรณีที่ผู้ประกอบการที่เป็นร้านอาหาร หรือ มีการประกอบธุรกิจจำหน่ายสินค้าและบริการใด ๆ ที่มีการใช้ระบบอินเทอร์เน็ตเป็นเพียงบริการเสริมการขาย และการให้บริการ ที่ไม่ได้มุ่งให้บริการอินเทอร์เน็ตเป็นหลักในการประกอบกิจการให้ผู้ประกอบการดังกล่าวดำเนินการอย่างหนึ่งอย่างใด ดังต่อไปนี้

  • ติดตั้งกล้องวงจรปิด และบันทึกรายละเอียดการเข้าใช้งานของผู้ใช้บริการ รวมไปถึงลูกค้าในร้านของตนที่สามารถระบุตัวตนได้
  • จัดทำบันทึกรายละเอียดเอกสารที่เกี่ยวข้องกับการเข้าใช้บริการของลูกค้าของตนแต่ละวันเพื่อให้สามารถใช้เป็นหลักฐานที่ตรวจสอบได้ในภายหลัง
  • มีวิธีที่ทำให้สามารถระบุตัวตนลูกค้าที่มาใช้งานอินเทอร์เน็ตในสถานประกอบการของตนได้

3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่าง ๆ

อาทิ ผู้ให้บริการเว็บเซิฟเวอร์ ผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล, ผู้ให้บริการเข้าถึงจดหมายอิเล็กทรอนิกส์ และผู้ให้บริการศูนย์รับฝากข้อมูลทางอินเทอร์เน็ต ซึ่งจะต้องมีการจัดเก็บข้อมูล Log ดังต่อไปนี้

  • ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย
    • ข้อมูล Log ที่มีการบันทึกไว้เมื่อมีการเข้าถึงระบบเครือข่าย ซึ่งระบุถึงตัวตนและสิทธิในการเข้าถึงเครือข่าย
    • ข้อมูลเกี่ยวกับวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ 
    • ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ (User ID)
    • ข้อมูล IP Address ที่ถูกกำหนดให้โดยระบบผู้ให้บริการ 
    • ข้อมูลที่ระบุถึงหมายเลขสายเรียกเข้า
  • ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการ E-mail Server
    • ข้อมูล Log ที่บันทึกไว้เมื่อเข้าถึง
    • ข้อมูลหมายเลข IP Address ของเครื่องคอมพิวเตอร์ผู้ใช้บริการที่เชื่อมต่ออยู่ ขณะเข้ามาใช้บริการ
    • ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ 
    • IP Address อินเทอร์เน็ตของเครื่องบริการจดหมายอิเล็กทรอนิกส์ที่ถูกเชื่อมต่ออยู่ในขณะนั้น 
    • ชื่อผู้ใช้งาน (User ID)
    • ข้อมูลที่บันทึกการเข้าถึงข้อมูล E-mail ผ่านโปรแกรมจัดการจากเครื่องของสมาชิก หรือการเข้าถึงเพื่อเรียกข้อมูลไปยังเครื่องสมาชิก โดยยังคงจัดเก็บข้อมูลที่บันทึกการเข้าถึงข้อมูลจดหมายอิเล็กทรอนิกส์ที่ดึงไปไว้ที่เครื่องให้บริการ POP3
  • ข้อมูลอินเทอร์เน็ตจากการโอนแฟ้มข้อมูลบนเครื่องให้บริการโอนแฟ้มข้อมูล 
    • ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องให้บริการโอนแฟ้มข้อมูล
    • ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ 
    • IP Address ของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น 
    • ข้อมูลชื่อผู้ใช้งาน (User ID)
  • ข้อมูลตำแหน่งและ ชื่อไฟล์ที่อยู่บนเครื่องให้บริการโอนถ่ายข้อมูลที่มีการส่งขึ้นมาบันทึก หรือให้ดึงข้อมูลออกไป
    ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเว็บไซต์
    • ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ
    • ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ
    • IP Address ของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น
    • ข้อมูลคำสั่งการใช้งานระบบ
    • ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล
  • ข้อมูลบนเครือข่ายคอมพิวเตอร์ขนาดใหญ่
    • ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครือข่าย
    • ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ
    • ข้อมูลหมายเลข Port ในการใช้งาน (Protocol Process ID) 
    • ข้อมูลชื่อเครื่องให้บริการ
    • ข้อมูลหมายเลขลำดับข้อความที่ได้ถูกส่งไปแล้ว
  • ข้อมูลที่เกิดจากการโต้ตอบกันบนเครือข่ายอินเทอร์เน็ต 
    • ข้อมูลวันที่ และเวลาการติดต่อของผู้ใช้บริการ
    • ข้อมูลชื่อเครื่องบนเครือข่าย และหมายเลขเครื่องของผู้ให้บริการที่เครื่องคอมพิวเตอร์เชื่อมต่ออยู่ในขณะนั้น เป็นต้น

