กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อธุรกิจอย่างยิ่ง องค์กรใดละเมิดมีโทษปรับหรือจำคุก ตั้งแต่กฎหมายเริ่มประกาศใช้เมื่อปี พ.ศ. 2562 และมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 เป็นต้นมา แรกเริ่มยังไม่มีองค์กรใดถูกลงโทษ หลายหน่วยงานจึงหละหลวมและค่อย ๆ ลดการให้ความสำคัญลง กระทั่งเดือนสิงหาคม พ.ศ. 2567 มีข่าวว่าองค์กรแห่งหนึ่งจัดการข้อมูลส่วนบุคคลผิดพลาด ถูกโทษปรับกว่า 7 ล้านบาท จึงเป็นการย้ำถึงความสำคัญได้ดี แต่กระนั้นหลายหน่วยงานก็ยังมีการเข้าใจที่คลาดเคลื่อนเกี่ยวกับ PDPA อยู่ เนื่องจากกฎหมายฉบับนี้ไม่ได้เกี่ยวข้องเฉพาะการขออนุญาตเก็บข้อมูลส่วนบุคคล แต่ยังรวมถึงการลบทำลาย อายุการจัดเก็บ กระบวนการและเทคโนโลยีด้านการรักษาความมั่นคงปลอดภัย (Security) รวมอยู่ด้วย
เมื่อความเข้าใจองค์ประกอบของ PDPA ไม่ครบถ้วน จึงอาจส่งผลเสียต่อธุรกิจ ทีมงานจึงขอเชิญทุกท่านมาอุดรอยรั่วด้วยความรู้เกี่ยวกับข้อมูลส่วนบุคคล โดยผู้ที่มาให้ความรู้เพิ่มความเข้าใจในประเด็นนี้ คือ รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ Co-founder/Chief Technology Officer แห่ง PDPA Plus (Thailand) Co., Ltd.
PDPA PLUS ผู้เชี่ยวชาญด้านการจัดการข้อมูลส่วนบุคคล และ Cyber Security
PDPA Plus คือ บริษัทให้บริการด้านจัดการข้อมูลส่วนบุคคล และ Cyber Security ครบวงจร โดยรวมผู้เชี่ยวชาญที่เกี่ยวข้องทุกด้านมาช่วยปิดช่องโหว่ภัยคุกคามที่อาจเกิดขึ้นกับองค์กร และสอดคล้องกับกฎหมาย PDPA ประกอบด้วย การเป็นที่ปรึกษาด้านระบบเทคโนโลยีสารสนเทศ (Information Technology) ความมั่นคงปลอดภัย (Cyber Security) ที่ปรึกษาด้านกฎหมายธุรกิจ (Business law) ที่ปรึกษาด้านบริหารความเสี่ยงธุรกิจและความต่อเนื่องทางธุรกิจ (Enterprise Risk & Business Continuity Management) ที่ปรึกษาด้านระบบตามมาตรฐานสากล (International standards) ที่ปรึกษาด้านกฎหมายธุรกิจ (Business legal) แบบครบวงจร
ทั้งนี้ PDPA Plus เริ่มต้นธุรกิจด้าน Cyber Security แล้วขยายมาสู่ PDPA จึงมีความเข้าใจเรื่องการจัดการข้อมูลส่วนบุคคลในหลากหลายมิติ ทั้งด้านมุมมองของนักกฎหมาย และมุมมองของเทคโนโลยี ซึ่งพบว่า ความผิดพลาดในการจัดการข้อมูลส่วนบุคคลส่วนหนึ่งมาจากการขาดความเข้าใจในมิติไอที
PDPA กับมิติทางด้านกฎหมาย และ เทคโนโลยี
การจัดการข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพต้องดำเนินทั้งด้านกฎหมายและเทคโนโลยีควบคู่กันไป เพื่อให้เห็นภาพ รศ.ดร.พงษ์พิสิฐ ยกวงจรชีวิตข้อมูลส่วนบุคคล มาอธิบายประกอบว่า
