8 ส.ค. 2022 เวลา 08:34 • ธุรกิจ
PDPA เข้าใจง่ายลงมือทำได้ สำหรับ Startup และ SME
ในยุคที่เรื่องของข้อมูลส่วนบุคคลเป็นสิ่งที่มีค่าและมีผลต่อการทำธุรกิจเป็นอย่างมาก หลายองค์กรยังนึกถึงแต่เรื่องของกระบวนการจัดการกับข้อมูลส่วนบุคคลของลูกค้าเหล่านี้อย่างไรให้ถูกตามกฎหมาย PDPA แต่ความจริงแล้ว PDPA ยังมีด้านที่ SME และผู้ประกอบการทั่วไปสามารถดึงเอาเทคโนโลยีมาช่วยจัดการให้มีประสิทธิภาพและปลอดภัยได้
วันนี้ Katalyst Talk ได้รับเกียรติจากคุณ โอม ศิวะดิตถ์ National Technology Office, Microsoft (Thailand) ที่จะมาอธิบายเรื่องราวของ PDPA ให้เราได้เข้าใจพาร์ทของการนำเอาเครื่องมืออย่าง Technology มาช่วยในเรื่องของ PDPA ให้ง่ายขึ้นได้
PDPA เป็นเรื่องของทุกคนในองค์กร
การเลือกใช้ Innovation หรือ Technology ใดๆ ก็ตาม แต่ละองค์กรจำเป็นต้องพิจารณาองค์ประกอบทั้งหมด 3 ส่วนที่เชื่อมโยงถึงกันและกัน การนำกฎ PDPA มาใช้ในองค์กร ก็เช่นกัน
  • 1.
    People คนที่เกี่ยวข้อง ไม่ว่าจะเป็นเจ้าของข้อมูล คนที่เก็บข้อมูล และคนที่นำข้อมูลไปใช้
  • 2.
    Process กระบวนการจัดการเมื่อได้รับข้อมูลมาแล้ว มีระเบียบปฏิบัติอย่างไรบ้าง
  • 3.
    Technology เครื่องมือที่มามีส่วนช่วยทำให้การจัดการข้อมูลเป็นไปตามระเบียบปฏิบัติได้ง่ายขึ้น
“PDPA ไม่ใช่ภาระ แต่เป็นอาวุธ”
คุณโอมให้ความเห็นว่า “PDPA ควรจะเป็นอาวุธในการสร้างความแตกต่าง และสร้างความเชื่อมั่นให้กับลูกค้า”​ เพราะ PDPA คือ มาตรฐานในการนำข้อมูลไปใช้ได้อย่างเต็มที่และถูกต้อง
PDPA เป็นเหมือน Self-regulation ให้แต่ละองค์กรประเมินข้อกำหนด รวมถึงความเสี่ยงตามความเหมาะสม โดยที่แต่ละองค์กรแต่ละหน่วยงานอาจมีความเสี่ยงไม่เหมือนกัน
ทั้งนี้คุณโอมเองได้แนะนำให้ Startup และ SME โหลดคู่มือปฏิบัติที่ทางคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยมาปรับใช้ Guideline จาก Thailand Data Protection Guideline version 3.1 - (สามารถดาวน์โหลดได้ที่ https://www.law.chula.ac.th/event/10271/)
แค่เปิดอ่านข้อมูลของลูกค้านอกบริษัทก็อาจทำให้คุณกำลังทำผิดกฎ PDPA ได้
โดยปกติเมื่อได้รับข้อมูลส่วนบุคลลจากลูกค้าแล้ว Startup หรือ SME มักจัดเก็บข้อมูลเหล่านั้นลงใน Database แล้วนำไปวิเคราะห์เพื่อทำความเข้าใจลูกค้าในทางการตลาดมากขึ้น ซึ่งขั้นตอนการนำข้อมูลเหล่านั้นออกมาใช้ อาจอยู่ในรูปแบบคอมพิวเตอร์ แฟลชไดรฟ์ โดยที่ทีมงานอาจนำข้อมูลเหล่านั้นไปทำงานที่บ้าน หรือ ร้านกาแฟ และนั่นทำให้คุณอาจมีส่วนทำให้ข้อมูลส่วนบุคคลเหล่านั้นรั่วไหลได้
กฎหมายลูกของ PDPA ที่เพิ่งออกมาเพิ่มเติมในช่วงเดือนกรกฎาคมที่ผ่านมาจึงเพิ่มรายละเอียดมาตรการความปลอดภัยเรื่องของ การป้องกันการสูญหาย การเข้าถึง เปลี่ยนแปลง แก้ไข หรือ เปิดเผยโดยปราศจากอำนาจหรือโดยมิชอบ เพราะเล็งเห็นถึงความเสี่ยงที่ว่าต่อให้องค์กรมีการเทรนนิ่งบุคลากรเรื่องความปลอดภัยของการจัดการกับข้อมูลเหล่านี้แล้ว แต่การควบคุมความปลอดภัยยังต้องครอบคลุมไปถึงบุคคลภายนอกบริษัทด้วย เช่น การส่งต่อข้อมูลลูกค้าเพื่อให้ พาร์ทเนอร์ส่งสินค้าให้ เป็นต้น
แล้วเราจะจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตาม PDPA ได้อย่างไร
มาตรการป้องกันรักษาความปลอดภัยของข้อมูลสากลอาศัยหลักการ CIA Triad
  • 1.
