ข้อมูลส่วนบุคคลสำคัญไฉน?
ว่าด้วยเรื่องข้อมูลส่วนบุคคล, ผลกระทบ, บทลงโทษ, ปัญหา, และย้อนอดีตข้อมูลส่วนบุคคลรั่วไหล
ระหว่างที่ผมกำลังเขียนเกี่ยวกับข่าวในช่วงที่ผ่านมาที่มีข่าวเกี่ยวกับโรงพยาบาลในสังกัดกระทรวงสาธารณสุขแห่งหนึ่งในจังหวัดเพชรบูรณ์ ที่ถูกแฮกเกอร์เจาะระบบฐานข้อมูลของโรงพยาบาล ทำให้ได้มาซึ่งข้อมูลส่วนบุคคลและข้อมูลด้านสุขภาพ จากนั้นแฮกเกอร์ก็ปล่อยข้อมูลเหล่านั้นสู่อินเตอร์เน็ตโดยประกาศขายในเว็บไซต์เรทฟอรั่ม (Raid Forum) ด้วยราคา 15,000 บาท โดยข้อมูลที่ถูกประกาศขายนั้นมีทั้ง ชื่อ-นามสกุล เบอร์โทรศัพท์ หรือแม้กระทั่งเลขบัตรประจำตัวประชน (ประชาชาติธุรกิจออนไลน์, 2564) แต่ว่าในเวลาต่อมาท่านรัฐมนตรีกระทรวงสาธารณสุขก็ได้ออกมาบอกว่าข้อมูลเหล่านั้นถูกขโมยออกมาก็จริงแต่ว่าไม่ได้เป็นข้อมูลสำคัญใด ๆ (workpointTODAY, 2564) (workpointTODAY, 2564)
ต่อมาก็มีข่าวเกี่ยวกับข้อมูลส่วนบุคคลของนักท่องเที่ยวต่างชาติที่เคยเดินทางเข้าไทย ก็รั่วไหลไปอีก 106 ล้านราย โดยหน่วยงานที่ตรวจสอบเป็นบริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ของอังกฤษที่มีชื่อว่า คอมพาริเทค (Comparitech) โดยหัวหน้าทีมวิจัยด้านความปลอดภัยไซเบอร์ที่ชื่อ บ็อบ ดิอาเชนโก (Bob Diachenko) ก็ได้ออกมาบอกว่าข้อมูลส่วนบุคคลที่หลุดไปประกอบด้วย ชื่อ-นามสกุล เลขพาสปอร์ต วันที่เข้าออกประเทศไทย และสถานะการอยู่อาศัยในไทย และได้กล่าวว่าชื่อของเขาก็ปรากฏในดาต้าที่รั่วไหลนี้ด้วย หลังจากนั้นทางกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยีกล่าวว่า ยังไม่ทราบว่ามีสถานการณ์ดังกล่าวเกิดขึ้นแต่กำลังเข้าไปตรวจสอบเหตุแล้ว (Pattarat, 2564)
(แต่หลังจากนั้น ศูนย์ต่อต้านข่าวปลอมประเทศไทยที่อยู่ภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้รายงานว่าทางศูนย์ต่อต้านข่าวปลอมได้ตรวจสอบข้อเท็จจริงกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) พบว่าข้อมูลดังกล่าวนั้นเป็นข้อมูลบิดเบือน ไม่เป็นความจริงแต่อย่างใด (ศูนย์ต่อต้านข่าวปลอม ประเทศไทย, 2564)) จากสถานการณ์ที่กล่าวไปในข้างตนทำให้เห็นว่าในบางครั้งเราเองก็อาจจะขาดความใส่ใจในข้อมูลส่วนบุคคลของตนเองหรือไม่ก็ใส่ใจแล้ว แต่ว่าผู้ที่ถือข้อมูลของเราอาจจะขาดความใส่ใจในเรื่องนี้ ถ้าเป็นเช่นนั้น “ข้อมูลส่วนบุคคล” นั้นสำคัญจริงหรือไม่? แล้วถ้ามันตกไปอยู่ในมือของอาชญากรไปแล้วนั้นจะเป็นเช่นไร?
ข้อมูลส่วนบุคคลคืออะไร?