“วงจรชีวิตข้อมูลส่วนบุคคล เริ่มจาก 1.การเก็บรวบรวมข้อมูลส่วนบุคคล 2.การนำไปเปิดเผย นำไปใช้ หรือเก็บรักษา และ 3.การทำลาย”
ในวงจรชีวิตข้อมูลส่วนบุคคล รศ.ดร.พงษ์พิสิฐ กล่าวว่า ในส่วนแรก ที่เป็นขั้นตอนการเก็บรวบรวมข้อมูลส่วนบุคคล มีกฎหมายกำกับอยู่ คือ การขอความยินยอม และฐานกฎหมาย เช่น วัตถุประสงค์ที่ต้องเก็บข้อมูลส่วนบุคคล องค์กรโดยส่วนมากจะพุ่งเป้าไปที่การทำเอกสารขอความยินยอม ทำสัญญา และออกใบประกาศให้ต้องตามกฎหมาย แต่องค์ประกอบยังไม่ครบ เพราะการที่จะบรรลุเป้าหมายใด ๆ ต้องมี 3 องค์ประกอบ ได้แก่ People, Process และ Technology (คน กระบวนการ และเทคโนโลยี)
การทำสัญญา การลงชื่อให้ความยินยอมเป็นเพียงกระบวนการหนึ่งเท่านั้น แต่ยังไม่ครบ เพราะในกฎหมาย PDPA ระบุในมาตรา 37 ด้วยว่า จะต้องมีมาตรการด้านความมั่นคงปลอดภัย ก็คือระบบ Security ป้องกันข้อมูลรั่วไหล การเข้าถึง การเปลี่ยนแปลงแก้ไขข้อมูลโดยไม่ได้รับอนุญาต และการเก็บบันทึกกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
“โดยหลัก ๆ บริษัทส่วนใหญ่ทำอยู่ 2 อย่างแรก คือ ประกาศข้อมูลส่วนบุคคล โดยก่อนจะเก็บข้อมูลก็แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน ถัดมาคือการตอบสนองสิทธิ์เจ้าของข้อมูลส่วนบุคคล ที่เหลือเช่น ระบบ Security ข้อมูลส่วนบุคคล มักจะถูกละเลย ทีนี้พอข้อมูลหลุด ก็เท่ากับถูกละเมิดข้อมูลส่วนบุคคล เมื่อเกิดเหตุการณ์นี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ก็จะมาขอดูว่าเรามีมาตรการ Security ที่ดีไหม? ข้อมูลที่หลุดไปเป็นข้อมูลเก่าหรือใหม่? หลุดจากฝั่งเรา หรือ Outsource? มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) อย่างไร? หากพบว่าเราเป็นฝ่ายที่ทำให้ข้อมูลส่วนบุคคลหลุด หรือแม้กระทั่งเราเลือก Outsource ที่ไม่มีมาตรฐานการรักษาความมั่นคงปลอดภัยที่เหมาะสม จนทำให้ข้อมูลส่วนบุคคลหลุด องค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลในฐานะผู้ว่าจ้างก็จะโดนลงโทษด้วยเช่นกัน” รศ.ดร.พงษ์พิสิฐ อธิบาย พร้อมขยายความเพิ่มเติมว่า แม้องค์กรจะจ้างบริษัทอื่นเก็บรักษาข้อมูลส่วนบุคคลให้ แต่ถ้าข้อมูลหลุด ความผิดก็ตกแก่องค์กรเจ้าของข้อมูลอยู่ดี ฉะนั้นก่อนว่าจ้าง ต้องทำข้อตกลงให้ชัดเจน และเลือก Outsource ที่มีมาตรฐานการรักษาความมั่นคงปลอดภัยที่ดี
