ไมโครซอฟท์แนะแนวทางปรับตัว ก่อน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลบังคับใช้
กรุงเทพฯ 31 มีนาคม 2563 – ไมโครซอฟท์ ประเทศไทย ตอกย้ำบทบาทของการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลในโลกดิจิทัล ควบคู่กับความปลอดภัยของบุคลากรในสถานการณ์ปัจจุบัน พร้อมแนะแนวทางให้องค์กรทั่วไทยเตรียมตัวในระยะโค้งสุดท้าย ก่อนเริ่มต้นบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลในเดือนพฤษภาคมที่จะถึงนี้
“หลังจากที่พระราชบัญญัติฉบับดังกล่าวได้ผ่านการพิจารณาและเผยแพร่ทางราชกิจจานุเบกษาไปในช่วงกลางปี 2562 ที่ผ่านมา มีองค์กรและธุรกิจจำนวนไม่น้อยในประเทศไทยที่หันมาให้ความสนใจในการปรับเปลี่ยนแนวทางการทำงาน ยกระดับมาตรฐานต่าง ๆ ให้เป็นไปตามกรอบข้อบังคับด้านความเป็นส่วนตัวข้อมูลในกฎหมายฉบับนี้” นายโอม ศิวะดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าว “แต่ขณะเดียวกัน ยังมีองค์กรอีกจำนวนไม่น้อยที่ยังไม่สามารถปรับเปลี่ยนระบบงานได้อย่างทั่วถึงและสมบูรณ์ ส่วนความต้องการในด้านการค้นหา จัดเก็บ และประมวลผลข้อมูล ก็ยังคงเพิ่มขึ้นอย่างรวดเร็ว และยังอาจขยายตัวไปถึงข้อมูลในรูปแบบใหม่ ๆ มากมาย จึงทำให้การปรับตัวให้รองรับมาตรฐานใหม่อย่างถูกต้องตามกฎหมายเป็นภารกิจที่ซับซ้อนไม่น้อย”
ความจำเป็นที่จะต้องปรับตัวนี้ กำลังทวีความสำคัญยิ่งขึ้นในสถานการณ์ปัจจุบัน เมื่อพนักงานจำนวนมากในหลากหลายองค์กรจำเป็นต้องทำงานจากนอกสถานที่ หรือในบางกรณีอาจเลือกใช้อุปกรณ์ส่วนตัวของตนเองในการเข้าถึงเอกสารและระบบงานต่าง ๆ ขององค์กร ซึ่งทำให้การควบคุมการใช้งานข้อมูลให้ถูกต้องตามหลักการทางกฎหมายยิ่งมีความซับซ้อนมากขึ้น
แนะแนวทางเตรียมรับ พ.ร.บ. ฉบับใหม่ ยกระดับความเป็นส่วนตัวของข้อมูลทั่วไทย
ดร. นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด เผยว่า “อาจกล่าวได้ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทย เป็นกฎหมายที่มี รากฐานมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในกลุ่มประเทศสหภาพยุโรป หรือกฎหมาย GDPR ที่เริ่มบังคับใช้ไปเมื่อราว 2 ปีก่อน โดยมีธุรกิจในยุโรปจำนวนไม่น้อยที่ได้รับโทษทางกฎหมายไปแล้ว เนื่องจากไม่สามารถปฏิบัติตามมาตรฐานของกฎหมายฉบับนี้ได้ สำหรับประเทศไทย ทุกองค์กรต้องลงมือยกระดับมาตรฐานการทำงานให้เท่าทันมาตรฐานใหม่ของ พ.ร.บ. เช่นกัน โดยจะไม่เพียงช่วยลดผลกระทบที่อาจเกิดขึ้นจากการดำเนินคดีตามกฎหมายเท่านั้น แต่ยังเป็นการเสริมสร้างความมั่นใจและไว้วางใจในตัวองค์กรเองอีกด้วย”
