Now Checklist! เตรียมความพร้อมรับมือกับ พรบ.ข้อมูลส่วนบุคคลฯ

เป็นที่ทราบกันดี ว่าพรบ.ข้อมูลส่วนบุคคลฯ พ.ศ.2562 ได้ถูกประกาศในราชกิจจานุเบกษาเป็นที่เรียบร้อยแล้วตั้งแต่ปลายเดือนพฤษภาคม 2562 องค์กรหรือผู้ประกอบการต่างๆ ที่เคยเก็บข้อมูลส่วนตัวของลูกค้า ผู้มาติดต่อหรือเก็บข้อมูลพนักงานในองค์กรเอาไว้ ทั้งเพื่อให้บริการก็ดีหรือนำข้อมูลเหล่านั้นมาวิเคราะห์หรือใช้งานต่อเพื่อก่อให้เกิดประโยชน์ต่อธุรกิจเองก็ดี บริษัทเหล่านี้ต้องเตรียมพร้อมรับมือกับกฎหมายฉบับใหม่ แต่เนื่องจากมีรายละเอียดที่ต้องดูแลจัดการมากมาย กฎหมายจึงให้เวลาองค์กรต่างๆ ที่เข้าข่ายได้มีเวลาเตรียมตัว วางระบบการจัดเก็บข้อมูล/การใช้ข้อมูล และการรักษาความปลอดภัยของข้อมูล และจะเริ่มมีผลบังคับใช้ในเดือนพฤษภาคม 2563 นี้

ดังนั้นเรามาลองเช็คลิสต์กันก่อนดีกว่า ว่าเนื้อหาในพรบ.ฉบับนี้มีอะไรที่ต้องระวังบ้าง

  1. การเก็บข้อมูล-ใช้งานข้อมูลและเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
  2. การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์
  3. การเก็บข้อมูล ต้องแจ้งถึงวัตถุประสงค์ รายละเอียดและแจ้งสิทธิต่อเจ้าของข้อมูล
  4. ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้งต่อเจ้าของข้อมูล
  5. องค์กรหรือผู้ประกอบการรายใหญ่(ที่เก็บข้อมูลส่วนบุคคลไว้มาก)ต้องแต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูล” หรือ Data Protection Officer(DPO) ของตัวเอง
  6. การฝ่าฝืนไม่ปฏิบัติตามข้อกฎหมายอาจถูกลงโทษทั้งทางอาญาและปรับเป็นมูลค่าสูง
  7. หลังจากผู้ประกอบการค้นพบการละเมิดการใช้งานข้อมูลส่วนบุคคล DPO ต้องแจ้งหน่วยงานผู้รับผิดชอบ ภายใน 72 ชั่วโมง

ดังนั้นเพื่อลดความเสี่ยงในการละเมิดกฎหมาย บริษัท/ผู้ประกอบการจำเป็นต้องสำรวจ ดำเนินการจัดตั้ง และทบทวนแผนและขั้นตอนการป้องกันข้อมูลเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดใหม่ภายใต้กฎหมาย

ในส่วนงานของฝั่งไอทีนั้น เจ้าหน้าที่ในแผนกต่างๆ ก็ต้องเตรียมความพร้อมในปกป้องข้อมูลส่วนบุคคลเหล่านี้ไม่ให้รั่วไหลออกไปได้ทั้งโดยตั้งใจและไม่ตั้งใจ ทั้งนี้โซลูชันที่สามารถนำมาปรับใช้เพื่อดำเนินการให้เป็นไปตามกฎหมายก็มีหลากหลายส่วน เช่น

  1. Infrastructure Security การสร้างความปลอดภัยเพื่อคุ้มครองโครงสร้างระบบถือเป็นความจำเป็นอันดับแรกซึ่งองค์กรต่างๆ น่าจะมีความคุ้นเคยกันดีอยู่แล้วได้แก่ 
    • Firewall , Nextgen Firewall
    • IPS , Nextgen IPS
    • Antivirus 
    • Web Security Gateway 
    • Email Security Gateway

       