นอกจากนี้ รศ.ดร.พงษ์พิสิฐ ยังย้ำว่าเทคโนโลยีมีความสำคัญต่อกฎหมาย PDPA เพราะถึงมีการขออนุญาตเก็บข้อมูลส่วนบุคคลตามกฎหมายแล้ว แต่ถ้าข้อมูลหลุดก็ถือว่าทำผิดกฎหมายเช่นกัน ฉะนั้นการทำ PDPA อย่างมีประสิทธิภาพจึงต้องควบคู่กันไประหว่างมุมกฎหมายและเทคโนโลยี
ไม่มีความมั่นคงปลอดภัย เท่ากับ ไม่มีความเป็นส่วนตัว
รศ.ดร.พงษ์พิสิฐ อธิบายความสำคัญของระบบความมั่นคงปลอดภัย หรือ Cyber Security ที่มีต่อข้อมูลส่วนบุคคลว่า
“สมมติผมเป็นเจ้าหน้าที่ธนาคาร มีสิทธิ์เข้าถึงข้อมูลลูกค้า แต่แอบเอาข้อมูลนั้นไปขาย เท่ากับนำไปใช้ผิดวัตถุประสงค์ อย่างนี้เรียกว่าละเมิด PDPA ทั้ง ๆ ที่องค์กรสร้างระบบป้องกันการนำข้อมูลออกนอกองค์กรได้ ฉะนั้นถ้าเกิดไม่มี Security จะไม่มีทางมี Privacy ได้ แต่คนส่วนใหญ่เวลานึกถึงความเป็นส่วนตัว มักคิดว่า ต้องมีประกาศคุ้มครองข้อมูลส่วนบุคคล มีการแจ้งสิทธิ์ขอความยินยอม ไม่ค่อยนึกถึงมาตรการ Security เลย”
การละเมิด PDPA เกิดขึ้นได้อย่างไรบ้าง
เมื่อหันมอง PDPA ในด้านเทคโนโลยี จะพบว่า โอกาสที่จะละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลเกิดขึ้นได้ง่ายมาก โดย รศ.ดร.พงษ์พิสิฐ ยกตัวอย่างให้ชวนตระหนักหลายกรณี ดังนี้
ทำให้เสียสิทธิ์ก็เป็นการละเมิดข้อมูลส่วนบุคคล
“คนส่วนใหญ่เมื่อนึกถึงข้อมูลส่วนบุคคล มักคิดว่าต้องเป็นข้อมูลลับห้ามเปิดเผย แต่จริง ๆ แล้ว ถ้าข้อมูลนั้นผิด จนทำให้เจ้าของข้อมูลเสียสิทธิ์ ก็เป็นการละเมิดเช่นกัน เช่น บริษัทมีการมอบรางวัลพนักงานดีเด่น โดยดึงข้อมูลจากระบบอัตโนมัติมาพิจารณา ในความเป็นจริงแล้ว นาย A ต้องได้รับรางวัล แต่ปรากฎว่า ข้อมูลที่กรอกเข้าไปในระบบมันผิด จึงทำให้นาย A ซึ่งเป็นเจ้าของข้อมูลเสียสิทธิ์ อย่างนี้ก็เรียกว่าการละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (Integrity Breach)”
“อีกกรณีหนึ่ง แม้ระบบมีความลับดีมาก มีความสมบูรณ์ มีความพร้อมใช้ แต่เมื่อระบบเสีย กว่าจะกลับมาใช้งานได้ต้องเสียเวลาไปนานมาก จนทำให้เจ้าของข้อมูลส่วนบุคคลเสียสิทธิ์ก็ถือเป็นการละเมิด เช่น เรากำลังซื้อตั๋วคอนเสิร์ตออนไลน์โดยได้สิทธิพิเศษ เพราะเป็นสมาชิก เราก็ login เข้าไป ข้อมูลมีความถูกต้องเป็นความลับ แต่ตอนจะใช้สิทธิ์ มันดันไม่สามารถใช้สิทธิ์ได้ เราจึงเสียสิทธิ์ในการที่จะใช้โปรโมชั่น อย่างนี้ก็ถือเป็นการละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล (Availability Breach) เช่นกัน”
ความเผลอเรอมีโอกาสละเมิดข้อมูลส่วนบุคคล