ก่อนหน้าที่จะทำความเข้าใจว่ามันสำคัญอย่างไร เราต้องมาทำความเข้าใจกันก่อนว่า ข้อมูลส่วนบุคคลคืออะไร? อ้างอิงตามมาตรา 6 ใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA - Personal Data Protection Act) ข้อมูลส่วนบุคคล หมายความว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ” จากเว็บไซด์ pdpa.pro ในบทความที่มีชื่อว่า PDPA คืออะไร เจ้าของข้อมูลสามารถใช้สิทธิอะไรได้บ้าง (pdpa.pro, 2563) ได้อธิบายความหมายของ “ข้อมูลส่วนบุคคล” ไว้ดังนี้,
ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลที่เกี่ยวข้องกับบุคคลที่สามารถระบุไปถึงตัวบุคคลนั้น ๆ ได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อมก็ตาม ทั้ง ชื่อ-นามสกุล เลขประจำตัวประชาชน ที่อยู่ เบอร์โทรศัพท์ วันเกิด เพศ การศึกษา อาชีพ รูปถ่าย ข้อมูลทางการเงิน และรวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนอีกด้วย แต่จะไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมและข้อมูลของนิติบุคคลที่ไม่ใช่ข้อมูลส่วนบุคคลตามพระราชบัญญัติฯ ฉบับนี้
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่มีความเกี่ยวข้องกับเชื้อชาติ ชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสหภาพแรงงาน ข้อมูลด้านสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์) และข้อมูลอื่น ๆ ที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน เป็นต้น พอเราเข้าใจความหมายของคำว่า “ข้อมูลส่วนบุคคล” แบบคร่าว ๆ แล้วนั้น ทีนี้เราจะมาดูกันว่าเพราะเหตุใดเมื่อข้อมูลส่วนบุคคลหลุดหรือรั่วไหลออกไปถึงเป็นเรื่องใหญ่
ข้อมูลส่วนบุคคลหลุดไปทำไมถึงเป็นเรื่องใหญ่?
จากเว็บไซด์ของ TheMATTER ในบทความที่มีชื่อว่า ได้ (ข้อมูล) แล้ว ทำไมไม่ดูแลบ้าง เราทำอะไรได้บ้าง เมื่อภาครัฐทำข้อมูลส่วนบุคคลรั่วไหล (Kanittakul, 2564) ได้อธิบายถึงเหตุผลของการที่เราควรตระหนักและให้ความสำคัญเมื่อข้อมูลส่วนบุคคลรั่วไหลไว้ว่า
ถึงแม้ข้อมูลที่หลุดออกไปจะเป็นข้อมูลพื้นฐาน แต่ความพื้นฐานของมันเมื่อเชื่อมกับระบบของภาครัฐไทย อาจนำไปสู่สถานการณ์ที่รุนแรงขึ้น เช่น ภาครัฐไทยชอบใช้ วันเกิดของประชาชนเป็นหนึ่งในพาร์สเวิร์ด ดังนั้นการได้ข้อมูลชุดเดียวอาจนำไปสู่ความสำเร็จในการแฮกข้อมูลชุดอื่น ๆ หรือในกรณีที่กลุ่มมิจฉาชีพได้ข้อมูลชุดนี้ไปอาจทำให้การล่อลวงสำเร็จง่ายขึ้น เพราะมิจฉาชีพถือข้อมูลที่เป็นความจริงทำให้น่าเชื่อถือ หรือในกรณีที่ร้ายแรงกว่านั้นอาจนำไปสู่การเรียกค่าไถ่ทาง ข้อมูลของบุคคลได้ นอกจากนี้ถ้าระบบรักษาความปลอดภัยทางไซเบอร์ของไทยยังเป็นแบบนี้ ในอนาคตข้างหน้าอาจมีการรั่วของข้อมูลสำเร็จอีก และถ้าข้อมูลถูกนำมาประกอบกันนั่นจะยิ่ง อันตรายมากขึ้น
