ไอซีที

ปลุกองค์กรปรับทัพ รับ กม.ไซเบอร์-คุ้มครองข้อมูล

ยังเป็นเรื่องใหม่มากของสังคมไทยสำหรับการคุ้มครองข้อมูลส่วนบุคคลและการป้องกันโครงสร้างพื้นฐานจากภัยไซเบอร์ เมื่อเร็ว ๆ นี้ ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย จึงได้เปิดเวทีเสวนา Cybersecurity and Personal Data Protection : Get Ready for New Business Standards เพื่อแลกเปลี่ยนมุมมอง

กม.สร้างความเชื่อมั่น

“เยาวลักษณ์ ชาติบัญชาชัย” หุ้นส่วน บริษัท อีวาย คอร์เปอเรท เซอร์วิสเซส จำกัด ระบุว่า หากเทียบกับประเทศเพื่อนบ้าน ดัชนีชี้วัดด้านไซเบอร์ซีเคียวริตี้ของไทยอยู่ในอันดับที่ 35 จากเดิมที่อยู่ในอันดับ 22 ซึ่งประเทศไทยตั้งเป้าจะขยับไปอยู่ใน 20 อันดับแรก เพราะหากดัชนีชี้วัดในส่วนนี้ไม่ดี จะส่งผลต่อการลงทุนหรือตั้งบริษัทของต่างชาติในไทย ดังนั้นการมีกฎหมายไซเบอร์ซีเคียวริตี้จึงเป็นสิ่งสำคัญ เพื่อกำหนดหลักการและแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ดี ไม่ได้เน้นแค่ป้องกัน แต่ครอบคลุมอย่างครบวงจร ทั้งยังมีการตรวจสอบและประเมินความเสี่ยงปีละครั้ง

ขณะที่ทุกหน่วยงานต้องปรับทั้งเรื่องของคน กระบวนการ และ เทคโนโลยี โดยสร้างความตระหนัก ให้ความรู้เกี่ยวกับการรักษาความปลอดภัยที่ดี มีกฎกติกาขององค์กรที่ชัดเจน และบังคับใช้ได้จริง รวมถึงติดตามข่าวของภัยคุกคาม

“การก้าวไม่ทันภัยคุกคาม ทำให้มีผลกระทบต่อความเชื่อมั่นในการใช้เทคโนโลยี ซึ่งผลสำรวจพบว่า ตัวพนักงาน คือช่องโหว่ที่ทำให้ไม่ปลอดภัย ซึ่งอาจมาจากความประมาทและไม่ตระหนัก จึงต้องมีกรอบมาตรฐานกำหนดไว้

ธุรกิจใดที่ต้องทำตาม พ.ร.บ.

ด้าน “สุทธิพงศ์ คูหาเสน่ห์” ทนายความ บริษัท ลิ้งเลเกกอร์ส (ประเทศไทย) จำกัด กล่าวว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่เพิ่งประกาศใช้ มีผลบังคับกับทุกธุรกิจ รวมถึงกิจกรรมของรัฐด้วย ข้อมูลส่วนบุคคล ตามที่กฎหมาย ต้องได้รับความยินยอมเมื่อมีการเก็บ-ใช้-ประมวลผล อาจจะมีข้อยกเว้นแค่บางกรณี ฉะนั้นแต่ละหน่วยงานต้องเร่งดำเนินการคือ ระบุให้ได้ว่า ส่วนงานใดคือ 1.ผู้ควบคุม 2.ผู้ประมวลผล

โดยผู้ควบคุมคือ มีอำนาจตัดสินใจว่าจะนำข้อมูลไปใช้อย่างไร ส่วนผู้ประมวลผลคือ ผู้ดำเนินการ เพื่อกำหนดหน้าที่และความรับผิดชอบให้ชัดเจน