การละเมิดข้อมูลส่วนบุคคลบางครั้งก็มาจากความผิดพลาด รศ.ดร.พงษ์พิสิฐ ยกกรณีโรงพยาบาลแห่งหนึ่งในประเทศอังกฤษว่า เจ้าหน้าที่ของโรงพยาบาลเผลอส่งข้อมูลผู้ป่วย HIV โดยกดส่งพร้อมกันหลายคน ทำให้ข้อมูลละเอียดอ่อนของผู้ป่วยถูกเปิดเผย ความผิดพลาดนี้ทำให้ถูกปรับเป็นเงินถึง 18,000 ปอนด์ หรือประมาณเกือบ 8 ล้านบาทเลยทีเดียว
การประชุมออนไลน์ก็มีโอกาสเกิดการละเมิดข้อมูลส่วนบุคคลด้วยเช่นกัน โดยบางครั้งการที่ไมโครโฟนเปิดอยู่ แล้วเจ้าตัวไม่รู้ เผลอพูดข้อมูลอันละเอียดอ่อนออกมา ทำให้ผู้ร่วมประชุมคนอื่นรับรู้ ก็เข้าข่ายละเมิดข้อมูลส่วนบุคคล ซึ่งคนรับผิด คือ เจ้าของการประชุม ที่ไม่คำนึงถึงความเป็นส่วนตัวของผู้เข้าร่วมประชุมตั้งแต่ต้น (Privacy by default) ฉะนั้นจึงควรระมัดระวัง หากเป็นผู้จัดการห้องประชุม ในกรณีที่ผู้เข้าร่วมประชุมไม่จำเป็นต้องมีการเปิดไมค์หรือเปิดกล้อง ให้ผู้คนจัดการห้องประชุมตั้งค่าปิดไมค์ หรือกล้องของผู้ร่วมประชุมก่อน หรือหากมีผู้ใดเผลอเปิดไว้โดยไม่ได้ตั้งใจ ก็ต้องแจ้งเตือนให้ทราบว่าขณะนี้กำลังอยู่ในห้องประชุม
ความสำคัญของ PDPA สำหรับองค์กรธุรกิจ
รศ.ดร.พงษ์พิสิฐ กล่าวถึงสาเหตุที่ประเทศไทยออกกฎหมาย PDPA เนื่องมาจากเหตุผลทางการค้าเพราะหลาย ๆ ประเทศ เช่น สหภาพยุโรป ญี่ปุ่น สิงคโปร์ มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล และจะเน้นติดต่อธุรกิจกับประเทศที่มีกฎหมาย PDPA ทัดเทียมกัน ฉะนั้น PDPA นอกจากจะคุ้มครองข้อมูลส่วนบุคคลแล้ว ยังมีความสำคัญกับองค์กรธุรกิจด้านโอกาสทางการค้าอีกด้วย
เมื่อแยกย่อยลงมา กฎหมาย PDPA ยังมีความสำคัญในด้านการสร้างภาพลักษณ์ ลูกค้าเกิดความเชื่อมั่น และเพิ่มความสามารถทางธุรกิจด้วย โดย รศ.ดร.พงษ์พิสิฐ ยกตัวอย่างว่า หากธุรกิจได้รับรองมาตรฐานสากลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น ISO/IEC27701 แล้ว หรือมีปฏิบัติและตรวจประเมินตามหลักกฎหมาย PDPA อย่างเคร่งครัด จะสร้างความมั่นใจต่อลูกค้าว่าข้อมูลส่วนบุคคลของเขาจะไม่รั่วไหล สะดวกใจต่อการติดต่อซื้อขายด้วย โดยเฉพาะธุรกิจ SME ที่มีการแข่งขันสูงในปัจจุบัน บางธุรกิจทำข้อมูลส่วนบุคคลของลูกค้าหลุด ส่งผลให้ลูกค้าไม่พอใจ ไม่ยอมอุดหนุนสินค้า ทำให้องค์กรขาดรายได้ ถึงกับต้องปิดกิจการไปก็มี
นอกจากโอกาสทางธุรกิจแล้ว ความสำคัญของ PDPA ที่มีต่อองค์กร คือ ทุกองค์กรต้องทำ เพราะเป็นกฎหมาย ฉะนั้นจึงควรศึกษาเรียนรู้ให้เข้าใจอย่างแท้จริง เพราะถ้าข้อมูลรั่วไหล เกิดการละเมิด โทษจำหรือปรับเป็นเงินมหาศาลก็พร้อมเกิดขึ้น
