Microsoft 365 ช่วยองค์กรปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อย่างไร

Microsoft 365

ช่วยองค์กรปฏิบัติตาม พ.ร.บ.
คุ้มครองข้อมูลส่วนบุคคลได้อย่างไร

 

เตรียมความพร้อม สําหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

 

ปัจจุบันการคุ้มครองข้อมูลส่วนบุคคล เป็นประเด็นที่ทุกประเทศทัวโลกตระหนักและให้สําคัญ โดย ่ประเทศไทยเองก็ได้ตราเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่ต่อไปนี้จะเรียกว่าPDPA(Personal Data Protection Act 2019)สาระสําคัญของ PDPA นันไม่ได้ห้ามไม่ให้องค์กร ้ต่างๆ ใช้ประโยชน์จากข้อมูลส่วนบุคคล เพียงแต่จะต้องอธิบายการใช้ข้อมูลได้ตามฐานทางกฎหมาย
และมีมาตรการในการรักษาความปลอดภัยกับข้อมูลดังกล่าวให้เพียงพอเพื่อเป็นการคุ้มครองสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล PDPA ได้กําหนดหน้าที่ต่างๆ กับองค์กรที่ใช้ข้อมูลส่วนบุคคลเอาไว้หลายประการ เช่น
การประมวลผลข้อมูลตามวัตถุประสงค์ที่ชัดเจนการใช้ข้อมูลเท่าที่จําเป็น การดําเนินการตามคําขอของเจ้าของข้อมูล การขอสําเนาข้อมูลส่วนบุคคลการขอแก้ไขข้อมูลให้ถูกต้อง หรือการที่จะต้องแจ้ง
ต่อหน่วยงานที่เกี่ยวข้องเมื่อมีการละเมิดข้อมูลส่วนบุคคล เป็นต้น

 

ขันตอนสู่การปกป้องข้อมูลส่วนบุคคล

เพื่อช่วยองค์กรในการปฏิบัติตามกฎหมายฉบับนี้ไมโครซอฟท์จึงได้พัฒนาชุดเครื่องมือที่ช่วยให้องค์กรที่ใช้งาน Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อย่าง
สมบูรณ์แบบ โดยขันตอนการจัดการข้อมูล ้ส่วนบุคคลในองค์กร ขอแบ่งเป็น 4 กระบวนการประกอบด้วย

1. การตรวจสอบและจําแนกประเภทข้อมูลส่วนบุคคลที่มีในองค์กร (Discover)

เครื่องมือที่อยู่ภายใต้ Info Protection &Governance ได้แก่ Sensitive Info Typeที่ช่วยกําหนดประเภทของข้อมูลส่วนบุคคลที่องค์กร
มีการจัดเก็บ จากนันเราสามารถทําการค้นหาด้วย ้Content Explorer ระบบจะสามารถสแกนหาข้อมูลส่วนบุคคลที่กระจายอยู่ในระบบไอทีส่วนต่างๆขององค์กรไม่ว่าจะอยู่ใน Office 365 รวมถึงแอปพลิเคชันบนระบบคลาวด์ รวมไปถึงยังมีเครื่องมือที่ช่วยค้นหาไฟล์ที่อยู่บน On-premiseserver เช่น File Server ระบบจะทําการแสดงรายชื่อไฟล์ที่มีข้อมูลส่วนบุคคลอยู่ จากนันองค์กร ้สามารถทําการ Classify หรือแบ่งประเภทเอกสาร
ตัวไฟล์ที่มีข้อมูลส่วนบุคคลเพื่อสามารถดูแลจัดการต่อไป

เครืองมือที่จําเป็นต้องใช้ :  Info Protection &Governance, Data Classification (Sensitive Info Types, Content Explorer, Trainable Classifier),Cloud App Security

2. ธรรมาภิบาลข้อมูลและกําหนดกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Manage)

องค์กรจะต้องทําความเข้าใจว่าตนกําลังประมวลผลข้อมูลประเภทใด อย่างไร และเพื่อวัตถุประสงค์อะไรเพื่อให้มีความมันใจว่าการดําเนินการต่างๆ ่ในการประมวลผลข้อมูลที่อยู่ภายใต้การดูแลของตนนันได้ทําไปโดยมีการปฏิบัติตามกฎหมาย ้(PDPA) หลังจากค้นหาข้อมูลส่วนบุคคลต่างๆพบแล้ว สิงที่ต้องทําต่อไปคือการกําหนดนโยบาย ่และสิทธิในการเข้าถึงข้อมูลส่วนบุคคล ด้วย ์ AzureActive Directory เพื่อจัดการสิทธิ์ คนเข้าระบบและการจัดการสิทธิการเข้าถึงไฟล์ ของผู้ใช้งาน ์บนอุปกรณ์การทํางานต่างๆ ด้วย EndpointManager รวมไปถึงการจัดการนโยบายการเคลื่อนย้ายไฟล์เพื่อป้องกันการรัวไหลของข้อมูล ่(Data Loss Prevention) ออกนอกองค์กรนอกจากนี้องค์กรต้องดูแลจัดการไฟล์ตามข้อตกลงที่มีกับเจ้าของข้อมูลส่วนบุคคล เช่น การกําหนดระยะเวลาในการจัดเก็บข้อมูล โดยสามารถใช้Retention Label มาช่วยได้

เครื่องมือที่จําเป็นต้องใช้ : Azure ActiveDirectory, Endpoint Manager, Data Loss Prevention, Sensitivity Labels, Retention Labels

 

