ในช่วงต้นเดือนที่ผ่านมา มีการรายงานถึงผู้ใช้งานในเครื่องข่ายเอไอเอสรายหนึ่ง ได้เข้าแจ้งความกับทางตำรวจว่า เอไอเอสได้ละเมิดข้อมูลส่วนบุคคล โดยนำข้อมูลการใช้งานของตนเองไปเปิดเผย

ฟากผู้เสียหาย

14516494_1241746185846506_1894816292585384902_n

ชยพลปกรณ์ ศรัทธาณรงค์ (ผู้เสียหาย)

โดยในวันนี้ เมื่อเวลาประมาณ 11 นาฬิกา นายชยพลปกรณ์ ศรัทธาณรงค์ ซึ่งเป็นผู้เสียหายจากกรณีดังกล่าว เดินทางมาพร้อมภรรยา เข้าร้องเรียนที่ศูนย์รับเรื่องร้องเรียน สำนักงานคณะกรรมการคุ้มครองผู้บริโภค (สคบ.) ที่อาคารศูนย์ราชการ แจ้งวัฒนะ กรณีถูกบริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส ละเมิดข้อมูลส่วนบุคคล

โดยพบข้อมูลการตามส่องพิกัดและพฤติกรรมใช้งานมือถือ นานกว่า 3 เดือน โดยได้เรียกร้องค่าเสียหาย จากการที่บริษัทนำข้อมูลไปเปิดเผย ซึ่งการยื่นเรื่องครั้งนี้ เจ้าหน้าที่ระบุว่า นายชยพลปกรณ์ ได้ขอเรียกร้องค่าเสียหาย จากกรณีดังกล่าวนี้ และขอให้เยียวยาความเสียหายเป็นเงินจำนวน 10 ล้านบาท

นายชยพลปกรณ์ ระบุว่า การยื่นสคบ. ในวันนี้ เป็นการเรียกร้องค่าเสียหาย หลังจากได้ยื่นเรื่องร้องเรียนกับสำนักงาน กสทช. เมื่อวันที่ 16 และ 19 กันยายน ที่ผ่านมา แต่เนื่องจากทาง กสทช. แจ้งว่า กสทช. มีหน้าที่กำกับดูแลค่ายมือถือ หรือ ผู้ได้รับใบอนุญาตประกอบกิจการโทรคมนาคมเท่านั้น ไม่ได้มีหน้าที่ดูแลผู้ใช้บริการ จึงเดินทางมาที่สคบ. แทน เพื่อขอให้ ทางเอไอเอส รับผิดชอบและชดใช้ความเสียหาย โดยขอให้เป็นเรื่องที่สคบ. ดำเนินการ

นายชยพลปกรณ์ ได้ให้ข้อมูลเพิ่มเติมว่า “ที่ผ่านมา หลังจากยื่นเรื่องร้องเรียนไปที่ กสทช. ก็ยังไม่มีการติดต่อกลับมาจากทางเอไอเอสอีก แม้กระทั่งการถามไถ่สารทุกข์สุกดิบกันบ้างก็ดี ไม่ใช่ทื้ง หรือปล่อยให้เราเป็นใครก็ไม่รู้ที่มาเรียกร้องความเป็นธรรมให้กับตัวเอง”

ทั้งจากข้อมูลที่ได้รับมา นายชยพลปกรณ์ ให้ความเห็นว่า หลังจากร้องเรียนเรื่องข้อมูลถูกขโมย มีหลายสิ่งเกิดขึ้นซึ่งทำให้ไม่สามารถดำเนินชีวิตได้ตามปกติ แม้ทางเอไอเอสจะยินยอมจ่ายค่าโทรศัพท์ตลอดไป เพื่อชดเชยความเสียหายที่เกิดขึ้น แต่ก็เป็นสิ่งที่ไม่ต้องการ

นายชยพลปกรณ์ ได้กล่าวอีกว่า “สิ่งที่เกิดขึ้น ผมผิดหวังมาก บริษัทใหญ่ขนาดนี้ มีการแก้ปัญหาที่ไม่คิดว่าจะเป็นแบบนี้ ทุกวันนี้ ผมและครอบครัว ต้องใช้ชีวิตอย่างระวัง หวาดกลัว การออกจากบ้านต้องมีคนมาด้วยเป็นเพื่อน ต้องคิดให้รอบคอบ การทำงานหยุดชะงัก ชีวิตไม่ปลอดภัย กระทบทั้งครอบครัว ส่วนการแจ้งความ จะรอความชัดเจนของการตรวจสอบของ กสทช. ก่อน”

ซึ่งมาตรการไล่พนักงานออกไปนั้น เป็นแค่การแก้ปัญหาภายในของบริษัทเท่านั้น แต่ยังไม่ใช่การรับผิดชอบต่อผม และ ผู้ใช้บริการ

ส่วนด้านคดี ที่เอไอเอสได้แจ้งความเอาผิดพนักงานนั้น ทางเอไอเอสจะเข้าให้ข้อมูล ที่ สน.บางซื่อ เวลา 13.30 น.

