จากกรณีสื่อรายงานพบข้อมูลส่วนบุคคลของผู้ป่วยในโรงพยาบาลหลายแห่งในจังหวัดเชียงใหม่รั่วไหลเมื่อสัปดาห์ที่ผ่านมา โดยมีการตั้งข้อสงสัยถึงที่มา ซึ่งก่อนหน้านี้มีเบาะแสว่าข้อมูลที่รั่วไหลอาจมาจากอุปกรณ์จัดเก็บข้อมูลในคอมพิวเตอร์ Solid State Drive (SSD) M.2 ของโรงพยาบาล ทั้งนี้ล่าสุดหนึ่งในหน่วยงานที่ถูกระบุถึงก็ได้ออกมาชี้แจงว่า ตรวจสอบเบื้องต้นแล้วพบว่าทางหน่วยงานไม่ได้มีการจำหน่ายอุปกรณ์จัดเก็บข้อมูล SSD M.2 ดังกล่าว 

แต่ไม่ว่าแท้จริงแล้วสาเหตุของการที่ข้อมูลรั่วไหลครั้งนี้จะมาจากอะไร สิ่งที่น่าสนใจกว่าคือ หน่วยงานต้นทางที่ถุกระบุถึงเหล่านี้มีมาตรการในการปกป้องคุ้มครองข้อมูลส่วนบุคคลของผู้ป่วยอย่างไร 

จากใจความหลักของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย นอกจากสาระสำคัญที่กำหนดให้ ผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) ต้องได้รับความยินยอมจากเจ้าของข้อมูล ก่อนทำการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์, ให้สิทธิแก่เจ้าของข้อมูล หรือแจ้งเตือนเมื่อเเกิดการละเมิดความปลอดภัยของข้อมูล หรือเกิดเหตุข้อมูลรั่วไหล อีกประเด็นสำคัญคือ องค์กรต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการรั่วไหล สูญหาย หรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยมาตรการควรต้องครอบคลุมทั้งมาตรการเชิงองค์กร (Organizational Measures) มาตรการเชิงเทคนิค (Technical Measures) และมาตรการทางกายภาพ (Physical Measures)

มาตรการ 3 ด้าน ครอบคลุมความปลอดภัยของข้อมูล

ทั้งนี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้มีการเผยแพร่ตัวอย่างมาตรการทั้ง 3 ด้านไว้ ดังนี้ 

1. มาตรการเชิงองค์กร (Organizational Measures) คือ การวางโครงสร้างหรือกระบวนการภายในองค์กรเพื่อให้แน่ใจว่าการจัดการข้อมูลส่วนบุคคลเป็นไปตามกฎหมายและมีความปลอดภัย เช่น

• การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer – DPO) : ที่จะทำหน้าที่ให้คำแนะนำด้านการคุ้มครองข้อมูลในองค์กร เพื่อให้มั่นใจว่าการจัดการข้อมูลเป็นไปตามกฎหมาย
• นโยบายการคุ้มครองข้อมูลส่วนบุคคล : องค์กรต้องจัดทำนโยบายที่ชัดเจนเกี่ยวกับการจัดเก็บ ใช้ และเปิดเผยข้อมูล รวมถึงการตรวจสอบและปรับปรุงนโยบายเป็นประจำ
• การฝึกอบรมพนักงาน : การให้ความรู้และฝึกอบรมพนักงานเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยของข้อมูล เช่น วิธีการป้องกันการโจมตีทางไซเบอร์ การจัดการข้อมูลส่วนบุคคลอย่างถูกต้อง
• การจัดการสิทธิ์ในการเข้าถึงข้อมูล : การกำหนดสิทธิ์และระดับการเข้าถึงข้อมูลของพนักงานให้สอดคล้องกับความจำเป็นในงานที่ทำ เพื่อป้องกันการเข้าถึงข้อมูลที่ไม่เกี่ยวข้อง
• การวางแผนจัดการเหตุการณ์ความมั่นคง (Incident Response Plan) : แผนที่ระบุขั้นตอนการตอบสนองต่อเหตุการณ์ที่เกิดขึ้น เช่น ข้อมูลรั่วไหลหรือถูกโจมตี รวมถึงการแจ้งเตือนไปยังเจ้าของข้อมูล

