Now Checklist! เตรียมความพร้อมรับมือกับ พรบ.ข้อมูลส่วนบุคคลฯ

เป็นที่ทราบกันดี ว่าพรบ.ข้อมูลส่วนบุคคลฯ พ.ศ.2562 ได้ถูกประกาศในราชกิจจานุเบกษาเป็นที่เรียบร้อยแล้วตั้งแต่ปลายเดือนพฤษภาคม 2562 องค์กรหรือผู้ประกอบการต่างๆ ที่เคยเก็บข้อมูลส่วนตัวของลูกค้า ผู้มาติดต่อหรือเก็บข้อมูลพนักงานในองค์กรเอาไว้ ทั้งเพื่อให้บริการก็ดีหรือนำข้อมูลเหล่านั้นมาวิเคราะห์หรือใช้งานต่อเพื่อก่อให้เกิดประโยชน์ต่อธุรกิจเองก็ดี บริษัทเหล่านี้ต้องเตรียมพร้อมรับมือกับกฎหมายฉบับใหม่ แต่เนื่องจากมีรายละเอียดที่ต้องดูแลจัดการมากมาย กฎหมายจึงให้เวลาองค์กรต่างๆ ที่เข้าข่ายได้มีเวลาเตรียมตัว วางระบบการจัดเก็บข้อมูล/การใช้ข้อมูล และการรักษาความปลอดภัยของข้อมูล และจะเริ่มมีผลบังคับใช้ในเดือนพฤษภาคม 2563 นี้

ดังนั้นเรามาลองเช็คลิสต์กันก่อนดีกว่า ว่าเนื้อหาในพรบ.ฉบับนี้มีอะไรที่ต้องระวังบ้าง

  1. การเก็บข้อมูล-ใช้งานข้อมูลและเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
  2. การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์
  3. การเก็บข้อมูล ต้องแจ้งถึงวัตถุประสงค์ รายละเอียดและแจ้งสิทธิต่อเจ้าของข้อมูล
  4. ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้งต่อเจ้าของข้อมูล
  5. องค์กรหรือผู้ประกอบการรายใหญ่(ที่เก็บข้อมูลส่วนบุคคลไว้มาก)ต้องแต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูล” หรือ Data Protection Officer(DPO) ของตัวเอง
  6. การฝ่าฝืนไม่ปฏิบัติตามข้อกฎหมายอาจถูกลงโทษทั้งทางอาญาและปรับเป็นมูลค่าสูง
  7. หลังจากผู้ประกอบการค้นพบการละเมิดการใช้งานข้อมูลส่วนบุคคล DPO ต้องแจ้งหน่วยงานผู้รับผิดชอบ ภายใน 72 ชั่วโมง

ดังนั้นเพื่อลดความเสี่ยงในการละเมิดกฎหมาย บริษัท/ผู้ประกอบการจำเป็นต้องสำรวจ ดำเนินการจัดตั้ง และทบทวนแผนและขั้นตอนการป้องกันข้อมูลเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดใหม่ภายใต้กฎหมาย

ในส่วนงานของฝั่งไอทีนั้น เจ้าหน้าที่ในแผนกต่างๆ ก็ต้องเตรียมความพร้อมในปกป้องข้อมูลส่วนบุคคลเหล่านี้ไม่ให้รั่วไหลออกไปได้ทั้งโดยตั้งใจและไม่ตั้งใจ ทั้งนี้โซลูชันที่สามารถนำมาปรับใช้เพื่อดำเนินการให้เป็นไปตามกฎหมายก็มีหลากหลายส่วน เช่น

  1. Infrastructure Security การสร้างความปลอดภัยเพื่อคุ้มครองโครงสร้างระบบถือเป็นความจำเป็นอันดับแรกซึ่งองค์กรต่างๆ น่าจะมีความคุ้นเคยกันดีอยู่แล้วได้แก่ 
    • Firewall , Nextgen Firewall
    • IPS , Nextgen IPS
    • Antivirus 
    • Web Security Gateway 
    • Email Security Gateway

       

