6 บริการ Data Protection ตอบโจทย์ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำหรับบริษัทและองค์กรที่กำลังเป็นกังวลว่าจะเตรียมบุคลากร กระบวนการ และเทคโนโลยีอย่างไรให้พร้อมรองรับการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในเดือนพฤษภาคมนี้ บริษัทบิสเน็ตเวิร์ค เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร พร้อมนำเสนอ 6 เทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เริ่มบังคับใช้พฤษภาคมนี้

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) เป็นกฎหมายที่มีวัตถุประสงค์เพื่อสร้างมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลให้เทียบเท่ากับข้อบังคับสากลและกฎหมายของต่างประเทศ เช่น GDPR โดย พ.ร.บ. ฉบับนี้จะบังคับใช้กับทุกหน่วยงาน ทุกผู้ประกอบการ เพื่อปกป้องความเป็นส่วนบุคคลของประชาชนทั่วไป 

พ.ร.บ.ฯ ดังกล่าว เป็นกฎหมายเพื่อใช้บังคับแก่การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรไทย ไม่ว่าการกระทำนั้นได้กระทำในหรือนอกราชอาณาจักรก็ตาม ประกอบด้วยหลักปฏิบัติสำคัญ 5 ประการ ได้แก่
 

  1. Personal Data Discovery – สำรวจข้อมูลส่วนบุคคลที่องค์กรจัดเก็บรวบรวม ประมวลผล เผยแพร่ หรือมีการส่งข้อมูลออกนอกประเทศ พร้อมจัดหมวดหมู่และกำหนดสิทธิ์การใช้งานของผู้ที่เกี่ยวข้อง

  2. Rights of Data Subject – รักษาสิทธิ์ของเจ้าของข้อมูลโดยกำหนดให้มีวิธีการและขั้นตอนในการร้องข้อจากเจ้าของข้อมูล เช่น การเข้าถึงข้อมูลของตน การลบหรือทำลาย และการแก้ไขข้อมูล เป็นต้น

  3. Data Security – วางมาตรการควบคุมในการดูแลรักษาข้อมูลส่วนบุคคล เช่น การเข้ารหัสข้อมูล การกำหนดสิทธิ์ของผู้ใช้งานข้อมูล หรือการป้องกันการรั่วไหลของข้อมูลสู่ภายนอก เป็นต้น

  4. Data Breach Notification – กำหนดให้มีการเฝ้าระวัง แจ้งเตือน และบันทึกการประมวลผลข้อมูลส่วนบุคคล รวมไปถึงมีมาตรการแจ้งเตือนเจ้าของข้อมูลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดเหตุข้อมูลรั่วไหลสู่ภายนอก

  5. Data Transfer – วางมาตรการควบคุมการส่งข้อมูลออกไปประมวลผลภายนอกองค์กร อาทิ การส่งข้อมูลไป Public Cloud หรือส่งข้อมูลไปให้บริษัทคู่ค้า เป็นต้น


พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถูกประกาศผ่านราชกิจจานุเบกษาเมื่อวันที่ 28 พฤษภาคม 2562 โดยแต่ละองค์กร/บริษัทจะมีเวลาเตรียมตัว 1 ปีก่อนที่ พ.ร.บ.ฯ จะมีผลบังคับใช้จริงในวันที่ 27 พฤษภาคม 2563 ระหว่างนี้ องค์กร/บริษัทจำเป็นต้องกำหนดนโยบายและวางมาตรการควบคุมเพื่อคุ้มครองข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงาน ผู้ที่ฝ่าฝืนจะมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปีและปรับตั้งแต่ 500,000 – 5,000,000 บาท

เราให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

เพื่อให้องค์กรและบริษัท ทั้งภาครัฐและเอกชน จัดเตรียมบุคลากร กระบวนการ และเครื่องมือในการดำเนินการสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เราจึงเปิดให้คำปรึกษาและบริการปกป้องข้อมูลตาม พ.ร.บ.ฯ แบบครบวงจร โดยในส่วนของเครื่องมือการปกป้องข้อมูลส่วนบุคคลนั้น เรามีบริการ Data Protection Services ที่ครอบคลุมทั้งการสำรวจและจำแนกประเภทของข้อมูล, การบริหารจัดการสิทธิ์ในการเข้าถึง, การคุ้มครองข้อมูลผ่านระบบ Encryption, Tokenization และ Key Management, การป้องกันข้อมูลรั่วไหลสู่ภายนอก รวมไปถึงการแจ้งเตือนเมื่อเกิดเหตุ Data Breach ไม่ว่าข้อมูลจะเก็บอยู่ในระบบแบบ On-premises หรือระบบ Cloud ก็ตาม

1. Data Discovery

บริการค้นหาข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้ในไฟล์เอกสาร รูปภาพ ฐานข้อมูล อีเมล และในระบบ File System ไม่ว่าจะเป็น ชื่อนามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล วันเกิด เลขบัตรประชาชน เลขบัตรเครดิต หรือข้อมูลส่วนบุคคลอื่นๆ พร้อมทำการจัดเก็บและจำแนกประเภทของข้อมูลเพื่อให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร นอกจากนี้ยังสามารถตั้งค่าปกปิดหรือแทนที่ข้อมูลส่วนบุคคลนั้นๆ ในไฟล์บางประเภทเพื่อไม่ให้อ่านหรือเห็นได้ตามปกติอีกด้วย บริการนี้รองรับการทำงานทั้งบนระบบปฏิบัติการ Windows, macOS, Linux, FreeBSD, AIX, HPUX และ Solaris