และยังมีหนึ่งบทความจาก คุณกมลวรรณ วิชัยรัตน์ จากเว็บไซด์ tonkit360.com ในบทความที่มีชื่อว่า ทำไม “ข้อมูลด้านสุขภาพ” จึงเป็นที่ต้องการของ “เหล่าแฮกเกอร์” (วิชัยรัตน์, 2564) ซึ่งในตัวบทความนั้นได้มีการอ้างอิงบทสัมภาษณ์ของ ทอม เคลเลอร์แมน (Tom Kellermann) หัวหน้าเจ้าหน้าที่ความปลอดภัยทางไซเบอร์ของบริษัทคาร์บอนแบล็ค (Carbon Black) ที่กล่าวถึงการที่แฮกเกอร์เพ่งเล็งข้อมูลด้านสุขภาพในโรงพยาบาล ซึ่งมีเหตุการณ์ใกล้เคียงกับเหตุการณ์ที่เคยเกิดขึ้นในประเทศไทย โดยให้สัมภาษณ์ว่า "เพราะหากแฮกเกอร์ขโมยข้อมูลด้านสุขภาพของประชาชนทั่วไปออกมาได้ มันสามารถทำเงินให้กับเหล่าหัวขโมยได้อย่างมหาศาล
คิดง่าย ๆ แค่การต่อรองเรียกค่าไถ่กับทางโรงพยาบาลที่จำเป็นต้องดึงข้อมูลผู้ป่วยทุกวันแต่เข้าระบบไม่ได้เพราะโดนล็อกระบบ แฮกเกอร์จะเรียกค่าไถ่เพื่อปลดล็อกคอมพิวเตอร์เนื่องจากข้อมูลการรักษาผู้ป่วยนั้นค่อนข้างละเอียดและซับซ้อน การรักษาต่อเนื่องจำเป็นต้องดูประวัติเก่าประกอบ ที่น่ากลัวอีกประการก็คือข้อมูลด้านสุขภาพที่รั่วไหลออกไปจากระบบโรงพยาบาลนั้นไม่ได้มีแค่ข้อมูลผู้ป่วย แต่ข้อมูลการทำงานของแพทย์ก็เช่นกัน บางข้อมูลสามารถนำไปใช้ซื้ออุปกรณ์ทางการแพทย์ ยา ออกใบสั่งยา การรักษา ยื่นคำร้องที่เป็นเท็จ หรืออ้างสิทธิ์ทางการแพทย์ปลอม หรือนำข้อมูลของผู้เสียหายไปใช้ สร้างตัวตนปลอม แล้วกระทำสิ่งที่ก่อให้เกิดความเสียหาย"
บทลงโทษและข้อกังขาที่มีต่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
จากบทความที่ผ่านมาก็ทำให้เห็นถึงปัญหาที่ตามมาของการที่ข้อมูลส่วนบุคคลนั้นรั่วไหล ถ้าเป็นเช่นนั้น แล้วรัฐบาลจะมีวิธีจัดการอย่างไรเกี่ยวกับปัญหานี้ และโชคดีที่รัฐไทยไม่ได้ละเลยกับปัญหาเหล่านี้และได้กำหนดบทลงโทษของการฝ่าฝืน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไว้ดังนี้
"กรณีเปลี่ยนแปลงแก้ไขข้อมูลไม่ว่าข้อมูลนั้นจะจริงหรือไม่ก็ตาม ผู้ควบคุมหรือประมวลผลข้อมูลส่วนบุคคล ทั้ง บุคคลธรรมดา นิติบุคคล หน่วยงานองค์กร หน่วยงานรัฐ นำข้อมูลส่วนบุคคลของคนอื่นไปใช้ เปิดเผยโดยผิดวัตถุประสงค์ ไม่ได้รับความยินยอม จากเจ้าของข้อมูล หรือเกิดกรณีส่งผลให้ได้รับความเสียหาย นอกเหนือจากข้อยกเว้นที่ผู้ประมวลข้อมูลไม่ต้องรับผิด"
