JRIT ICHI

“พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ประกาศบังคับใช้นานแล้ว ถามว่าเกี่ยวข้องกับบริษัทแค่ไหน จริง ๆ แล้ว องค์กรใดก็ตามที่เก็บข้อมูลส่วนบุคคล ถือว่าอยู่ในขอบเขตของตัวกฎหมายดังกล่าวทั้งหมด” เป็นคำตอบของ ดร. จริญญา จันทร์ปาน CIO (Chief Information Officer และกรรมการบริหาร) ACIS Professional Center เมื่อทีมงานถามว่าองค์กรลักษณะใดบ้างที่เกี่ยวข้องกับ PDPA ซึ่งจากคำตอบจะพบว่า แทบทุกบริษัทเกี่ยวข้อง เนื่องจากทุกธุรกิจมีการเก็บข้อมูลส่วนบุคคลทั้งสิ้น ไม่ว่าจะเป็นข้อมูลพนักงาน ข้อมูลลูกค้า คู่ค้า หรือแม้กระทั่งผู้เข้ามาติดต่อ ฯลฯ

PDPA เป็นกฎหมาย ฉะนั้นองค์กรจึงทำหูไปนาตาไปไร่ไม่ได้ เมื่อได้รับข้อมูลส่วนบุคคลมาแล้ว องค์กรก็มีหน้าที่ต้องรักษาให้ดี ทั้งนี้กฎหมายและวิธีจัดการข้อมูลส่วนบุคคลก็เหมือนยาขมที่ฟังแล้วชวนให้คิดว่ายากเหลือเกิน แต่หากได้อ่านคำอธิบายจากท่าน ดร. จริญญา ในบทความนี้ อาจพบว่าไม่ใช่เรื่องยากอย่างที่คิด

เปิดประตู ACIS Professional Center
ACIS Professional Center เป็นบริษัทคนไทยที่ให้บริการด้าน Cyber Security (ความมั่นคงปลอดภัยทางไซเบอร์) รวมถึง Data Privacy ที่เกี่ยวข้องกับกฎหมาย และมาตรฐานต่าง ๆ อันเป็นที่ยอมรับระดับสากล ร่วม 20 ปี บริการหลัก ๆ ประกอบด้วย 1.บริการให้คำปรึกษา 2.ฝึกอบรมพนักงาน ครอบคลุมทั้งคอร์สส่วนตัว คอร์สรวม และออนไลน์ 3.บริการแอปพลิเคชัน หรือโซลูชั่นที่เอื้ออำนวยในการจัดการข้อมูลส่วนบุคคล ไปจนถึงด้านความมั่นคงทางไซเบอร์

“เทคโนโลยี เรามีในส่วนที่เป็น Tools หรือ Applications ซึ่งเป็นพาร์ทเนอร์กับต่างประเทศ และที่พัฒนาขึ้นมาเอง ทั้งเรื่องของ PDPA ซึ่งตอบโจทย์ทางกฎหมาย และบริการทดสอบเจาะระบบหาช่องโหว่ทางไซเบอร์ ป้องกันการโจมตี โดยเรามีแพลตฟอร์มรองรับทั้งหมด” ดร. จริญญา เสริมจุดเด่นของบริษัท

ความสำคัญของการจัดการ PDPA ในบริษัท
PDPA เป็นกฎหมาย จึงสำคัญกับองค์กรโดยปริยาย ดร. จริญญา กล่าวว่า ก่อนมี พรบ. คุ้มครองข้อมูลส่วนบุคคล ประเทศไทยมีกฎหมายที่เกี่ยวข้องกับดิจิทัลหลายฉบับด้วยกัน เช่น อาชญากรรมทางคอมพิวเตอร์ และกฎหมายทาง Cyber Security

จะเห็นว่ากฎหมายมีการพัฒนาอย่างต่อเนื่อง และ PDPA ก็เป็นส่วนหนึ่งของการพัฒนานี้ ก่อนหน้าจะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล องค์กรอาจไม่ได้ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล ทั้ง ๆ ที่มีความสำคัญ หากหลุดหรือรั่วไหลอาจถูกนำไปก่ออาชญากรรมต่าง ๆ ได้มากมาย ฉะนั้นจึงต้องมีการคุ้มครองข้อมูลส่วนบุคคล

