มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลสำหรับผู้ประกอบการ

Cap & Corp Forum

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติให้บุคคลหรือนิติบุคคลซึ่งมีอำนาจเกี่ยวกับการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data controller) และบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (On behalf of data controller) มีสถานะเป็น “ผู้ประมวลผลข้อมูล” (Data processor) และเมื่อตกอยู่ในสถานะดังกล่าวแล้ว ในการดูแลรักษาข้อมูลของผู้ประกอบการจะมีแนวทางปฏิบัติตามกฎหมายอย่างไรบ้างนั้น ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ถือเป็นประเด็นสำคัญอย่างยิ่งเลยทีเดียว การได้ข้อมูลส่วนบุคคลมาก็ว่ามีขั้นตอนมากแล้ว การเก็บรักษาข้อมูลดังกล่าวยิ่งมีความจำเป็นไม่น้อยกว่ากันเลย

ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ข้อมูลส่วนบุคคลหมายถึง ข้อมูลใด ๆ ก็ตามเกี่ยวกับบุคคลซึ่งทำให้เจ้าของข้อมูลฯ ถูกระบุตัวตนได้ไม่ว่าโดยทางตรงหรือทางอ้อม ซึ่งหมายความว่าข้อมูลต่าง ๆ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล ภายถ่ายใบหน้า ข้อมูลพันธุกรรม  IP Address หรือสำเนาบัตรประจำตัวประชาชน ฯลฯ ล้วนจัดเป็นข้อมูลส่วนบุคคลทั้งสิ้น ดังนั้นผู้ประกอบการใดที่มีการจัดเก็บข้อมูลเบื้องต้นไม่ว่าเพื่อวัตถุประสงค์ใดในการประกอบกิจการ อาทิ การเก็บข้อมูลหรือประวัติพนักงาน ลูกค้า ผู้ประกอบการรายนั้นย่อมมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ในขณะเดียวกันผู้ให้บริการบางประเภท อาทิ ผู้ให้บริการซอฟต์แวร์ (Software as Service, SaaS) ที่ให้บริการจัดเก็บประมวลผลข้อมูลฯ ให้แก่บุคคลอื่นย่อมมีสถานะเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล”

มาตรา 37 และ 40 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดหน้าที่ให้ทั้งผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม อย่างไรก็ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ได้ระบุมาตรการหรือวิธีการอย่างไรโดยเฉพาะ

ดังนั้นผู้ประกอบการจึงมีหน้าที่ประเมินความเสี่ยงของข้อมูลที่ตนจัดเก็บ อาทิ ปริมานข้อมูล ความอ่อนไหว (Sensitive information) ความสำคัญ มูลค่าของข้อมูล ฯลฯ และดำเนินการจัดให้มีมาตรการทางด้านความปลอดภัยที่เหมาะสมกับต้นทุนในการประกอบธุรกิจ บริบทของกิจการ โดยต้องคำนึงถึงเทคโนโลยีที่มีอยู่ในปัจจุบันด้วยว่าระบบความปลอดภัยที่จัดทำเพียงพอที่จะป้องกันภัยคุกคามทางเทคโนโลยี (Cyberattack) ในขณะนั้น ๆ หรือไม่

มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมนั้นอาจเหมาะสมกับกิจการหนึ่งแต่ก็อาจจะไม่เพียงพอต่ออีกกิจการหนึ่ง ดังนั้นก่อนการจัดทำมาตรการรักษาความมั่นคงปลอดภัย ผู้ประกอบการควรจัดให้มีการประเมินความเสี่ยงของข้องมูลที่อยู่ในครอบครองของตน (Assess information risk) ในทุกด้าน เช่น มูลค่า ความลับ ความเปราะบาง ความเสียหายในกรณีข้อมูลรั่ว (Data breach) ระบบคอมพิวเตอร์และเน็ตเวิร์กความปลอดภัยทางกายภาพของสถานที่ตั้งฮาร์ดแวร์ (Premise) จำนวนพนักงานที่สามารถเข้าถึงข้อมูล เป็นต้น เมื่อได้ดัชนีความเสี่ยงแล้วจึงสามารถจัดเตรียมมาตรการความปลอดภัยที่เหมาะสมกับกิจการนั้นต่อไป

UK Information Commissioner’s Office ได้ให้คำแนะนำเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยสำหรับองค์กร (Organizational  measures) ไว้ 2 ส่วน กล่าวคือ 1) การสร้างความตระหนักและมอบหมายหน้าที่แก่พนักงานในองค์กร (Culture of security awareness) และ 2) การติดตั้งอุปกรณ์ทางเทคนิค (Technical measures)

