ISO 27701 (Privacy Information Management)

ISO 27701 เป็นส่วนเพิ่มเสริม (Extension) มาจากมาตรฐาน ISO 27001 ที่เกี่ยวกับระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS) และ ISO 27002 แนวทางการจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ แต่สำหรับมาตรฐานนี้จะเพิ่มเติมแนวทางการควบคุมดูแล ใช้งานและการประมวลผลของข้อมูลส่วนบุคคล สร้างเป้าหมายและกระบวนการที่จะทำให้ถึงเป้าหมายผ่าน Model Plan, Do, Check, Act (PDCA) ซึ่งในจะเรียกระบบนี้ว่า Privacy Information Management System (PIMS) โดยก่อนเราจะไปทำความเข้าใจกับ PIMS นั้นเราจะต้องทำความเข้าใจกับคำว่าข้อมูลส่วนบุคคลหรือ Personally Identifiable Information (PII) กันก่อน

Personally Identifiable Information (PII) หรือข้อมูลส่วนบุคคลหมายถึงข้อมูลที่สามารถระบุตัวตนของบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม กล่าวคือหากเรารวมชิ้นส่วนข้อมูลหลาย ๆ ส่วนเข้าด้วยกันแล้วสามารถระบุตัวตนของเจ้าของข้อมูลนั้นได้ ถือว่าเรามีการใช้งานข้อมูลส่วนบุคคลนั้นอยู่ ตัวอย่างข้อมูลส่วนบุคคลเช่น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน ลายนิ้วมือ รวมไปถึงข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเดือนปีเกิด, เชื้อชาติ, ข้อมูลทางการแพทย์ เป็นต้น

แล้ว ISO 27701 (PIMS) ต่างจาก ISO 27001 (ISMS) อย่างไร

ในส่วนของข้อแตกต่างนั้นอย่างแรกคือ การเพิ่มคำว่า “Privacy” ไปยังทุก Requirements ของ ISMS กล่าวคือ ISO 27001 นั้นจะเน้นไปที่การรักษาความมั่งคงปลอดภัยสำหรับสารสนเทศ แต่เมื่อทำ ISO 27701 แล้วนั้นจะต้องคำนึงถึงเรื่อง “Privacy” ในทุก ๆ กิจกรรมที่เคยทำใน ISO 27001 อาทิเช่น การเข้าใจบริบทภายในภายนอกขององค์กร (Clause 5.2 Context of the organization) เป็นกิจกรรมเดียวกันกับที่ต้องทำใน ISMS แต่จะเพิ่มเนื้อในเรื่ององค์กรจะต้องพิจารณาว่าองค์กรเป็นผู้ควบคุมข้อมูล, ผู้ประมวลผลข้อมูลหรือเป็นทั้ง 2 roles รวมถึงต้องพิจารณาปัจจัยภายในและภายนอกที่เกี่ยวข้องกับข้อมูลส่วนบุคคลด้วย รวมไปถึงการประเมินความเสี่ยง (Clause 5.4.1.2 Information security risk assessment) ที่ต้องพิจารณาความเสี่ยงที่เกี่ยวข้องกับการรวบรวม, ประมวลผลและส่งต่อข้อมูลส่วนบุคคลเพิ่มไปด้วย

นอกจากนี้ ยังมีการเพิ่มเติมแนวทางที่เฉพาะเจาะจงในเรื่องข้อมูลส่วนบุคคลโดยเฉพาะไปด้วยนั้นคือใน Clause 7 ที่เป็นแนวทางปฏิบัติสำหรับผู้ควบคุมดูแล PII และ Clause 8 ที่เป็นแนวทางปฏิบัติตสำหรับผู้ประมวลผล PII ซึ่งหากท่านที่พอศึกษามาตรฐาน ISO 27001 มาแล้วบ้างจะพอทราบว่า นอกจากส่วน Requirements ที่เป็น Model PDCA แล้วยังมีส่วนของ Control ใน Annex A เป็นจำนวน 114 ข้อ ที่สามารถให้องค์กรไปปฏิบัติเพื่อควบคุมจัดการความมั่นคงปลอดภัยทางสารสนเทศ เช่นเดียวกับ ISO 27701 ที่เป็นส่วนเพิ่มเติมออกมาจาก ISO 27001 ในมาตรฐานนี้ก็มี Control เพิ่มเติมมาจากเดิมเช่นกันโดยแบ่งออกเป็น Control สำหรับผู้ควบคุมข้อมูล (Annex A) และ Control สำหรับผู้ประมวลผลข้อมูล (Annex B) เป็นจำนวนทั้งหมด 49 ข้อ โดยจุดประสงค์หลักเพื่อให้องค์กรสามารถเลือก Control ที่เหมาะสมกับ role ของตนเอง นำไปปรับใช้เพื่อควบคุมการเก็บรวบรวม การประมวลและการส่งต่อข้อมูลส่วนบุคคล

หัวข้อหลักๆที่เพิ่มเติมมาสำหรับ Control ทั้งในส่วน Annex A และ Annex B ประกอบไปด้วย

♦ เงื่อนไขในการรวบรวมและประมวลผลข้อมูลส่วนบุคคล – เพื่อดูว่าการเก็บรวบรวม และการประมวลผลข้อมูลส่วนบุคคลเป็นไปตากฏหมายหรือไม่ และมีการระบุถึงจุดประสงค์ในการใช้งานข้อมูลส่วนบุคคลอย่างชัดเจนหรือไม่

