นี่เป็นช่วงโค้งสุดท้ายก่อนที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) จะเริ่มมีผลบังคับใช้จริงในวันที่ 27 พฤษภาคม 63 ล่าสุด Microsoft แนะแนวทางให้องค์กรทั่วไทยเตรียมตัวให้พร้อม
โดย ดร. นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ให้ข้อมูลว่าทีมงานแบไต๋ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีรากฐานมาจาก GDPR ที่เริ่มบังคับใช้ในสหภาพยุโรปไปเมื่อ 2 ปีก่อน จนถึงวันนี้มีหลายบริษัทที่โดนดำเนินคดีแล้ว ทุกองค์กรควรให้ความสำคัญเกี่ยวกับข้อมูลส่วนบุคคล และหนึ่งในปัจจัยที่สำคัญมากสำหรับองค์กรคือ ต้องรู้ว่าเก็บข้อมูลไว้ที่ไหน ใครเก็บข้อมูลไว้บ้าง ข้อมูลเหล่านั้นมีการปกป้องหรือยัง และต้องรู้ว่าใครเข้าถึงข้อมูลได้ รวมถึงต้องมีมาตรการป้องกันไม่ให้ข้อมูลหลุดออกไป เพราะหากเกิดเหตุผิดพลาด อาจโดนฟ้องโดยเจ้าของข้อมูลส่วนบุคคลได้ นอกจากนี้แล้วยังต้องเตรียมข้อมูลไว้เผื่อว่าเจ้าของข้อมูลส่วนบุคคลขอดูหรือขอลบด้วย
แนะแนวทางเตรียมรับ พ.ร.บ. ฉบับใหม่
สำหรับไมโครซอฟท์เอง พร้อมรองรับลูกค้าธุรกิจด้วยแพลตฟอร์มคลาวด์ Microsoft Azure และบริการครบครันอย่าง Microsoft 365 ครอบคลุมทั้ง Windows และ Office 365 ด้วยคุณสมบัติใน 3 ด้านสำคัญ ได้แก่ การบริหารจัดการตัวตนผู้ใช้และการเข้าถึงข้อมูล การปกป้องข้อมูลให้ปลอดภัย และการรับมือกับการจู่โจม โดยแบ่งขั้นตอนการวางระบบให้ได้มาตรฐานออกเป็น 7 ขั้นตอนใหญ่ ๆ ดังนี้
- การแยกแยะข้อมูลส่วนบุคคลออกจากข้อมูลที่ไม่มีโครงสร้างแน่นอน (Unstructured Data) ซึ่งอาจครอบคลุมทั้งข้อมูลที่จัดเก็บอยู่ในระบบที่ติดตั้งอยู่ภายในองค์กรเอง ในระบบคลาวด์ของไมโครซอฟท์อย่าง Office 365 หรือแอปพลิเคชันคลาวด์อื่น ๆ
- ปกป้องข้อมูลในทุกช่องทาง ตั้งแต่ระบบขององค์กร ระบบคลาวด์ ไปจนถึงอุปกรณ์พกพา โดยสามารถใช้การเข้ารหัส ซึ่งอาจทำได้ทั้งกับตัวข้อมูลเอง อุปกรณ์ที่จัดเก็บข้อมูล หรือแอปพลิเคชันที่จัดการกับข้อมูล นอกจากนี้ Office 365 ยังมีตัวช่วยให้ผู้จัดการระบบสามารถจัดประเภทข้อมูลได้อย่างมีประสิทธิภาพ แยกแยะและแนะนำว่าข้อมูลแบบใดควรหรือไม่ควรนำไปใช้งานอย่างไรบ้าง
- ควบคุมการเข้าถึงข้อมูลโดยละเอียด ด้วยมาตรการป้องกันที่นอกเหนือจากรหัสผ่านทั่วไป ซึ่งอาจเป็นได้ทั้งการใช้ข้อมูลทางชีวภาพของผู้ใช้อย่างลายนิ้วมือ ใบหน้า หรือดวงตา และการใช้อุปกรณ์อย่างสมาร์ตโฟนหรือสมาร์ตการ์ดของผู้ใช้ที่ได้รับอนุญาตเป็นกุญแจร่วมกับรหัสผ่าน
- ค้นหาและควบคุมแอปพลิเคชันคลาวด์ที่เข้าถึงข้อมูลส่วนบุคคล นับตั้งแต่การประเมินความเหมาะสมของการใช้งานแอปพลิเคชันนั้น ๆ ภายใต้กฎหมายใหม่ กำหนดรูปแบบวิธีการใช้งานแอปพลิเคชันให้ชัดเจน และปกป้องข้อมูลที่แอปเหล่านี้สามารถเข้าถึงได้
- เฝ้าระวังและรับมือกับความเสี่ยง พร้อมลงมือแก้ไขก่อนที่จะเกิดความเสียหาย ทั้งจากการจู่โจมจากภายนอก และการกระทำของพนักงานภายในองค์กรเอง ไม่ว่าจะตั้งใจหรือไม่ก็ตาม พร้อมด้วยมาตรการลดความเสียหายจากการจู่โจม ปัจจุบัน ระบบ Advanced Threat Protection ของ Office 365 สามารถช่วยจัดการกับความเสี่ยงในหลายระดับ เช่นการตรวจจับไฟล์แนบอีเมลหรือลิงก์ที่อาจเป็นอันตราย ก่อนที่ผู้ใช้จะได้เปิดไฟล์หรือลิงก์ขึ้นมาด้วยตัวเอง เป็นต้น
- ประเมินมาตรฐานการปฏิบัติงานทุกขั้นตอน ด้วยโซลูชั่นอย่าง Compliance Manager ที่สามารถประเมินและให้คะแนนการปฏิบัติงานขององค์กรตามมาตรฐานและกฎหมายต่าง ๆ ตามข้อมูลระบบงานของผู้ดูแล พร้อมให้คำแนะนำที่เหมาะสมสำหรับการพัฒนาระบบต่อไป
- เตรียมตัวรับมือคำข้อจากเจ้าของข้อมูลส่วนบุคคล (Data Subject Request) ด้วยบริการเช่น Data Privacy Dashboard ใน Office 365 ที่ช่วยบริหารจัดการและติดตามคำขอดังกล่าวได้ พร้อมรองรับการค้นหาข้อมูลส่วนบุคคลหลากหลายประเภทในทุกแอปพลิเคชันของ Office
นายโอมยังกล่าวเสริมอีกว่า “แพลตฟอร์มคลาวด์ของไมโครซอฟท์มีเทคโนโลยีที่ทำงานผสานกันทั่วถึงทั้งระบบ ทั้งยังมีการสนับสนุนอย่างรอบด้านจากพันธมิตรทั่วประเทศ จึงพร้อมปกป้องข้อมูลส่วนบุคคลตามมาตรฐานของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลในทุกระดับ ไม่ว่าองค์กรจะใช้งานโครงสร้างพื้นฐานทางเทคโนโลยีในรูปแบบไหน ทั้งยังมาพร้อมกับระบบรักษาความปลอดภัยที่แน่นหนา ช่วยลดความเสี่ยง จำกัดความเสียหาย และขับเคลื่อนการฟื้นฟูระบบหากเกิดการโจมตี”
พิสูจน์อักษร : สุชยา เกษจำรัส