หนึ่งในปัจจัยที่สำคัญที่สุดในการปฏิบัติตาม พ.ร.บ. นี้ คือการทำความเข้าใจในบทบาทขององค์กรในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคล ที่เป็นผู้ดำเนินการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ขณะเดียวกัน บุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลก็ต้องมีสิทธิในการยินยอมหรือคัดค้านการเข้าถึงหรือกระทำการใด ๆ กับข้อมูลของตนเอง รวมถึงการขอเข้าถึง รับสำเนา ลบ หรือทำลายข้อมูลของตนที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
นอกจากนี้ ทั้งผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลยังต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในองค์กร ในกรณีที่ผู้ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของภาครัฐ หรือมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และจำเป็นต้องทำการตรวจสอบข้อมูลหรือระบบอย่างสม่ำเสมอ หรือหากผู้ควบคุมหรือประมวลผลข้อมูลมีกิจกรรมหลักเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็น ทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่น ๆ ที่ใกล้เคียงกัน
“เมื่อทราบถึงบทบาทหน้าที่ของแต่ละฝ่ายแล้ว องค์กรจะต้องจำแนกประเภทของข้อมูลส่วนบุคคลที่มีในระบบให้ชัดเจน ก่อนจะจัดทำแผนผังที่ระบุกระบวนการการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้ชัดเจน และกำหนดกลยุทธ์ กรอบแนวทางการกำกับดูแล โครงสร้างการกำกับดูแล กรอบการดำเนินงาน และผู้รับผิดชอบในทุกขั้นตอน รวมถึงการประสานงานกับเจ้าของข้อมูลและบุคคลหรือหน่วยงานที่เกี่ยวข้องภายนอกองค์กรด้วย” ดร. นิพนธ์กล่าว “แต่กระบวนการทั้งหมดนี้จะสำเร็จไปไม่ได้ หากองค์กรยังคงขาดมาตรการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐาน ทั้งในด้านบุคลากร กระบวนการ และเทคโนโลยี เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล”
สำหรับไมโครซอฟท์เอง พร้อมรองรับลูกค้าธุรกิจในประเทศไทยด้วยแพลตฟอร์มคลาวด์ชั้นนำอย่าง Microsoft Azure และบริการครบครันในผลิตภัณฑ์อย่าง Microsoft 365 ซึ่งครอบคลุมทั้ง Windows และ Office 365 ด้วยคุณสมบัติใน 3 ด้านสำคัญ ได้แก่ การบริหารจัดการตัวตนผู้ใช้และการเข้าถึงข้อมูล การปกป้องข้อมูลให้ปลอดภัย และการรับมือกับการจู่โจม โดยแบ่งขั้นตอนการวางระบบให้ได้มาตรฐานออกเป็น 7 ขั้นตอนใหญ่ ๆ ดังนี้
- การแยกแยะข้อมูลส่วนบุคคลออกจากข้อมูลที่ไม่มีโครงสร้างแน่นอน (Unstructured Data) ซึ่งอาจครอบคลุมทั้งข้อมูลที่จัดเก็บอยู่ในระบบที่ติดตั้งอยู่ภายในองค์กรเอง ในระบบคลาวด์ของไมโครซอฟท์อย่าง Office 365 หรือแอปพลิเคชันคลาวด์อื่น ๆ