สำหรับภายหลังการยื่นร้องเรียน นายพิฆเนศ ต๊ะปวง รองเลขาธิการคณะกรรมการคุ้มครองผู้บริโภค (สคบ.) เปิดเผยว่า ตามกระบวนการ ต้องผ่านคณะกรรมการไกล่เกลี่ย โดยจะทำหนังสือถึงเอไอเอส ภายใน 7 วัน เพื่อให้เดินทางมาชี้แจงในกระบวนการไกล่เกลี่ยเพื่อชดเชยค่าเสียหาย ซึ่ง สคบ. สามารถดำเนินการ หากสามารถตกลงกันได้ในชั้นของการไกล่เกลี่ย ก็ไม่มีปัญหา

ทั้งนี้ การคุ้มครองข้อมูลส่วนบุคคล มีประกาศที่เกี่ยวกับกับการคุ้มครองข้อมูลส่วนบุคคล เรียกกว่า “ประกาศคณะกรรมการกิจการโทรคมนาคมแห่งชาติ” พ.ศ.2544 เรื่องมาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคล สิทธิในความเป็นส่วนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม

โดยการละเมิดข้อมูลส่วนบุคคลซึ่งเป็นเรื่องระหว่างค่ายมือถือ กับผู้ใช้บริการ ทางสำนักงาน กสทช. สามารถใช้ประกาศฉบับดังกล่าว ดำเนินการตรวจสอบได้ มีมาตราการคุ้มครองข้อมูลส่วนบุคคลเฉพาะในกิจการโทรคมนาคมไว้ ซึ่งมีมาตรการตั้งแต่การร้องเรียนโดยผู้ใช้บริการที่คิดว่าถูกล้วงข้อมูลส่วนตัวเรื่องการใช้โทรศัพท์, การกำหนดหน้าที่ของค่ายมือถือที่ได้รับใบอนุญาต มีหน้าที่ในการกำกับดูแล รักษาข้อมูลทั้งหมด

เรื่องสิทธิของผู้ให้บริการ และมาตราการควบคุมบุคคลอื่นที่เกี่ยวข้อง ไม่ว่าจะเป็นพนักงาน หรือใครก็ตามที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้ใช้บริการ ตามข้อ 18 วรรคสอง กำหนดให้ผู้รับใบอนุญาตจะต้องมีส่วนร่วมผูกพันกับพนักงาน หรือ ใครก็ตามที่รักษาข้อมูลของผู้ใช้บริการ

แม้จะมอบหมายให้พนักงานหรือคนอื่นดูแล แต่บริษัทเอไอเอส ก็ไม่พ้นความรับผิดชอบเรื่องนี้ด้วย ซึ่งต้องรอดูกระบวนการสอบสวนของ กสทช. ต่อไป

ฟากผู้ให้บริการ

ในวันเดียวกัน เอไอเอส ได้เปิดให้เจ้าหน้าที่ กสทช. เข้าตรวจสอบกระบวนการทำงาน ของหน่วยงานวิเคราะห์ข้อมูลการใช้งานของลูกค้าอย่างละเอียดทุกขั้นตอน

160927-pic-%e0%b9%80%e0%b8%ad%e0%b9%84%e0%b8%ad%e0%b9%80%e0%b8%ad%e0%b8%aa%e0%b9%80%e0%b8%9b%e0%b8%b4%e0%b8%94%e0%b9%83%e0%b8%ab%e0%b9%89-%e0%b8%81%e0%b8%aa%e0%b8%97%e0%b8%8a-%e0%b9%80%e0%b8%82

นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส กล่าวว่า ช่วงบ่ายของวันจันทร์ที่ 26 ก.ย. ที่ผ่านมา  กสทช. ได้นำทีมคณะกรรมการสอบสวนข้อเท็จจริง เข้าไปตรวจสอบระบบรักษาความปลอดภัยข้อมูลของลูกค้า โดยมีรายละเอียดดังนี้

