Microsoft ตอบรับกฎหมายข้อมูลใหม่ของไทย และมาตรฐานโลก

Microsoft

ไมโครซอฟท์ (Microsoft) ชูหลักการสำคัญ ให้ “ความปลอดภัย” เป็นหัวใจ นำทางสู่ “ความเป็นส่วนตัว” ตอบรับกฎหมายข้อมูลใหม่ของไทย และมาตรฐานโลก…

Microsoft ชูหลักการสำคัญ ให้ “ความปลอดภัย” ตอบรับกฎหมายข้อมูลใหม่ของไทย และมาตรฐานโลก

ไมโครซอฟท์ ประเทศไทย เผยแนวทางให้องค์กรยกระดับความปลอดภัย เสริมสร้างความเป็นส่วนตัวของข้อมูล พร้อมนำเสนอผลิตภัณฑ์และบริการให้ทุกภาคส่วนได้ต่อยอดจากการปฏิบัติตามมาตรฐานใหม่ของประเทศไทย ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act; PDPA) 

และมุ่งสู่การสร้างรากฐานแห่งความไว้วางใจให้กับทุกคน และทุกองค์กรในการใช้เทคโนโลยีให้เต็มประสิทธิภาพ ถึงแม้ว่า พ.ร.บ. ฉบับดังกล่าวจะยังไม่มีผลบังคับใช้อย่างเต็มรูปแบบก่อนวันที่ 1 มิถุนายน 2565 แต่ทุกองค์กรในประเทศไทยก็ยังต้องมุ่งหน้าสู่จุดหมายปลายทางเดียวกัน

ด้วยระบบการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลที่เป็นไปตามมาตรฐานของกฎหมายใหม่นี้ โดยผู้เป็นเจ้าของข้อมูลจะต้องมีสิทธิในการได้รับแจ้งถึงจุดประสงค์ และรายละเอียดในการเก็บข้อมูลของตนไปประมวลผล และยังสามารถเลือกเข้าถึง แก้ไข ลบ และโอนย้ายข้อมูลนี้ หรือเพิกถอนความยินยอม และห้ามหรือคัดค้านการประมวลผลข้อมูลนั้นๆ ตามกฎหมาย

โอม ศิวะดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่า ก่อนที่จะไปถึงความเป็นส่วนตัว และสิทธิในข้อมูลส่วนบุคคล ต้องไม่ลืมว่าการรักษาให้ข้อมูลนี้ยังคงความเป็น ส่วนบุคคล ดังนั้น การปฏิบัติตาม PDPA จึงต้องครอบคลุมถึงการยกระดับด้านความปลอดภัยสารสนเทศให้แข็งแรงไปพร้อม ๆ กัน เพราะทั้งสองเรื่องต่างเป็นพื้นฐานของกัน และกัน

ตรวจเช็คลิสท์ 3 ข้อ พร้อมสิ่งสำคัญที่ต้องมี เพื่อคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัย

Microsoft

ไม่ว่าจะทำธุรกิจอยู่ในอุตสาหกรรมใด หรือมีขนาดกิจการเท่าไร องค์กรแทบทุกแห่งต่างก็ต้องรับมือกับข้อมูลส่วนบุคคลในรูปแบบที่คล้ายคลึงกัน จึงทำให้ขั้นตอนในการยกระดับให้ระบบข้อมูลได้มาตรฐานตาม PDPA นั้น สรุปออกมาได้เป็น 3 ขั้นตอนใหญ่ๆ ที่ต้องทำดังนี้

รู้” ให้ลึกทุกซอกมุม กับข้อมูลทั่วทั้งองค์กร (Know Your Data)

หากเทียบระบบขององค์กรเป็นเหมือนบ้านหลังหนึ่ง การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง และข้อมูลส่วนบุคคลก็เช่นกัน

องค์กรในปัจจุบันต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่นระบบฐานข้อมูลต่าง ๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบเป็นงานที่ยากไม่ใช่น้อย

ไมโครซอฟท์ จึงได้พัฒนา Azure Purview บริการคลาวด์ล่าสุดที่ทำหน้าที่สแกนหาข้อมูลจากฐานข้อมูลทั่วทั้งองค์กรมาให้จัดระเบียบได้จากที่เดียว และยังช่วยให้มองเห็นเส้นทางการใช้งานของข้อมูลที่ชัดเจน ช่วยในการระบุจุดที่ต้องแก้ไขให้ระบบปลอดภัยอย่างสมบูรณ์