เบื้องต้นที่บริษัทต้องตระหนักเกี่ยวกับข้อมูลส่วนบุคคล คือ ต้องระบุจุดประสงค์ให้ชัดเจนว่าจะนำข้อมูลส่วนบุคคลไปทำอะไร ต่อจากนั้นก็จัดเก็บให้ปลอดภัย

“กฎหมายมองว่าข้อมูลส่วนบุคคลสำคัญมาก จึงต้องปกป้องเป็นอย่างดี ฉะนั้นบริษัทเองก็ต้องมีการปรับปรุงกระบวนการ รวมทั้งเอาเทคโนโลยีเข้ามาช่วย เพื่อทำให้กระบวนการเหล่านี้มีความสอดคล้องกัน”

นอกจากกล่าวถึงความสำคัญของ PDPA ที่มีต่อบริษัทแล้ว ดร. จริญญา ยังฝากถึงเจ้าของข้อมูลด้วยว่า

“เจ้าของข้อมูลเองก็ต้องมีการปรับตัวว่าข้อมูลอะไรที่ควรให้บ้าง ไม่ใช่ให้ไปหมด และต้องให้ข้อมูลเท่าที่จำเป็นตามจุดประสงค์เท่านั้น”

ฉะนั้นความสำคัญของการจัดการ PDPA ในบริษัท จึงประกอบด้วย วัตถุประสงค์ และการรักษาความมั่นคงปลอดภัยของข้อมูล ซึ่งต้องมีการปรับตัว มีการประเมินความเสี่ยง และนำเทคโนโลยีบางส่วนเข้ามาช่วยเพื่อให้ทำงานง่ายขึ้น และมีความถูกต้องแม่นยำ

“เพราะอย่าลืมว่า กฎหมายมีระบุเรื่องบทลงโทษด้วย ถ้าเราไม่ปฏิบัติตามหรือละเลยก็จะทำให้เกิดความเสียหายกับองค์กรได้ ไม่ว่าจะด้านการเงิน หรือชื่อเสียง อันนี้คือความสำคัญของตัวบริบทกฎหมายฉบับนี้” ดร. จริญญา ย้ำเตือน

ขั้นตอนการ Implement ระบบการจัดการ PDPA ภายในองค์กร
กฎหมาย PDPA กำหนดเงื่อนไขการขอข้อมูลส่วนบุคคล และการจัดเก็บรักษาให้มั่นคงปลอดภัยอย่างชัดเจน การขอข้อมูลมีเงื่อนไขยินยอมเป็นลายลักษณ์อักษร ส่วนการรักษาความปลอดภัยจำเป็นต้องใช้เทคโนโลยีเข้ามาช่วย

ดร. จริญญา กล่าวว่า แม้เทคโนโลยีมีความสำคัญ แต่ไม่จำเป็นต้องลงทุนทั้งหมดทีเดียว ข้อสำคัญของการ Implement หรือดำเนินการระบบการจัดการ PDPA คือ การประเมินตัวเอง

“สิ่งสำคัญที่สุด คือ ต้องดูก่อนว่า บริบท หรือ Concept ขององค์กรเป็นอย่างไร จุดไหนบ้างที่ต้องนำเทคโนโลยีเข้ามาช่วย ไม่จำเป็นต้องใช้ทุกกระบวนการ บางจุดสามารถให้พนักงานรับมือได้ เช่น ข้อมูลบางอย่างมีจำนวนน้อยไม่จำเป็นต้องเก็บในระบบคอมพิวเตอร์ ดังนั้นการที่เราจะเลือกใช้เทคโนโลยีต่าง ๆ ควรประเมินความเสี่ยงขององค์กรก่อนว่า ความเสี่ยงของข้อมูลอยู่จุดไหน จุดใดพนักงานไม่สามารถรับมือได้ก็ให้เลือกใช้เทคโนโลยีเข้ามาช่วย”

