ตอบโจทย์ PDPA ข้อกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย Microsoft 365

คณะรัฐมนตรี (ครม.) มีมติเห็นชอบออกพระราชกฤษฎีกา ขยายเวลาบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ไปอีก 1 ปี โดยจะเริ่มใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ส่งผลกระทบต่อประชาชนทั่วไปในฐานะเจ้าของข้อมูล (Data Subject) และภาคธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

การเลื่อนในครั้งนี้อาศัยตามอำนาจพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (ฉบับที่ 2) พ.ศ.2564 ในส่วนที่กำหนดระยะเวลาใช้บังคับ ทำให้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2565 

ในระหว่างนี้ องค์กรต้องปฏิบัติตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่กระทรวงดิจิทัลฯ กำหนดไว้ โดยใจความสำคัญที่องค์กรยังต้องปฏิบัติตามมาตรฐานมีอยู่ 3 ข้อ ดังนี้

1. เก็บรักษาข้อมูลไห้เป็นความลับ (confidentiality) ถูกต้องครบถ้วน (integrity) และมีสภาพพร้อมใช้งาน (availability) เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
2. สร้าง Awareness ด้าน Data Privacy ให้กับบุคลากรในองค์กร
3. ทำมาตรการป้องกันในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access control) โดยอย่างน้อยต้องมีวิธีการดังนี้

• ควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผล เช่น การใช้ Firewall หรือทำ Network security
• กำหนดการอนุญาตหรือสิทธิในการเข้าถึงข้อมูลส่วนบุคคล เช่น การจัดแบ่งชั้นความลับหรือความสำคัญของข้อมูล เพื่อให้บุคลากรในแต่ละตำแหน่งมีสิทธิเข้าถึงข้อมูลได้ต่างกันตามหน้าที่ 
• บริหารจัดการการเข้าถึงของผู้ใช้งาน (User access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว เช่น การใช้ Authentication การเข้ารหัส Encryption หรือการใช้ Biometrics เพื่อยืนยันตัวตน
• กำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต เช่น การตั้ง Password หรือ log in ส่วนตัว รวมถึงระบบ SSL
• ให้มีวิธีการตรวจสอบย้อนหลังการเข้าถึงข้อมูลส่วนบุคคลได้ เช่น การเก็บ Logs และ Records 

การที่องค์กรปฏิบัติตาม PDPA ไม่ใช่สิ่งที่ต้องทำเพียงเพราะกฎหมายบังคับไว้เท่านั้น แต่เป็นสิ่งที่ทุกองค์กรต้องให้ความสำคัญ เพราะการช่วยคุ้มครองข้อมูลส่วนบุคคลของลูกค้า เพื่อไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว ถือว่าเป็นการปกป้องเจ้าของข้อมูลนั้นๆ ให้มีความปลอดภัยในชีวิตและทรัพย์สิน และถ้าหากข้อมูลถูกละเมิดก็มีมาตรการเยียวยาที่เหมาะสม ดังนั้น PDPA จึงมีบทบาทสำคัญที่จะทำให้องค์กรที่ปฏิบัติตามมีความน่าเชื่อถือและลูกค้าเกิดความไว้เนื้อเชื่อใจที่จะซื้อสินค้าหรือใช้บริการกับองค์กรมากยิ่งขึ้น 

เพื่อช่วยองค์กรในการปฏิบัติตามกฎหมายฉบับนี้ ไมโครซอฟท์จึงได้พัฒนาชุดเครื่องมือที่ช่วยให้องค์กรที่ใช้งาน Microsoft 365 สามารถปฏิบัติ ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อย่างสมบูรณ์แบบ โดยขั้นตอนการจัดการข้อมูลส่วนบุคคลในองค์กร แบ่งเป็น 4 กระบวนการ ประกอบด้วย

1.   Discover การตรวจสอบและจําแนกประเภท ข้อมูลส่วนบุคคลที่มีในองค์กร

2.  Manage การกําหนดกิจกรรมการประมวลผล ข้อมูลส่วนบุคคลและจัดการด้านนโยบาย การเข้าถึงข้อมูลส่วนบุคคล

3.  Protect กําหนดมาตรการปกป้องและคุ้มครอง ข้อมูลส่วนบุคคล รวมไปถึงความปลอดภัย ทางไซเบอร์

4.  Report ติดตามและทบทวนมาตรการคุ้มครอง ข้อมูลส่วนบุคคล รวมถึงการดําเนินการตามสิทธิ ของเจ้าของข้อมูลส่วนบุคคล โดยมีหลากหลายเครื่องมือ ที่สามารถนํามาประยุกต์ใช้รวมถึงมีขั้นตอนปฏิบัติที่ช่วยทําให้ผู้ใช้ Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครอง

โดยมีหลากหลายเครื่องมือ ที่สามารถนํามาประยุกต์ใช้รวมถึงมีขั้นตอนปฏิบัติที่ช่วยทําให้ผู้ใช้ Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ง่ายยิ่งขึ้น ตัวอย่างขั้นตอนและเครื่องมือต่างๆ มีดังนี้

1. การตรวจสอบและจําแนกประเภทข้อมูลส่วนบุคคลที่มีในองค์กร (Discover)

เครื่องมือที่อยู่ภายใต้ Info Protection & Governance ได้แก่ Sensitive Info Type ที่ช่วยกําหนดประเภทของข้อมูลส่วนบุคคลที่องค์กร มีการจัดเก็บ จากนั้นเราสามารถทําการค้นหาด้วย Content Explorer ระบบจะสามารถสแกนหา ข้อมูลส่วนบุคคลที่กระจายอยู่ในระบบไอทีส่วนต่างๆ ขององค์กรไม่ว่าจะอยู่ใน office 365 รวมถึง แอปพลิเคชันบนระบบคลาวด์ รวมไปถึงยังมีเครื่องมือที่ช่วยค้นหาไฟล์ที่อยู่บน On-premise server เช่น File Server ระบบจะทําการแสดง รายชื่อไฟล์ที่มีข้อมูลส่วนบุคคลอยู่ จากนั้นองค์กรสามารถทําการ Classify หรือแบ่งประเภทเอกสาร ตัวไฟล์ที่มีข้อมูลส่วนบุคคลเพื่อสามารถดูแลจัดการต่อไป

เครืองมือที่จําเป็นต้องใช้ : Info Protection & Governance , Data Classification (Sensitive Info Types, Content Explorer, Trainable Classifier), Cloud App Security

2. ธรรมาภิบาลข้อมูลและกําหนดกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Manage)

องค์กรจะต้องทําความเข้าใจว่าตนกําลังประมวลผลข้อมูลประเภทใด อย่างไร และเพื่อวัตถุประสงค์อะไร

เพื่อให้มีความมั่นใจว่าการดําเนินการต่างๆ ในการประมวลผลข้อมูลที่อยู่ภายใต้การดูแล ของตนนั้นได้ทําไปโดยมีการปฏิบัติตามกฎหมาย (PDPA) หลังจากค้นหาข้อมูลส่วนบุคคลต่างๆ พบแล้ว สิ่งที่ต้องทําต่อไปคือการกําหนดนโยบาย และสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล ด้วย Azure Active Directory เพื่อจัดการสิทธิ์ คนเข้าระบบ และการจัดการสิทธิ์การเข้าถึงไฟล์ของผู้ใช้งาน บนอุปกรณ์การทํางานต่างๆ ด้วย Endpoint Manager รวมไปถึงการจัดการนโยบาย การเคลื่อนย้ายไฟล์เพื่อป้องกันการรั่วไหลของข้อมูล  (Data Loss Prevention) ออกนอกองค์กร นอกจากนี้องค์กรต้องดูแลจัดการไฟล์ตามข้อตกลงที่มีกับเจ้าของข้อมูลส่วนบุคคล เช่น การกําหนดระยะเวลาในการจัดเก็บข้อมูล โดยสามารถใช้ Retention Label มาช่วยได้

เครื่องมือที่จําเป็นต้องใช้ : Azure Active Directory, Endpoint Manager, Data Loss Prevention, Sensitivity Labels, Retention Labels

3. กําหนดมาตรการปกป้องและคุ้มครองข้อมูลส่วนบุคคล รวมไปถึงความปลอดภัยทางไซเบอร์ (Protect)