  2. Vulnerability Management เป็นโซลูชันส์สำหรับตรวจสอบและบริหารจัดการช่องโหว่หรือจุดอ่อนของระบบเครือข่าย เครื่องเซิร์ฟเวอร์รวมไปถึงเว็บแอพพลิเคชันส์ โดยซอฟท์แวร์นั้นจะทำหน้าที่ค้นหาและตรวจสอบช่องโหว่ต่างๆ และรายงานผลให้ทราบ เมื่อรู้แล้วก็สามารถวางแผนดำเนินการแก้ไขช่องโหว่นั้นๆ ต่อไปเพื่อป้องกันการโจมตี
  3. ความปลอดภัยเกี่ยวกับ Data Protection และ Data Governance หรือการกำกับดูแลข้อมูล ในหัวข้อนี้สามารถจำแนกเป็นหัวข้อย่อยๆ ได้อีกมากมาย เช่น
    • การพิสูจน์ตัวตน(Authentication) ก่อนจะได้รับสิทธิ์เพื่อเข้าถึงข้อมูล
    • การกำหนดสิทธิ์การเข้าถึงข้อมูล (Priviledged Access Management) เพื่อปกป้องและควบคุมสิทธิ์การเข้าถึงหรือ Privileged Account ที่ใช้ในการเข้าถึงระบบสำคัญขององค์กร ไม่ว่าจะเป็นเซิร์ฟเวอร์ ฐานข้อมูล หรือแอปพลิเคชัน เพื่อเป็นช่องทางในการเข้าถึงข้อมูลส่วนบุคคล
  4. Data Loss Prevention (DLPโซลูชั่นรักษาความปลอดภัยข้อมูลและป้องกันข้อมูลรั่วไหล ช่วยให้องค์กรต่างๆ สามารถจัดเก็บ ใช้งาน และแบ่งปันข้อมูลสำคัญขององค์กรให้กับผู้ใช้ภายนอกระบบที่ดูแล หรือบนคลาวด์แอพพลิเคชั่นต่างๆ ตามข้อกำหนดด้านความปลอดภัยและสิทธิ์การเข้าถึงเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น จึงมั่นใจได้ว่าข้อมูลสำคัญขององค์กรจะไม่รั่วไหลออกไปโดยไม่ตั้งใจ

     

  5. File Integrity Monitoring ตรวจสอบเหตุการณ์ที่เกิดขึ้นกับข้อมูลเช่น ใครเข้าถึงข้อมูล และทำอะไรกับข้อมูลบ้าง เวลาใด เมื่อไหร่ เพื่อเฝ้าระวังและสามารถแจ้งเตือน รวมทั้งส่งต่อข้อมูล Log หรือ Event ที่เกิดขึ้นต่อไปยังระบบเก็บรวบรวมข้อมูล Log ส่วนกลางได้
  6. Security Information and Event Management สำหรับเก็บรวบรวมข้อมูล Log จากอุปกรณ์ต่างๆ ภายในระบบเครือข่ายเพื่อให้เห็นภาพรวมทั้งหมด และสามารถนำข้อมูล Log นั้นไปวิเคราะห์เพื่อตรวจสอบหาสาเหตุของเหตุการณ์ผิดปกติที่เกิดขึ้น ซึ่งอาจเกี่ยวข้องกับการละเมิดกฏหมายข้อมูลส่วนบุคคล หรือถูกบุกรุกจากแฮกเกอร์ ซึ่งตามกฎหมายข้อมูลส่วนบุคคลได้ระบุไว้ว่าองค์กรจะต้องแจ้งให้หน่วยงานกำกับฯ ทราบภายใน 72 ชั่วโมง

โดยข้อมูล Log ที่ควรเก็บบันทึกไว้ก็มี Log จากหลากหลายอุปกรณ์ เช่น  

  • Firewall Log – บันทึกการเข้าออก และใช้งานเครือข่าย 
  • Web Security Gateway หรือ Proxy Log – บันทึกการใช้งานเว็บไซต์ต่างๆ ในอินเตอร์เน็ต 
  • Web Application Firewall Log – บันทึกการเข้าถึงข้อมูลใน Web Server จากบุคคลภายนอก 
  • Email Security Log –บันทึกการใช้งานอีเมล์ 
  • Active Directory , LDAP Log – บันทึกการยืนยันตัวตนก่อนเข้าสู่ระบบ  
  • Etc.  
Share on facebook
FB Share
Share on linkedin
LinkedIn

Related Link

Vendors

Highlight Post

ตรวจสอบการโอนจ่ายเงินผ่าน “QR Code” ด้วย API Management Platform จาก Google Cloud | Tangerine x ITMX

