ไมโครซอฟท์แนะแนวทางปรับตัวโค้งสุดท้ายก่อน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) บังคับใช้ ชูมาตรฐานความปลอดภัยเป็นหัวใจสำคัญในการปกป้องข้อมูลภายใต้กฎหมายใหม่…
highlight
- ไมโครซอฟท์ ประเทศไทย ตอกย้ำบทบาทของการรั
กษาความปลอดภัยและความเป็นส่ วนตัวของข้อมูลในโลกดิจิทัล ควบคู่กับความปลอดภัยของบุ คลากรในสถานการณ์ปัจจุบัน พร้อมแนะแนวทางให้องค์กรทั่ วไทยเตรียมตัวในระยะโค้งสุดท้าย ก่อนเริ่มต้นบังคับใช้พระราชบั ญญัติคุ้มครองข้อมูลส่วนบุ คคลในเดือนพฤษภาคมที่จะถึงนี้
แนวทางปรับตัวหลัง PDPA บังคับใช้
“หลังจากที่พระราชบัญญัติฉบับดั
งกล่าวได้ผ่านการพิ จารณา และเผยแพร่ทางราชกิจจานุ เบกษาไปในช่วงกลางปี 2562 ที่ผ่านมา มีองค์กรและธุรกิจจำนวนไม่น้ อยในประเทศไทยที่หันมาให้ ความสนใจในการปรับเปลี่ ยนแนวทางการทำงาน ยกระดับมาตรฐานต่าง ๆ ให้เป็นไปตามกรอบข้อบังคับด้ านความเป็นส่วนตัวข้อมู ลในกฎหมายฉบับนี้”
โอม ศิวะดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่า แต่ขณะเดียวกัน ยังมีองค์กรอีกจำนวนไม่น้อยที่
และยังอาจขยายตัวไปถึงข้อมู
หรือในบางกรณีอาจเลือกใช้อุ
ด้าน ดร. นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด เผยว่า อาจกล่าวได้ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทย เป็นกฎหมายที่มี รากฐานมาจากกฎหมายคุ้มครองข้อมู
โดยมีธุรกิจในยุโรปจำนวนไม่น้
โดยจะไม่เพียงช่วยลดผลกระทบที่
ที่มีอำนาจหน้าที่ตัดสินใจเกี่
หรือคัดค้านการเข้าถึงหรื
ในกรณีที่ผู้ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของภาครัฐ หรือมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และจำเป็นต้องทำการตรวจสอบข้อมูลหรือระบบอย่างสม่ำเสมอ หรือหากผู้ควบคุมหรือประมวลผลข้อมูลมีกิจกรรมหลักเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็น ทางการเมือง
ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่น ๆ ที่ใกล้เคียงกัน เมื่อทราบถึงบทบาทหน้าที่ของแต่ละฝ่ายแล้ว องค์กรจะต้องจำแนกประเภทของข้อมูลส่วนบุคคลที่มีในระบบให้ชัดเจน ก่อนจะจัดทำแผนผังที่ระบุ
กระบวนการการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้ชัดเจน และกำหนดกลยุทธ์ กรอบแนวทางการกำกับดูแล โครงสร้างการกำกับดูแล กรอบการดำเนินงาน และผู้รับผิดชอบในทุกขั้นตอน รวมถึงการประสานงานกับเจ้าของข้อมูลและบุคคลหรือหน่วยงานที่เกี่ยวข้องภายนอกองค์กรด้วย ดร. นิพนธ์กล่าวเสริม
“แต่กระบวนการทั้งหมดนี้จะสำเร็จไปไม่ได้ หากองค์กรยังคงขาดมาตรการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐาน ทั้งในด้านบุคลากร กระบวนการ และเทคโนโลยี เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล”
สำหรับไมโครซอฟท์เอง พร้อมรองรับลูกค้าธุรกิจในประเทศไทยด้วยแพลตฟอร์มคลาวด์ชั้นนำอย่าง Microsoft Azure และบริการครบครันในผลิตภัณฑ์อย่าง Microsoft 365 ซึ่งครอบคลุมทั้ง Windows และ Office 365
ด้วยคุณสมบัติใน 3 ด้านสำคัญ ได้แก่ การบริหารจัดการตัวตนผู้ใช้และการเข้าถึงข้อมูล การปกป้องข้อมูลให้ปลอดภัย และการรับมือกับการจู่โจม โดยแบ่งขั้นตอนการวางระบบให้ได้มาตรฐานออกเป็น 7 ขั้นตอนใหญ่ ๆ ดังนี้
- การแยกแยะข้อมูลส่วนบุคคลออกจากข้อมูลที่ไม่มีโครงสร้างแน่นอน (Unstructured Data) ซึ่งอาจครอบคลุมทั้งข้อมูลที่จัดเก็บอยู่ในระบบที่ติดตั้งอยู่ภายในองค์กรเอง ในระบบคลาวด์ของไมโครซอฟท์อย่าง Office 365 หรือแอปพลิเคชันคลาวด์อื่น ๆ