ในส่วนของมาตรการแรกนั้น ผู้ประกอบการควรแต่งตั้งให้มีผู้มีคุณสมบัติและตำแหน่งที่เหมาะสมมารับผิดชอบโดยตรงในเรื่องของความปลอดภัยของการเก็บรักษาข้อมูลโดยเฉพาะ จัดทำข้อกำหนดที่ชัดเจนสำหรับพนักงานเกี่ยวกับการใช้และเข้าถึงข้อมูล รวมถึงระเบียบการเข้าถึงระบบคอมพิวเตอร์และไซต์งานของบุคคลภายนอก (Policy) และจัดให้มีการอบรมเพื่อเป็นการสร้างความตระหนักในเรื่องการดูแลรักษาข้อมูลส่วนบุคคลอย่างสม่ำเสมอ

ในส่วนของมาตรการที่สอง เนื่องจากข้อมูลส่วนบุคคลนั้นถูกจัดเก็บอยู่บนระบบเน็ตเวิร์กและคอมพิวเตอร์จึงไม่สามารถหลีกเลี่ยงความเสี่ยงในเรื่องของการถูกโจมตีทางไซเบอร์หรือซอฟต์แวร์ไม่อัปเดตหรือแม้กระทั่งความเสี่ยงทางกายภาพไม่ว่าจะเป็นการถูกขโมยอุปกรณ์ฮาร์ดแวร์ ระบบไฟฟ้า การควบคุมอุณหภูมิขัดข้อง เป็นต้น

ในมาตรการที่สองนี้จึงต้องแยกการกำหนดมาตรการด้านความปลอดภัยเป็นสองส่วน คือ 1) ความปลอดภัยเชิงกายภาพ (Physical security) และ 2)ความปลอดภัยทางไซเบอร์ (Cyber security) ในส่วนของความปลอดภัยทางกายภาพนั้นผู้ประกอบการควรให้ความสำคัญกับการปกป้องสถานที่ตั้งของระบบคอมพิวเตอร์ (Premise) เช่นติดตั้งประตูที่ต้องเข้ารหัส กล้องวงจรปิด และสัญญาณเตือนกรณีมีผู้บุกรุก จัดทำการบริหารจัดการอุปกรณ์ทางไอทีอย่างเป็นระบบ เป็นต้น

ในส่วนของความปลอดภัยทางไซเบอร์ ผู้ประกอบการควรให้ความสำคัญกับการวางระบบการป้องกันระบบจากการถูกรุกรานทางไซเบอร์ต่าง ๆ เช่นจัดให้มีการติดตั้งไฟร์วอล (Firewall) โดยเลือกคุณภาพของไฟร์วอลที่เหมาะสมกับกิจการที่ดำเนินการอยู่และมีการอัปเดตอยู่เสมอ มีการเข้ารหัสข้อมูลก่อนจัดเก็บ (Data encryption) เพื่อให้เกิดความมั่นใจว่าจะมีเพียงผู้มีสิทธิเข้าถึงข้อมูล (Authorized user) เท่านั้นที่จะสามารถอ่านข้อมูลที่ผู้ประกอบการจัดเก็บไว้ได้ รวมถึงจัดให้มีการใช้ระบบยืนยันตัวตนในการเข้าถึงข้อมูลเช่นการขอรหัส OTP เป็นต้น

จากมาตรการรักษาความมั่นคงปลอดภัยข้างต้นจะเห็นได้ว่าเป็นเรื่องที่ค่อนข้างละเอียดซับซ้อนและมีต้นทุนในการดำเนินการ แต่ก็เป็นเรื่องที่ผู้ประกอบการไม่สามารถจะหลีกเลี่ยงได้เนื่องจากการจัดให้มีระบบรักษาความปลอดภัยในการจัดเก็บ ใช้ หรือประมวลผลข้อมูลส่วนบุคคลนั้นจะเป็นตัวแปรหนึ่งในการตัดสินใจเลือกเข้ารับบริการในอนาคตของผู้บริโภค

และยิ่งไปกว่านั้น  พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดโทษไว้อย่างชัดเจนทั้งในทางแพ่งและทางปกครองในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมหรือเกิดความเสียหายเนื่องจากข้อมูลส่วนบุคคลที่อยู่ในครอบครองรั่วไหล โดยโทษในทางแพ่งนั้นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 78 ได้กำหนดค่าสินไหมทดแทนเพื่อการลงโทษไว้ด้วย (Punitive damages)

กล่าวคือหากเกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล ศาลมีสิทธิกำหนดค่าสินไหมทดแทนได้มากถึงสองเท่าของค่าเสียหายตามความเป็นจริง ทั้งนี้ในการคำนวณค่าสินไหมทดแทนดังกล่าว พฤติการณ์ในการกำหนดมาตรการรักษาความมั่นคงปลอดภัยก็เป็นส่วนหนึ่งที่ถูกนำมาประกอบการพิจารณาด้วย ยิ่งถ้ามีการรั่วไหลของข้อมูลจำนวนมากและถูกฟ้องคดีแบบกลุ่มด้วยแล้ว (Class action) มูลค่าความเสียหายทางธุรกิจอาจยิ่งมากขึ้นเป็นทวีคูณเลยทีเดียว

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)