ตรวจสอบการโอนจ่ายเงินผ่าน “QR Code” ด้วย API Management Platform จาก Google Cloud | Tangerine x ITMX

ทีม Engineer ของแทนเจอรีนได้มีการทำงานร่วมกับทีม Innovation and Solution Architecture ของทาง ITMX เพื่อร่วมวางแผนในเรื่องของ Solution รวมถึงการถ่ายทอดความรู้การใช้งาน Apigee ในรูปแบบ Agile Process เพื่อพัฒนาโปรเจคร่วมกับ ITMX ให้มีประสิทธิภาพ

แชร์ประสบการณ์ขึ้นพูด 15 นาทีในงาน Google Cloud Summit Bangkok 2019

แชร์ประสบการณ์ขึ้นพูด 15 นาทีในงาน Google Cloud Summit Bangkok 2019

ระหว่างนั่งที่บูธรอลูกค้าสอบถามเรื่อง Chatbot ผมเลยนึกสนุกสร้าง Chatbot ขึ้นมาเพื่อให้คุยกับผู้สนใจที่มาในบูธ โดยจำลองสถานการณ์เกี่ยวกับการที่ลูกค้ามาเยี่ยมชมและสอบถามโซลูชันที่บูธ

VxBlock อีกหนึ่งทางเลือกของ Desktop Virtualization

VxBlock อีกหนึ่งทางเลือกของ Desktop Virtualization

ในปัจจุบัน HCI มีการใช้งานอย่างแพร่หลาย เนื่องจากเป็นเทคโนโลยีที่มีความรวดเร็ว และง่ายในการติดตั้ง สามารถเริ่มต้นเล็กๆและขยายให้ใหญ่ได้ไม่ยาก (Scale Up and Scale Out) รวมทั้งง่ายในการจัดการ และเพิ่มประสิทธิภาพในการทำงานของผู้ใช้

Knowledge

G Suite FAQ: การเพิ่ม Alias Email (Email ชื่อแฝง)

G Suite FAQ: การเพิ่ม Alias Email (Email ชื่อแฝง)

G Suite Google Cloud Knowledge

Alias Email เพิ่มความสะดวกให้กับบริษัทโดยที่เราสามารถสร้าง Alias Email ในนามแผนกต่างๆเพื่อรับสารจากสื่อต่างๆได้่สะดวกมากขึ้น และช่วยจัดการจดหมายและเอกสารต่างๆได้อย่างมีประสิทธิภาพมากขึ้น

การตั้งค่า Gmail Conversation view

การตั้งค่า Gmail Conversation view

G Suite Google Cloud Knowledge

Conversation view คือ การรวบรวม Email ที่มีหัวเรื่องเดียวกัน(Subject) แสดงผลในหน้า inbox
เป็นฉบับเดียวกันเมื่อกดเข้าไปยัง Email ฉบับนั้นจึงค่อยแตก email ทั้งหมดออกมา

ทำไมเราควรมาใช้ระบบอีเมลบน Cloud?

ทำไมเราควรมาใช้ระบบอีเมลบน Cloud?

G Suite Google Cloud Knowledge Productivity & Work Transformation

เคยสงสัยไหมครับว่า Gmail ที่ใช้กันฟรีอยู่ ทำไมต้องหันมาใช้ G Suite ที่มีค่าบริการ แล้วถ้าใช้ G Suite จะทำงานได้ดีขึ้น ลื่นไหลขึ้น เป็น Teamwork มากขึ้นได้อย่างไร แต่ที่แน่ๆ Google Drive พื้นที่ Unlimited นี่ก็น่าสนใจมากแล้ว มีอะไรมากกว่านี้อีก ติดตามอ่านได้ที่

News and Events

Related Blogs

Tangerine แนะผู้ประกอบการเตรียมรับมือกฎหมายคุ้มครองข้อมูลส่วนบุคคลยังไง?

Tangerine แนะผู้ประกอบการเตรียมรับมือกฎหมายคุ้มครองข้อมูลส่วนบุคคลยังไง?