  2. Vulnerability Management เป็นโซลูชันส์สำหรับตรวจสอบและบริหารจัดการช่องโหว่หรือจุดอ่อนของระบบเครือข่าย เครื่องเซิร์ฟเวอร์รวมไปถึงเว็บแอพพลิเคชันส์ โดยซอฟท์แวร์นั้นจะทำหน้าที่ค้นหาและตรวจสอบช่องโหว่ต่างๆ และรายงานผลให้ทราบ เมื่อรู้แล้วก็สามารถวางแผนดำเนินการแก้ไขช่องโหว่นั้นๆ ต่อไปเพื่อป้องกันการโจมตี
  3. ความปลอดภัยเกี่ยวกับ Data Protection และ Data Governance หรือการกำกับดูแลข้อมูล ในหัวข้อนี้สามารถจำแนกเป็นหัวข้อย่อยๆ ได้อีกมากมาย เช่น
    • การพิสูจน์ตัวตน(Authentication) ก่อนจะได้รับสิทธิ์เพื่อเข้าถึงข้อมูล
    • การกำหนดสิทธิ์การเข้าถึงข้อมูล (Priviledged Access Management) เพื่อปกป้องและควบคุมสิทธิ์การเข้าถึงหรือ Privileged Account ที่ใช้ในการเข้าถึงระบบสำคัญขององค์กร ไม่ว่าจะเป็นเซิร์ฟเวอร์ ฐานข้อมูล หรือแอปพลิเคชัน เพื่อเป็นช่องทางในการเข้าถึงข้อมูลส่วนบุคคล
  4. Data Loss Prevention (DLPโซลูชั่นรักษาความปลอดภัยข้อมูลและป้องกันข้อมูลรั่วไหล ช่วยให้องค์กรต่างๆ สามารถจัดเก็บ ใช้งาน และแบ่งปันข้อมูลสำคัญขององค์กรให้กับผู้ใช้ภายนอกระบบที่ดูแล หรือบนคลาวด์แอพพลิเคชั่นต่างๆ ตามข้อกำหนดด้านความปลอดภัยและสิทธิ์การเข้าถึงเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น จึงมั่นใจได้ว่าข้อมูลสำคัญขององค์กรจะไม่รั่วไหลออกไปโดยไม่ตั้งใจ

     

  5. File Integrity Monitoring ตรวจสอบเหตุการณ์ที่เกิดขึ้นกับข้อมูลเช่น ใครเข้าถึงข้อมูล และทำอะไรกับข้อมูลบ้าง เวลาใด เมื่อไหร่ เพื่อเฝ้าระวังและสามารถแจ้งเตือน รวมทั้งส่งต่อข้อมูล Log หรือ Event ที่เกิดขึ้นต่อไปยังระบบเก็บรวบรวมข้อมูล Log ส่วนกลางได้
  6. Security Information and Event Management สำหรับเก็บรวบรวมข้อมูล Log จากอุปกรณ์ต่างๆ ภายในระบบเครือข่ายเพื่อให้เห็นภาพรวมทั้งหมด และสามารถนำข้อมูล Log นั้นไปวิเคราะห์เพื่อตรวจสอบหาสาเหตุของเหตุการณ์ผิดปกติที่เกิดขึ้น ซึ่งอาจเกี่ยวข้องกับการละเมิดกฏหมายข้อมูลส่วนบุคคล หรือถูกบุกรุกจากแฮกเกอร์ ซึ่งตามกฎหมายข้อมูลส่วนบุคคลได้ระบุไว้ว่าองค์กรจะต้องแจ้งให้หน่วยงานกำกับฯ ทราบภายใน 72 ชั่วโมง

โดยข้อมูล Log ที่ควรเก็บบันทึกไว้ก็มี Log จากหลากหลายอุปกรณ์ เช่น  

  • Firewall Log – บันทึกการเข้าออก และใช้งานเครือข่าย 
  • Web Security Gateway หรือ Proxy Log – บันทึกการใช้งานเว็บไซต์ต่างๆ ในอินเตอร์เน็ต 
  • Web Application Firewall Log – บันทึกการเข้าถึงข้อมูลใน Web Server จากบุคคลภายนอก 
  • Email Security Log –บันทึกการใช้งานอีเมล์ 
  • Active Directory , LDAP Log – บันทึกการยืนยันตัวตนก่อนเข้าสู่ระบบ  
  • Etc.  
Share on facebook
FB Share
Share on linkedin
LinkedIn