“สำรวจ-วางแผน” ลดเสี่ยง

“ปราณัตต์ เลาหไพโรจน์” ทนายความ บริษัท แชนด์เล่อร์ เอ็มเอชเอ็ม จำกัด กล่าวว่า เมื่อมีกฎหมายใหม่เท่ากับมีความเสี่ยงที่จะต้องรับผิดตามกฎหมาย องค์กรจึงต้องออกแบบระบบภายในเพื่อลดความเสี่ยงนี้ ซึ่งหากเป็นองค์กรขนาดใหญ่อาจจะต้องใช้เวลามากกว่า 3 เดือน ทั้งยังต้องให้ความรู้กับบุคลากร ลงทุนปรับระบบงานและระบบไอที

“ขั้นแรก ต้องรู้จักลักษณะธุรกิจและรู้จักโครงสร้างธุรกิจตนเอง เช่น ทำธุรกิจกับใคร ทำรูปแบบไหน ทำงานประสานกันอย่างไร แล้วสัมภาษณ์คนทำงานแต่ละแผนกเพื่อดึงข้อมูลว่า ข้อมูลมาจากทางไหนและไปที่ไหน เพื่อที่จะออกแบบได้แล้วว่า ระบบไอทีที่จะแก้ไขหรือสร้างมาครอบระบบต้องทำอย่างไรให้ครอบคลุมสิ่งที่กฎหมายไทยบังคับ”

ต้องมีคู่มือปฏิบัติให้ชัด

ขณะที่ “อัญชลี กลิ่นเกษร” ทนายความ บริษัท สำนักกฎหมายสากล ธีรคุปต์ จำกัด กล่าวว่า มี 3 ส่วนหลักที่ทุกองค์กรต้องเร่งทำคือ 1.ตรวจสอบและวางแผน ทั้งส่วนคู่ค้าและลูกจ้างภายในองค์กร อาทิ หนังสือสัญญา แบบฟอร์มต่าง ๆ 2.กำหนดมาตรการ เริ่มจากมีนโยบายคุ้มครองข้อมูลส่วนบุคคล จัดทำคู่มือให้คนในองค์กร ปรับปรุงเอกสารและสัญญาที่เกี่ยวข้อง เช่น มีแบบฟอร์มขอคำยินยอม เพื่อให้ทั้งองค์กรมีความเข้าใจและปฏิบัติไปในทิศทางเดียวกัน

และ 3.ติดตามผลศึกษากฎหมายลูก ซึ่งจะออกมาอีกมากในช่วง 1 ปีนี้ พร้อมกับทบทวนมาตรการอย่างต่อเนื่องเพื่อให้สอดคล้องกับมาตรฐาน

เริ่มต้นที่ผู้บริหาร

“ศุภวัฒภ์ ศรีรุ่งเรือง” ทนายความหุ้นส่วน บริษัท อาร์ แอนด์ ที เอเชีย (ประเทศไทย) จำกัด กล่าวว่า การส่งข้อมูลระหว่างประเทศในกฎหมายไทยไม่ยุ่งยากมาก เพราะมี 2 มาตรา ได้แก่ 28 และ 29 โดยระบุว่าสามารถทำได้ถ้าประเทศนั้น ๆ มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ประเด็นคือ อย่างไรถึงเพียงพอ จึงคลุมเครือมาก ทำให้เกิดความเสี่ยงกับผู้ประกอบการ

ดังนั้นถ้าไม่แน่ใจให้ส่งเรื่องไปขออนุญาตส่งข้อมูลกับหน่วยงานที่จะตั้งขึ้น ส่วนการโอนระหว่างบริษัทในเครือระหว่างประเทศ สามารถโอนได้โดยไม่ต้องขออนุญาต แต่บริษัทต้องมีนโยบายหรือหลักการคุ้มครองข้อมูลส่วนบุคคล โดยหลักการดังกล่าวต้องมีการรับรองจากทางสำนักงานที่ดูแลข้อมูลส่วนบุคคล

“ปัญหาอาจจะอยู่ที่จะทำอย่างไรให้ผู้บริหารลงมือทำ เป็นเรื่องยากสำหรับผู้ปฏิบัติงาน แต่ 2 สิ่งที่ผู้บริหารกลัวมากคือ เสียเงินและอิสรภาพ ดังนั้นต้องเริ่มด้วยการทำให้ผู้บริหารเข้าใจถึงบทลงโทษที่จะได้รับหากไม่ทำตามกฎหมาย”