PDPA – Positioning Magazine https://positioningmag.com Thailand's Leading Marketing Magazine Mon, 30 May 2022 10:01:46 +0000 en-US hourly 1 https://wordpress.org/?v=5.6 167543101 สรุปกฎหมาย ‘PDPA’ พร้อมไขข้อสงสัยแค่ ‘ถ่ายรูปติด’ ก็ผิดจริงหรือ? https://positioningmag.com/1387078 Mon, 30 May 2022 09:03:45 +0000 https://positioningmag.com/?p=1387078 อีก 2 วัน (1 มิ.ย.) จะเป็นวันแรกที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือที่เรามักได้ยินชื่อย่อกันว่า PDPA (Personal Data Protection Act B.E. 2019) บังคับใช้ หลังจากที่เคยออกมาประกาศตั้งแต่ 27 พฤษภาคม 2562 แต่ก็เลื่อนมาโดยตลอดเนื่องจากเกิดการระบาดของ COVID-19 รวมถึงเพื่อให้องค์กรต่าง ๆ ได้เตรียมพร้อมกัน ว่าแต่ PDPA นั้นส่งผลอะไรกับประชาชนตาดำ ๆ บ้าง อะไรที่ทำได้หรือทำไม่ได้ แล้วต้องปรับตัวอย่างไรกับกฎหมายนี้ ไปดูกัน

กฎหมาย PDPA คืออะไร

สำหรับกฎหมาย PDPA มีต้นแบบมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยทั้ง PDPA และ GDPA ต่างก็มีวัตถุประสงค์ ไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม เนื่องจากที่ผ่านมาได้มีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น ตัวอย่างง่าย ๆ ก็ที่มีคอลเซ็นเตอร์จากบริษัทที่ไม่เคยใช้บริการโทรมาหานั่นเอง

สำหรับข้อมูลส่วนบุคคลที่จะได้รับการคุ้มครองนั้น ต้องเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ดังนี้

  • ชื่อ-นามสกุล
  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
  • เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
  • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
  • วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address,  GPS Location

ส่วนถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA และนอกจากข้อมูลส่วนบุคคลแล้วยังต้องระวังการใช้ ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยข้อมูลส่วนบุคคลที่มีความอ่อนไหว มีดังนี้

  • เชื้อชาติ เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

แค่ถ่ายรูปติดก็ผิดจริงหรือ?

อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า กฎหมายนี้ออกมาเพื่อเน้น คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล หรือก็คือ ประชาชนทั่วไป จากการที่ องค์กรนำข้อมูลไปใช้งานเพื่อสร้างผลประโยชน์

หากประชาชนเกิดถ่ายภาพติดบุคคลอื่น ๆ โดยไม่ได้ยิมยอมแต่ ใช้งานเพื่อกิจกรรมส่วนตัวไม่ได้เปิดเป็นสาธารณะ กฎหมายก็จะไม่ได้เข้าไปยุ่งวุ่นวาย เพราะมุ่งไปที่การใช้ในลักษณะเพื่อการพาณิชย์ (Professional Use) ดังนั้น หากเราไม่ได้ตั้งใจไปถ่ายและไม่ได้เอารูปไปทำงานที่ก่อเกิดรายได้ ก็ไม่ผิด แต่ถ้าตั้งใจถ่ายโดยที่เจ้าตัวไม่ยินยอม แล้วนำไปโพสต์หรือขายสร้างรายได้แบบนี้ถือว่าผิด ซึ่งไม่ได้ผิดเพราะ PDPA แต่เพราะ กฎหมายแพ่งเมืองไทยคุ้มครองอยู่แล้ว เป็น การคุ้มครองตามปกติ

อย่างไรก็ตาม ประชาชนก็ควรศึกษากฎหมาย GDPA เพื่อให้รู้ว่า เรามีสิทธิ์อะไรในข้อมูลส่วนตัวมากกว่าเพื่อให้เกิดประโยชน์สูงสุด ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่าง ๆ ดังนี้

  • สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
  • สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
  • สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
  • สิทธิขอให้โอนข้อมูลส่วนบุคคล
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
  • สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
  • สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

หากไม่ปฏิบัติตาม PDPA จะโดนอะไร

ที่หลายคนตื่นตัวเรื่อง PDPA ส่วนหนึ่งก็เป็นเพราะ บทลงโทษ โดยแบ่งเป็น 3 ประเภท คือ 1. บทลงโทษทางแพ่ง 2. บทลงโทษทางอาญา และ 3. บทลงโทษทางปกครอง ได้แก่

  • โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
  • ทษปกครอง: ปรับไม่เกิน 1-3-5 ล้านบาท

องค์กรต้องปรับตัวอย่างไร

แม้ว่ากฎหมาย PDPA จะเริ่มบังคับใช้ในวันพรุ่งนี้แล้ว แต่เชื่อว่าบางองค์กร โดยเฉพาะที่ไม่ได้เกี่ยวข้องกับการนำข้อมูลของผู้บริโภคมาใช้ประโยชน์อาจจะไม่ได้ตื่นตัวมาก หรือบางองค์กรยังบริหารจัดการไม่เรียบร้อย ก็มี 6 ข้อแนะนำสำหรับองค์กร

  • ผู้บริหารและพนักงานต้องศึกษาข้อมูลอย่างจริงจัง : PDPA ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเรื่องของ ข้อมูล เป็นเรื่องที่ผู้บริโภคเองก็ให้ความตื่นตัว ดังนั้น ทั้งผู้บริหารและพนักงานต้องให้ความสำคัญและเร่งทำความเข้าใจต่อตัวบทกฎหมายพร้อมนำมาวิเคราะห์ปรับใช้ในธุรกิจ รวมถึงผลกระทบต่าง ๆ
  • รู้ทุกซอกมุมเกี่ยวกับข้อมูลทั่วทั้งองค์กร : การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง ข้อมูลส่วนไหนเกี่ยวข้องกับ PDPA บ้าง ซึ่งปัจจุบันองค์กรต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่น ระบบฐานข้อมูลต่าง ๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบให้เป็นระบบเพื่อวางแผนจัดการต่อไป
  • ปรับเปลี่ยนกระบวนการในการจัดเก็บ จัดการ และใช้งานข้อมูล : เมื่อธุรกิจต้องทำการวิเคราะห์เชิงลึกถึงกระบวนการต่าง ๆ ของข้อมูลแล้ว ต่อไปก็ต้องจัดการ จัดเก็บ และการใช้งานข้อมูลในส่วนธุรกิจของตนเองให้มีประสิทธิภาพและมีระเบียบยิ่งขึ้น มีการแบ่งประเภทความสำคัญของข้อมูล แบ่งกลุ่มข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป และเลือกใช้วิธีการในการจัดเก็บหรือจัดการข้อมูลนั้น ๆ อย่างเหมาะสม และอย่าลืมเสริมระบบซีเคียวริตี้

  • แจ้ง Privacy Policy ให้เจ้าของข้อมูลส่วนบุคคลทราบ : องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
  • ประเมินความเสี่ยงและวางแผนรับมือในกรณีข้อมูลรั่วไหล : ประเมินความเสี่ยง เพื่อจะได้เน้นไปที่พื้นที่เสี่ยงมากเสี่ยงน้อย และควรวางแผนล่วงหน้าว่าหากเกิดเหตุการณ์ที่ไม่คาดคิด เช่น เตรียมหลักฐานต่าง ๆ ชัดเจนหากเกิดกรณีที่ข้อมูลรั่วไหล เพื่อบรรเทาความเสียหายและแสดงความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลนั้น ๆ อย่างเหมาะสม
  • ติดตามข้อกฎหมายอย่างต่อเนื่อง : จากนี้ข้อกฎหมายเกี่ยวกับ PDPA ต้องมีการเปลี่ยนแปลงไปอย่างต่อเนื่อง ทั้งกฎหมายลูกหรือประกาศจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบังคับใช้ รวมถึงตัวอย่างของการตัดสินคดีความในชั้นศาล ธุรกิจจึงควรติดตามข่าวสารเหล่านี้อย่างต่อเนื่อง เพื่อนำมาปรับใช้กับองค์กรให้ดียิ่งขึ้น