การทำ PDPA มีส่วนช่วยให้การทำงานขององค์กรคล่องตัวขึ้น เพราะกฎหมายระบุอายุของการเก็บข้อมูลส่วนบุคคลไว้ หากถึงกำหนด เช่น 5 ปี ก็ต้องลบทำลาย ประเด็นนี้ช่วยให้องค์กรไม่ต้องเก็บข้อมูลจำนวนมากเกินจำเป็น จนส่งให้ระบบประมวลผลของบริษัทต้องทำงานหนัก เพราะโดยปกติแล้วคนส่วนใหญ่จะไม่ค่อยลบข้อมูลเหล่านี้ออก เก็บไว้อย่างไรก็อย่างนั้น
เพราะ PDPA มีความสำคัญต่อองค์กร รศ.ดร.พงษ์พิสิฐ จึงย้ำว่า ควรหมั่นอบรมพนักงานอย่างสม่ำเสมอ รวมทั้งเลือกใช้ผลิตภัณฑ์ด้าน Security ที่ได้มาตรฐาน
“PDPA ถ้าทำตามกระบวนการก็ช่วยลดความเสี่ยง สร้างความเชื่อมั่นได้ ถามว่าถ้าไม่ทำเลยได้ไหม? ก็อาจจะไม่มีใครรู้ แต่ถ้าถูกฟ้องขึ้นมาก็มีโอกาสถูกปรับสูง ซึ่งก็มองค์กรหนึ่งของไทยที่ถูกปรับไปแล้วถึง 7 ล้านบาท เพราะละเลยต่อ PDPA”
ขั้นตอนการ Implement ระบบจัดการ PDPA ภายในองค์กรธุรกิจ
หากต้องการ Implement หรือดำเนินการ ระบบ PDPA ภายในองค์กร รศ.ดร.พงษ์พิสิฐ แนะนำว่า เริ่มจากพิจารณา 3 ปัจจัยหลัก ประกอบด้วย คน กระบวนการ และเทคโนโลยี คือ สร้างความตระหนักรู้ให้กับพนักงาน พัฒนากระบวนการที่เป็นไปตามหลักกฎหมายและนำไปปฏิบัติได้อย่างเหมาะสม และซื้อเทคโนโลยีที่เหมาะกับระดับความเสี่ยงและการลงทุนขององค์กร
“ผู้บริหารต้องสนับสนุน แต่งตั้งคณะทำงานให้พร้อม พอมีคณะทำงานแล้ว ถัดมาต้องรู้กระบวนการภายในว่าองค์กรเรามีอะไรบ้าง ข้อมูลส่วนบุคคลได้จากที่ไหน จะเก็บไว้ที่ไหน ใช้อย่างไร เก็บกี่ปี แต่ละแผนกจะเก็บและประมวลผลข้อมูลอย่างไร มีการแบ่งปันข้อมูลระหว่างแผนก หรือกับองค์กรภายนอกหรือไม่ สร้างเป็นบันทึกรายการของกิจกรรมข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA) ให้พร้อม” รศ.ดร.พงษ์พิสิฐ ขยายความ
ต่อจากนั้น รศ.ดร.พงษ์พิสิฐ อธิบายว่า เมื่อได้กระบวนการแล้ว ก็ให้มากำหนดมาตรฐานความมั่นคงปลอดภัยของชุดข้อมูล เนื่องจากข้อมูลแต่ละประเภทมีความสำคัญไม่เท่ากัน พร้อมยกตัวอย่างกรณีโอนเงินผ่านแอปปพลิเคชั่นธนาคาร หรือโมบายแบงก์กิ้ง หากโอนเงินไม่เกิน 50,000 บาท กรอกรหัส PIN ยืนยันก็เพียงพอ แต่หากโอนเงินเกิน 50,000 บาท ต้องเพิ่มมาตรฐานความมั่นคงปลอดภัยด้วยการสแกนใบหน้า ฯลฯ
ข้อมูลส่วนบุคคลก็เช่นกัน ให้แยกประเภทความสำคัญ ความสำคัญระดับหนึ่ง อาจใช้เพียงรหัสผ่านชุดเดียว ความสำคัญระดับสอง อาจต้องสแกนใบหน้าหรือใช้รหัสผ่านครั้งเดียว (One Time Password: OTP) เหมือนที่ส่งมาให้เราใช้งานทาง SMS เมื่อทำธุรกรรม เพิ่มเข้ามาด้วย เป็นต้น
