สิ่งที่องค์กรยังต้องทำ แม้มีการเลื่อน PDPA ออกไปอีก1ปี

โดย ดิลก ถือกล้า

แม้ว่า พรบ.คุ้มครองข้อมูลสวนบุคคล 2562 หรือที่เรียกกันติดปากว่า PDPA จะได้ถูกเลื่อนการมีผลบังคับใช้กับหน่วยงานจากการเลื่อนรอบแรกให้มีผลตั้งแต่วันที่ 1 มิถุนายน 2564 ไปเป็น 1 มิถุนายน 2565 เป็นต้นไป แต่ยังมีเรื่องที่องค์กรยังต้องดำเนินการอยู่เรื่องหนึ่ง ที่ผู้บริหารในหลายองค์กรได้รับทราบค่อนข้างน้อยหรือรับทราบ แต่ให้ความสนใจค่อนข้างน้อย นั่น คือ

การที่ต้องดำเนินการตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 โดยรัฐมนตรีฯได้ลงนามในประกาศไปเมื่อ เมื่อ วันที่ 24 มิถุนายน พ.ศ. 2563 และได้ให้มีผลบังคับใช้ไปถึงวันที่ 31 พฤษภาคม 2564 และได้มีประกาศเพิ่มเติมให้ยืดการมีผลบังคับใช้ไปจนถึง วันที่ 31 พฤษภาคม 2565

เนื้อหาหลักของประกาศฉบับนี้ได้วางแนวทางที่เป็นฐานสำคัญของการบริหารข้อมูลส่วนบุคคลคือ การกำหนดมาตรฐานความมั่นคงปลอดภัย เพราะหากการรักษาความมั่นคงปลอดภัยหรือที่เรียกกันติดปากว่า Data Security ไม่ได้มาตรฐานที่ควรจะเป็นแล้ว การดูแลข้อมูลส่วนบุคคลให้ได้ตามข้อกำหนดของพรบ.คุ้มครองข้อมูลส่วนบุคคล ก็จะทำได้บนความเสี่ยงที่จะเกิดปัญหาอย่างที่เราได้รับทราบข่าวเรื่องการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลอยู่เป็นระยะ

ประกาศฉบับนี้ได้ให้ความหมายของคำว่า “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” เอาไว้ในช้อ 3 ด้วยหลักการ Data Security ที่หลายท่านคุ้นเคยดี คือ หลักการ CIA คือ “…การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล

ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ…”นั่นแปลว่า แม้พรบ.จะได้เลื่อนออกไป แต่สิ่งที่องค์กรจะต้องทำคือ การจัดทำมาตรฐาน Data Security ให้ครบถ้วนตาม CIA ที่เป็นรากฐานสำคัญคำถามต่อไปคือ แล้วองค์กรต้องทำอย่างไรเพื่อให้ได้ตาม CIA

ประกาศฉบับนี้ได้กำหนดให้องค์กรในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล “…ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control)..”

เนื่องจากในทางกระทรวงยังไม่ได้กำหนดนิยามหรือความหมายของถ้อยคำเหล่านี้ ผมจึงขออธิบายรายละเอียดเพิ่มเติมจากประกาศของกระทรวงเพื่อให้ผู้เกี่ยวข้องเห็นภาพและนำไปปรับใช้ ดังนี้ครับ

• มาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) หมายถึง การการกำหนดนโยบาย ขั้นตอน และแนวทางการดำเนินการเพื่อบริหารจัดการการคัดเลือก การพัฒนา การปรับใช้ และการบำรุงรักษามาตราการด้านความมั่นคงปลอดภัยที่จะปกป้องข้อมูลสส่วนบุคคล รวมทั้งการบริหารจัดการพฤติกรรมของคนในองค์กรที่เกี่ยวข้องกับเรื่องการปกป้องข้อมูลส่วนบุคคล ดังนั้น สิ่งที่ผู้บริหารจะต้องวางมาตรการในเรื่องนี้จะต้ในสองมิติ คือ มิติทางด้าน Hard Side คืออุปกรณ์ เครื่องมือ กฎระเบียบ และมิติด้าน Soft Side คือ ความรู้ ความเข้าใจ และความตระหนักของคนในองค์กรทางด้านความสำคัญของข้อมูลส่วนบุคคล
• มาตรการป้องกันด้านเทคนิค (Technical Safeguard) หมายถึง เทคโนโลยีและนโยบายและขั้นตอนการทำงานที่มีขึ้นเพื่อปกป้องและควบคุมการเข้าถึงข้อมูลส่วนบุคคล โดยแนวทางการกำหนดมาตรการป้องกันทางเทคนิคจะประกอบด้วยo การควบคุมการเข้าถึง (Access Control) - การให้สิทธิหรืออำนาจในการเข้าถึงหรือดำเนินการเกี่ยวกับระบบข้อมูล แอพลิเคชั่น โปรแกรม หรือไฟล์o การควบคุมด้วยการตรวจสอบ (Audit Control) - ฮาร์แวร์ ซอฟแวร์ และหรืออุปกรณ์เครื่องมือที่จะบันทึก ตรวจสอบกิจกรรมที่เกี่ยวข้องกับระบบข้อมูลส่วนบุคคลo การควบคุมความถูกต้องครบถ้วนของข้อมูล (Integrity Control) – การปรับใช้นโยบายและกระบวนการทำงานที่จะป้องกันการเปลี่ยนแปลงหรือทำลายข้อมูลo ความมั่นคงปลอดภัยในการโอนย้ายข้อมูล (Transmission Security) - เป็นการกำหนดมาตรการการเข้าถึงข้อมูลโดยไม่มีอำนาจในระหว่างที่ข้อมูลส่วนบุคคลได้ถูกโอนย้ายผ่านระบบเครือข่ายต่างๆ
• มาตรการป้องกันทางกายภาพ (Physical Safeguard) หมายถึง นโยบาย กระบวนการทำงานและมาตรการทางกายภาพที่จะปกป้องระบบฐานข้อมูลทางอิเลคทรอนิคส์และอาคาร อุปกรณ์ที่เกี่ยวข้องให้ปลอดภัยจากการถูกทำลายทั้งจากภัยทางธรรมชาติและจากการบุกรุก ซึ่งมาตรฐานของมาตรฐานการป้องกันทางกายภาพจะประกอบด้วย การควบคุมการเข้าถึงสิ่งปลูกสร้างอาคาร การใช้เวิร์คสเตชั่น(Workstation) ความมั่นคงปลอภัยของเวิร์คสเตชั่น(Workstation) และการควบคุมการใช้อุปกรณ์อย่างเช่น USB หรือสื่อต่างๆ เช่น Google Drive, Line แล้วทางกระทรวงได้ให้แนวทางที่เป็นตัวอย่างไว้หรือไม่ ในประกาศกระทรวงฉบับนี้ได้ให้แนวทางเอาไว้เช่กัน โดยระบุแนวทางที่อย่างน้อยองค์กรจะต้องดำเนินการ

โดยผมขอแบ่งกลุ่มดังนี้

1. แนวทางในกลุ่มมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)ผมมองว่าในประกาศกระทรวงฉบับนี้ไม่ได้ให้แนวทางในกลุ่มนี้อย่างชัดเจน ดังนั้น ผู้บริหารองค์กรจะต้องมีการดำเนินการเรื่องนี้ด้วยการศึกษาและจัดทำขึ้นมาเองให้ได้ตามมาตรฐาน
2. แนวทางในกลุ่มมาตรการป้องกันด้านเทคนิค (Technical Safeguard) ในประกาศกระทรวงฉบับบนี้ได้ให้แนวทางเบื้องต้นคือo การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัยo การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลo การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. แนวทางในกลุ่มมาตรการป้องกันทางกายภาพ (Physical Safeguard)ในประกาศกระทรวงฉบับบนี้ได้ให้แนวทางเบื้องต้นคือ

• การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
• การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล

จะเห็นได้ว่าแม้พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 จะได้มีการเลื่อนออกไปอีกครั้งให้มีผลอีกร่วมหนึ่งปี ที่สิ่งที่ผู้บริหารจะยังต้องดำเนินการคือการทำตามประกาศกระทรวงฉบับนี้ และโดยที่มาตรการต่างๆในประกาศฉบับบนี้ได้เขียนไว้เป็นกรอบกว้างๆ ผู้บริหารจึงต้องนำไปให้ผู้เกี่ยวข้องในองค์กรได้ศึกษาต่อเพื่อนำไปปรับใช้ให้เหมาะสมกับองค์กรของตน

เพราะที่ผมได้นำมาขยายความรายละเอียดเติมก็ได้เพียงเป็นการช่วยอธิบายให้เห็นภาพที่ชัดเจนขึ้นเท่านั้น แต่ละองค์กรยังต้องดำเนินการต่อไปอีกหลายประเด็น

โดยประกาศฉบับบนี้เองก็ได้เปิดทางโดยเขียนไว้ในข้อ6 ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลอาจเลือกใช้มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่แตกต่างไปจากประกาศฉบับนี้ได้ หากมาตรฐานดังกล่าวมีมาตรการรักษาความมั่นคงปลอดภัยไม่ต่ำกว่าที่กำหนดในประกาศนี้”

อ้างอิงข้อมูลจาก :

https://www.lawinsider.com/dictionary/administrative-safeguards

https://healthitsecurity.com/news/implementing-hipaa-technical-safeguards-for-data-security

https://www.hhs.gov/hipaa/for-professionals/faq/2012/what-does-the-security-rule-mean-by-physical-safeguards/index.html

https://healthitsecurity.com/news/a-review-of-common-hipaa-physical-safeguards