สรุป การที่ไทยมีกฎหมาย PDPA ถือเป็นการคืนอำนาจของข้อมูลส่วนตัวให้กับประชาชนมีอำนาจมากขึ้น แต่ไม่ได้เข้ามาเปลี่ยนการใช้งานในลักษณะส่วนตัว แต่เข้ามาเปลี่ยนแปลงการใช้งานข้อมูลส่วนบุคคลโดยองค์กร ซึ่งหากองค์กรสามารถปฏิบัติตามได้ ก็จะช่วยให้องค์กรมีความน่าเชื่อถือทั้งในมุมคู่ค้าและลูกค้า เพราะมีมาตรฐาน มีขอบเขต และมีความโปร่งใสมากขึ้น นอกจากนี้ ประเทศไทยเองก็มีภาพลักษณ์ดีขึ้น เพราะมีมาตรฐานการคุ้มครองในระดับ GDPR

]]>
1387078
6 ข้อแนะนำปรับธุรกิจรับ ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล’ ที่จะถูกบังคับใช้ในอีก 1 ปี https://positioningmag.com/1334398 Fri, 28 May 2021 13:06:28 +0000 https://positioningmag.com/?p=1334398 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือที่เรามักได้ยินชื่อย่อกันว่า PDPA นั้นได้ถูกประกาศออกมาตั้งแต่ 27 พฤษภาคม 2562 โดยมีแผนบังคับใช้ในวันที่ 27 พฤษภาคม 2563 แต่เพราะการระบาดของ COVID-19 ทำให้การบังคับใช้เลื่อนมาเป็นวันที่ 1 มิถุนายน 2564 และเลื่อนไปเป็น 1 มิถุนายน 2565 เพื่อให้มีเวลาเตรียมพร้อม ดังนั้น ไปดู 6 แนวทางเบื้องต้นไว้ใช้สำหรับปรับองค์กรเพื่อรับมือกับกฎหมาย PDPA กันว่ามีอะไรบ้าง

กฎหมาย PDPA คืออะไร

กฎหมาย PDPA (Personal Data Protection Act) เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยมีวัตถุประสงค์ไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม เพราะที่ผ่านมามีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น เช่น การครอบครองเบอร์โทรศัพท์โดยการซื้อฐานข้อมูลมาจากที่อื่นและโทรไปหาโดยที่ไม่มีการรับรู้จากเจ้าของเบอร์โทรศัพท์นั้น โดยที่เราไม่รู้ตัว หรือไม่ได้ยินยอมให้องค์กรเก็บข้อมูล เป็นต้น

ซึ่งกฎหมาย PDPA นี้ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ทั้งนี้ องค์กรใดก็ตาม หากไม่ปฏิบัติตาม PDPA ก็จะมีบทลงโทษ ดังนี้

ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง

โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

6 ข้อแนะนำปรับองค์กรรับ PDPA

แน่นอนว่าการไม่ปฏิบัติตามกฎหมาย PDPA ไม่ใช่แค่ต้องได้รับโทษ แต่ยังทำให้ ความน่าเชื่อถือ ขององค์กรต่อ คู่ค้า และ ลูกค้า นั้นลดลง ซึ่งนั่นแปลว่าอาจถูกคู่แข่งที่มีความพร้อมกว่าชิงความได้เปรียบไป ดังนั้น องค์กรธุรกิจต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องเร่งปรับตัวให้มีกระบวนการจัดเก็บและจัดการกับข้อมูลที่สอดคล้องต่อข้อกฎหมาย สร้างความเชื่อมั่น และดำเนินธุรกิจต่อไปได้อย่างมั่นคง โดยมีแนวทางในการปรับตัวเบื้องต้น 6 ข้อ ด้วยกัน