- ปกป้องข้อมูลในทุกช่องทาง ตั้งแต่ระบบขององค์กร ระบบคลาวด์ ไปจนถึงอุปกรณ์พกพา โดยสามารถใช้การเข้ารหัส ซึ่งอาจทำได้ทั้งกับตัวข้อมูลเอง อุปกรณ์ที่จัดเก็บข้อมูล หรือแอปพลิเคชันที่จัดการกับข้อมูล นอกจากนี้ Office 365 ยังมีตัวช่วยให้ผู้จัดการระบบสามารถจัดประเภทข้อมูลได้อย่างมีประสิทธิภาพ แยกแยะและแนะนำว่าข้อมูลแบบใดควรหรือไม่ควรนำไปใช้งานอย่างไรบ้าง
- ควบคุมการเข้าถึงข้อมูลโดยละเอียด ด้วยมาตรการป้องกันที่นอกเหนือจากรหัสผ่านทั่วไป ซึ่งอาจเป็นได้ทั้งการใช้ข้อมูลทางชีวภาพของผู้ใช้อย่างลายนิ้วมือ ใบหน้า หรือดวงตา และการใช้อุปกรณ์อย่างสมาร์ทโฟนหรือสมาร์ทการ์ดของผู้ใช้ที่ได้รับอนุญาตเป็นกุญแจร่วมกับรหัสผ่าน
- ค้นหา และควบคุมแอปพลิเคชันคลาวด์ที่เข้าถึงข้อมูลส่วนบุคคล นับตั้งแต่การประเมินความเหมาะสมของการใช้งานแอปพลิเคชันนั้น ๆ ภายใต้กฎหมายใหม่ กำหนดรูปแบบวิธีการใช้งานแอปพลิเคชันให้ชัดเจน และปกป้องข้อมูลที่แอปเหล่านี้สามารถเข้าถึงได้
- เฝ้าระวังและรับมือกับความเสี่ยง พร้อมลงมือแก้ไขก่อนที่จะเกิดความเสียหาย ทั้งจากการจู่โจมจากภายนอก และการกระทำของพนักงานภายในองค์กรเอง ไม่ว่าจะตั้งใจหรือไม่ก็ตาม พร้อมด้วยมาตรการลดความเสียหายจากการจู่โจม ปัจจุบัน ระบบ Advanced Threat Protection ของ Office 365 สามารถช่วยจัดการกับความเสี่ยงในหลายระดับ เช่นการตรวจจับไฟล์แนบอีเมลหรือลิงก์ที่อาจเป็นอันตราย ก่อนที่ผู้ใช้จะได้เปิดไฟล์หรือลิงก์ขึ้นมาด้วยตัวเอง เป็นต้น
- ประเมินมาตรฐานการปฏิบัติงานทุกขั้นตอน ด้วยโซลูชั่นอย่าง Compliance Manager ที่สามารถประเมินและให้คะแนนการปฏิบัติงานขององค์กรตามมาตรฐานและกฎหมายต่าง ๆ ตามข้อมูลระบบงานของผู้ดูแล พร้อมให้คำแนะนำที่เหมาะสมสำหรับการพัฒนาระบบต่อไป
- เตรียมตัวรับมือคำข้อจากเจ้าของข้อมูลส่วนบุคคล (Data Subject Request) ด้วยบริการเช่น Data Privacy Dashboard ใน Office 365 ที่ช่วยบริหารจัดการและติดตามคำขอดังกล่าวได้ พร้อมรองรับการค้นหาข้อมูลส่วนบุคคลหลากหลายประเภทในทุกแอปพลิเคชันของ Office
โอม ศิวะดิตถ์ กล่าวเสริมอีกว่า แพลตฟอร์มคลาวด์ของไมโครซอฟท์มีเทคโนโลยีที่ทำงานผสานกันทั่วถึงทั้งระบบ ทั้งยังมีการสนับสนุนอย่างรอบด้านจากพันธมิตรทั่วประเทศ จึงพร้อมปกป้องข้อมูลส่วนบุคคลตามมาตรฐานของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลในทุกระดับ
ไม่ว่าองค์กรจะใช้งานโครงสร้างพื้นฐานทางเทคโนโลยีในรูปแบบไหน ทั้งยังมาพร้อมกับระบบรักษาความปลอดภัยที่แน่นหนา ช่วยลดความเสี่ยง จำกัดความเสียหาย และขับเคลื่อนการฟื้นฟูระบบหากเกิดการโจมตี
ผู้สนใจสามารถอ่านข้อมูลเพิ่มเติมเกี่ยวกับแนวทางการปฏิบัติงานของไมโครซอฟท์เพื่อความปลอดภัยและความเป็นส่วนตัวของข้อมูลได้ที่ https://www.microsoft.com/th-th/trust-center/ หรือสอบถามข้อมูลเกี่ยวกับผลิตภัณฑ์และบริการของไมโครซอฟท์ได้ที่ https://aka.ms/contactmsftth
ส่วนขยาย * บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ ** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) *** ขอขอบคุณภาพประกอบบางส่วนจาก www.pexels.com
สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่ www.facebook.com/itday.in.th