ดร. จริญญา เสริมอีกว่า เทคโนโลยีปัจจุบันมี Platform แยกย่อยตอบโจทย์ตามแผนกต่าง ๆ ฉะนั้นองค์กรจึงเลือกใช้ให้เหมาะสมกับความเสี่ยงของตัวเองได้ และหากไม่มั่นใจว่าความเสี่ยงที่ประเมินถูกต้องหรือไม่ รวมทั้งควรจะเลือกโซลูชั่นใดมาป้องกันดี ก็สามารถปรึกษาผู้เชี่ยวชาญที่มากประสบการณ์ให้เข้ามาช่วยเหลือได้

การประเมินความเสี่ยงด้าน PDPA คืออะไร
การประเมินความเสี่ยงด้าน PDPA คือ การมองหาจุดอ่อนในการจัดการข้อมูลส่วนบุคคลขององค์กร เช่น พนักงานขาดความรู้ความเข้าใจในการจัดการ, ข้อมูลส่วนบุคคลมีมาก หลากแผนก ซับซ้อน, บุคคลภายนอกสามารถล็อกอินติดต่อกับบริษัททางออนไลน์ได้ ซึ่งการพบจุดอ่อนเหล่านี้ จะทำให้องค์กรสามารถเลือกเทคโนโลยี หรือวิธีการจัดการมารับมือได้อย่างถูกต้อง

ความท้าทายในการ Implement PDPA
เมื่อพูดถึงการรับความเสี่ยงด้าน PDPA ผู้ประกอบการก็มักพุ่งเป้าหมายไปที่เทคโนโลยีราคาแพงเป็นอันดับแรก ดร. จริญญา จึงกล่าวว่า สิ่งนี้คือความท้าทายในการดำเนินการ PDPA

“จริง ๆ แล้ว การดำเนินการ PDPA ต้องดูก่อนว่า มีจุดไหนที่คิดว่าเอาเทคโนโลยี หรือเอา Platform เข้าไปช่วยได้บ้าง ซึ่งมีย่อยหลาย Module ฉะนั้้นสิ่งที่องค์กรต้องมอง คือ เรื่องของความเสี่ยง หรือสิ่งที่คิดว่ากระบวนการนั้นสามารถเอาเทคโนโลยีเข้ามาช่วยได้ สิ่งนี้องค์กรต้องพิจารณาตัวเอง เพราะบาง Module เอาแอปพลิเคชั่นเข้าไปช่วยดีกว่า บางระบบไม่จำเป็น ซึ่งอันนี้เป็นสิ่งที่มันต้องชั่งน้ำหนักกัน”

โซลูชั่นการจัดการ PDPA
ข้อมูลส่วนบุคคลมีความซับซ้อนและละเอียดอ่อน เทคโนโลยีจึงเป็นตัวช่วยที่ดีที่จะเข้ามาจัดการข้อมูลให้ถูกต้องแม่นยำและรักษาความมั่นคงปลอดภัย ซึ่งเมื่อองค์กรประเมินความเสี่ยงของตัวเองได้แล้ว ก็สามารถเลือกโซลูชั่นที่เหมาะสมมาใช้ได้ ดร. จริญญา ได้ยกตัวอย่าง Platform มาประกอบดังนี้

TrustWORK ผู้ช่วยระบบ SaaS เพื่อให้ปฏิบัติตาม PDPA อย่างถูกต้อง
TrustWORK เป็นแพลตฟอร์มที่ ดร. จริญญา อธิบายว่า เป็นการนำประสบการณ์ของการเป็นที่ปรึกษา รับรู้ปัญหาของผู้ประกอบการมาประยุกต์ใช้ให้ตอบโจทย์ทุกธุรกิจ ช่วยให้การปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้อง ลดความเสี่ยงในการถูกร้องเรียน ฟ้องร้องดำเนินคดี และอัพเดทข้อมูลทางกฎหมายอย่างสม่ำเสมอ ตอบโจทย์ถึง 11 Module ได้แก่

1. การจัดเก็บบันทึกรายการข้อมูลส่วนบุคคล และการไหลของข้อมูล
2. บริหารความเสี่ยง และผลกระทบจากข้อมูลส่วนบุคคล
3. บริหารการให้ความยินยอม
4. บริหารการให้ความยินยอม Cookies
5. บริหารการขอใช้สิทธิ์จากเจ้าของข้อมูลส่วนบุคคล
6. บริหารกรณีเกิดข้อมูลรั่วไหล
7. บริหารงานตรวจสอบและการทำ GAP Analysis
8. บริหารการสื่อสารนโยบาย และประกาศความเป็นส่วนตัว
9. ค้นหาข้อมูลส่วนตัวในระบบสารสนเทศ
10. บริหารงานและจัดการ
11. ประเมินเพื่อประโยชน์โดยชอบด้านกฎหมาย

