ยิบอินซอย แนะตั้งการ์ด 'เสริมแกร่งสายเทค' คุ้มครองข้อมูลส่วนบุคคล

'ตัวกฎหมาย' ต้องสอดคล้องการใช้งานเทคโนโลยีที่เปลี่ยนไป

โลกยุคใหม่เราคุ้นชินการเชื่อมต่ออินเทอร์เน็ต มีการรับส่งและใช้งานข้อมูลที่ไหลเวียนเข้าออกทั้งในและนอกองค์กร หรือข้ามพรมแดน ยิ่งเมื่อข้อมูลถูกนำขึ้นสู่ระบบบริการคลาวด์ โดยเจ้าของข้อมูลโดยตรง เช่น ไลน์ เฟซบุ๊ค อินสตาแกรม ยูทูบ มีข้อสงสัยว่าข้อมูลเหล่านั้นถูกเก็บ ถูกนำไปใช้หรือกระจายต่อไปเพื่อการใดบ้าง

ในมุมมององค์กรธุรกิจ ต้องอาศัยข้อมูลเหล่านี้วางแผนกลยุทธ์ เป็นข้อมูลที่สร้างมูลค่าทางเศรษฐกิจ ต่อยอดไปสู่การพัฒนาสินค้าบริการ ขณะเดียวกัน สามารถตกเป็นเป้าโจมตีของอาชญากรไซเบอร์ที่พร้อมนำข้อมูลเหล่านี้ไปใช้แบบผิดกฎหมาย หรือสร้างความเสียหายย้อนกลับมาสู่เจ้าของข้อมูลหรือองค์กรธุรกิจได้เช่นกัน จากกฏจีดีพีอาร์ (GDPR) สู่ พรบ.ไซเบอร์ฯ รวมถึง พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

“วรเทพ ว่องธนาการ” ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด กล่าวประเด็นนี้ว่า เมื่อไม่สามารถปิดกั้นการไหลเวียนข้อมูล จึงจำเป็นที่แต่ละประเทศต้องมีกฎหมายหรือข้อบังคับไว้คุ้มครองข้อมูลประชากร ครอบคลุมการนำไปใช้ข้ามพรมแดน เพื่อเป็นแนวทางกำกับให้องค์กรต้องมีมาตรการความปลอดภัยของข้อมูลส่วนบุคคลรอบด้าน ทั้งใช้งานในและนอกองค์กร และผ่านบริการคลาวด์ โดยต้องกำหนดไว้ในแผนธุรกิจ

เช่น มาตรการคุ้มครองข้อมูลส่วนบุคคล จีดีพีอาร์ ของประชากร “อียู” ที่ครอบคลุมไปทุกประเทศทั่วโลก กรอบความปลอดภัยไซเบอร์ของสถาบันแห่งชาติของมาตรฐานและเทคโนโลยี (NIST) ของสหรัฐอเมริกา เพื่อสร้างกระบวนการบริหารจัดการความเสี่ยงในระบบไอที เครือข่าย และข้อมูล

ขณะที่ไทยเองได้วางมาตรฐานใหม่ในการคุ้มครองข้อมูลและความมั่นคงทางไซเบอร์ผ่านกฎหมายสำคัญ 2 ฉบับ ได้แก่ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ในการกำหนดมาตรการหรือแผนดำเนินงานสำหรับรับมือ ป้องกัน หรือลดความเสี่ยงจากภัยคุกคามไซเบอร์จากในและนอกประเทศ รวมทั้งให้อำนาจรัฐร่วมสืบสวนตรวจสอบกรณีมีภัยคุกคามเกิดขึ้น และ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อ้างอิงจีดีพีอาร์บนหลักการ 3 ข้อ คือ ปกป้องข้อมูล ป้องข้อมูลรั่ว ประมวลผลข้อมูลต้องได้รับการยินยอมจากเจ้าของข้อมูล