แต่จากบทความข่าวของ คุณตรีนุช อิงคุทานนท์ จาก ไทยรัฐออนไลน์ โดยบทความมีชื่อว่า เมื่อข้อมูลยังไม่ปลอดภัย รู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่ถูกเลื่อนไปอีกหนึ่งปี (อิงคุทานนท์, 2564) ที่ได้กล่าวถึงการที่รัฐบาลได้กำหนดพระราชบัญญัติฯ แล้วจริงแต่ว่าได้มีการเลื่อนการบังคับใช้ออกไป โดยในบทความได้กล่าวว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งตอนแรกมีกำหนดบังคับใช้ในปี พ.ศ. 2563 แต่ก็ถูกเลื่อนออกไป และเมื่อถึงกำหนดอีกครั้งในปี พ.ศ. 2564 ครม. มีมติเห็นชอบขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไปอีก 1 ปี ซึ่งให้เหตุผลเรื่องโควิด-19 หรือความกังวลว่าผู้ควบคุมข้อมูลส่วนบุคคลจะเกิดความไม่พร้อมและสับสน รวมถึงเหตุที่ว่ายังไม่มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
นอกจากนี้ยังมีข้อกังขาเกี่ยวกับพระราชบัญญัติฯ ฉบับนี้ในกรณีที่มีการเขียนข้อยกเว้นไว้กว้างขวางที่อาจจะเป็นช่องว่างที่ทำให้รัฐบาลในการเข้าถึงข้อมูลส่วนบุคคลโดยที่ไม่ต้องขอความยินยอมใด ๆ โดยบทความชื่อ พ.ร.บ.ข้อมูลส่วนบุคคลฯ ใหม่ วางหลักสวยหรู แต่ไม่คุ้มครองประชาชนจากรัฐทหาร จากเว็บไซด์ของ iLaw (iLaw, 2562) ได้กล่าวไว้ว่า แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะวางหลักการว่าเจ้าของข้อมูลต้องให้ "ความยินยอม" ทุกกรณีคนอื่นถึงเข้ามายุ่งเกี่ยวกับข้อมูลได้ แต่ขณะเดียวกันก็กำหนดข้อยกเว้นไว้มากมาย นอกจากการเขียนข้อยกเว้นไว้กว้างขวางและข้อกำหนดบางข้อที่อาจจะเปิดช่องว่างให้กับทางรัฐบาล
ยังมีในส่วนของข้อมูลที่มีความอ่อนไหวควรได้รับความคุ้มครองเป็นพิเศษที่เข้มข้นขึ้นกว่าข้อมูลอื่น ๆ แต่เมื่อ มาตรา 24 (5) กำหนดยกเว้นสำหรับกิจการ "เพื่อประโยชน์สาธารณะที่สำคัญ" ให้สามารถเก็บข้อมูลและใช้ข้อมูลได้โดยไม่ต้องได้รับความยินยอมอย่างชัดแจ้ง ก็เท่ากับเปิดช่องให้กิจการของหน่วยงานรัฐทั้งหลายหยิบขึ้นมาอ้างได้ว่างานของตัวเองนั้น "สำคัญ" จนข้อมูลที่มีความอ่อนไหวแทบไม่เหลือพื้นที่ที่จะถูกคุ้มครองจากการสอดส่องของภาครัฐได้ อาจคุ้มครองได้เพียงจากภาคธุรกิจบางประเภทเท่านั้น ซึ่งจากบทความทั้งสองก็ทำให้เราสรุปได้ว่า บทลงโทษเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลนั้นยังไม่สามารถที่จะให้ความคุ้มครองและลงโทษแก่ผู้กระทำความผิดได้อย่างที่ควรจะเป็น หนำซ้ำยังมีข้อกังขาที่ทำให้ประชาชนไม่มีความมั่นใจในพระราชบัญญัติฯ ฉบับนี้มากเท่าที่ควร
ย้อนอดีต...กับข้อมูลส่วนบุคคลหายไปในประเทศไทย
และจากเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล และการที่แฮกเกอร์เจาะระบบของโรงพยาบาลนั้น แน่นอนว่ามันไม่ใช่ครั้งแรกที่เคยเกิดขึ้นในประเทศไทย จากบทความข่าวจาก คุณเกรียงไกร เรืองทรัพย์เดช จาก เนชั่นออริจินัล ที่กล่าวถึงเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลไปในประเทศไทย โดยบทความข่าวนี้มีชื่อว่า ข้อมูลส่วนบุคคลหลุด ปัญหาซ้ำซากกับกฎหมายที่ยังมาไม่ถึง (เรืองทรัพย์เดช, 2564) ซึ่งเรายกเหตุการณ์จากบทความมาทั้งหมด 2 เหตุการณ์ ได้แก่
1. ในช่วงเดือนพฤษภาคม พ.ศ. 2564 กับบริษัทประกันสัญชาติฝรั่งเศสอย่าง แอกซ่า (AXA) ที่ให้บริการลูกค้าหลายประเทศตั้งแต่ไทย ฟิลิปปินส์ มาเลเซีย และฮ่องกง ถูกโจมตีด้วยฝีมือของแฮกเกอร์อแวดดอน (Avaddon) ทำให้มีข้อมูลในบริษัทมากกว่า 3TB หลุดออกไป โดยข้อมูลในส่วนนี้ครอบคลุมข้อมูลส่วนตัวของลูกค้าที่มีความละเอียดอ่อน ตั้งแต่ใบรายงานผลการแพทย์ เอกสารเรียกสินไหมทดแทน เอกสารการจ่ายเงินให้ลูกค้า สำเนาบัญชีธนาคารลูกค้า เอกสารทางการแพทย์ และเอกสารยืนยันตัวตนจำพวกบัตรประชาชน
ทั้งหมดนี้คือข้อมูลที่ถูกนำมาเรียกค่าไถ่ไม่อย่างนั้นจะถูกปล่อยในตลาดมืด เหตุการณ์ดังกล่าวทำให้ทางบริษัทกรุงไทย-แอกซ่าประกันชีวิตต้องออกมาชี้แจงแถลงการณ์ต่อเรื่องที่เกิดขึ้น แต่ไม่ทราบว่ารายละเอียดจากเรื่องที่เกิดขึ้นรวมถึงการชดเชยค่าเสียหายแก่ลูกค้าดำเนินไปถึงไหน มีเพียงประกาศฉบับแรกที่ออกมาเผยแพร่ให้รับรู้ว่ามีการตรวจสอบแล้วจะแจ้งให้ทราบในภายหลังเท่านั้น
2. และการหลุดของข้อมูลของ บริษัท ทรู คอร์เปอเรชั่น กับการเผลอทำข้อมูลลูกค้าหลุดโดยไม่มีการโจมตีทางระบบใด ๆ เป็นช่องโหว่จากความสะเพร่าของผู้ดูแลระบบเอง ในการเปิดให้คนนอกเข้าถึงข้อมูลผู้ใช้ ทั้งในส่วนของสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ต กว่า 46,000 ราย รวม 32GB เหตุการณ์ดังกล่าวถูกผู้เชี่ยวชาญตรวจพบในวันที่ 8 มีนาคม พ.ศ. 2561 แต่กว่าจะได้รับการแก้ไขก็เป็นในวันที่ 12 เมษายน ทั้งที่มีความพยายามส่งข้อความหาบริษัทตั้งแต่วันที่ 12 มีนาคม แต่กลับไม่ได้รับความสนใจ ก่อนออกมาแถลงการณ์ในวันที่ 14 เมษายนว่าทั้งหมดเกิดจากฝีมือแฮกเกอร์ จนถูกทางกสทช. สั่งลงดาบให้ชดเชยผู้เสียหายและปรับปรุงมาตรการความปลอดภัย รวมถึงมีการส่งหนังสือย้ำเตือนเรื่องความปลอดภัยแก่บริษัทให้บริการโทรศัพท์มือถืออื่นเพิ่มเติมด้วย
นั่นคือเหตุการณ์ที่เกิดขึ้นกับบริษัทใหญ่ที่เคยผ่านตามาไม่มากก็น้อย แน่นอนว่าเมื่อลองไล่ดูนับว่ามีผู้เสียหายเป็นจำนวนมากทีเดียว แต่โดยมากข้อมูลเหล่านี้ถูกสกัดกั้น ตรวจสอบ และแจ้งเตือนแก่ผู้บริโภคทันท่วงที (เพราะเป็นข่าวดัง) แต่จะเป็นอย่างไรถ้ากระบวนการเหล่านั้นไม่เกิดขึ้น?