ความสามารถของ TrustWORK ดูเหมือนซับซ้อน แต่ ดร. จริญญา เสริมว่า ใช้งานง่ายภายใต้ระบบ SaaS (Software as a Service)

“คือเป็นการที่เราเอาระบบขึ้น Cloud แล้วลูกค้าสามารถใช้งานโดยการ login ผ่านเว็บไซต์ หรือแอปพลิเคชัน ซึ่งช่วยในการประหยัดค่าใช้จ่าย เพราะไม่ต้องติดตั้งระบบเอง ไม่ต้องมีพนักงานไอทีคอยดูแล นอกจากนี้ SaaS ยังให้บริการ 24X7 คือ ตลอด 24 ชม. ทุกวัน และยังมีการเจาะระบบตรวจสอบช่องโหว่อยู่เป็นประจำ ทำให้ลูกค้ามั่นใจได้ว่าตัวระบบที่ใช้งานอยู่ มีความมั่นคงปลอดภัยที่เพียงพอ”

วิธีจัดการ PDPA ให้มีประสิทธิภาพ ของฝากจาก ACIS Professional Center
ในการดำเนินการ PDPA สำหรับองค์กร ดร. จริญญา ฝากถึงผู้ประกอบการว่า ให้มองว่า ตัวเองอยู่ห่างไกลจากระเบียบข้อกฎหมายมากน้อยเพียงไร หากห่างมากองค์กรอาจจะจัดการเองไม่ได้จำเป็นต้องจ้างที่ปรึกษา หรือ Out Sources เข้ามาช่วย แต่ถ้าห่างไม่มาก หรือดำเนินใกล้เคียงกับข้อกฎหมายอยู่แล้ว กรณีนี้ก็สามารถจัดการเองได้

ที่สำคัญของการจัดการ PDPA คือ ต้องสำรวจตัวเองเรื่อย ๆ อย่างน้อยปีละครั้ง คล้ายการตรวจสุขภาพประจำปีของบุคคล

“ควรมีการตรวจสุขภาพขององค์กรเรื่อย ๆ ครับ เพราะอย่าลืมว่า กฎหมายไม่ได้เขียนแล้วอยู่ได้ 10 ถึง 20 ปี โดยไม่มีการแก้ไข หรือไม่มีกฎหมายลูกรองรับ แล้วกฎหมายดิจิทัลก็เกี่ยวข้องกับเทคโนโลยี และเทคโนโลยีก็เปลี่ยนเรื่อย ๆ นอกจากนี้ต้องหมั่นฝึกอบรมพนักงานให้ตระหนักรู้ มีความเข้าใจเรื่องเทคโนโลยีอย่างถูกต้องอยู่เสมอ”

การตรวจสุขภาพขององค์กร ดร. จริญญา หมายรวมถึง การทบทวนนโยบายบริษัทว่าทันสมัยหรือไม่ รวมไปถึงการตรวจสอบระบบ ซึ่งจำเป็นต้องทอดสอบเจาะระบบหาช่องโหว่ เพื่อป้องกันก่อนจะถูกโจมตีทางไซเบอร์อย่างต่อเนื่องด้วย

สุดท้าย ดร. จริญญา ฝากว่า เมื่อปรับนโยบาย และระบบให้ทันสมัยแล้ว ก็ต้องมีการ audit หรือการตรวจสอบ เพื่อทดสอบว่าสิ่งที่ปรับปรุงไปใช้ได้ดีหรือไม่ หากไม่ดีก็ปรับให้สมบูรณ์ ทำสิ่งเหล่านี้ให้เป็นวงจร แล้วการจัดการ PDPA ภายในองค์กรก็จะเปี่ยมประสิทธิภาพ

ช่องทางติดต่อ ACIS Professional Center
Website: https://www.acisonline.net/
Email: registration@acisonline.net
Tel: 02-253-4736