ISO 27701 เป็นส่วนเพิ่มเสริม (Extension) มาจากมาตรฐาน ISO 27001 ที่เกี่ยวกับระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS) และ ISO 27002 แนวทางการจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ แต่สำหรับ ISO 27701 จะเพิ่มเติมแนวทางการควบคุมดูแล ใช้งานและการประมวลผลของข้อมูลส่วนบุคคล สร้างเป้าหมายและกระบวนการที่จะทำให้ถึงเป้าหมายผ่าน Model Plan, Do, Check, Act (PDCA) ซึ่งใน ISO 27701 จะเรียกระบบนี้ว่า Privacy Information Management System (PIMS) โดยก่อนเราจะไปทำความเข้าใจกับ PIMS นั้นเราจะต้องทำความเข้าใจกับคำว่าข้อมูลส่วนบุคคลหรือ Personally Identifiable Information (PII) กันก่อน

Personally Identifiable Information (PII) หรือข้อมูลส่วนบุคคลหมายถึงข้อมูลที่สามารถระบุตัวตนของบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม กล่าวคือหากเรารวมชิ้นส่วนข้อมูลหลาย ๆ ส่วนเข้าด้วยกันแล้วสามารถระบุตัวตนของเจ้าของข้อมูลนั้นได้ ถือว่าเรามีการใช้งานข้อมูลส่วนบุคคลนั้นอยู่ ตัวอย่างข้อมูลส่วนบุคคลเช่น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน ลายนิ้วมือ รวมไปถึงข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเดือนปีเกิด, เชื้อชาติ, ข้อมูลทางการแพทย์ เป็นต้น

แล้ว ISO 27701 (PIMS) ต่างจาก ISO 27001 (ISMS) อย่างไร

ในส่วนของข้อแตกต่างนั้นอย่างแรกคือ การเพิ่มคำว่า “Privacy” ไปยังทุก Requirements ของ ISMS กล่าวคือ ISO 27001 นั้นจะเน้นไปที่การรักษาความมั่งคงปลอดภัยสำหรับสารสนเทศ แต่เมื่อทำ ISO 27701 แล้วนั้นจะต้องคำนึงถึงเรื่อง “Privacy” ในทุก ๆ กิจกรรมที่เคยทำใน ISO 27001 อาทิเช่น การเข้าใจบริบทภายในภายนอกขององค์กร (ISO 27701 – Clause 5.2 Context of the organization) เป็นกิจกรรมเดียวกันกับที่ต้องทำใน ISMS แต่จะเพิ่มเนื้อในเรื่ององค์กรจะต้องพิจารณาว่าองค์กรเป็นผู้ควบคุมข้อมูล, ผู้ประมวลผลข้อมูลหรือเป็นทั้ง 2 roles รวมถึงต้องพิจารณาปัจจัยภายในและภายนอกที่เกี่ยวข้องกับข้อมูลส่วนบุคคลด้วย รวมไปถึงการประเมินความเสี่ยง (ISO 27701 – Clause 5.4.1.2 Information security risk assessment) ที่ต้องพิจารณาความเสี่ยงที่เกี่ยวข้องกับการรวบรวม, ประมวลผลและส่งต่อข้อมูลส่วนบุคคลเพิ่มไปด้วย

นอกจากนี้ ISO 27701 ยังมีการเพิ่มเติมแนวทางที่เฉพาะเจาะจงในเรื่องข้อมูลส่วนบุคคลโดยเฉพาะไปด้วยนั้นคือใน Clause 7 ที่เป็นแนวทางปฏิบัติสำหรับผู้ควบคุมดูแล PII และ Clause 8 ที่เป็นแนวทางปฏิบัติตสำหรับผู้ประมวลผล PII ซึ่งหากท่านที่พอศึกษามาตรฐาน ISO 27001 มาแล้วบ้างจะพอทราบว่า ISO 27001 นอกจากส่วน Requirements ที่เป็น Model PDCA แล้วยังมีส่วนของ Control ใน Annex A เป็นจำนวน 114 ข้อ ที่สามารถให้องค์กรไปปฏิบัติเพื่อควบคุมจัดการความมั่นคงปลอดภัยทางสารสนเทศ เช่นเดียวกับ ISO 27701 ที่เป็นส่วนเพิ่มเติมออกมาจาก ISO 27001 ในมาตรฐาน ISO 27701 นี้ก็มี Control เพิ่มเติมมาจากเดิมเช่นกันโดยแบ่งออกเป็น Control สำหรับผู้ควบคุมข้อมูล (Annex A) และ Control สำหรับผู้ประมวลผลข้อมูล (Annex B) เป็นจำนวนทั้งหมด 49 ข้อ โดยจุดประสงค์หลักเพื่อให้องค์กรสามารถเลือก Control ที่เหมาะสมกับ role ของตนเอง นำไปปรับใช้เพื่อควบคุมการเก็บรวบรวม การประมวลและการส่งต่อข้อมูลส่วนบุคคล