เป็นกระบวนการในการตรวจสอบและควบคุมการเข้าใช้ระบบโดยใช้ Conditional Access โดยจะเป็นการตรวจสอบปัจจัยการเข้าใช้งานโดยพิจารณาจากผู้เข้าขอใช้งาน แอปพลิเคชัน ตําแหน่งที่ผู้ใช้ทําการขอเข้าใช้งาน และอุปกรณ์ที่ใช้งาน โดยหากถ้าระบบไม่มั่นใจว่าเป็นผู้มีสิทธิ์เข้าระบบจริงๆระบบจะให้ทําการยืนยันตัวตน ด้วย Multi Factor Authentication  หรือมีกระบวนการล็อกอินด้วย วิธีอื่นๆอย่างน้อยอีกหนึ่งชั้น ไม่ว่าจะเป็นใช้ระบบ ไบโอเมตริก รหัส PIN, การใช้รหัส OTP (One Time Password)  เพื่อให้ระบบมั่นใจว่าผู้เข้าใช้งาน เป็นคนที่มีสิทธิ์จริงๆ

การปกป้องข้อมูลส่วนบุคคลของ Microsoft 365 ไม่ใช่แค่การแจ้งเตือนผู้ใช้ เมื่อเกิดเหตุการณ์เจาะระบบหรือขโมยข้อมูลขึ้นเท่านั้น แต่รวมถึงระบบรักษาความปลอดภัยอย่าง Microsoft Defender สามารถป้องกันผู้ใช้และองค์กร จากภัยคุกคามใหม่ๆ ในโลกไซเบอร์ ตรวจจับไฟล์ อันตรายที่แนบมากับอีเมล หรือลิงก์ต้องสงสัยต่างๆ ตรวจจับมัลแวร์ที่ติดมากับอุปกรณ์ของผู้ใช้ ไม่ว่าจะเป็น พีซี โน้ตบุ๊ก หรืออุปกรณ์ โมบาย และเมื่อตรวจพบสิ่งผิดปกติ ระบบยังสามารถตรวจสอบมัลแวร์ที่ติดมาบนอุปกรณ์ของผู้ใช้งาน ไม่ว่าจะเป็นพีซี โน้ตบุ๊ก  หรืออุปกรณ์โมบายต่างๆ

โดยหากระบบตรวจเจอก็จะทําการบล็อคอุปกรณ์นั้นๆ เพื่อไม่ให้ลุกลามต่อไป และนอกจากนี้ยังสามารถตรวจจับพฤติกรรมต้องสงสัย ที่อาจเกิดขึ้นในระบบและตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างรวดเร็ว

เครื่องมือที่จําเป็นต้องใช้ :Azure Active Directory/Conditional Access, Multi Factor Authentication, Microsoft Defender, Cloud App Security

4.ติดตามและทบทวนมาตรการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการดําเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล (Report)

Microsoft 365 มี Compliance Manager และ Thailand PDPA Template ที่ช่วยแนะนําแนวทาง ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีขั้นตอนอย่างไรบ้าง รวมไปถึงแนะนําเทคโนโลยี ต่างๆ ที่ต้องนํามาใช้ในการบริหารจัดการ และที่สําคัญเจ้าหน้าที่ที่ดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลขององค์กรสามารถใช้เครื่องมือนี้ทําการมอบหมายให้ผู้ที่มีความรับผิดชอบในแต่ละส่วนงาน ที่ต้องเกี่ยวข้องกับการจัดการกระบวนการด้านการคุ้มครองข้อมูลส่วนบุคคล และให้ทําการอัปเดตสถานะการทํางาน รวมไปถึงอัปเดตเอกสารที่เกี่ยวข้อง ได้อีกด้วย หนึ่งในข้อกําหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ให้สิทธิเจ้าของข้อมูลในการขอข้อมูลจาก ผู้ควบคุมข้อมูล ซึ่ง Microsoft 365 มีเครื่องมือที่ช่วยให้องค์กรสามารถค้นหาข้อมูลที่เกี่ยวข้องตามที่เจ้าของข้อมูลร้องขอได้ นอกจากนี้องค์กรยังสามารถที่จะทําการดูกิจกรรมที่เกี่ยวข้องกับไฟล์ที่ทําการแบ่งประเภทไว้ ด้วยเครื่องมือ Activity Explorer โดยสามารถมองเห็นที่ระดับเอกสารว่ามี กิจกรรมอะไร และไฟล์ถูกแก้ไข Label หรือไม่ และมี เครื่องมือในการเก็บ log เพื่อตรวจสอบกิจกรรม ต่างๆ เพื่อทํารายงานต่อไปได้ (audit log)

เครื่องมือที่จําเป็นต้องใช้ : Compliance Manager, Thailand PDPA Template, Audit Log Search, Activity Explorer, Data Subject Request

เรียบเรียงเนื้อหา โชติกา สุขีภาพ