2. Data Masking

บริการปกป้องข้อมูลส่วนบุคคลและข้อมูลสำคัญขณะนำออกมาแสดงผล โดยจะทำการแทนที่ข้อมูลที่แสดงผลด้วยข้อมูลหลอกหรือนามแฝงเพื่อปกปิดหรือปิดบังข้อมูลที่แท้จริง ซึ่งสามารถเลือกวิธีปิดบังได้หลากหลายแบบ เช่น การเข้ารหัสข้อมูล (Encryption), การสวมข้อมูลอื่นเข้าไปแทน (Masking), การแทนที่ด้วยข้อมูลหรืออักษรอื่น (Substitution), การแทนที่ด้วยค่า NULL (Nulling) หรือการสลับข้อมูล (Shuffling) การปกป้องข้อมูลด้วยวิธีเหล่านี้จะปิดบังเฉพาะข้อมูลที่นำออกมาแสดงผลบนหน้าจอเท่านั้น ไม่ส่งผลกระทบต่อข้อมูลต้นฉบับ บางครั้งอาจเรียกกระบวนการนี้ว่า Pseudonymize Data หรือ Anonymize Sensitive Data

3. Database Encryption

บริการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและข้อมูลสำคัญขององค์กรด้วยการเข้ารหัสฐานข้อมูล เฉพาะผู้ที่มีสิทธิ์เท่านั้นจึงจะสามารถถอดรหัสเพื่อเข้าถึงข้อมูลได้ ลดความเสี่ยงเมื่อเกิดเหตุข้อมูลรั่วไหลโดยไม่ได้ตั้งใจหรือถูกขโมย นอกจากนี้ UIH ยังให้บริการ Key Management สำหรับบริหารจัดการกุญแจที่ใช้เข้ารหัสข้อมูลแบบรวมศูนย์ เพื่อให้สอดคล้องกับมาตรฐานสากลและข้อบังคับต่างๆ บริการนี้รองรับการเข้ารหัสฐานข้อมูลหลายประเภท เช่น Oracle, IBM DB2, Microsoft SQL Server, MySQL, Sybase และ NoSQL

4. Data Loss Prevention

บริการปกป้องข้อมูลส่วนบุคคลและข้อมูลสำคัญ เช่น ข้อมูลการเงิน ข้อมูลลูกค้า เอกสารสัญญา ไม่ให้รั่วไหลออกสู่ภายนอกองค์กร โดยเริ่มต้นจากการคัดแยกประเภทของข้อมูล จัดลำดับความสำคัญ กำหนดนโยบายการป้องกันข้อมูลรั่วไหลของข้อมูลแต่ละประเภท ไปจนถึงสกัดกั้นการกระทำที่อาจก่อให้เกิดการรั่วไหลของข้อมูลสู่ภายนอก พร้อมแจ้งเตือนให้ผู้ดูแลระบบขององค์กรทราบ

5. Database Firewall

บริการสำหรับติดตามและป้องกันการเข้าถึงฐานข้อมูลโดยมิชอบ สามารถติดตามและตรวจสอบการกระทำที่เกิดขึ้นบนฐานข้อมูลทั้งหมด รวมไปถึงจัดเก็บในรูปของ Audit Log เพื่อดูเหตุการณ์ที่เกิดขึ้นย้อนหลังได้ นอกจากนี้ยังสามารถบริหารจัดการสิทธิ์ในการเข้าถึงฐานข้อมูล ติดตามการใช้สิทธิ์ในระดับสูง และมีการแจ้งเตือนแบบ Rule-Based หรือ Heuristic-Based เมื่อมีการละเมิดนโยบายด้านความมั่นคงปลอดภัยของฐานข้อมูลตามที่องค์กรกำหนดได้

6. Information Rights Management (IRM)

ปกป้องข้อมูลที่อยู่ในรูปของเอกสารอิเล็กทรอนิกส์ (เช่น DOCX, XLXS, PPTX, PDF) ที่มีความสำคัญต่อองค์กร รวมไปถึงข้อมูลส่วนบุคคล เมื่อจำเป็นต้องส่งข้อมูลเหล่านั้นออกสู่ภายนอกองค์กร เช่น ส่งให้บริษัทคู่ค้า หรืออัปโหลดขึ้น Public Cloud ซึ่ง IRM นี้ช่วยให้องค์กรสามารถกำหนดนโยบายการปกป้องข้อมูลผูกติดไปกับเอกสารได้ เฉพาะผู้ที่ได้รับอนุญาตเท่านั้นที่จะมีสิทธิ์เปิดดูแก้ไข คัดลอก หรือสั่งพิมพ์เอกสารดังกล่าว ในกรณีที่มีบุคคลอื่นพยายามเข้าถึงเอกสาร จะมีการแจ้งเตือนกลับมายังผู้ดูแลระบบขององค์กรซึ่งสามารถสั่งลบไฟล์แบบรีโมตได้ทันที