หัวข้อหลักๆที่เพิ่มเติมมาสำหรับ Control ใน ISO 27701 ทั้งในส่วน Annex A และ Annex B ประกอบไปด้วย

♦ เงื่อนไขในการรวบรวมและประมวลผลข้อมูลส่วนบุคคล – เพื่อดูว่าการเก็บรวบรวม และการประมวลผลข้อมูลส่วนบุคคลเป็นไปตากฏหมายหรือไม่ และมีการระบุถึงจุดประสงค์ในการใช้งานข้อมูลส่วนบุคคลอย่างชัดเจนหรือไม่

♦ ข้อผูกพันหรือสิทธิที่มีต้องมีให้เจ้าของข้อมูลส่วนบุคคล – เจ้าของข้อมูลส่วนบุคคลได้รับข้อมูลที่เหมาะสมเกี่ยวกับการประมวลผล
ข้อมูลส่วนบุคคลของตนเอง รวมไปถึงข้อผูกพัน อื่น ๆ ที่เกี่ยวข้องกับเจ้าของข้อมูล เช่น สิทธิในการเข้าถึง เปลี่ยนแปลง หรือคัดค้านข้อมูลส่วนบุคคล

♦ Privacy by design and privacy by default – เพื่อมั่นใจได้ว่าการเก็บรวบรวมการประมวลผล การเปิดเผย การเก็บรักษา
และการกำจัดข้อมูลส่วนบุคคลนั้น ถูกออกแบบมาอย่างปลอดภัย และถูกจำกัดใช้สำหรับวัตถุประสงค์ที่ระบุให้กับเจ้าของข้อมูลส่วนบุคคลเท่านั้น

♦ การแชร์ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคล – เพื่อสามารถมั่นใจได้ว่า เมื่อทำการส่งข้อมูลส่วนบุคคลออกไปยังต่างประเทศ หรือบุคคลที่สาม จะต้องปฏิบัติอย่างไรบ้าง

  • ลดความยุ่งยากในการพัฒนา – หากเป็นองค์กรที่มีการทำ ISO 27001 อยู่แล้ว การจะเพิ่ม ISO 27701 เพิ่มเติมไปนั้นสามารถทำได้ง่ายเนื่องจากองค์กรมีระบบ ISMS ที่เป็นพื้นฐานตาม Model PDCA อยู่แล้ว เพียงให้แต่ละกิจกรรมคำนึงถึง Privacy และนำ Control ของ ISO 27701 ที่เพิ่มขึ้นมาประยุกต์ใช้ก็สามารถสร้างระบบ PIMS ได้แล้ว
  • ตอบโจทย์กฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล – มาตรฐาน ISO 27701 ช่วยตอบโจทย์ในการ compliance กับมาตรฐานอื่น ๆ ได้หลายตัวทั่วโลก ไม่ว่าจะเป็น GDPR ที่เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ EU หรือ PDPA ของไทยเองด้วย
  • สร้างความน่าเชื่อถือในการดำเนินงานกับข้อมูลส่วนบุคคล – เมื่อปฏิบัติตามมาตรฐาน ISO 27701 แล้วองค์กรเองจำเป็นต้องมีหลักฐานในการเก็บรวบรวม และการประมวลผลออกมาด้วย ซึ่งส่วนนี้ช่วยให้องค์กร เจ้าของข้อมูล รวมถึง partner ขององค์กรสามารถมั่นใจได้ว่าการเก็บรวบรวมข้อมูลรวมถึงการประมวลผลข้อมูลส่วนบุคคลมีเหตุผล และตรวจสอบได้
  • มาตรฐานถูกเขียนให้สามารถนำประยุกต์ใช้งานต่อได้ – มาตรฐาน ISO 27701 นั้นถูกออกแบบมาให้องค์กรไม่ว่าจะมีขนาดใหญ่ หรือเล็กสามารถนำไปประยุกต์ใช้งานได้ และยังมีการแบ่งหน้าที่ และ Control ผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลไว้อย่างชัดเจน

สำหรับบริษัทหรือองค์กรใดที่ต้องการทราบข้อมูลเพิ่มเติม หรือต้องการขอรับรองมาตรฐาน ISO/IEC 27701:2019 เอซีอินโฟเทคพร้อมเป็นที่ปรึกษาให้กับองค์กรของท่าน สอบถามเพิ่มเติม [email protected] หรือ โทร. 02 670 8980 ถึง 3  (จันทร์ – ศุกร์, 9:00 – 18:00 น.)