4. ผู้ให้บริการโปรแกรมคอมพิวเตอร์ซอฟต์แวร์ เทคโนโลยี AI และแอปพลิเคชัน ที่ทำให้สามารถติดต่อสื่อสารข้อมูลถึงกันได้

เช่น แอปพลิเคชันดาวน์โหลดแอปในโทรศัพท์มือถือต่าง ๆ

5. ผู้ให้บริการสื่อสังคมออนไลน์ รวมถึงผู้ให้บริการในฐานะสื่อกลางในการรับส่งข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ ไม่ว่าจะมีระบบบอกรับสมาชิกหรือไม่ก็ตาม

อาทิ โซเชียลมีเดีย และโปรแกรมสนทนาต่าง ๆ เป็นต้น โดยทั้ง 2 ประเภทผู้บริการจะต้องมีการจะเก็บข้อมูล ดังต่อไปนี้

  • ข้อมูลบันทึกเหตุการณ์การเข้าใช้งานในระบบคอมพิวเตอร์ (Event Logging)
    • ข้อมูลที่สามารถระบุตัวตนของผู้ใช้บริการ
    • รายละเอียดของการใช้ข้อมูลของผู้ใช้บริการในระบบคอมพิวเตอร์
    • วัน เวลา และรายละเอียดเหตุการณ์สำคัญที่เกี่ยวข้องกับกิจกรรมของผู้ใช้งาน หรือผู้ใช้บริการ
    • ข้อมูลที่สามารถระบุหมายเลขของเครือข่ายคอมพิวเตอร์ระบบคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ สถานที่ในการเข้าออกระบบคอมพิวเตอร์ และอุปกรณ์ที่ใช้เชื่อมต่อคอมพิวเตอร์ให้คอมพิวเตอร์ สามารถเข้าถึงระบบคอมพิวเตอร์ได้
    • รายละเอียดบันทึกการเข้าถึงและการพยายามเข้าถึงระบบคอมพิวเตอร์ ทั้งในส่วนที่เข้าถึงระบบคอมพิวเตอร์ได้ และส่วนที่ระบบคอมพิวเตอร์ปฏิเสธการเข้าถึง
    • รายละเอียดข้อมูลคอมพิวเตอร์ที่มีการเข้าถึงแหล่งข้อมูล
    • รายละเอียด ประเภทของแอปพลิเคชัน และการใช้งานในระบบคอมพิวเตอร์
    • แฟ้มข้อมูลและประเภทของข้อมูลคอมพิวเตอร์ที่ถูกเข้าถึงในระบบคอมพิวเตอร์
    • ตำแหน่งที่อยู่ของระบบเครือข่ายคอมพิวเตอร์ และ Protocal หลักที่ใช้
    • รายละเอียดมาตรการการป้องกันภัยคุกคามทางไซเบอร์
    • รายละเอียดธุรกรรมที่ทำผ่านแอปพลิเคชันต่างๆ โดยผู้ใช้บริการ

6. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอปพลิเคชันต่าง ๆ

เช่น เว็บบอร์ด บล็อก ผู้ให้บริการ Internet Banking หรือ การชำระเงินทางอิเล็กทรอกนิกส์ รวมไปถึงเว็บขายสินค้าต่าง ๆ เป็นต้น

  • ข้อมูลรหัสประจำตัวผู้ใช้หรือข้อมูลที่สามารถระบุตัวผู้ใช้บริการได้ หรือ เลขประจำตัว (User ID) ของผู้ขายสินค้าหรือบริการ หรือ เลขประจำตัว ผู้ใช้บริการ (User ID) และที่อยู่จดหมายอิเล็กทรอนิกส์ของผู้ใช้บริการ
  • บันทึกข้อมูลการเข้าใช้บริการ
  • กรณีผู้ให้บริการเว็บบอร์ด (Web board) หรือผู้ให้บริการบล็อค (Blog) ให้เก็บข้อมูลของผู้ประกาศ (Post) ข้อมูล

