ระบบคุ้มครอง ‘ข้อมูลส่วนบุคคล’ ที่ดี รัฐต้องมี ‘คน’ ที่พร้อม
ตั้งแต่ปลายปี 2563 มีข่าวความปลอดภัยของข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูล (Data Breach) อยู่หลายกรณี ข่าวการรั่วไหลของข้อมูล (Data Breach) เช่น กรณีการถูกปิดกั้นการเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วยในโรงพยาบาลสระบุรี ซึ่งเป็นการโจมตีระบบคอมพิวเตอร์จากภายนอก และอีกกรณีหนึ่ง ระบบการทำงานของไปรษณีย์ไทยเกิดข้อผิดพลาดจากการตั้งค่าการทำงานของระบบคอมพิวเตอร์ ทำให้ข้อมูลส่วนบุคคลของพนักงานเจ้าหน้าที่ภายในองค์กรรั่วไหลออกมา เมื่อพิจารณาจากกรณีที่เกิดขึ้นเห็นได้ว่า การรั่วไหลของข้อมูลสามารถเกิดได้จากปัจจัยหลายประการ ทั้งในเชิงระบบและเชิงเทคนิค เช่น การไม่อัพเดทซอฟแวร์ที่ใช้ในการรักษาความปลอดภัย หรือความประมาทและรู้เท่าไม่ถึงการณ์ของผู้ดูแลข้อมูลส่วนบุคคล เช่น การเปิดอีเมลหรือลิงก์ที่ไม่เหมาะสม การดาวน์โหลดไฟล์ที่แฝงไปด้วยมัลแวร์ ดังนั้น แม้ว่าองค์กรหรือหน่วยงานที่มีการรักษาความปลอดภัยที่เพียงพอเหมาะสม ก็สามารถเกิดการรั่วไหลหรือถูกโจมตีระบบได้เช่นเดียวกัน ความน่ากังวลต่อการเก็บและใช้ข้อมูลส่วนบุคคลของรัฐ จากกรณีข้างต้นการโจมตีระบบคอมพิวเตอร์ของโรงพยาบาลได้ส่งผลกระทบต่อข้อมูลสุขภาพผู้ป่วย ซึ่งถือเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ส่วนข้อมูลรั่วไหลของไปรษณีย์ไทยแม้เป็นข้อมูลของพนักงานภายในองค์กร แต่ก็ถือเป็นข้อมูลส่วนบุคคลตามกฎหมายเช่นกัน ดังนั้นจะเห็นว่าหน่วยงานภาครัฐถือเป็นผู้เก็บรวบรวมและใช้ข้อมูลที่สำคัญของประชาชนเป็นจำนวนมาก ทั้งข้อมูลสุขภาพ ข้อมูลประกันสังคม ข้อมูลการศึกษา ข้อมูลของประชาชนตั้งแต่เกิดจนถึงเสียชีวิต ความน่ากังวลที่ปรากฏอย่างชัดเจนคือ การเก็บรวบรวมและใช้ข้อมูลของประชาชน หน่วยงานรัฐมักเก็บรวบรวมข้อมูลจากประชาชนที่มากเกินความจำเป็น เพื่อใช้ในการปฏิบัติหน้าที่หรือภารกิจของหน่วยงาน รวมถึงหน่วยงานบางแห่งมีการเก็บรักษาข้อมูลส่วนบุคคลที่ไม่ได้มาตรฐานความปลอดภัย อาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (Access Control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น…