    Confidentiality ข้อมูลที่เก็บมาแล้ว ต้องจำกัดจำนวนคนเข้าถึง โดยสามารถนำเอาเทคโนโลยีมาเป็นเครื่องมือในการช่วยจำกัดการเข้าถึงข้อมูลของแต่ละบุคคลได้ด้วย เช่น บางคนเห็นได้ แต่แก้ไขไม่ได้ บางคนทั้งเห็นและแก้ไขได้ หรือจำกัดเวลาในการแชร์ข้อมูลกับผู้ที่เกี่ยวข้อง เป็นต้น
  • 2.
    Integrity ความครบถ้วนถูกต้องของข้อมูล จะต้องไม่โดนดัดแปลงอันทำให้เกิดความเสียหายได้
  • 3.
    Availability ความพร้อมใช้ ข้อมูลจะต้องคงอยู่ ไม่ใช่พอจะใช้แล้วหาไม่เจอ หรือสูญหาย
คุณโอมกล่าวว่าหลักการ CIA Triad นี้มีความเชื่อมโยงถึงความปลอดภัยของระบบสารสนเทศ Information Security Management System (ISO 27001) ซึ่งองค์กรใหญ่หลายที่มีการปฏิบัติอยู่แล้ว และตัวกฎหมายลูก PDPA ก็มีความคล้ายคลึงและมีแนวทางเดียวกันกับ ISO 27001 ทำให้องค์กรใหญ่สามารถปฏิบัติตาม PDPA ได้ไม่ยาก นอกจากนี้ หลายบริษัทก็มีการสร้าง Solutions เพื่อเป็นบริการในการจัดการให้เป็นไปตามข้อกำหนดของ PDPA เช่น Data Mapping, Data Inventory, Consent, Breach notification เป็นตัวช่วยในการช่วยการจัดเก็บข้อมูลง่ายขึ้น
แต่ถ้าคุณเป็น Startup หรือ SME ที่มีงบประมาณจำกัด คุณโอมก็แนะนำว่า Microsoft เองมีบริการฟรีอย่าง Microsoft Azure ที่มีฟีเจอร์ Azure Policy เพื่อช่วยจับคู่ให้เข้ากับข้อกำหนดของ ISO 27001 รวมถึงมาตรฐานอื่นๆ มีตัวอย่างของ Code ที่จะช่วยทำให้ Infrastructure เป็นไปตามมาตรฐานของ ISO27001 โดยไม่ต้องทำ Manual เองใหม่ หรือจะใช้ Azure Blueprints ที่อิงตามหลักปฏิบัติ ISO27001 เป็นเครื่องมืออัตโนมัติที่จะช่วยให้ดำเนินการจัดการข้อมูลให้เป็นไปตามแนวทางของกฎ PDPA ได้
นอกจากนี้ยังมี Microsoft Defender for Cloud บริการฟรีที่จะเป็นเครื่องมือช่วย Secure Score จะช่วยสแกนข้อมูลและทำ Secure Score ออกมาให้ว่าเมื่อเทียบกับมาตรฐานการป้องกันแล้ว ท่านได้คะแนนเท่าไร แต่ก็สามารถยกระดับการดูแลความปลอดภัยได้ด้วย การจ่าย Premium Service ใน Microsoft Defender for Cloud จะมี Compliance Template ตามมาตรฐาน ISO27001 เช่นกัน
ซึ่งเครื่องมือเหล่านี้จะช่วยลดการจ้างบุคคลภายนอกเพื่อมารีเช็คว่านโนบายและวิธีการในการรักษาความปลอดภัยต่างๆ ของบริษัทเป็นไปตามมาตรฐานสากลไหม
คุณโอมทิ้งท้ายไว้ว่า ดังนั้นในฐานะ Startup หรือ SME เมื่อได้รับข้อมูลจากลูกค้ามาแล้ว ทุกคนในองค์กรจะต้องรู้แนวทางปฏิบัติต่อการจัดการข้อมูลส่วนบุคคลที่ได้รับเพื่อให้สอดคล้องกับกฎ PDPA โดยองค์กรเองต้องมีการเทรนนิ่งและเลือกใช้เครื่องมือให้เหมาะสม เป็นการติดอาวุธในการสร้างความแตกต่าง และสร้างความเชื่อมั่นให้กับลูกค้าไปพร้อมๆ กันนั่นเอง
ดาวน์โหลดเนื้อหาเพิ่มเติมเกี่ยวกับแนวทางและเครื่องมือสำหรับองค์กรในการคุ้มครองข้อมูลส่วนบุคคลได้ที่ https://bit.ly/3zGPFzL
โฆษณา