การขาดแคลนซึ่งบุคลากรในสายวิชาชีพ
จากเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลนั้นจึงได้มีข้อคำถามว่า แล้วเพราะเหตุใดระบบการป้องกันทางไซเบอร์ของประเทศไทยถึงเป็นเช่นนั้น? หนึ่งปัญหาซึ่งน่าจะเป็นปัญหาสำคัญที่ถูกระบุไว้ในบทความที่มีชื่อว่า ความต้องการบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์เพิ่มขึ้นอย่างมหาศาล แต่การพัฒนาคนยังทำได้ไม่ทัน จากเว็บไซด์ ThaiCERT (ThaiCERT, 2560) ได้ระบุถึงปัญหาเกี่ยวกับเรื่องนี้ไว้ว่า หนึ่งในอุปสรรคสำคัญของวงการความมั่นคงปลอดภัยไซเบอร์คือจำนวนผู้เชี่ยวชาญในด้านนี้ยังมีไม่เพียงพอกับความต้องการในตลาดแรงงานซึ่งปัญหานี้มีมานานพอสมควรแล้ว
ทางบริษัทไซเบอร์ซีเคียวริตี้ เวนเทอร์ (Cybersecurity Ventures) ได้ทำการสำรวจและประเมินว่าในปี พ.ศ. 2563 มูลค่าการจ้างงานบุคลากรทางด้านนี้ในตลาดแรงงานทั่วโลกจะเพิ่มสูงถึง 1.7 พันล้านดอลล่าร์สหรัฐ (ประมาณ 6 ล้านล้านบาท) สาเหตุคาดว่ามาจากการที่หน่วยงานหลายภาคส่วนเริ่มตระหนักถึงความเสียหายจากการโจมตีทางไซเบอร์และจำเป็นต้องมีบุคลากรผู้มีความเชี่ยวชาญมาช่วยในการป้องกัน โดยในช่วงปี พ.ศ. 2557 ถึง พ.ศ. 2559 มูลค่าเฉลี่ยความเสียหายเฉลี่ยต่อการที่หน่วยงานถูกโจมตีแต่ละครั้งสูงถึง 7 ล้านดอลล่าร์สหรัฐ (ประมาณ 250 ล้านบาท)
สำหรับสถานะความต้องการบุคลากรในปี พ.ศ. 2559 จากข้อมูลของเว็บไซต์อินดีต (Indeed.com) ซึ่งเป็นเว็บไซต์สำหรับประกาศหางาน พบว่าประเทศที่มีความต้องการบุคลากรด้านนี้มากที่สุดคือประเทศอิสราเอล รองลงมาคือประเทศไอร์แลนด์ สหราชอาณาจักร และสหรัฐอเมริกา นอกจากนี้เมื่อสำรวจอัตราการขาดแคลนแรงงานในช่วงปี พ.ศ. 2557 ถึง พ.ศ. 2559 พบว่าหลายประเทศได้มีการพัฒนาไปทางที่ดีขึ้น เช่น ประเทศไอร์แลนด์ สหรัฐอเมริกา และอิสราเอล สามารถลดช่องว่างระหว่างความต้องการแรงงานและจำนวนบุคลากรได้ 14%, 7% และ 5% ตามลำดับ ในขณะที่ประเทศแคนาดา บลาซิล และสหราชอาณาจักร มีความต้องการบุคลากรในด้านนี้เพิ่มขึ้น 12%, 11% และ 5% ตามลำดับ
หลายประเทศในแถบเอเชียแปซิฟิก เช่น ญี่ปุ่น มาเลเซีย และสิงค์โปร์ ได้เริ่มตระหนักถึงความสำคัญของปัญหาการขาดแคลนบุคลากรและเริ่มมีโครงการสนับสนุนการพัฒนาบุคลากรด้วยมาตรการต่าง ๆ ทั้งการพยายามเพิ่มหลักสูตรการศึกษา และการพัฒนาทักษะบุคลากรให้มีความเชี่ยวชาญ ในประเทศไทยเอง ปัจจุบันได้มีหลายหน่วยงานที่มีความพยายามผลักดันการพัฒนาในด้านนี้ เช่น เริ่มมีการเปิดสอนวิชาด้านความมั่นคงปลอดภัยไซเบอร์ในมหาลัยระดับชั้นปริญญาตรี หรือมีการเปิดให้บุคคลทั่วไปเข้ารับการอบรมและสอบใบรับรองด้านความมั่นคงปลอดภัยไซเบอร์โดยไม่เสียค่าใช้จ่าย เช่น โครงการ iSEC (https://isec.tisa.or.th/) เป็นต้น