ผู้บริหารและพนักงานต้องศึกษาข้อมูลอย่างจริงจัง : PDPA ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเรื่องของ ข้อมูล เป็นเรื่องที่ผู้บริโภคเองก็ให้ความตื่นตัว ดังนั้น ทั้งผู้บริหารและพนักงานต้องให้ความสำคัญและเร่งทำความเข้าใจต่อตัวบทกฎหมายพร้อมนำมาวิเคราะห์ปรับใช้ในธุรกิจ รวมถึงผลกระทบต่าง ๆ

รู้ทุกซอกมุมเกี่ยวกับข้อมูลทั่วทั้งองค์กร : การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง ข้อมูลส่วนไหนเกี่ยวข้องกับ PDPA บ้าง ซึ่งปัจจุบันองค์กรต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่น ระบบฐานข้อมูลต่าง ๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบให้เป็นระบบเพื่อวางแผนจัดการต่อไป

ปรับเปลี่ยนกระบวนการในการจัดเก็บ จัดการ และใช้งานข้อมูล : เมื่อธุรกิจต้องทำการวิเคราะห์เชิงลึกถึงกระบวนการต่าง ๆ ของข้อมูลแล้ว ต่อไปก็ต้องจัดการ จัดเก็บ และการใช้งานข้อมูลในส่วนธุรกิจของตนเองให้มีประสิทธิภาพและมีระเบียบยิ่งขึ้น มีการแบ่งประเภทความสำคัญของข้อมูล แบ่งกลุ่มข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป และเลือกใช้วิธีการในการจัดเก็บหรือจัดการข้อมูลนั้น ๆ อย่างเหมาะสม และอย่าลืมเสริมระบบซิเคียวริตี้

Photo : Pixabay

แจ้ง Privacy Policy ให้เจ้าของข้อมูลส่วนบุคคลทราบ : องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ

ประเมินความเสี่ยงและวางแผนรับมือในกรณีข้อมูลรั่วไหล : ประเมินความเสี่ยง เพื่อจะได้เน้นไปที่พื้นที่เสี่ยงมากเสี่ยงน้อย และควรวางแผนล่วงหน้าว่าหากเกิดเหตุการณ์ที่ไม่คาดคิด เช่น เตรียมหลักฐานต่าง ๆ ชัดเจนหากเกิดกรณีที่ข้อมูลรั่วไหล เพื่อบรรเทาความเสียหายและแสดงความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลนั้น ๆ อย่างเหมาะสม

ติดตามข้อกฎหมายอย่างต่อเนื่อง : จากนี้ข้อกฎหมายเกี่ยวกับ PDPA ต้องมีการเปลี่ยนแปลงไปอย่างต่อเนื่อง ทั้งกฎหมายลูกหรือประกาศจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบังคับใช้ รวมถึงตัวอย่างของการตัดสินคดีความในชั้นศาล ธุรกิจจึงควรติดตามข่าวสารเหล่านี้อย่างต่อเนื่อง เพื่อนำมาปรับใช้กับองค์กรให้ดียิ่งขึ้น

แม้ว่าการบังคับใช้กฎหมาย PDPA จะใกล้เข้ามาแล้ว แต่เชื่อว่าตอนนี้คงจะไม่สายเกินไปที่จะปรับตัวเพื่อรองรับกฎหมาย PDPA เพื่อสร้างความมั่นใจให้กับคู่ค้าและลูกค้า รวมถึงเพื่อไม่ให้องค์กรต้องทำผิดกฎหมายโดยไม่รู้ตัวอีกด้วย