นอกจากนี้ บริการ ไมโครซอฟท์ 365 ยังมีเครื่องมือครบชุดให้องค์กรได้จัดระเบียบการใช้งานข้อมูลให้ลงตัว เช่น Content Explorer ที่เปิดแค่จอเดียวก็ได้เห็นสถานะข้อมูลสำคัญของทั้งองค์กร

คุม” ให้รอบด้าน จัดการใช้งานข้อมูลให้ถูกหลัก (Manage your data)

เมื่อรู้แล้วว่าในบ้านหลังนี้มีสิ่งของอะไรอยู่บ้าง ลำดับต่อไปก็ต้องคอยดูแลรักษาให้ของแต่ละชิ้นถูกใช้งานอย่างเหมาะสม ไม่เสียหายหรือกระจายไปจนผิดที่ผิดทาง

องค์กรที่เลือกใช้ ไมโครซอฟท์ 365 สามารถใช้คุณสมบัติในด้านการจัดจำแนกข้อมูล (data classification) เพื่อระบุว่าข้อมูลชิ้นไหน ประเภทใด ที่ควรปกป้องเป็นพิเศษ เช่นห้ามไม่ให้ส่งออกไปภายนอก หรือต้องเก็บรักษาไว้ในระบบเป็นระยะเวลาอย่างต่ำเท่าไร

ผ่านทางระบบ sensitivity label และ retention label โดยการจัดประเภทข้อมูลนี้ ไม่จำเป็นต้องลงมือทำด้วยตัวเองกับข้อมูลทีละชิ้น แต่สามารถกำหนดกฎเกณฑ์ให้ระบบจัดแจงข้อมูลจนเข้าพวกได้แบบอัตโนมัติ รวมถึงการขยายไปใช้คุณสมบัติในด้านการจัด และจำแนกข้อมูล บน Azure Purview ได้อีกด้วย

ซึ่งทั้งหมดนี้ นับเป็นส่วนหนึ่งของชุดบริการเพื่อการปกป้อง และบริหารจัดการข้อมูล (Information Protection and Governance) นั่นเอง เมื่อการใช้ข้อมูลขององค์กรอยู่ในระบบที่ชัดเจนแล้ว ก็ต้องให้ความสำคัญกับการตรวจสอบตัวผู้ใช้งาน และอุปกรณ์ที่เชื่อมต่อเข้ามาด้วย

เพื่อให้มั่นใจได้ว่าข้อมูลจะไม่ต้องเผชิญกับความเสี่ยงที่ไม่จำเป็น จากอุปกรณ์ที่ไม่ปลอดภัย หรือผู้ใช้ที่ไม่ควรมีสิทธิ์ในการเข้าถึงข้อมูลชิ้นนั้น โดยในเคสของอุปกรณ์ สามารถดูแลได้ด้วย ไมโครซอฟท์ Endpoint Manager ที่ช่วยบริหารจัดการอุปกรณ์ปลายทางได้ทุกรูปแบบ ตั้งแต่เครื่องพีซีไปจนถึงสมาร์ทโฟน

ส่วน Azure Active Directory ก็ช่วยระบุตัวตน และกำหนดสิทธิการใช้งานของผู้ใช้แต่ละคน แต่ละระดับในองค์กร ให้เป็นไปตามความเหมาะสม ลดความเสี่ยงที่จะเกิดเหตุข้อมูลรั่วไหลโดยไม่ตั้งใจ

กัน” ทุกความเสี่ยง ล้อมรั้วให้แกร่ง ต้านทานภัยรอบด้าน (Protect your data)

ไม่ว่าบ้านหลังนี้จะจัดการได้เรียบร้อยขนาดไหน แต่โอกาสที่จะเกิดอุบัติเหตุ หรือตกเป็นเป้าของผู้ประสงค์ร้ายจากภายนอกก็ยังคงมีอยู่ ดังนั้น ระบบรักษาความปลอดภัยที่แข็งแกร่งจึงเป็นเหมือนปราการด่านสุดท้าย ยับยั้งหรือจำกัดความเสียหายไม่ให้ลุกลาม

ฐานข้อมูลบนคลาวด์ของไมโครซอฟท์ ไม่ว่าจะเป็นระบบ Azure SQL DB หรือ Azure Synapse ต่างรองรับการเก็บซ่อนข้อมูลบางส่วน (data masking) เพื่อคัดกรองข้อมูลส่วนที่เป็นความลับไม่ให้หลุดออกไปอยู่ในมือของผู้ใช้ที่ไม่มีสิทธิเข้าถึง ขณะที่ข้อมูลทั้งหมดบนแพลตฟอร์ม ไมโครซอฟท์ 365 จะถูกเข้ารหัส (encrypt)