2. มาตรการเชิงเทคนิค (Technical Measures) เป็นการนำเทคโนโลยีเข้ามาช่วยในการปกป้องข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์ในการป้องกันการเข้าถึง การดัดแปลง หรือการใช้ข้อมูลอย่างผิดกฎหมาย ซึ่งสามารถดำเนินการได้ด้วยโปรแกรมคอมพิวเตอร์ ระบบ หรือเทคโนโลยีสารสนเทศ เช่น 

• การเข้ารหัสข้อมูล (Encryption) : ข้อมูลส่วนบุคคลควรได้รับการเข้ารหัส ทั้งในขณะที่เก็บอยู่และระหว่างการส่งต่อ เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
• การควบคุมการเข้าถึง (Access Control) : การใช้ระบบการยืนยันตัวตน เช่น รหัสผ่าน, การตรวจสอบสองขั้นตอน (2FA) หรือระบบไบโอเมตริกซ์ (เช่น ลายนิ้วมือ) เพื่อจำกัดการเข้าถึงข้อมูลเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
• การตรวจสอบและติดตามการเข้าถึงข้อมูล (Logging & Monitoring): การเก็บบันทึกการเข้าถึงและการใช้ข้อมูล รวมถึงการติดตามความผิดปกติในระบบเพื่อระบุพฤติกรรมที่น่าสงสัย
• การสำรองข้อมูล (Backup) : การเก็บสำรองข้อมูลอย่างสม่ำเสมอและแยกออกจากระบบหลัก เพื่อลดความเสี่ยงจากการสูญหายของข้อมูล
• การอัปเดตซอฟต์แวร์ หรือระะบบความปลอดภัย: การปรับปรุงระบบปฏิบัติการ ซอฟต์แวร์ และอุปกรณ์ต่าง ๆ ให้ทันสมัยอยู่เสมอ เพื่อลดช่องโหว่ที่อาจถูกแฮ็กเกอร์ใช้โจมตี

3. มาตรการทางกายภาพ (Physical Measures) เกี่ยวข้องกับการปกป้องอุปกรณ์และพื้นที่ที่เก็บข้อมูลส่วนบุคคล ซึ่งเป็นการควบคุมการเข้าถึงในทางกายภาพ  เพื่อป้องกันไม่ให้ข้อมูลถูกเข้าถึงหรือถูกขโมย เช่น

• การควบคุมการเข้าถึงพื้นที่ (Physical Access Control) : การใช้ระบบรักษาความปลอดภัย เช่น การ์ดเข้าตึก ระบบสแกนนิ้วมือ ระบบกล้องวงจรปิด หรือการล็อกห้องเก็บเซิร์ฟเวอร์ เพื่อให้แน่ใจว่าเข้าถึงได้เฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น
• การป้องกันอุปกรณ์ : การรักษาความปลอดภัยของอุปกรณ์ที่ใช้จัดเก็บข้อมูล เช่น คอมพิวเตอร์ เซิร์ฟเวอร์ และอุปกรณ์จัดเก็บข้อมูลที่มีความสำคัญ โดยการติดตั้งในห้องที่ปลอดภัยหรือมีการติดตั้งกล้องวงจรปิด (CCTV) เพื่อสอดส่องพฤติกรรมที่ผิดปกติตามเงื่อนไข
• การทำลายข้อมูลอย่างปลอดภัย : การทำลายเอกสารหรืออุปกรณ์ที่มีข้อมูลส่วนบุคคล เช่น การทำลายหรือเผาเอกสาร การล้างข้อมูลในฮาร์ดดิสก์ เพื่อไม่ให้ข้อมูลถูกกู้คืนมาได้
• ระบบป้องกันภัยพิบัติ (Disaster Recovery) : การจัดเตรียมแผนและอุปกรณ์สำรองเพื่อป้องกันการสูญเสียข้อมูลจากเหตุภัยพิบัติทางกายภาพ เช่น ไฟไหม้ น้ำท่วม หรือแผ่นดินไหว

ทุกธุรกิจ ทุกหน่วยงานต้องมีมาตรการที่ชัดเจน

ปฏิเสธไม่ได้ว่าเป้าหมายการโจมตีของแฮ๊กเกอร์ไม่ได้เจาะจงหน่วยงานหรือองค์กรใดองค์หนึ่ง แต่มักพุ่งเป้าไปที่องค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคล ข้อมูลสำคัญ หรือมีความเสี่ยงสูง ซึ่งแทบทุกหน่วยงาน องค์กร หรือแม้แต่ภาคธุรกิจก็ล้วนแล้วแต่มีการจัดเก็บข้อมูลส่วนบุคคล ทั้งของพนักงาน ลูกค้า และคู่ค้า ไม่ว่าจะเป็น