3. กําหนดมาตรการปกป้องและคุ้มครองข้อมูลส่วนบุคคล รวมไปถึงความปลอดภัยทางไซเบอร์ (Protect)

เป็นกระบวนการในการตรวจสอบและควบคุมการเข้าใช้ระบบโดยใช้ Conditional Access โดยจะเป็นการตรวจสอบปัจจัยการเข้าใช้งานโดยพิจารณาจากผู้เข้าขอใช้งาน แอปพลิเคชัน ตําแหน่งที่ผู้ใช้ทําการขอเข้าใช้งาน และอุปกรณ์ที่ใช้งาน โดยหากถ้าระบบไม่มันใจว่าเป็นผู้มีสิทธิ ่ เข้าระบบจริงๆ ระบบ ์จะให้ทําการยืนยันตัวตน ด้วย Multi FactorAuthentication หรือมีกระบวนการล็อกอินด้วยวิธีอื่นๆ อย่างน้อยอีกหนึ่งชัน ไม่ว่าจะเป็นใช้ระบบ ไบโอเมตริก รหัส PIN, การใช้รหัส OTP (One Time Password) เพื่อให้ระบบมันใจว่าผู้เข้าใช้งาน ่เป็นคนที่มีสิทธิจริงๆ ์
การปกป้องข้อมูลส่วนบุคคลของ Microsoft 365 ไม่ใช่แค่การแจ้งเตือนผู้ใช้ เมื่อเกิดเหตุการณ์ Types, Content Explorer, Trainable Classifier), Cloud App Security เจาะระบบหรือขโมยข้อมูลขึ้น เท่านัน แต่รวมถึงระบบ ้รักษาความปลอดภัยอย่าง Microsoft Defender สามารถป้องกันผู้ใช้และ องค์กร จากภัยคุกคามใหม่ๆในโลกไซเบอร์ ตรวจจับไฟล์อันตรายที่แนบมากับอีเมลหรือลิงก์ต้องสงสัยต่างๆตรวจจับมัลแวร์ที่ติดมากับอุปกรณ์ของผู้ใช้ ไม่ว่าจะเป็นพีซี โน้ตบุ๊ก หรืออุปกรณ์โมบาย และเมื่อตรวจพบสิงผิดปกติ ระบบยังสามารถ ่ตรวจสอบมัลแวร์ที่ติดมาบนอุปกรณ์ของผู้ใช้งานไม่ว่าจะเป็นพีซี โน้ตบุ๊กหรืออุปกรณ์โมบายต่างๆโดยหากระบบตรวจเจอก็จะทําการบล็อคอุปกรณ์นันๆ เพื่อไม่ให้ลุกลาม ้ต่อไป และนอกจากนี้ยังสามารถตรวจจับพฤติกรรมต้องสงสัยที่อาจเกิดขึ้นในระบบ และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างรวดเร็ว

เครื่องมือที่จําเป็นต้องใช้ : Azure ActiveDirectory/Conditional Access, Multi Factor Authentication, Microsoft Defender, Cloud App Security

4. ติดตามและทบทวนมาตรการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการดําเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล (Report)

Microsoft 365 มี Compliance Manager และThailand PDPA Template ที่ช่วยแนะนําแนวทางปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีขันตอนอย่างไรบ้าง รวมไปถึงแนะนําเทคโนโลยี ้ต่างๆ ที่ต้องนํามาใช้ในการบริหารจัดการ และที่สําคัญเจ้าหน้าที่ที่ดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลขององค์กรสามารถใช้เครื่องมือนี้ทําการมอบหมายให้ผู้ที่มีความรับผิดชอบในแต่ละส่วนงาน ที่ต้องเกี่ยวข้องกับการจัดการกระบวนการด้านการคุ้มครองข้อมูลส่วนบุคคล และให้ทําการอัปเดตสถานะการทํางาน รวมไปถึงอัปเดตเอกสารที่เกี่ยวข้องได้อีกด้วย

หนึ่งในข้อกําหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ให้สิทธิเจ้าของข้อมูลในการขอข้อมูลจากผู้ควบคุมข้อมูล ซึ่ง Microsoft 365 มีเครื่องมือที่ช่วยให้องค์กรสามารถค้นหาข้อมูลที่เกี่ยวข้องตามที่เจ้าของข้อมูลร้องขอได้ นอกจากนี้องค์กรยังสามารถที่จะทําการดูกิจกรรมที่เกี่ยวข้องกับไฟล์ที่ทําการแบ่งประเภทไว้ ด้วยเครื่องมือ Activity Explorer โดยสามารถมองเห็นที่ระดับเอกสารว่ามีกิจกรรมอะไร และไฟล์ถูกแก้ไข Label หรือไม่ และมีเครื่องมือในการเก็บ log เพื่อตรวจสอบกิจกรรมต่างๆ เพื่อทํารายงานต่อไปได้ (audit log)

เครื่องมือที่จําเป็นต้องใช้ : Compliance Manager, Thailand PDPA Template, Audit Log Search, Activity Explorer, Data Subject Request

 

สำหรับองค์กรที่สนใจ Microsoft 365 เพื่อการปรับตัวและปฏิบัติตามกฎหมาย PDPA สามารถพูดคุยกับทางบริษัท Monsterconnect ผ่านช่องทาง http://line.me/ti/p/~@monsterconnect

สนใจทดสอบ หรือสอบถามข้อมูล เกี่ยวกับ Cyber Security ติดต่อ บริษัท มอนสเตอร์ คอนเนค โทร 02 392 3608 หรือ Line: @monsterconnect ได้ 24 ชั่วโมง