และจากบทความของ คุณวิชญาดา อำพนกิจวิวัฒน์ จาก กรุงเทพธุรกิจ ก็ได้ระบุถึงความสำคัญของการมีบุคลากรที่มีความรู้ความเชี่ยวชาญเฉพาะสายเพื่อการพัฒนาระบบการป้องกันทางไซเบอร์ โดยบทความมีชื่อว่า ระบบ ‘ข้อมูลส่วนบุคคล’ ที่ดี รัฐต้องมี "คน" ที่พร้อม (อำพนกิจ, 2564) โดยมีเนื้อหาดังนี้ การพัฒนามาตรการรักษาความปลอดภัย และเทคโนโลยีสารสนเทศให้ดีพร้อม แม้จะเป็นสิ่งสำคัญที่ทุกหน่วยงานต้องปฏิบัติตาม แต่หากขาดศักยภาพการทำงานของบุคลากรก็ไม่สามารถสร้างระบบการรักษาความปลอดภัยที่เหมาะสมได้ ดังนั้น การเริ่มสร้างระบบที่ดีสามารถเริ่มได้จาก “การสร้างทักษะความรู้ความเข้าใจ" รวมถึงการสร้างความตระหนักรู้ต่อการให้ความสำคัญกับข้อมูลส่วนบุคคลแก่บุคลากรภายในหน่วยงาน
นอกจากนี้ต้องให้ความสำคัญกับการเสริมสร้างความรู้ที่ถูกต้องแก่บุคลากร โดยเฉพาะในกรณีหน่วยงานรัฐดังกล่าวมีภารกิจหลักโดยตรงกับการเก็บรวบรวมข้อมูลส่วนบุคคล เช่น งานทะเบียนราษฎร งานออกหนังสือเดินทาง บุคลากรผู้ปฏิบัติหน้าที่ในตำแหน่งดังกล่าวจึงต้องมีทักษะความรู้และให้ความสำคัญต่อการใช้ข้อมูลในระดับสูง ส่วนงานด้านอื่นเช่นงานป้องกันและบรรเทาสาธารณภัย งานกองช่าง บุคลากรอย่างน้อยควรมีความรู้ต่อการใช้ข้อมูลส่วนบุคคล ระดับพื้นฐาน
ดังนั้น การกำหนดทั้งแนวทางปฏิบัติและการอบรมสร้างความเข้าใจเกี่ยวกับข้อมูลส่วนบุคคล ถือเป็นการสร้างวัฒนธรรมภายในองค์กรให้คำนึงถึงความสำคัญของข้อมูลส่วนบุคคลของประชาชน เช่นเดียวกับ เป็นข้อมูลส่วนบุคคลของตนเองได้ด้วย ในขณะเดียวกัน การสร้างความตระหนักรู้และความรู้ความเข้าใจให้กับบุคลากร อาจต้องอาศัยเครื่องมืออื่น ๆ ประกอบ เพื่อช่วยให้ การทำงานมีประสิทธิภาพที่ดีขึ้น ไม่ว่าการจัดทำคู่มือ เอกสารคำอธิบายเกี่ยวกับกฎหมาย ข้อเท็จจริงที่เกิดขึ้นในต่างประเทศ หรือแนวปฏิบัติที่เหมาะสม เพื่อช่วยให้บุคลากรสามารถทำงานได้ พร้อมกับองค์กรพัฒนาได้อย่างต่อเนื่องยั่งยืน
เรื่อง “ข้อมูลส่วนบุคคล” นั้นอาจจะไม่ใช่เรื่องใหม่ที่เราได้เคยเจอแต่ว่าในบางครั้งมันก็อาจจะเป็นเรื่องที่ เรามองข้ามไปบ้าง โดยเฉพาะเรื่องความกังวลใน ความปลอดภัย ของข้อมูลส่วนบุคคลของเราเอง โดยจากข้อมูลที่เราได้ยินนั้นทำให้ได้เข้าใจและเห็นภาพมากขึ้นว่าการที่ ข้อมูลส่วนบุคคล นั้นหากถูกละเมิดไปมันจะสร้างความเดือดร้อนให้เรามากกว่าที่คิด และหวังว่าเรื่องราวในครั้งนี้จะทำให้ผู้คนได้ ตระหนักถึงความปลอดภัย และความสำคัญของข้อมูลส่วนบุคคล มากกว่าเดิม...
