โค้งสุดท้ายก่อน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้ กับ Microsoft

By  Kornpipat

โดย ดร. นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ให้ข้อมูลว่าทีมงานแบไต๋ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีรากฐานมาจาก GDPR ที่เริ่มบังคับใช้ในสหภาพยุโรปไปเมื่อ 2 ปีก่อน จนถึงวันนี้มีหลายบริษัทที่โดนดำเนินคดีแล้ว ทุกองค์กรควรให้ความสำคัญเกี่ยวกับข้อมูลส่วนบุคคล และหนึ่งในปัจจัยที่สำคัญมากสำหรับองค์กรคือ ต้องรู้ว่าเก็บข้อมูลไว้ที่ไหน ใครเก็บข้อมูลไว้บ้าง ข้อมูลเหล่านั้นมีการปกป้องหรือยัง และต้องรู้ว่าใครเข้าถึงข้อมูลได้ รวมถึงต้องมีมาตรการป้องกันไม่ให้ข้อมูลหลุดออกไป เพราะหากเกิดเหตุผิดพลาด อาจโดนฟ้องโดยเจ้าของข้อมูลส่วนบุคคลได้ นอกจากนี้แล้วยังต้องเตรียมข้อมูลไว้เผื่อว่าเจ้าของข้อมูลส่วนบุคคลขอดูหรือขอลบด้วย

แนะแนวทางเตรียมรับ พ.ร.บ. ฉบับใหม่

สำหรับไมโครซอฟท์เอง พร้อมรองรับลูกค้าธุรกิจด้วยแพลตฟอร์มคลาวด์ Microsoft Azure และบริการครบครันอย่าง Microsoft 365 ครอบคลุมทั้ง Windows และ Office 365 ด้วยคุณสมบัติใน 3 ด้านสำคัญ ได้แก่ การบริหารจัดการตัวตนผู้ใช้และการเข้าถึงข้อมูล การปกป้องข้อมูลให้ปลอดภัย และการรับมือกับการจู่โจม โดยแบ่งขั้นตอนการวางระบบให้ได้มาตรฐานออกเป็น 7 ขั้นตอนใหญ่ ๆ ดังนี้

1. 1. การแยกแยะข้อมูลส่วนบุคคลออกจากข้อมูลที่ไม่มีโครงสร้างแน่นอน (Unstructured Data) ซึ่งอาจครอบคลุมทั้งข้อมูลที่จัดเก็บอยู่ในระบบที่ติดตั้งอยู่ภายในองค์กรเอง ในระบบคลาวด์ของไมโครซอฟท์อย่าง Office 365 หรือแอปพลิเคชันคลาวด์อื่น ๆ
   2. ปกป้องข้อมูลในทุกช่องทาง ตั้งแต่ระบบขององค์กร ระบบคลาวด์ ไปจนถึงอุปกรณ์พกพา โดยสามารถใช้การเข้ารหัส ซึ่งอาจทำได้ทั้งกับตัวข้อมูลเอง อุปกรณ์ที่จัดเก็บข้อมูล หรือแอปพลิเคชันที่จัดการกับข้อมูล นอกจากนี้ Office 365 ยังมีตัวช่วยให้ผู้จัดการระบบสามารถจัดประเภทข้อมูลได้อย่างมีประสิทธิภาพ แยกแยะและแนะนำว่าข้อมูลแบบใดควรหรือไม่ควรนำไปใช้งานอย่างไรบ้าง
   3. ควบคุมการเข้าถึงข้อมูลโดยละเอียด ด้วยมาตรการป้องกันที่นอกเหนือจากรหัสผ่านทั่วไป ซึ่งอาจเป็นได้ทั้งการใช้ข้อมูลทางชีวภาพของผู้ใช้อย่างลายนิ้วมือ ใบหน้า หรือดวงตา และการใช้อุปกรณ์อย่างสมาร์ตโฟนหรือสมาร์ตการ์ดของผู้ใช้ที่ได้รับอนุญาตเป็นกุญแจร่วมกับรหัสผ่าน
   4. ค้นหาและควบคุมแอปพลิเคชันคลาวด์ที่เข้าถึงข้อมูลส่วนบุคคล นับตั้งแต่การประเมินความเหมาะสมของการใช้งานแอปพลิเคชันนั้น ๆ ภายใต้กฎหมายใหม่ กำหนดรูปแบบวิธีการใช้งานแอปพลิเคชันให้ชัดเจน และปกป้องข้อมูลที่แอปเหล่านี้สามารถเข้าถึงได้
   5. เฝ้าระวังและรับมือกับความเสี่ยง พร้อมลงมือแก้ไขก่อนที่จะเกิดความเสียหาย ทั้งจากการจู่โจมจากภายนอก และการกระทำของพนักงานภายในองค์กรเอง ไม่ว่าจะตั้งใจหรือไม่ก็ตาม พร้อมด้วยมาตรการลดความเสียหายจากการจู่โจม ปัจจุบัน ระบบ Advanced Threat Protection ของ Office 365 สามารถช่วยจัดการกับความเสี่ยงในหลายระดับ เช่นการตรวจจับไฟล์แนบอีเมลหรือลิงก์ที่อาจเป็นอันตราย ก่อนที่ผู้ใช้จะได้เปิดไฟล์หรือลิงก์ขึ้นมาด้วยตัวเอง เป็นต้น
   6. ประเมินมาตรฐานการปฏิบัติงานทุกขั้นตอน ด้วยโซลูชั่นอย่าง Compliance Manager ที่สามารถประเมินและให้คะแนนการปฏิบัติงานขององค์กรตามมาตรฐานและกฎหมายต่าง ๆ ตามข้อมูลระบบงานของผู้ดูแล พร้อมให้คำแนะนำที่เหมาะสมสำหรับการพัฒนาระบบต่อไป
   7. เตรียมตัวรับมือคำข้อจากเจ้าของข้อมูลส่วนบุคคล (Data Subject Request) ด้วยบริการเช่น Data Privacy Dashboard ใน Office 365 ที่ช่วยบริหารจัดการและติดตามคำขอดังกล่าวได้ พร้อมรองรับการค้นหาข้อมูลส่วนบุคคลหลากหลายประเภทในทุกแอปพลิเคชันของ Office

นายโอมยังกล่าวเสริมอีกว่า “แพลตฟอร์มคลาวด์ของไมโครซอฟท์มีเทคโนโลยีที่ทำงานผสานกันทั่วถึงทั้งระบบ ทั้งยังมีการสนับสนุนอย่างรอบด้านจากพันธมิตรทั่วประเทศ จึงพร้อมปกป้องข้อมูลส่วนบุคคลตามมาตรฐานของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลในทุกระดับ ไม่ว่าองค์กรจะใช้งานโครงสร้างพื้นฐานทางเทคโนโลยีในรูปแบบไหน ทั้งยังมาพร้อมกับระบบรักษาความปลอดภัยที่แน่นหนา ช่วยลดความเสี่ยง จำกัดความเสียหาย และขับเคลื่อนการฟื้นฟูระบบหากเกิดการโจมตี”

———————————————————-

ที่มา : Beartai / 30 มีนาคม 2563

Link : https://www.beartai.com/news/it-thai-news/419135