ธนาคารและสถาบันการเงิน (Bank & Financial)

เป็นองค์กรที่ควรมีมาตรการคุ้มครองข้อมูลอย่างเข้มงวด เนื่องจากมีการจัดการข้อมูลสำคัญของลูกค้า เช่น ข้อมูลบัญชี การทำธุรกรรมทางการเงิน และข้อมูลบัตรเครดิต ซึ่งจำเป็นต้องมีมาตรการ เช่น 

• มาตรการเชิงองค์กร คือ มีการแต่งตั้งเจ้าหน้าที่ความปลอดภัยข้อมูล (Chief Information Security Officer – CISO) และนโยบายด้านการรักษาความปลอดภัยของข้อมูล นอกจากนี้ยังควรมีการฝึกอบรมพนักงานให้ปฏิบัติตามมาตรฐานการรักษาความปลอดภัยที่เข้มงวด
• มาตรการเชิงเทคนิค คือ การเข้ารหัสข้อมูลที่ส่งผ่านอินเทอร์เน็ต เช่น ระบบ SSL หรือ TLS การใช้การยืนยันตัวตนแบบหลายขั้นตอน (Multi-factor authentication – MFA) การตรวจสอบพฤติกรรมหรือการใช้งานที่ผิดปกติด้วยระบบ AI และการอัปเดตระบบรักษาความปลอดภัยอย่างสม่ำเสมอ
• มาตรการทางกายภาพ คือ มีการติดตั้งกล้องวงจรปิดในพื้นที่ที่จัดเก็บข้อมูล เช่น ศูนย์ข้อมูล (Data Center) และการเข้าถึงห้องเซิร์ฟเวอร์ ที่ต้องใช้การยืนยันตัวตนที่เข้มงวด เช่น สแกนบัตรประจำตัว หรือ ใช้ไบโอเมตริกซ์

โรงพยาบาล หน่วยงานด้านสาธารณสุข หรือคลินิกสุขภาพ (Healthcare) 

มีการจัดการข้อมูลส่วนบุคคลที่สำคัญของผู้ป่วย เช่น ประวัติทางการแพทย์ ข้อมูลการรักษา ซึ่งเป็นข้อมูลที่ต้องการการคุ้มครองสูง จำเป็นต้องมีมาตรการ เช่น 

• มาตรการเชิงองค์กร คือ มีกฎระเบียบและมาตรฐานความปลอดภัยของข้อมูล รวมถึงแผนการรับมือและตอบสนองเหตุการณ์
• มาตรการเชิงเทคนิค คือ ระบบการจัดเก็บข้อมูลสุขภาพที่มีการเข้ารหัส (Encryption) การจำกัดการเข้าถึงข้อมูลของผู้ป่วยเฉพาะบุคลากรทางการแพทย์ที่เกี่ยวข้อง การใช้การยืนยันตัวตนหลายขั้นตอน และการจัดเก็บบันทึกการเข้าถึงข้อมูลเพื่อป้องกันการละเมิด
• มาตรการทางกายภาพ คือ ห้องจัดเก็บข้อมูลและเอกสารต้องมีระบบควบคุมการเข้าถึง เช่น ใช้คีย์การ์ด มีระบบกล้องวงจรปิดจดจำใบหน้า หรืออุปกรณ์ตรวจจับการบุกรุก

บริษัทหรือองค์กรขนาดใหญ่ (Company & Enterprise) ที่มีการจัดการข้อมูลที่ซับซ้อนและอ่อนไหว เช่น ข้อมูลผู้ใช้งาน ข้อมูลธุรกิจ และข้อมูลทางการเงิน จำเป็นต้องมีมาตรการ เช่น  