]]>
1334398
นับถอยหลัง 1 ปี เตรียมรับมือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย ‘Lenovo ThinkShield’ https://positioningmag.com/1283759 Wed, 24 Jun 2020 04:00:03 +0000 https://positioningmag.com/?p=1283759
แม้ในช่วงนี้จะเป็นช่วงที่ประเทศไทยได้คลายมาตรการล็อกดาวน์ลง ส่งผลให้หลายองค์กรกลับมาทำงานกันเป็นปกติ ไม่ได้ Work From Home อีกต่อไป แต่อย่างไรก็ตาม เรื่องของซิเคียวริตี้ ยังเป็นเรื่องสำคัญ

โดยปฏิเสธไม่ได้ว่าในช่วง 1 ปีที่ผ่านมา หลายองค์กรมีการพูดถึง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กันอย่างแน่นอน เพราะ PDPA ถูกแปลงมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR) ที่มีต้นเหตุจากกรณีที่มีบริษัทชั้นนำของโลกทำข้อมูลลูกค้ารั่วไหลและมีคนนำข้อมูลเหล่านั้นไปใช้ประโยชน์อื่น ๆ

มีเวลา 1 ปีก่อน PDPA บังคับใช้

บทบาทสำคัญของ PDPA คือ การคุ้มครองข้อมูลส่วนบุคคล ที่ส่งผลกระทบโดยตรงต่อกระบวนการทำงานด้านการวิเคราะห์ข้อมูล (Data Analytics) ตั้งแต่ขั้นตอนจัดเก็บข้อมูล ตลอดจนถึงการนำไปใช้งานของหน่วยงานแต่ละฝ่ายในองค์กร

ดังนั้น การที่ไทยมีพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ส่งผลให้มีผลการบังคับใช้จริงจังมากขึ้น หากมีการทำผิด เช่น เกิดการรั่วไหลของข้อมูลส่วนบุคคลขึ้นมา โดยไม่ได้มีมาตรการป้องกันหรือมีการรับมืออย่างเพียงพอและเหมาะสมจะถือว่ามีความผิดและต้องถูกลงโทษในทางกฎหมาย

อย่างไรก็ตาม เดิม PDPA มีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้ แต่ได้เลื่อนบังคับใช้ออกไปอีก 1 ปี ดังนั้นนี่เป็นโอกาสดีที่องค์กรต่าง ๆ ยังพอมีเวลาที่จะปรับปรุงและวางโครงสร้างการป้องกันข้อมูลส่วนบุคคลของลูกค้า เพื่อไม่ให้รั่วไหล เพราะจากนี้ไม่ใช่แค่เรื่อง ‘ชื่อเสียง’ ที่เสียไป หรือมูลค่าความเสียหายที่เฉลี่ยสูงถึง ‘4 ล้านเหรียญ’ ต่อการถูกโจมตี ในแต่ละครั้ง แถมจากนี้ยังมีการลงโทษทางกฎหมายอีกด้วย

นอกจากนี้ มีข้อมูลที่น่าสนใจจาก ‘Lenovo’ ที่ระบุว่า มีอัตราการรั่วไหลของข้อมูลเนื่องจากถูกขโมยรหัสผ่านมากถึง 81% และมีเว็บไซต์ปลอมเพื่อหลอกให้ผู้ใช้งานทำการกรอกข้อมูลมากขึ้นถึง 65% ต่อปี นอกจากนี้ เหล่าอาชญากรไซเบอร์ได้มุ่งเป้าโจมตีไปยังอุปกรณ์ต่าง ๆ ตั้งแต่ขั้นตอน ‘การผลิต’ โดยตรงอีกด้วย

ดังนั้น การใช้ระบบยืนยันตัวตนแบบ Multi-Factor Authentication, Passwordless หรือ Biometrics จึงถือเป็นทางเลือกที่น่าสนใจ รวมถึงการเลือกใช้งานอุปกรณ์จากผู้ผลิตที่ไว้วางใจได้ ก็จะช่วยลดความเสี่ยงจากการโจมตีลักษณะนี้ได้