7. ผู้ให้บริการเก็บพักข้อมูลในรูปแบบชั่วคราว หรือ ถาวร โดยมีระบบที่บริหารจัดการข้อมูลบนอินเทอร์เน็ต คลาวด์ ซึ่งได้ให้บริการโดยตรงกับผู้ใช้บริการ หรือ ผู้ใช้งาน

ได้แก่ Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) ,Data Storage as a Service (DSaaS), Caching Delivery Network (CDN) เป็นต้น

  • ข้อมูล Log ที่มีการบันทึกไว้เมื่อมีการเข้าถึงระบบเครือข่ายซึ่งระบุถึงตัวตน และสิทธิในการเข้าถึงเครือข่าย (Access Logs Specific to Authentication and Authorization Servers
  • ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (Date and Time of Connection of Client to Server)
  • ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ (User ID)
  • ข้อมูลหมายเลขชุดอินเทอร์เน็ตที่ถูกกำหนดให้ โดยระบบผู้ให้บริการ (Assigned IP Address)
  • ข้อมูลหมายเลขชุดอินเทอร์เน็ตของเครื่องคอมพิวเตอร์ผู้ใช้บริการที่เชื่อมต่ออยู่ขณะเข้ามาใช้บริการ (IP Address of Client Connected to Server)

8. ผู้ให้บริการดิจิทัลที่ใช้เครือข่ายคอมพิวเตอร์ หรือ ระบบคอมพิวเตอร์ เป็นส่วนหนึ่งของการให้บริการ

  • ข้อมูล Log ที่มีการบันทึกไว้เมื่อมีการเข้าถึงระบบเครือข่าย ซึ่งระบุถึงตัวตนและสิทธิในการเข้าถึงเครือข่าย (Access Logs Specific to Authentication and Authorization Servers
  • ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (Date and Time of Connection of Client to Server)
  • ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ (User ID)
  • ข้อมูลหมายเลขชุดอินเทอร์เน็ตที่ถูกกำหนดให้ โดยระบบผู้ให้บริการ (Assigned IP Address)
  • ข้อมูลที่บอกถึงหมายเลขสายที่เรียกเข้ามา (Calling Line Identification)
  • ข้อมูลหมายเลขชุดอินเทอร์เน็ตของเครื่องคอมพิวเตอร์ผู้ใช้บริการที่เชื่อมต่ออยู่ขณะเข้ามาใช้บริการ (IP Address of Client Connected to Server)
  • ข้อมูลรหัสประจำตัวผู้ใช้หรือข้อมูลที่สามารถระบุตัวผู้ใช้บริการดิจิทัลได้ หรือ เลขประจำตัวผู้ใช้บริการ (User ID) และที่อยู่จดหมายอิเล็กทรอนิกส์ หรือ บัญชีโซเชียลมีเดียของผู้ใช้บริการ
  • บันทึกข้อมูลการเข้าใช้บริการดิจิทัล

Log เกี่ยวข้องอย่างไรกับ PDPA

เนื่องจาก กฏหมาย PDPA ได้ระบุถึงการที่องค์กรต้องมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(1) ว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษา ความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด”

ซึ่งแม้ว่าจะไม่ได้มีการระบุอย่างชัดเจนถึงการจัดเก็บ Log แต่ในกฎหมายลูกอย่าง ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 ในข้อ 5(5) เกี่ยวกับการจัดการให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล ว่า

“การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล”

ทั้งนี้ ข้อมูล Log เป็นการบันทึกทุกกิจกรรมที่เกิดขึ้นกับอุปกรณ์ต่าง ๆ อันเกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่งสามารถติดตามกิจกรรมที่เกิดขึ้น และเรียกดูแบบย้อนหลังได้ Log File จึงเป็นอีกวิธีที่ผู้ควบคุมข้อมูลส่วนบุคคลมักใช้เพื่อตรวจสอบกิจกรรมที่เกิดขึ้นในกรณีที่เกิดเหตุผิดปกติกับข้อมูลส่วนบุคคล

ทั้งนี้การจัดเก็บ Log ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจะต้องมีการจัดเก็บแยกออกจาก Log ที่เกี่ยวข้องกับเครือข่าย หรือ อุปกรณ์ต่าง ๆ ในองค์กรอย่างสิ้นเชิง เพื่อให้ง่ายต่อการบริหารจัดการ และตรวจสอบ

อย่างไรก็ตาม ในประกาศ เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นกิจการขนาดเล็ก พ.ศ.2565 ไดัมีการระบุไว้ในข้อ 3 ว่า ผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นกิจการขนาดเล็ก ที่มีลักษณะดังต่อไปนี้ ไม่ต้องจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

