การเก็บรักษาข้อมูลให้ปลอดภัยภายใต้หลักพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
สวัสดีเพื่อนๆที่น่าร้ากทุกคน วันนี้กลับมาพบกันใน medium อีกครั้ง ในครั้งนี้เรากลับมาพร้อมกับหัวข้อที่กำลังเป็นกระแสร้อนแรงไม่แพ้แดดประเทศไทยในตอนนี้ นั่นก็คือ … การเก็บรักษาข้อมูลให้ปลอดภัยภายใต้หลักพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล นั่นเองงง
มารู้จัก PDPA — GDPR กันเถอะ
หลายคนอาจจะสงสัยว่า PDPA — GDPR ที่เป็นกระแสอยู่ตอนนี้คืออะไร วันนี้เราจะมาไขข้อสงสัยให้เพื่อนๆเอง
PDPA ย่อมาจาก Personal Data Protection Act คือ พรบ.คุ้มครองข้อมูลส่วนบุคคล ซึ่ง พ.ร.บ.อันนี้มีผลต่อองค์กรทุกองค์กรทั่วโลกที่เก็บข้อมูลส่วนบุคคลของประชากรไทย และ จะมีผลเริ่มบังคับใช้อย่างจริงจังในวันที่ 27 พฤษภาคม 2564 ถ้าหากมีการละเมิดจะมีบทลงโทษทางกฎหมาย
GDPR ย่อมาจาก General Data Protection Regulation เป็นหลักกฎหมายของสหภาพยุโรปที่ใช้สำหรับคุ้มครองข้อมูลส่วนบุคคล ถ้าหากองค์กรจำเป็นต้องใช้ข้อมูลส่วนบุคคลเพื่อนำไปวิเคราะห์ ต้องได้รับการยินยอมจากเจ้าของข้อมูลเป็นลายลักษณ์อักษร และ สามารถตรวจสอบได้
หลังจากที่พอทราบว่า PDPA — GDPR คืออะไรกันไปแล้วเพื่อนคงจะสงสัยกันว่าเอ๊ะ?! แล้วข้อมูลอะไรบ้างที่ถือเป็นข้อมูลส่วนบุคคลหละ? เอาหละ!!!ข้อมูลส่วนบุคคลคือข้อมูลทุกประเภทที่สามารถใช้แสดงตัวตน หรือ ระบุตัวตนได้ ทั้งในแบบ Online และ Offline ในทางตรง และ ทางอ้อม เช่น
*** สำหรับ PDPA ข้อมูลผู้ตาย ไม่ถือว่าเป็นข้อมูลส่วนบุคคล
การที่องค์กรจะนำข้อมูลส่วนบุคคลไปใช้ตามวัตถุประสงค์ต่างๆนั้นจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนนำไปใช้งาน โดยมีหลักการขอความยินยอม (Consent) ดังต่อไปนี้
หลังจากที่องค์กรได้รับการยินยอมจากเจ้าของข้อมูลแล้ว เจ้าของข้อมูลมีสิทธิเรียกร้องให้องค์กรปฏิบัติตามความต้องการได้ดังต่อไปนี้
หลังจากที่พอทราบเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) กันไปแล้วเรามารู้จักวิธีการรักษาความปลอดภัยของข้อมูลให้เป็นไปตามหลัก พ.ร.บ.ซึ่งวิธีการรักษาความปลอดภัยของข้อมูลสามารถทำได้หลายวิธี เช่น
1. Data Encryption — มีการ Encrypt ข้อมูลภายในระบบฐานข้อมูล เพื่อไม่ให้ผู้โจมตีสามารถเข้าถึงข้อมูลจริงได้
2. Access Control — มีมาตรการควบคุมการเข้าถึงข้อมูลพร้อมทั้งมีการกำหนดสิทธิบุคคลที่สามารถเข้าถึงข้อมูลได้ เช่น บริษัทแห่งหนึ่งเก็บข้อมูลพนักงานไว้ในระบบฐานข้อมูลส่วนกลาง และกำหนดสิทธิให้ HR สามารถเข้าถึงข้อมูลของพนักงานได้ ฝ่ายบัญชีสามารถเข้าถึงได้เฉพาะข้อมูลเงินเดือนของพนักงาน ถ้าหากฝ่ายบัญชีพยายามเรียกดูข้อมูลส่วนที่นอกเหนือจากเงินเดือน การแสดงผลจะเป็นแบบไม่ครบถ้วน (Data Masking) หรือ session ของพนักงานบัญชีคนนั้นจะถูกทำลายขึ้นอยู่กับการตั้ง policy เนื่องจากพนักงานบัญชีไม่ได้รับสิทธิการเข้าถึงข้อมูลในส่วนอื่นของพนักงาน เป็นต้น