Tangerine January 24, 2020 Security VMware

Privacy และ Data Protection อันเป็นสาระสำคัญของ PDPA บริษัท Tangerine และ VMware จึงได้จัดให้มีงานสัมมนา “The Thailand Personal Data Protection Act – and What “IT” Means for Organization” ขึ้น เพื่อนำเสนอความรู้ และแนวทางในการจัดเตรียมระบบให้สอดรับกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA

Read More
ตรวจสอบการโอนจ่ายเงินผ่าน “QR Code” ด้วย API Management Platform จาก Google Cloud | Tangerine x ITMX

ตรวจสอบการโอนจ่ายเงินผ่าน “QR Code” ด้วย API Management Platform จาก Google Cloud | Tangerine x ITMX

Tangerine January 16, 2020 Google Cloud Highlight Hybrid Cloud & Multi Cloud Security Success Story

ทีม Engineer ของแทนเจอรีนได้มีการทำงานร่วมกับทีม Innovation and Solution Architecture ของทาง ITMX เพื่อร่วมวางแผนในเรื่องของ Solution รวมถึงการถ่ายทอดความรู้การใช้งาน Apigee ในรูปแบบ Agile Process เพื่อพัฒนาโปรเจคร่วมกับ ITMX ให้มีประสิทธิภาพ

Read More
Now Checklist!   เตรียมความพร้อมรับมือกับ พรบ.ข้อมูลส่วนบุคคลฯ

Now Checklist! เตรียมความพร้อมรับมือกับ พรบ.ข้อมูลส่วนบุคคลฯ

Tangerine January 14, 2020 Security

เป็นที่ทราบกันดี ว่าพรบ.ข้อมูลส่วนบุคคลฯ พ.ศ. 2562 ได้ถูกประกาศในราชกิจจานุเบกษาเป็นที่เรียบร้อยแล้ว ดังนั้นเรามาลองเช็คลิสต์กันก่อนดีกว่า ว่าเนื้อหาในพรบ.ฉบับนี้มีอะไรที่ต้องระวังบ้าง

Read More
5 เทรนด์ด้าน Cybersecurity ที่น่าจับตามองในปี 2020

5 เทรนด์ด้าน Cybersecurity ที่น่าจับตามองในปี 2020

Tangerine December 12, 2019 Security

ขณะที่หน่วยงานหรือองค์กรต่างก็เพิ่มความตระหนักรู้เกี่ยวกับความสำคัญที่ต้องหามาตร การการรับมือกับภัยโจมตีทางไซเบอร์มากขึ้น เพื่อป้องกันการโจมตีทางไซเบอร์ที่อาจเกิดขึ้น

Read More
10 ความเสี่ยงด้านความปลอดภัยของข้อมูลที่มีผลต่อบริษัท (ตอนที่2)

10 ความเสี่ยงด้านความปลอดภัยของข้อมูลที่มีผลต่อบริษัท (ตอนที่2)

Tangerine November 11, 2019 Security

เหล่าผู้ดูแลระบบแทบทุกคนคงเคยนึกสงสัย ว่าพวกแฮกเกอร์นั้นสามารถเจาะเข้ามาในระบบเครือข่ายของเราได้อย่างไร ทั้งๆ ที่มีระบบป้องกันการบุกรุกต่างๆ ติดตั้งอยู่มากมายแล้ว สิ่งที่ทำได้ภายหลังจากการถูกบุกรุกก็คือ การสืบหาช่องโหว่หรือรูรั่ว ซึ่งก็อาจไม่ทันการณ์เสียแล้ว

Read More
10 ความเสี่ยงด้านความปลอดภัยของข้อมูลที่มีผลต่อบริษัท (ตอนที่1)

10 ความเสี่ยงด้านความปลอดภัยของข้อมูลที่มีผลต่อบริษัท (ตอนที่1)

Tangerine October 15, 2019 Highlight Security

เหล่าผู้ดูแลระบบแทบทุกคนคงเคยนึกสงสัย ว่าพวกแฮกเกอร์นั้นสามารถเจาะเข้ามาในระบบเครือข่ายของเราได้อย่างไร ทั้งๆ ที่มีระบบป้องกันการบุกรุกต่างๆ ติดตั้งอยู่มากมายแล้ว สิ่งที่ทำได้ภายหลังจากการถูกบุกรุกก็คือ การสืบหาช่องโหว่หรือรูรั่ว ซึ่งก็อาจไม่ทันการณ์เสียแล้ว

Read More
Scroll to Top

This website uses cookies to ensure you get the best experience on our website. View Privacy Policy