Related Link

Related Blogs

Pulse Secure ให้ทุกการเข้าถึงทรัพยากรภายในองค์กรเป็นเรื่องง่าย

Pulse Secure ให้ทุกการเข้าถึงทรัพยากรภายในองค์กรเป็นเรื่องง่าย

Tangerine March 23, 2020 Security

Tangerine Essentials Bundle: “Pulse Secure”
The easiest way to ensure business continuity with best-in-class secure access

Read More
Database Security with Encryption

Database Security with Encryption

Tangerine February 25, 2020 Security

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่จะเริ่มบังคับใช้ในเดือน พฤษภาคม 2563 นี้ ส่งผลทุกองค์กรให้ความสำคัญกับฐานข้อมูลที่บริษัทมีอยู่และแนวทางในอนาคต ว่าควรจะจัดเก็บในรูปแบบไหน ให้ใครเข้าถึงข้อมูลได้บ้าง และมีวิธีปกป้องข้อมูลอย่างไร
แนะนำสร้างความปลอดภัยให้กับฐานข้อมูลขององค์กร Database Encryption เพื่อปกป้องข้อมูลสำคัญ รวมไปถึงข้อมูลส่วนบุคคลของลูกค้าและพนักงาน ไม่ให้รั่วไหลหรือถูกโจรกรรมข้อมูล

Read More
How G Suite protects your data – Tangerine

How G Suite protects your data – Tangerine

Tangerine February 25, 2020 G Suite Google Cloud Knowledge Security

ระบบอีเมลที่องค์กรของคุณใช้อยู่ มีข้อมูลสำคัญที่บ่งชี้ตัวตนบุคคลได้หรือไม่ ข้อมูลส่วนบุคคลลูกค้า, พนักงาน เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ เลขบัตรประชาชน วันเดือนปีเกิด หรือ ข้อมูลความลับของบริษัท เช่น ยอดขาย, แคมเปญการตลาด, รายละเอียดสินค้าใหม่, บัญชีธนาคารเป็นต้น
ซึ่งหากข้อมูลเหล่านี้รั่วไหลออกไป อาจเกิดผลเสียในทางลบ อีเมลเป็นช่องทางการสื่อสารหลักของทุกธุรกิจ ไม่ว่าจะขนาดเล็ก กลาง หรือใหญ่
แทนเจอรีนขอแนะนำ 3 วิธีป้องกันข้อมูลรั่วไหลด้วย G Suite

Read More
ป้องกันทุกภัยคุกคามให้ Web Server

ป้องกันทุกภัยคุกคามให้ Web Server

Tangerine February 14, 2020 Security

ปัจจุบันนี้หลายบริษัทต่างก็มีเว็บไซต์ เพื่อใช้ประโยชน์ทางด้านธุรกิจมากขึ้นเรื่อยๆ เช่น การทำธุรกรรมทางอินเตอร์เน็ต หรือแพลตฟอร์มเกี่ยวกับการชำระเงินออนไลน์ ซึ่งความเร็วในการเข้าถึงเว็บไซต์เป็นสิ่งสำคัญที่ต้องคำนึงถึงเป็นอันดับแรก

Read More
มาทำความรู้จักกับ VMware SD-WAN

มาทำความรู้จักกับ VMware SD-WAN

Tangerine February 13, 2020 Security VMware

SD-WAN หรือ Software-defined Wide-area Network เป็นการใช้ความสามารถของซอฟต์แวร์เข้ามาเพื่อควบคุมการเชื่อมต่อ และบริการจัดการบริการระหว่างดาต้าเซนเตอร์และสาขา หรือการใช้งานคลาวด์ และสามารถจัดการ Policy, Security, Network หรือเครื่องมือบริหารจัดการอื่นได้

Read More
3 วิธี ป้องกันองค์กรให้ปลอดภัยจากการโจรกรรมข้อมูล

3 วิธี ป้องกันองค์กรให้ปลอดภัยจากการโจรกรรมข้อมูล

Tangerine January 30, 2020 G Suite Google Cloud Google Cloud Platform Security

วิธีควบคุมข้อมูลไม่ให้รั่วไหลออกไปสู่ภายนอก และ ป้องกันการโจรกรรมข้อมูล

Read More
Scroll to Top

ติดต่อ tangerine

Tel: +66 2 2855511   |   Email: info@tangerine.co.th


This website uses cookies to ensure you get the best experience on our website. View Privacy Policy