เปิด3ปัจจัยหนุนซิเคียวริตี้ข้อมูล

วรเทพ อธิบายว่า องค์ประกอบแรกที่สำคัญ คือ “คน” ที่มีบทบาทโดยตรงต่อการสร้างมาตรการความปลอดภัยให้ข้อมูล ได้แก่ รัฐ ผู้ออกกฎหมายคุ้มครองตัวข้อมูล และการประมวลผลข้อมูล โดยสร้างไม่ให้กระทบต่อผู้เป็นเจ้าของข้อมูล ระบบเศรษฐกิจ สังคม และประเทศ

"ตัวกฎหมายต้องสอดคล้องการใช้งานเทคโนโลยีที่เปลี่ยนไป และผู้ต้องปฏิบัติตามกฎหมาย หมายถึง บุคคล หน่วยงานหรือองค์กรต่างๆ ต้องแต่งตั้งผู้รับผิดชอบโดยตรงในการคุ้มครองความปลอดภัยให้ข้อมูล หรือ Data Protection Officer ทำงานร่วมกับหน่วยงานไอที กำหนดแนวทางหรือปรับปรุงกฎระเบียบ และเทคโนโลยีให้เหมาะสม ตรวจติดตามการใช้งานข้อมูลให้ถูกต้องตามกฎหมายและข้อบังคับทั้งในและระหว่างประเทศ"

องค์ประกอบที่สอง การจัดกระบวนการที่เกี่ยวกับข้อมูลบุคคลลูกค้า แจ้งผู้ใช้งานหรือผู้ที่เกี่ยวข้องให้ทราบถึงขอบเขตข้อมูลที่นำไปใช้ การอนุญาตให้ข้อมูลมีการเคลื่อนไหว การเข้ารหัสข้อมูลเพื่อความปลอดภัยเข้าถึงและนำไปใช้ โดยเฉพาะเมื่อเป็นการใช้งานผ่านบริการคลาวด์

องค์ประกอบที่สาม เทคโนโลยีเมื่อทุกคนเข้าถึงเทคโนโลยีวิเคราะห์และประมวลผลข้อมูลตามความยินยอมที่เจ้าของข้อมูลอนุญาต ต้องมีระบบปฏิบัติทำหน้าที่เสมือนเป็นเจ้าของข้อมูล ตรวจสอบการเข้าถึงว่า ได้รับการอนุญาตและนำไปใช้อย่างตรงวัตถุประสงค์ ไม่ขัดต่อกฎหมาย

แนะวิธีเพิ่มการคุ้มครองข้อมูลส่วนตัว

วรเทพ ให้คำแนะนำว่า องค์กรต้องเริ่มจากการจัดประเภทข้อมูล เพื่อกำหนดกลุ่มบุคคลที่อนุญาตให้เข้าถึงและใช้งานข้อมูลได้ ชุดข้อมูลที่อ่อนไหวสูงและซับซ้อน เช่น ข้อมูลส่วนบุคคลลูกค้า ที่ต้องผูกกับระเบียบการออกเอกสารฐานความยินยอมจากเจ้าของข้อมูลก่อนนำไปใช้ ซึ่งต้องใช้เครื่องมือไอที เช่น Data Discovery เป็นตัวช่วยสืบหาข้อมูลทั้งหมดว่า เก็บรูปแบบใดหรือเก็บอยู่ที่ไหนในองค์กร

Data Catalog เป็นอีกวิธีปรับปรุงข้อมูลที่เก็บในรูปแบบเอกสารให้เป็นแบบดิจิทัล ทำให้การจัดเก็บดูแลสะดวกง่ายดายมากขึ้น ปกป้องข้อมูลที่สำคัญด้วยการเข้ารหัส กำหนดนโยบายเข้าถึงข้อมูลให้เหมาะสม

"การรั่วไหลข้อมูล เกิดขึ้นได้ทุกที่ทุกเวลาระหว่างการเดินทางของข้อมูล ทั้งเซิร์ฟเวอร์ สตอเรจ เน็ตเวิร์ค แอพพลิเคชั่น ดาต้าเบส คลาวด์ เซอร์วิส การเพิ่มความปลอดภัยด้วยการเข้ารหัสระหว่างการรับส่งข้อมูลจึงจำเป็น เพื่อให้มั่นใจว่ากรณีการรั่วไหลของข้อมูลออกไปสู่ภายนอก ข้อมูลนั้นจะไม่สามารถนำไปใช้งานได้"