 มาเป็นมาตรฐานด้วยกุญแจที่ไมโครซอฟท์เป็นผู้ดูแล แต่ถ้าอยากปลอดภัยยิ่งกว่านั้น ก็ยังสามารถเลือกใช้กุญแจรหัสของตัวเองมาปกป้องข้อมูลให้แน่นหน้าไม่แพ้กับเปิดห้องนิรภัยใหม่ของตัวเอง โดยการเข้ารหัสข้อมูลบนแพลตฟอร์มไมโครซอฟท์สามารถทำได้ในทุกขั้นตอนและสภาวะการทำงาน

ส่วนในกรณีที่เกิดเหตุพลั้งเผลอ มีการพยายามแนบเอกสารลับของบริษัท หรือรายละเอียดสำคัญอย่างหมายเลขบัตรเครดิต เพื่อส่งออกไปภายนอก ฟังก์ชัน Data Loss Prevention ใน ไมโครซอฟท์ 365 ก็สามารถเบรกไม่ให้ข้อมูลนั้นหลุดรั่วออกไปได้ ตามกฎที่ผู้ดูแลระบบสามารถตั้งเองได้

Microsoft

นอกจากนี้ ระบบยืนยันตัวตนอย่าง Azure Active Directory และฟังก์ชัน MultiFactor Authentication หรือการยืนยันตัวตนด้วยหลายปัจจัย ยังเป็นวิธีที่ดีในการตรวจสอบว่าผู้ที่กำลังพยายามเข้ามาใช้งานระบบเป็น ตัวจริง ที่มีสิทธิใช้งานถูกต้องเหมาะสมหรือไม่ หรือหากเกิดการจู่โจมโดยผู้ไม่หวังดี

ก็ยังมี ไมโครซอฟท์ 365 Defender คอยตรวจจับและหยุดยั้งอาวุธร้ายของอาชญากรไซเบอร์ นับตั้งแต่การตรวจจับมัลแวร์ทั่วไป ไปจนถึงการค้นหาสัญญาณ และพฤติกรรมผิดปกติ เช่นการพยายามเข้าใช้งานระบบติดต่อกันหลายร้อยครั้งจากผู้ใช้รายเดียวในระยะเวลาสั้น ๆ เป็นต้น

“เทคโนโลยีที่เสริมสร้างความปลอดภัยทั้งหมดนี้ ล้วนมีคลาวด์เป็นหัวใจสำคัญ ดังนั้น การเลือกแพลตฟอร์มคลาวด์ที่ได้มาตรฐานในด้านความปลอดภัยจึงเป็นสิ่งที่สำคัญมาก สำหรับระบบคลาวด์อย่าง ไมโครซอฟท์ Azure และ ไมโครซอฟท์ 365 ผ่านการรับรองกว่า 90 มาตรฐานจากทั่วโลก

ซึ่งในจำนวนนี้ รวมถึง 35 มาตรฐานเฉพาะทางที่ถูกออกแบบขึ้นมาสำหรับอุตสาหกรรมต่าง ๆ และข้อกำหนดด้านการคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR ของยุโรป และ PDPA ของไทย

จึงพร้อมรองรับทุกความต้องการขององค์กรไทย โดยองค์กรที่สนใจในรายละเอียดจะสามารถค้นหาข้อมูลเชิงลึกในเงื่อนไขการบริการได้โดยตรงจากเรา เพื่อสร้างความชัดเจนและมั่นใจในการทำงานต่อไป” นโอม กล่าว

สำหรับองค์กรที่สนใจเรียนรู้เพิ่มเติมด้านความปลอดภัยและการรับมือกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล สามารถลงทะเบียนร่วมกิจกรรมเวิร์คช็อปออนไลน์ชุด Digital Clinic for Your Business กับพันธมิตรของไมโครซอฟท์ บริษัท M.I.S. Outsourcing ได้ตามรายละเอียดข้างล่างนี้

Microsoft

  • เตรียมพร้อมรับมือ ... คุ้มครองส่วนบุคคลวันพุธที่ 19 พฤษภาคม 2564 เวลา 13:00-15:00 น. ลงทะเบียน

นอกจากนี้ ไมโครซอฟท์ยังมีการบรรยายพิเศษในหัวข้อExpress Route to comply with PDPA for Data Processor ที่สามารถรับชมได้ทันที ด้วยเนื้อหาเข้มข้นสำหรับบุคลากร และหน่วยงานที่ต้องดูแลข้อมูลส่วนบุคคล โดยสามารถลงทะเบียนรับชมได้ที่ https://aka.ms/ExpressPDPA_OnDemandTH

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.