3. หากมีการส่งผ่านข้อมูล ควรส่งผ่าน Secure channel เช่น sftp, ssh, https, ฯลฯ เนื่องจากหากใช้ channel ธรรมดาในการส่งผ่านข้อมูล ผู้โจมตีสามารถใช้โปรแกรมดักจับ packet เพื่อจับ packet และ ดูข้อมูลส่วนบุคคลต่างๆได้
4. มีการเก็บ Log ในการทำ operation ต่างๆของผู้ใช้งาน เช่น ชื่อผู้ใช้งานที่เข้าสู่ระบบ, ชื่อเครื่อง หรือ IP Address ของคอมพิวเตอร์ที่เข้าใช้งาน, ชื่อระบบฐานข้อมูลที่เข้าถึง, operation ที่ผู้ใช้งานเรียกใช้ เป็นต้น
5. มีการตรวจสอบการรักษาความมั่นคงปลอดภัยของระบบอย่างสม่ำเสมอ เช่น การตรวจสอบช่องโหว่ในระบบ (Vulnerability Assessment), การทดสอบเจาะระบบ (Pentest), การสอบทานระบบ IT (IT Audit) เป็นต้น
6. มีการระบุความเสี่ยง โดยทำ Privacy/Data Protection Impact Assessment และ Risk Assessment เพื่อนำไปวางแผนป้องกันข้อมูล และ มาตรการรองรับในกรณีที่ข้อมูลเกิดการรั่วไหล
7. มีระบบ Monitoring สำหรับ Monitor พฤติกรรมการใช้งานของ user ในระบบ ถ้าหากมีพฤติกรรมการใช้งานที่ผิดปกติ ระบบควรมีการแจ้งเตือนให้ผู้ดูแลระบบทราบ
8. มีการสร้างเสริมความรู้ ความเข้าใจเกี่ยวกับการรักษาความปลอดภัยของข้อมูลให้กับผู้ปฏิบัติงานที่มีผลต่อข้อมูลโดยตรงทั้งในเชิง IT และ Non-IT
9. ในกรณีที่องค์กรมีการใช้บริการการเก็บรักษาข้อมูลกับ third party ต้องมีการตรวจสอบว่าฝั่ง third party ต้องมีมาตรการการรักษาความปลอดภัยของข้อมูล
ในปัจจุบันมี tool และ เทคโนโลยีที่หลากหลายที่ช่วยในการรักษาความปลอดภัยข้อมูล เช่น function ของ Database แต่ละยี่ห้อ ที่รองรับการทำ Data encryption หรือ จะเป็น third party tool อย่าง IBM Guardium ซึ่งเป็น database firewall ที่สามารถตั้ง policy หรือ rule ต่างๆ เพื่อกำหนดการเข้าถึงข้อมูลแต่ละประเภท, Monitor พฤติกรรมการใช้งานของ user ในระบบ, Vulnerability Assessment ที่รองรับระบบฐานข้อมูลได้หลากหลายยี่ห้อ และ ระบบปฏิบัติการที่หลากหลาย (สามารถอ่านข้อมูลเพิ่มเติมได้จากlink https://medium.com/sirisoft/database-security-with-ibm-guardium-342ba098d35f จ้า)
สำหรับวันนี้เราได้นำเสนอวิธีการรักษาความปลอดภัยของข้อมูลมาแชร์ให้เพื่อนๆ หวังว่า Blog นี้จะเป็นประโยชน์ต่อเพื่อนๆไม่มากก็น้อย อย่าลืมกด like กด share กดสับตะไคร้ แฮ่ ไม่ใช่ follow Sirisoft เพื่อติดตามเนื้อหาอื่นๆที่น่าสนใจกันน้า เราขอลาไปก่อน บ๊ายบายยยยย
Reference :
Srinak, Thaweesak(2020), 6 Steps to Stay Compliant to Thailand Personal Data Protection Act[PowerPoint Presentation], Retrieve from Computer Union
https://www.law.chula.ac.th/wp-content/uploads/2019/06/tdpg.pdf#page22
https://www.etda.or.th/app/webroot/content_files/13/files/1.ETDA-PDPA.pdf