  • เป็นวิสาหกิจขนาดย่อม หรือวิสาหกิจขนาดกลางตามกฎหมายว่าด้วยการส่งเสริมวิสาหกิจขนาดกลาง และขนาดย่อม
  • เป็นวิสาหกิจชุมชน หรือเครือข่ายวิสาหกิจชุมชนตามกฎหมายว่าด้วยการส่งเสริมวิสาหกิจชุมชน
  • เป็นวิสาหกิจเพื่อสังคม หรือกลุ่มกิจการเพื่อสังคมตามกฎหมายว่าด้วยการส่งเสริมวิสาหกิจเพื่อสังคม
  • เป็นสหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรตามกฎหมายว่าด้วยสหกรณ์
  • เป็นมูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร
  • เป็นกิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน

ส่วนร้านอินเทอร์เน็ต แม้จะเป็นธุรกิจขนาดเล็ก แต่ก็เป็นอีกหนึ่งธุรกิจที่ได้รับข้อยกเว้น ไม่ต้องจัดทำ RoPA แต่ยังต้องมีการเก็บ Log เพื่อไว้ตรวจสอบในภายหลัง

จัดเก็บ Log File อย่างไรให้ปลอดภัย 

แม้ว่าข้อมูล Log จะมีขนาดค่อนข้างเล็ก แต่ก็มีจำนวนมหาศาล และต้องมีการจัดเก็บเอาไว้ระยะหนึ่ง ตามที่ พ.ร.บ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 ระบุไว้ว่า

“ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน 90 วัน แต่ไม่เกิน 2 ปี เป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้”

ซึ่งการจัดเก็บ Log ทั่วไปนั้น ถ้าจะให้ปลอดภัยก็ควรมีระบบการบริหารจัดการข้อมูล Log แบบรวมศูนย์ เนื่องจากข้อมูล Log นั้นมีอยู่แทบจะในทุกอุปกรณ์ในเครือข่ายคอมพิวเตอร์ หรือแม้แต่ข้อมูลจากเครือข่ายเอง ดังนั้นหากมีการจัดเก็บกันแบบกระจัดกระจายก็อาจเกิดการซ้ำซ้อน และไม่สามารถนำมาใช้ได้สะดวก และรวดเร็วมากพอ

ขณะที่การจัดเก็บ Log ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเองก็จะต้องมีระบบที่สามารถตรวจสอบความผิดปกติได้แบบเรียลไทม์ และสามารถแจ้งเตือนไปยังผู้ที่มีหน้าที่ดูแลรับผิดชอบเพื่อเข้ามารับมือ และจัดการแก้ปัญหาได้อย่างทันท่วงที อีกทั้งยังต้องสามารถวิเคราะห์ความเสี่ยง และวางมาตรการป้องกันเหตุในอนาคตได้ OneFence เครื่องมือช่วยบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคล ความปลอดภัยทางไซเบอร์ และความปลอดภัยด้านภายภาพแบบรวมศูนย์ มีโซลูชันที่ออกแบบมาเพื่อป้องกันความปลอดภัยในทุกมิติ ซึ่งนอกจากเราจะมีโซลูชันที่ช่วยจัดการเรื่องความมั่นคงปลอดภัยทางไซเบอร์ และความเป็นส่วนตัวของข้อมูลแล้ว ระบบของเรายังมีการบูรณาการให้สามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ อย่างโมดูล Log Management ที่สามารถจัดการกับไฟล์ Log ต่าง ๆ ได้อย่างเป็นระเบียบ และเรียกดูได้ง่าย และโมดูล Security Information & Event Management หรือ SIEM ช่วยตรวจสอบ และแจ้งเตือนความผิดปกติที่อาจเกิดขึ้นไปยังผู้มีส่วนเกี่ยวข้องโดยตรง และนำข้อมูลเหตุการณ์มาใช้วิเคราะห์หาทางลดความเสี่ยง หรือมาตรฐานการป้องกันที่รัดกุมมากชึ้นได้ ทั้งหมดนี้ก็เพื่อให้องค์กรของคุณเป็นพื้นที่ปลอดภัยของข้อมูลส่วนบุคคล และสร้างความเชื่อมั่นให้องค์กรในระยะยาว

สอบถามข้อมูลเพิ่มเติม

Facebook : https://fb.me/OneFence.co

Line ID : @onefence-platform

Email : [email protected]

บทความที่เกี่ยวข้อง