• มาตรการเชิงองค์กร คือ มีเจ้าหน้าที่คุ้มครองข้อมูลและนโยบายความปลอดภัยที่ชัดเจน รวมถึงให้ความสำคัญกับการรักษามาตรฐานสากล เช่น ISO 27001 ฝึกอบรมพนักงานและกำหนดกระบวนการจัดการข้อมูลอย่างเคร่งครัด
• มาตรการเชิงเทคนิค คือ ใช้เทคโนโลยีขั้นสูงในการรักษาความปลอดภัย เช่น การเข้ารหัสข้อมูล ระบบป้องกันการโจมตีทางไซเบอร์ (Firewalls) การสำรองข้อมูลและการอัปเดตระบบอย่างต่อเนื่อง
• มาตรการทางกายภาพ คือ มีการรักษาความปลอดภัยทางกายภาพ โดยรอบศูนย์ข้อมูล (Data Center) อย่างเข้มงวด เช่น การใช้ระบบควบคุมการเข้าถึงทางกายภาพด้วยบัตรประจำตัว และไบโอเมตริกซ์ รวมถึงการใช้กล้องวงจรปิดเพื่อตรวจสอบการเข้าถึงตลอด 24 ชั่วโมง

ธุรกิจประกันภัย ( Insurance) มีการจัดการข้อมูลที่เกี่ยวข้องกับสุขภาพและการเงินของลูกค้า เช่น ประวัติการเคลมประกัน ข้อมูลส่วนบุคคล รวมถึงข้อมูลอ่อนไหว ดังนั้นการรักษาความปลอดภัยข้อมูลจึงมีความสำคัญ จำเป็นต้องมีมาตรการ เช่น 

• มาตรการเชิงองค์กร คือ บริษัทมีการจัดทำนโยบายความปลอดภัยข้อมูลที่ชัดเจน มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล และจัดการอบรมพนักงานเกี่ยวกับการรักษาความปลอดภัยข้อมูล
• มาตรการเชิงเทคนิค คือ ใช้การเข้ารหัสข้อมูลที่จัดเก็บและข้อมูลที่ส่งผ่าน รวมถึงตรวจสอบการเข้าถึงและการใช้ระบบรักษาความปลอดภัยไซเบอร์ เช่น Firewalls และระบบตรวจจับการบุกรุก
• มาตรการทางกายภาพ คือ การติดตั้งกล้องวงจรปิดในสำนักงานและศูนย์ข้อมูล มีระบบควบคุมการเข้าถึงพื้นที่ที่เก็บข้อมูลสำคัญ เช่น ใช้บัตรประจำตัว หรือการตรวจสอบไบโอเมตริกซ์

สถานศึกษา (Education) เนื่องจากภาคการศึกษาก็มีการจัดการข้อมูลส่วนบุคคลที่สำคัญเกี่ยวกับนักศึกษาและพนักงาน จึงจำเป็นต้องมีมาตรการ เช่น 

• มาตรการเชิงองค์กร คือ มีการจัดทำแนวทางการจัดการข้อมูลส่วนบุคคลที่ชัดเจน และมีการอบรมให้กับอาจารย์และเจ้าหน้าที่เกี่ยวกับการรักษาความปลอดภัยข้อมูล
• มาตรการเชิงเทคนิค คือ ใช้ระบบจัดการข้อมูลที่มีการเข้ารหัส การจำกัดการเข้าถึงข้อมูลเฉพาะเจ้าหน้าที่ที่เกี่ยวข้อง
• มาตรการทางกายภาพ คือ ห้องจัดเก็บข้อมูลหรือระบบการเก็บข้อมูลที่มีการป้องกันด้วยระบบควบคุมการเข้าถึงที่เข้มงวด เช่น บัตรประจำตัวหรือการตรวจสอบด้วยลายนิ้วมือ เป็นต้น

Security Pitch เราเห็นถึงความสำคัญของการมีมาตรการที่ครอบคลุมทั้ง 3 ด้าน เราจึงได้ออกแบบ และพัฒนาโซลูชัน รวมไว้ในแพลตฟอร์ม OneFence เครื่องมือที่จะช่วยเสริมเกราะมาตรการความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคลให้กับหน่วยงานหรือองค์กรของคุณ

Privacy Management

บริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลแบบรวมศูนย์ สอดคล้องตามกฎหมาย PDPA ตั้งแต่