 

ทำไมต้อง ‘Lenovo ThinkShield’

หากพิจารณาจากการโจมตีในหลายด้าน ‘Lenovo’ ถือเป็นอีกแบรนด์ที่น่าสนใจไม่น้อย โดยเฉพาะ ‘ThinkShield’ โซลูชันด้าน Security แบบ End-to-End ที่มั่นใจได้ตั้งแต่การผลิตจนถึงการส่งมอบสินค้าให้แก่ผู้ใช้ เริ่มที่ขั้นตอน Supply Chain ของการผลิตที่ได้รับมาตรฐาน โปร่งใส สามารถติดตาม ตรวจสอบการผลิตได้ในทุกขั้นตอน จึงไม่มีช่องโหว่ใดๆ ที่อาชญากรหรือบุคคลผู้ไม่ประสงค์ดีจะสามารถเข้ามาฉวยโอกาสสร้างช่องโหว่ให้กับตัว hardware เพื่อหวังที่จะเข้าถึงและโจมตีอุปกรณ์ในอนาคตได้

ThinkShield ยังมาพร้อม Intel® Hardware Shield อันเป็นส่วนหนึ่งของแพลตฟอร์ม Intel vPro® ที่มีคุณสมบัติรักษาความปลอดภัยของตัวฮาร์ดแวร์ในตัวจึงช่วยลดความเสี่ยงจากปัญหาเฟริมแวร์ถูกคุกคาม โดยเมื่อตรวจพบความเสี่ยง เจ้า Intel® Hardware Shield ก็จะล็อค BIOS ระหว่างที่ซอฟต์แวร์กำลังทำงาน มัลแวร์ต่าง ๆ จึงไม่สามารถแฝงตัวแทรกซึมเข้ามาได้ เสริมความแข็งแกร่งของระบบความปลอดภัยขึ้นอีกขั้นด้วย Windows 10 Pro ระบบปฏิบัติการณ์ที่มีประสิทธิภาพด้านความปลอดภัยที่ทั่วโลกต่างยอมรับ

นอกจากนี้ยังได้จับมือกับ SentinelOne ที่เป็นเจ้าของ AI ที่จะช่วยทำนายการโจมตี และทำให้อุปกรณ์สามารถกู้คืนได้ทันทีหลังจากการโจมตีใด ๆ โดยฟีเจอร์ Behavioral Artificial Intelligence ของ SentinelOne จะแทนที่โปรแกรมป้องกันไวรัสและให้การป้องกันแบบเรียลไทม์ การตรวจจับและแทรกแซงการค้นหามัลแวร์ประเภทที่รู้จักและไม่เคยมีมาก่อน นอกจากนี้ ลูกค้าสามารถอัพเกรดเพิ่มเพื่อให้ใช้งานได้ทันทีเช่นเดียวกัน ไม่ว่าจะเป็นการเข้ารหัสข้อมูล, การรองรับการยืนยันตัวตนรูปแบบต่าง ๆ การควบคุมและบริหารจัดการอุปกรณ์จากศูนย์กลาง, การตรวจจับภัยคุกคามชั้นสูง

สำหรับองค์กรไหนที่ยังคิดไม่ตกว่าจะหาทางป้องกันตัวเองจากการโจมตี รวมถึงปฏิบัติตามข้อกำหนดของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างไรนั้น Lenovo ThinkShield น่าจะเป็นอีกหนึ่งตัวเลือกที่จะเข้ามาตอบโจทย์การรักษาความปลอดภัยทางไซเบอร์ให้กับองค์กร เพื่อให้มั่นใจได้ว่าองค์กรจะสามารถดำเนินงานได้อย่างราบรื่น โดยไม่ต้องกังวลเรื่องการถูกแฮกเกอร์โจมตีเพื่อเอาข้อมูลส่วนบุคคลไปทำประโยชน์ในทางที่ผิด

]]>
1283759