มาตรฐาน ISO 27001 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Cap & Corp Forum แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะอยู่ในช่วงชะลอการบังคับใช้ไปอีกหนึ่งปีก็ตาม แต่พระราชบัญญัตินี้ก็ถือว่าสร้างความกังวลให้แก่ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ไม่น้อย เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติหน้าที่ วิธีบริหารและขั้นตอนในการดำเนินการเก็บ รวบรวม ใช้ ประมวลผล รวมถึงการที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม โดยมีบทกำหนดโทษไว้ในกรณีที่ผู้ประกอบการไม่ปฏิบัติตามทั้งในทางแพ่งที่กำหนดให้มีค่าสินไหมเพื่อการลงโทษ (มาตรา 78) และในทางปกครองโดยกำหนดโทษปรับทางปกครองไว้ค่อนข้างสูงเพื่อปฏิบัติตามกฎหมาย ผู้ประกอบการบางส่วนให้ความสนใจไปที่การจัดทำมาตรฐานความปลอดภัยให้แก่ข้อมูลหรือ ISO 27001 (Information Security Standard) จึงมีคำถามที่ตามมาว่าหากผู้ประกอบการจัดทำมาตรฐานความปลอดภัยตามมาตรฐานของ ISO 27001 แล้วมาตรการดังกล่าวจะเพียงพอหรือไม่ในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ISO 27001 ถือเป็นแนวทางการวางมาตรการความปลอดภัยแก่ข้อมูลที่มีมาตรฐานเป็นที่ยอมรับในระดับสากล มีมาตรฐานครอบคลุมสามปัจจัยหลักในการจัดเก็บดูแลรักษาข้อมูล กล่าวคือ 1) บุคลากร 2) ขั้นตอนวิธีการ และ 3) เทคโนโลยีที่นำเข้ามาช่วยในการจัดเก็บข้อมูล โดยนอกจากเป็นการกำหนดมาตรการแล้ว การจัดทำ ISO 27001 ยังเป็นการสร้างวัฒนธรรมองค์กรในเรื่องของมาตรการความปลอดภัยของข้อมูล (Awareness of security […]