เอกสารอ้างอิง
ประชาชาติธุรกิจออนไลน์. (2564). สธ.แถลง ประวัติคนไข้ถูกแฮก ไม่ใช่ข้อมูลลับ ตั้งหน่วยงานตอบโต้ฉุกเฉิน. ประชาชาติธุรกิจออนไลน์. prachachat.net/marketing/news-755839
ศูนย์ต่อต้านข่าวปลอม ประเทศไทย. (2564). ข่าวบิดเบือน ข้อมูลส่วนตัวของนักท่องเที่ยวที่เคยเดินทางมาไทยรั่วไหล จำนวน 106 ล้านราย. ศูนย์ต่อต้านข่าวปลอม ประเทศไทย. antifakenewscenter.com/ข่าวบิดเบือน-ข้อมูลส่วนตัวของนักท่องเที่ยวที่เคยเดินทางมาไทยรั่วไหล-จำนวน-106-ล้านราย
วิชัยรัตน์, ก. (2564). ทำไม “ข้อมูลด้านสุขภาพ” จึงเป็นที่ต้องการของ “เหล่าแฮกเกอร์”. tonkit360. http://tonkit360.com/86614...
อิงคุทานนท์, ต. (2564). เมื่อข้อมูลยังไม่ปลอดภัย รู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่ถูกเลื่อนไปอีกหนึ่งปี. ไทยรัฐออนไลน์. thairath.co.th/news/politic/2088106
เรืองทรัพย์เดช, เ. (2564). ข้อมูลส่วนบุคคลหลุด ปัญหาซ้ำซากกับกฎหมายที่ยังมาไม่ถึง. เนชั่นออริจินัล. nationtv.tv/original/378840637
อำพนกิจ, ว. (2564, 08 26). ระบบ ‘ข้อมูลส่วนบุคคล’ ที่ดี รัฐต้องมี ‘คน’ ที่พร้อม. กรุงเทพธุรกิจ. bangkokbiznews.com/blog/detail/653147
iLaw. (2562). พ.ร.บ.ข้อมูลส่วนบุคคลฯ ใหม่ วางหลักสวยหรู แต่ไม่คุ้มครองประชาชนจากรัฐทหาร. iLaw. ilaw.or.th/node/5330
Kanittakul, S. (2564). ได้ (ข้อมูล) แล้ว ทำไมไม่ดูแลบ้าง เราทำอะไรได้บ้าง เมื่อภาครัฐทำข้อมูลส่วนบุคคลรั่วไหล. TheMATTER. http://thematter.co/.../hacking-10000-personal.../154566
Pattarat. (2564). หลุดอีก! ข้อมูลส่วนตัว “นักท่องเที่ยว” ต่างชาติที่เคยเดินทางเข้าไทยรั่วไหล 106 ล้านราย. Positioning. positioningmag.com/1352738
pdpa.pro. (2563). PDPA คืออะไร เจ้าของข้อมูลสามารถใช้สิทธิอะไรได้บ้าง. pdpa.pro. pdpa.pro/blogs/what-is-pdpa
ThaiCERT. (2560). ความต้องการบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์เพิ่มขึ้นอย่างมหาศาล แต่การพัฒนาคนยังทำได้ไม่ทัน. ThaiCERT. thaicert.or.th/newsbite/2017-01-24-01.html
workpointTODAY. (2564). ‘อนุทิน’ เผยทราบเรื่อง รพ. ถูกแฮกข้อมูลคนไข้แล้วอยู่เพชรบูรณ์. workpointTODAY. workpointtoday.com/hacker-3
workpointTODAY. (2564). รพ.เพชรบูรณ์ แจง กรณีถูกแฮ็กข้อมูลผู้ป่วย เพียง 1 หมื่นกว่าชื่อ ได้แค่ข้อมูลทั่วไป. workpointTODAY. workpointtoday.com/hacker-phetchabun
แหล่งรูปภาพ
Background photo created by freepik - www.freepik.com
Computer photo created by jcomp - www.freepik.com
Background photo created by dashu83 - www.freepik.com
Colorful photo created by freepik - www.freepik.com
Icons photo created by freepik - www.freepik.com
Flower photo created by freepik - www.freepik.com
#TheFAPP #ข้อมูลส่วนบุคคล #ข้อมูลส่วนบุคคลหลุด #พรบคุ้มครองข้อมูลส่วนบุคคล #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