ต่อจากกระบวนการ คือ เทคโนโลยีที่จะช่วยในเรื่อง Security ส่วนนี้ให้เลือกตามความเหมาะสมขององค์กร ซึ่งสามารถปรึกษาผู้เชี่ยวชาญก่อนลงมือติดตั้งได้ ที่สำคัญเมื่อติดตั้งแล้วควรจ้างผู้เชี่ยวชาญด้าน Security มาทดสอบเจาะระบบหาจุดอ่อนเพิ่มจุดแข็ง ก่อนที่จะถูกแฮ็กเกอร์โจมตี ต่อจากนั้นควรมีการดูแล และอัพเกรดเวอร์ชั่นให้ทันสมัย การเฝ้าระวังภัยคุกคาม และเตรียมพร้อมมีแผนรับมือภัยคุกคามทางไซเบอร์ มีแผนตอบสนองต่อเหตุละเมิดข้อมูล และแผนกู้คืนระบบสารสนเทศที่สำคัญ รวมทั้งอบรมพนักงานให้พร้อมอยู่เสมอ ซึ่งเหล่านี้องค์กรอาจใช้บริการจากหน่วยงานภายนอกหรือทาง PDPA Plus ได้
เรื่องการดูแลรักษา และอบรมพนักงานอย่างสม่ำเสมอ รวมถึงการฝึกซ้อมแผนรับมือภัยคุกคามทางไซเบอร์ มีแผนตอบสนองต่อเหตุละเมิดข้อมูล เป็นสิ่งสำคัญ รศ.ดร.พงษ์พิสิฐ เปรียบเหมือนการซ้อมหนีไฟ เมื่อเกิดไฟไหม้แล้วไม่เคยซ้อมเลย ก็จะแก้ปัญหาไม่ถูก
Solutions เด่นเกี่ยวกับ PDPA จาก PDPA PLUS
นอกจากให้คำปรึกษา บริการด้าน PDPA แล้ว ทาง PDPA PLUS ยังมีโซลูชั่นอัจฉริยะที่จะช่วยคุ้มครองข้อมูลส่วนบุคคลขององค์กรให้มั่นคงปลอดภัยหลายโซลูชั่น ได้แก่
Database Encryption การเข้ารหัสฐานข้อมูล
เทคโนโลยีป้องกันข้อมูลโดยการเข้ารหัส เพื่อป้องกันการเข้าถึงและการอ่านข้อมูลโดยไม่ได้รับอนุญาต รวมถึงช่วยปกป้องข้อมูลสำคัญ และลดความเสี่ยงจากการแอบดูข้อมูล หรือการบุกรุก
Database Firewall ระบบรักษาความปลอดภัยฐานข้อมูล
โซลูชั่นนี้ เป็นการปป้องกันการเข้าถึงข้อมูลเช่นกัน พิเศษตรงที่ใช้สร้างแนวกั้นระหว่างฐานข้อมูลและเครือข่ายอื่น ๆ ในระบบขององค์กร เพื่อไม่ให้เกิดการบุกรุก และเข้าถึงโดยไม่ได้รับอนุญาต
Information Rights Management (IRM) การจัดการสิทธิ์ข้อมูล
IRM เป็นโซลูชั่นปกป้องข้อมูลและเอกสารอิเล็กทรอนิกส์ โดยผู้ที่มีสิทธิ์เท่านั้นที่สามารถเข้าถึงข้อมูลได้ ช่วยไม่ให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างมีประสิทธิภาพ
Data Masking การปกปิดข้อมูล
โซลูชั่น Data Masking เป็นนวัตกรรมในการป้องกันข้อมูลส่วนบุคคลที่สำคัญ เช่น สามารถปิดข้อมูลละเอียดอ่อนอย่างเลขประจำตัวประชาชน ข้อมูลเชื้อชาติ ศาสนา ฯลฯ โดยเมื่อต้องส่งต่อเอกสาร หรือนำมาใช้ ระบบจะทำการปิดบังข้อมูลเหล่านั้นให้โดยอัตโนมัติ เช่น เปลี่ยนตัวเลขเป็นเครื่องหมาย XXXX
Data Loss Prevention (DLP) การป้องกันการสูญหายของข้อมูล
DLP เป็นโซลูชั่นอัจฉริยะเรื่องการคุ้มครองข้อมูลส่วนบุคคล เพราะมีหน้าที่สแกนหาว่า ข้อมูลสำคัญถูกพนักงานแอบก็อปปี้ไปไว้ในเครื่องคอมพิเตอร์ส่วนตัวหรือไม่ หรือถูกแอบส่งอีเมลไปข้างนอกหรือไม่