• จัดทำบันทึกกิจกรรมการประมวลผล หรือ RoPA พร้อมประเมินความเสี่ยงและผลกระทบ รองรับการสร้างภาพความเชื่อมโยงของกระแสข้อมูล หรือ Data Flow เพื่อให้ง่ายต่อการตรวจสอบและติดตาม (Data Mapping) – ตามมาตรา 39
• สร้างและบริหารประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล พร้อมเผยแพร่ เพื่อให้เจ้าของข้อมูลรับทราบนโยบาย (Policy & Notice Management) – ตามมาตรา 23
• สร้างเว็บฟอร์มการขอความยินยอมได้หลายรูปแบบ พร้อมรวบรวมความยินยอมจากทุกช่องทาง (Consent Management) – ตามมาตรา 19 – 20
• สร้าง ปรับแต่ง และจัดการคุกกี้บนเว็บไซต์ของคุณอย่างง่ายดาย (Cookie Consent Management) – ตามมาตรา 19 – 20
• สร้างช่องทางรับคำขอใช้สิทธิตามกฎหมาย พร้อมกำหนดโฟลว์การดำเนินงาน เพื่อให้เสร็จสิ้นตามระยะเวลาที่กฎหมายกำหนด (DSAR Automation) – ตามมาตรา 23, 30, 33, 19, 28, 31, 34, 32, 35
• แจ้งเหตุ กรณีเกิดการรั่วไหลหรือละเมิดข้อมูลส่วนบุคคล ไปยังหน่วยงานที่รับผิดชอบ และเจ้าของข้อมูลส่วนบุคคล พร้อมระบบเฝ้าติดตาม (Data Breach Management) – ตามมาตรา 37 (1) (2) (3)

ทั้งหมดนี้เพื่อช่วยให้คุณมีมาตรการเชิงองค์กรที่ได้มาตรฐาน 

Cybersecurity

ระบบตรวจจับ ป้องกัน และแจ้งเตือนความเสี่ยงด้านภัยคุกคามทางไซเบอร์ ประกอบด้วย 

• Log Management รวบรวม จัดเก็บไฟล์ Log และข้อมูลด้านความปลอดภัย พร้อมหาความสัมพันธ์เกี่ยวกับเหตุภัยคุกคาม

• SIEM วิเคราะห์หาความสัมพันธ์แจ้งเตือน เพื่อป้องกันและตรวจจับภัยคุกคามทางไซเบอร์

• Cyber Threat Intelligence & Darkweb Monitoring รวบรวม อัปเดตข้อมูลข่าวเกี่ยวกับภัยคุกคามทางไซเบอร์ พร้อมมอนิเตอร์เหตุข้อมูลรั่วไหล เพื่อเพิ่มศักยภาพในการป้องกันภัย

โมดูลเหล่านี้จะสร้างการรับรู้ พร้อมตรวจจับภัยไซเบอร์ วิเคราะห์หาความสัมพันธ์ของภัยคุกคาม อันจะนำมาสู่การสร้างแผนการตอบสนองทางไซเบอร์ อันเป็นหนึ่งในมาตรการเชิงเทคนิค 

Physical Security  

เครื่องมือบริหารจัดการ รวมศูนย์ความปลอดภัยทางกายภาพ พร้อมเพิ่มประสิทธิภาพการตรวจจับ

• Security Camera Management รวมระบบกล้องวงจรปิดหลากหลายแบรนด์ เพื่อบริหารจัดการในที่เดียว พร้อมเพิ่มประสิทธิภาพการตรวจจับด้วยเทคโนโลยี AI เฝ้าระวังป้องกันเหตุไม่คาดคิด เช่น การตรวจจับพฤติกรรม, ตรวจจับความเคลื่อนไหว, ตรวจจับใบหน้า, ตรวจการเข้าออกพื้นที่ ทั้งบุคคล ยานพาหนะ

• Emergency Response รวมศูนย์อุปกรณ์ ระบบตรวจจับการบุกรุก และระบบแจ้งเตือนภัยฉุกเฉิน เช่น Panic Button (SOS),  Fire Alarm หรือเซ็นเซอร์ เพื่อบริหารจัดการในที่เดียว รองรับการแจ้งเตือนไปยังหน่วยงานที่เกี่ยวข้อง หรือรับผิดชอบ ช่วยให้การตอบสนองเหตุรวดเร็ว เป็นไปตามแผนที่กำหนดไว้

โมดูลเหล่านี้ไม่เพียงช่วยบริหารความปลอดภัยทางกายภาพ ตั้งแต่ควบคุมการเข้าถึง ตรวจจับเหตุผิดปกติ หรือ แจ้งเตือน แต่ยังช่วยให้การตอบสนองเหตุมีประสิทธิภาพ  สอดคล้องกับมาตรการทางกายภาพที่ควรจะมี

ที่มา : PDPC