  • ตรวจสอบขั้นตอนการรับเรื่องการขอข้อมูลรายละเอียดการโทรย้อนหลัง ที่เอไอเอส ช็อป โดยพนักงานจะแนะนำให้ลูกค้าเข้าไปดูข้อมูลรายละเอียดการโทรย้อนหลัง ทั้งเบอร์ปลายทาง , เวลาและระยะเวลาที่โทร ได้ด้วยตนเองผ่านเว็บ E-Service (www.ais.co.th/eservice) ทั้งนี้เพื่อความปลอดภัยของข้อมูลลูกค้า
  • ตรวจสอบกระบวนการทำงานของหน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า ซึ่งมีระบบรักษาความปลอดภัยถึง 4 ชั้น เพื่อเข้าไปในบริเวณสถานที่ปฏิบัติงาน เริ่มตั้งแต่
    • ชั้นที่ 1 – พนักงานทุกคนจะต้องเก็บอุปกรณ์มือถือ, Flashdrive, กล้องถ่ายรูป และ อุปกรณ์บันทึกข้อมูลต่างๆ ไว้ใน Locker ก่อน และต้องผ่านการตรวจจับโลหะ เพื่อให้มั่นใจว่าพนักงานไม่มีการนำอุปกรณ์ดังกล่าวเข้าไปฃ
    • ชั้นที่ 2 – พนักงานต้องแสดงบัตรของตนเอง และทำการแตะบัตรเพื่อทำการเปิดประตูเข้าด้วยตนเอง เพื่อเข้าไปยังพื้นที่หน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า พนักงานที่ไม่มีสิทธิ์เข้าพื้นที่หน่วยวิเคราะห์ข้อมูลจะไม่สามารถใช้บัตรเปิดประตูได้
    • ชั้นที่ 3 – นอกจากนี้ในขณะปฏิบัติงาน ก็มีมาตรการป้องกันไม่ให้พนักงานสามารถนำข้อมูลของลูกค้าออกไปได้ ดังนี้
      • พนักงานทุกคนไม่สามารถเชื่อมต่อ Internet ได้
      • พนักงานทุกคนไม่สามารถทำสำเนาข้อมูลออกมาจากเครื่องคอมพิวเตอร์ผ่านทางช่องเสียบต่างๆ ส่วนการส่งอีเมล์ผ่านทางระบบ Intranet ภายในองค์กร จะมีระบบ Copy Double Mail อัตโนมัติ โดยอีเมล์ทุกฉบับที่ส่งออก ทั้งหัวข้อ เนื้อความและเอกสารแนบ จะถูกสำเนาส่งไปที่หัวหน้างานโดยอัตโนมัติ
      • หัวหน้างานจะตรวจสอบการทำงานของพนักงานย้อนหลังทุกสัปดาห์ ด้วยระบบ CAS (Centralized Access System) ที่จัดเก็บหน้าจอการทำงานของพนักงานทุกคน
      • ดำเนินการจัดหาระบบการตรวจสอบ Log และ CAS อย่างอัตโนมัติด้วยเทคโนโลยี Rule Based เพื่อให้การตรวจสอบ Log เป็นไปอย่างมีประสิทธิภาพ รวดเร็ว พบสิ่งที่ต้องสงสัยได้อย่างรวดเร็วทันการณ์
      • มีกล้องตรวจจับทั่วบริเวณ
    • ชั้นที่ 4 – ห้องทำงานพิเศษ (Control Room) โดยมีพนักงานเพียง 4 คน ที่มีหน้าที่วิเคราะห์ข้อมูลเชิงลึกของลูกค้า มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของลูกค้าภายในห้องนี้ได้ และบริษัทได้นำระบบ Double Password มาใช้ โดยพนักงานจะใส่ Password ใน Token ซึ่งจะเปลี่ยนทุกๆ นาที และหัวหน้างานจะใส่ Password ซึ่งจะเปลี่ยนทุกๆ เดือน นอกจากนั้นยังมอบหมายให้หัวหน้างานตรวจสอบ Log การเข้าถึงและการใช้ข้อมูลทุกวัน

นอกจากนี้ กสทช.ยังได้ตรวจสอบด้านการดักฟังข้อมูลเสียง ซึ่งเอไอเอสยืนยันว่าไม่สามารถทำได้ ไม่ว่าจะเป็นเรื่องของการดักฟังข้อมูลเสียงหรือข้อความ เนื่องจากบริษัทมีนโยบายในเรื่องมาตรการระบบรักษาความปลอดภัยข้อมูลของลูกค้า ที่เอไอเอสให้ความสำคัญอย่างสูงสุดมาโดยตลอด และด้วยเทคโนโลยีปัจจุบันที่เป็นระบบดิจิทัล ซึ่งเป็นมาตรฐานโลก มีการเข้ารหัสข้อมูลหลายชั้น ตั้งแต่ต้นทางจนถึงปลายทาง จึงทำให้ไม่สามารถดักฟังได้ รวมทั้งระบบวิเคราะห์ข้อมูล และเครื่องมือทุกชนิดที่บริษัทใช้อยู่ ไม่มีระบบหรือเครื่องมือใดสามารถที่จะนำข้อมูลเสียงออกมาได้ ไม่ว่าจะกระทำด้วยวิธีการใดๆ การกระทำดังกล่าวเป็นการกระทำความผิดทางอาญาขั้นร้ายแรง ซึ่งทางบริษัทได้ตระหนักในเรื่องนี้เป็นอย่างยิ่ง และเรื่องดังกล่าวไม่อาจกระทำได้

โดย กสทช. ได้เข้าไปตรวจสอบ และรับทราบข้อมูลต่างๆ ดังกล่าวแล้ว

160927-pic-%e0%b9%80%e0%b8%ad%e0%b9%84%e0%b8%ad%e0%b9%80%e0%b8%ad%e0%b8%aa%e0%b9%80%e0%b8%9b%e0%b8%b4%e0%b8%94%e0%b9%83%e0%b8%ab%e0%b9%89-%e0%b8%81%e0%b8%aa%e0%b8%97%e0%b8%8a-%e0%b9%80%e0%b8%82

ที่มา : ภัทราพร ตั๊นงาม (ผู้สื่อข่าวไทยพีบีเอส)