- ปกป้องข้อมูลในทุกช่องทาง ตั้งแต่ระบบขององค์กร ระบบคลาวด์ ไปจนถึงอุปกรณ์พกพา โดยสามารถใช้การเข้ารหัส ซึ่งอาจทำได้ทั้งกับตัวข้อมูลเอง อุปกรณ์ที่จัดเก็บข้อมูล หรือแอปพลิเคชันที่จัดการกับข้อมูล นอกจากนี้ Office 365 ยังมีตัวช่วยให้ผู้จัดการระบบสามารถจัดประเภทข้อมูลได้อย่างมีประสิทธิภาพ แยกแยะและแนะนำว่าข้อมูลแบบใดควรหรือไม่ควรนำไปใช้งานอย่างไรบ้าง
- ควบคุมการเข้าถึงข้อมูลโดยละเอียด ด้วยมาตรการป้องกันที่นอกเหนือจากรหัสผ่านทั่วไป ซึ่งอาจเป็นได้ทั้งการใช้ข้อมูลทางชีวภาพของผู้ใช้อย่างลายนิ้วมือ ใบหน้า หรือดวงตา และการใช้อุปกรณ์อย่างสมาร์ทโฟนหรือสมาร์ทการ์ดของผู้ใช้ที่ได้รับอนุญาตเป็นกุญแจร่วมกับรหัสผ่าน
- ค้นหาและควบคุมแอปพลิเคชันคลาวด์ที่เข้าถึงข้อมูลส่วนบุคคล นับตั้งแต่การประเมินความเหมาะสมของการใช้งานแอปพลิเคชันนั้น ๆ ภายใต้กฎหมายใหม่ กำหนดรูปแบบวิธีการใช้งานแอปพลิเคชันให้ชัดเจน และปกป้องข้อมูลที่แอปเหล่านี้สามารถเข้าถึงได้
- เฝ้าระวังและรับมือกับความเสี่ยง พร้อมลงมือแก้ไขก่อนที่จะเกิดความเสียหาย ทั้งจากการจู่โจมจากภายนอก และการกระทำของพนักงานภายในองค์กรเอง ไม่ว่าจะตั้งใจหรือไม่ก็ตาม พร้อมด้วยมาตรการลดความเสียหายจากการจู่โจม ปัจจุบัน ระบบ Advanced Threat Protection ของ Office 365 สามารถช่วยจัดการกับความเสี่ยงในหลายระดับ เช่นการตรวจจับไฟล์แนบอีเมลหรือลิงก์ที่อาจเป็นอันตราย ก่อนที่ผู้ใช้จะได้เปิดไฟล์หรือลิงก์ขึ้นมาด้วยตัวเอง เป็นต้น
- ประเมินมาตรฐานการปฏิบัติงานทุกขั้นตอน ด้วยโซลูชั่นอย่าง Compliance Manager ที่สามารถประเมินและให้คะแนนการปฏิบัติงานขององค์กรตามมาตรฐานและกฎหมายต่าง ๆ ตามข้อมูลระบบงานของผู้ดูแล พร้อมให้คำแนะนำที่เหมาะสมสำหรับการพัฒนาระบบต่อไป
- เตรียมตัวรับมือคำข้อจากเจ้าของข้อมูลส่วนบุคคล (Data Subject Request) ด้วยบริการเช่น Data Privacy Dashboard ใน Office 365 ที่ช่วยบริหารจัดการและติดตามคำขอดังกล่าวได้ พร้อมรองรับการค้นหาข้อมูลส่วนบุคคลหลากหลายประเภทในทุกแอปพลิเคชันของ Office
นายโอมยังกล่าวเสริมอีกว่า “แพลตฟอร์มคลาวด์ของไมโครซอฟท์มีเทคโนโลยีที่ทำงานผสานกันทั่วถึงทั้งระบบ ทั้งยังมีการสนับสนุนอย่างรอบด้านจากพันธมิตรทั่วประเทศ จึงพร้อมปกป้องข้อมูลส่วนบุคคลตามมาตรฐานของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลในทุกระดับ ไม่ว่าองค์กรจะใช้งานโครงสร้างพื้นฐานทางเทคโนโลยีในรูปแบบไหน ทั้งยังมาพร้อมกับระบบรักษาความปลอดภัยที่แน่นหนา ช่วยลดความเสี่ยง จำกัดความเสียหาย และขับเคลื่อนการฟื้นฟูระบบหากเกิดการโจมตี”
ผู้สนใจสามารถอ่านข้อมูลเพิ่มเติมเกี่ยวกับแนวทางการปฏิบัติงานของไมโครซอฟท์เพื่อความปลอดภัยและความเป็นส่วนตัวของข้อมูลได้ที่ https://www.microsoft.com/th-th/trust-center/ หรือสอบถามข้อมูลเกี่ยวกับผลิตภัณฑ์และบริการของไมโครซอฟท์ได้ที่ https://aka.ms/contactmsftth