โดย นายวรเทพ ว่องธนาการ, ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด
นับถอยหลังจากนี้ไปเพียง 5 เดือน จนถึงวันที่ 27 พฤษภาคม 2564 จะเป็นวันดีเดย์ของการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA หลังจากเลื่อนมาหนึ่งปี
อย่างที่เราได้ยินกันว่า Data is a New Oil “ข้อมูลคือขุมพลังงานใหม่ที่สร้างมูลค่าทางเศรษฐกิจอย่างมหาศาล” ยิ่งในโลกยุคดิจิทัลที่ข้อมูลธุรกิจ ข้อมูลส่วนบุคคลทั้งทางตรง ทางอ้อม ข้อมูลอ่อนไหว เป็นสิ่งที่องค์กรอยากเก็บรวบรวมไปวิเคราะห์ด้วยกระบวนการจัดการข้อมูลต่างๆ เพื่อใช้ปรับปรุงพัฒนาผลิตภัณฑ์และบริการเพื่อสร้างโอกาสทางการแข่งขัน กฎหมาย PDPA จึงเป็นเครื่องมือหนึ่งที่ช่วยป้องปรามผู้เก็บรวบรวมและนำข้อมูลเหล่านี้ไปใช้ จะต้องมีแนวทางกำกับดูแลไม่ให้ถูกใช้งานอย่างเลยเถิดจนเจ้าของข้อมูลถูกละเมิดสิทธิ รวมถึงต้องดูแลให้ปลอดจากภัยคุกคาม กฎหมาย PDPA จึงไม่ใช่การ ห้ามไม่ให้ เข้าถึงหรือใช้ข้อมูล แต่ต้องการให้เกิดการ จัดเก็บ และ ใช้ ข้อมูลอย่างถูกต้องและถูกวิธี เพื่อรักษาสมดุลระหว่าง ความเป็นส่วนตัวและความปลอดภัย (Privacy & Security) กับ การขับเคลื่อนธุรกิจบนพื้นฐานของความไว้วางใจ (Business Accelerator & Trust) ซึ่งสิ่งที่ได้รับกลับมา คือ ความมั่นคงของระบบจัดการข้อมูล และความไว้วางใจของลูกค้าที่มีต่อแบรนด์และตัวองค์กรในระยะยาว
3 มุมมองล้อมกรอบข้อมูลให้ปลอดภัย
ไอเอสเอฟ หรือ Information Security Forum เป็นตัวอย่างหนึ่งที่เสนอแนะการสร้างความมั่นคงปลอดภัยของข้อมูลให้ทนทานต่อภัยคุกคามใน 3 มุมมองที่นำมาประยุกต์ให้รับกับกฎหมาย PDPA ได้แก่
1.ความปลอดภัยต่อตัวข้อมูลโดยตรง (Information Security) เพื่อครอบคลุมสิ่งที่เรียกว่า CIA หมายถึง สิทธิในการเข้าถึงข้อมูลเฉพาะผู้ได้รับอนุญาต (Confidential) ข้อมูลที่จัดเก็บ ส่งต่อ และนำไปใช้ ต้องเป็นข้อมูลที่ถูกต้องและไม่ถูกแก้ไขโดยผู้ไม่มีสิทธิ (Integrity) และผู้มีสิทธิต้องเข้าถึงข้อมูลเพื่อใช้งานได้ตลอดเวลา (Availability)
2.ความปลอดภัยจากภัยคุกคามไซเบอร์ (Cyber Security) เป็นการป้องกันความเสี่ยงที่จะส่งผลกระทบต่อ CIA โดยเฉพาะการเชื่อมต่อออนไลน์ด้วยการเพิ่มเครื่องมือไอทีที่มีประสิทธิภาพ อาทิ การเข้ารหัสข้อมูล (Encryption) การระบุตัวตนก่อนเข้าถึงและใช้งาน (Authentication) หรือ กำหนดสิทธิการเข้าถึงข้อมูล (Authorization)
3.การสร้างระบบให้ทนทานต่อการถูกโจมตี (Cyber Resilience) คือ ระบบที่เท่าทันในการป้องกัน รับมือ และแก้ไขผลกระทบที่เกิดขึ้นให้เร็วที่สุด สร้างความเสียหายน้อยที่สุดด้วยแผนรับมือ 5 ขั้นตอน ได้แก่ ระบุความเสี่ยง (Identification) สร้างกลไกป้องกัน (Protection) มีระบบติดตาม (Detection) เตรียมแนวทางรับมือ (Response) และวางมาตรการกู้คืน (Recovery) ให้กลับมาใช้งานได้ทันท่วงที
เสริมแนวป้องกันเชิงรุกแบบ Zero Trust
ด้วยหลักการ Zero Trust ซึ่งไม่ให้ความไว้วางใจในทุกการเชื่อมต่อจนกว่าจะพิสูจน์ตัวตนได้ถูกต้อง เป็นการกระชับพื้นที่ปลอดภัยให้ทุกข้อมูลจากการโจมตีทั้งในและนอกองค์กร โดยเฉพาะการจัดเก็บข้อมูลนอกองค์กร เช่น บนไฮบริดคลาวด์ การเข้าถึงและเรียกใช้ข้อมูลโดยเครื่องเอนด์พอยต์ที่มากขึ้น อาทิ อุปกรณ์มือถือ (Mobile Devices) อุปกรณ์เคลื่อนที่ในองค์กร (Enterprise Mobility Devices) ที่อาจขโมยข้อมูลไปได้ง่ายเพียงแค่จับภาพหน้าจอ อีกแนวทางหนึ่งของความมั่นคงด้านข้อมูลเชิงรุก คือ การสร้างแนวปฎิบัติการทดสอบเจาะระบบแบบ Intelligence-led Penetration Testing ภายใต้สถานการณ์เสมือนจริง เพื่อขยายผลการตรวจจับช่องโหว่ที่ครอบคลุมทั่วทั้งตัวระบบ เทคโนโลยี ผู้ใช้งาน และขั้นตอนในการปฏิบัติงาน
ส่วนที่สำคัญที่สุดในการเริ่มต้นในปกป้องและบริหารจัดการข้อมูลส่วนบุคคลคือ การที่เราต้องรู้ก่อนว่าข้อมูลที่สำคัญเหล่านั้นอยู่ที่ไหน มีการจัดเก็บที่เหมาะสมหรือไม่ ใครดูแลรับผิดชอบ เพื่อที่จะเตรียมตัวในการบริหารจัดการให้ได้อย่างถูกต้องตามกฎระเบียบ และสามารถนำข้อมูลไปใช้งานได้อย่างมีประสิทธิผล
#PDPA #บริษัทยิบอินซอยจำกัด #พรบคุ้มครองข้อมูลส่วนบุคคลพศ2562 #DataisaNewOil