Data Discovery การค้นหาข้อมูล
เป็นโซลูชั่นที่ทำให้การจัดการข้อมูลเป็นเรื่องง่าย เพราะเทคโนโลยีนี้จะช่วยค้นหาข้อมูลทุกอย่างในองค์กรมาเก็บให้เป็นระเบียบ
แนวโน้มในอนาคตของการจัดการ PDPA สำหรับธุรกิจในไทย
อย่างที่กล่าวข้างต้นว่า PDPA ถูกละเลยไปมาก เพราะบางองค์กรมองว่า ทำก็ได้ ไม่ทำก็ได้ แต่เมื่อกรณีถูกปรับเป็นเงินมหาศาลเกิดขึ้น รศ.ดร.พงษ์พิสิฐ จึงมองแนวโน้ม PDPA สำหรับธุรกิจไทยในอนาคตว่า
“เนื่องจากกฎหมายเข้มงวดขึ้น จึงเชื่อว่าธุรกิจในไทยจะให้ความสนใจ และใส่ใจ PDPA มากขึ้น รวมทั้งเข้าใจว่า PDPA ไม่ใช่แค่แปะนโยบาย แต่ต้องลงทุนในระบบเทคโนโลยีต่าง ๆ และมีกระบวนการทำงานที่เหมาะสมเพื่อช่วยในการจัดการข้อมูลอีกด้วย”
“นอกจากนี้องค์กรจะให้ความสำคัญกับการสร้างความตระหนักรู้ของบุคลากร และอบรมพัฒนาทักษะความรู้อย่างสม่ำเสมอ เพราะ PDPA มีการอัพเดทอย่างต่อเนื่อง การศึกษาครั้งเดียวจึงไม่เพียงพอ ข้อดีของการหมั่นอบรม คือ ช่วยให้บุคคลากรมีทักษะเพิ่มมากขึ้น เข้าใจเรื่อง PDPA มากขึ้น”
“ถัดไป PDPA จะไปผูกกับกฎหมายทุกอย่าง ไม่ว่าจะเป็นการกำกับดูแล AI หรือความโปร่งใส จริง ๆ แล้ว PDPA เองไม่ใช่แค่เรื่องกฎหมาย แต่ยังเป็นเรื่องของเทคโนโลยีและกระบวนการที่ต้องเข้ามาเกี่ยวข้องด้วย อยากบอกว่า อย่าไปคิดว่า PDPA เป็นทางด้านกฎหมายอย่างเดียว เพราะจริง ๆ แล้ว มีเทคโนโลยีเข้ามาเกี่ยวข้องด้วย”
เมื่อ PDPA เกี่ยวข้องกับเทคโนโลยี รศ.ดร.พงษ์พิสิฐ จึงฝากผู้ประกอบการเนื่องจากบางองค์กรมักซื้อเทคโนโลยีแพง ๆ เข้ามา แต่ไม่ค่อยตรวจสอบว่า
“ขอฝากว่า ต่อให้เรามีระบบเทคโนโลยีมากมาย แต่ถ้าทำงานไม่ได้อย่างที่เราคิด หรือเอากระบวนการมาตั้งมากมาย แล้วคนไม่ทำ ย่อมเกิดปัญหา จึงจำเป็นต้องมีการตรวจสอบเฝ้าระวัง (Monitoring) การทวนสอบ (Review) หรือการตรวจสอบ (Auditing) อย่างสม่ำเสมอ เพื่อให้รู้ว่ามีจุดบกพร่องตรงไหน จะได้ปรับแก้ บางคนคิดว่าซื้อเทคโนโลยีราคาสูงมาใช้แล้วประสิทธิภาพจะต้องดีตลอดทุก ๆ ปี เรื่องจริง คือ ระบบเทคโนโลยี เดือนนี้อาจมั่นคงปลอดภัย แต่เดือนหน้าอาจจะไม่มั่นคงปลอดภัยแล้ว ระบบป้องกันความเสี่ยงก็เช่นกัน ฉะนั้นควรหมั่นตรวจสอบอย่างสม่ำเสมอ และรีบดำเนินการปรับปรุงแก้ไขหากเจอข้อบกพร่องในการดำเนินการ”
ช่องทางติดต่อ PDPA Plus (Thailand)
Website: https://www.pdpaplus.com/
E-mail: contact@pdpaplus.com
โทร : 064-714-1199, 099-103-9493, 064-528-9988
********