♦ ข้อผูกพันหรือสิทธิที่มีต้องมีให้เจ้าของข้อมูลส่วนบุคคล – เจ้าของข้อมูลส่วนบุคคลได้รับข้อมูลที่เหมาะสมเกี่ยวกับการประมวลผล ข้อมูลส่วนบุคคลของตนเอง รวมไปถึงข้อผูกพัน อื่น ๆ ที่เกี่ยวข้องกับเจ้าของข้อมูล เช่น สิทธิในการเข้าถึง เปลี่ยนแปลง หรือคัดค้านข้อมูลส่วนบุคคล

♦ Privacy by design and privacy by default – เพื่อมั่นใจได้ว่าการเก็บรวบรวมการประมวลผล การเปิดเผย การเก็บรักษา และการกำจัดข้อมูลส่วนบุคคลนั้น ถูกออกแบบมาอย่างปลอดภัย และถูกจำกัดใช้สำหรับวัตถุประสงค์ที่ระบุให้กับเจ้าของข้อมูลส่วนบุคคลเท่านั้น

♦ การแชร์ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคล – เพื่อสามารถมั่นใจได้ว่า เมื่อทำการส่งข้อมูลส่วนบุคคลออกไปยังต่างประเทศ หรือบุคคลที่สาม จะต้องปฏิบัติอย่างไรบ้าง

• ลดความยุ่งยากในการพัฒนา – หากเป็นองค์กรที่มีการทำ ISO 27001 อยู่แล้ว การจะเพิ่มมาตรฐานดังกล่าวนี้เพิ่มเติมไปนั้นสามารถทำได้ง่ายเนื่องจากองค์กรมีระบบ ISMS ที่เป็นพื้นฐานตาม Model PDCA อยู่แล้ว เพียงให้แต่ละกิจกรรมคำนึงถึง Privacy และนำ Control ที่เพิ่มขึ้นมาประยุกต์ใช้ก็สามารถสร้างระบบ PIMS ได้แล้ว
• ตอบโจทย์กฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล – มาตรฐานนี้ช่วยตอบโจทย์ในการ compliance กับมาตรฐานอื่น ๆ ได้หลายตัวทั่วโลก ไม่ว่าจะเป็น GDPR ที่เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ EU หรือ PDPA ของไทยเองด้วย
• สร้างความน่าเชื่อถือในการดำเนินงานกับข้อมูลส่วนบุคคล – เมื่อปฏิบัติตามมาตรฐานนี้แล้ว องค์กรเองจำเป็นต้องมีหลักฐานในการเก็บรวบรวม และการประมวลผลออกมาด้วย ซึ่งส่วนนี้ช่วยให้องค์กร เจ้าของข้อมูล รวมถึง partner ขององค์กรสามารถมั่นใจได้ว่าการเก็บรวบรวมข้อมูลรวมถึงการประมวลผลข้อมูลส่วนบุคคลมีเหตุผล และตรวจสอบได้
• มาตรฐานถูกเขียนให้สามารถนำประยุกต์ใช้งานต่อได้ – มาตรฐานนี้ถูกออกแบบมาให้องค์กรไม่ว่าจะมีขนาดใหญ่ หรือเล็กสามารถนำไปประยุกต์ใช้งานได้ และยังมีการแบ่งหน้าที่ และ Control ผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลไว้อย่างชัดเจน

อัปเดตเวอร์ชันใหม่ 2025

ปัจจุบันมาตรฐาน ISO/IEC 27701 ได้มีการปรับปรุงและอัปเดตฉบับใหม่ในปี 2025 เพื่อให้สอดคล้องกับบริบทของโลกดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็ว โดยมีการปรับโครงสร้างและแนวทางสำคัญหลายประการ ทั้งการยกระดับจาก “ส่วนขยายของ ISO 27001” สู่การเป็น มาตรฐานหลักด้านการจัดการข้อมูลส่วนบุคคล (Privacy Information Management System – PIMS) อย่างเต็มรูปแบบ ช่วยให้องค์กรสามารถนำไปประยุกต์ใช้ได้อย่างอิสระโดยไม่จำเป็นต้องมีระบบ ISMS (ISO 27001) มาก่อนเหมือนในอดีต

นอกจากนี้ มาตรฐานฉบับใหม่ยังได้เพิ่มแนวทางและข้อกำหนดที่ตอบโจทย์เทคโนโลยีสมัยใหม่มากขึ้น เช่น AI, Internet of Things (IoT), และ Big Data Analytics ซึ่งมีการประมวลผลข้อมูลส่วนบุคคลจำนวนมากและซับซ้อน เพื่อช่วยให้องค์กรสามารถบริหารความเสี่ยงด้านความเป็นส่วนตัวได้ดียิ่งขึ้น โดยมีการเน้นหลักการ Privacy by Design และ Privacy by Default ควบคู่กับแนวทางการประเมินผลกระทบด้านความเป็นส่วนตัว (Privacy Impact Assessment – PIA) เพื่อให้การจัดการข้อมูลส่วนบุคคลเป็นไปอย่างมีความรับผิดชอบ โปร่งใส และตรวจสอบได้

การเปลี่ยนแปลงครั้งนี้จึงถือเป็นก้าวสำคัญของมาตรฐานด้านความเป็นส่วนตัว ที่ช่วยเสริมความน่าเชื่อถือและการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก เช่น GDPR, CCPA และ PDPA ของประเทศไทย องค์กรที่ต้องการคงความสอดคล้องกับมาตรฐานสากล เสริมความเชื่อมั่นแก่ลูกค้าและคู่ค้า ควรเริ่มวางแผนและเตรียมความพร้อมสำหรับการปรับใช้ ISO/IEC 27701:2025 เพื่อให้การบริหารข้อมูลส่วนบุคคลเป็นไปอย่างมั่นคง โปร่งใส และยั่งยืนในยุคดิจิทัล