หลังจากมีการประกาศใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้ว เมื่อวันที่ 27 พฤษภาคม 2562 ที่ผ่านมา ผู้ประกอบการ องค์กรทั้งภาครัฐและเอกชน ต่างก็ให้ความสนใจ เกิดความรู้สึกตื่นตัวกับกฎหมายใหม่ฉบับนี้ อาจเพราะทุกบริษัทมี “ข้อมูลส่วนบุคคล” ไม่ว่าจะเป็นข้อมูลส่วนบุคคลของพนักงาน ข้อมูลส่วนบุคคลของลูกค้า เป็นต้น ซึ่งหลายองค์กรมีข้อมูลส่วนบุคคลเก็บไว้ในรูปแบบอิเล็กทรอนิกส์ ยิ่งองค์กรหรือบริษัทแห่งนั้นดำเนินธุรกิจมานาน ก็ย่อมมีข้อมูลส่วนบุคคลสะสมไว้เป็นจำนวนมาก คำถามที่น่าสนใจ คือ บริษัทมีมาตรฐานในการรักษาความมั่นคงปลอดภัยเกี่ยวกับข้อมูลเหล่านั้นเพียงพอหรือไม่? ยกตัวอย่างเช่น คอมพิวเตอร์ที่เก็บข้อมูลสำคัญของลูกค้ามีการอัปเดตโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอหรือไม่? มีการสำรองข้อมูลกี่ครั้งต่อปี?

ตามมาตรา 4 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีการระบุถึงการไม่บังคับใช้พระราชบัญญัติในกรณีต่าง ๆ เช่น

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว
  • การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ
  • บุคคลหรือนิติบุคคลที่ใช้ข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรม

อย่างไรก็ตาม แม้พระราชบัญญัติจะไม่บังคับใช้กับกรณีข้างต้น แต่ในพระราชบัญญัติฉบับนี้ระบุไว้ว่า “ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย”

ด้วยเหตุนี้ แต่ละองค์กรที่มีข้อมูลส่วนบุคคล หรือข้อมูลอิเล็กทรอนิกส์ จึงจำเป็นต้องมี “มาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ” ซึ่งหากพิจารณาตามหลักการทั่วไปของการประกอบธุรกิจ ก็ย่อมเป็นผลดีต่อความเชื่อมั่นของลูกค้าอีกด้วย

เมื่อวันที่ 11 มกราคม พ.ศ. 2562 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) ได้ประกาศข้อเสนอแนะมาตรฐานว่าด้วยการรักษาความมั่นคงปลอดภัยสารสนเทศ สำหรับผู้ให้บริการ จัดทำ ส่งมอบ และเก็บรักษาข้อมูลอิเล็กทรอนิกส์ (เลขที่ ขมธอ. 21-2562) โดยข้อเสนอแนะมาตรฐานฯ ฉบับนี้ เป็นข้อกำหนดและแนวทางปฏิบัติสำหรับผู้ให้บริการจัดทำ ส่งมอบ และเก็บรักษาใบกำกับภาษีอิเล็กทรอนิกส์และใบรับอิเล็กทรอนิกส์ โดยครอบคลุมการพิจารณาระดับความมั่นคงปลอดภัยของผู้ให้บริการ ตามวัตถุประสงค์และข้อกำหนดด้านความมั่นคงปลอดภัย เพื่อให้ผู้ให้บริการมีแนวทางในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศที่เป็นมาตรฐานเดียวกัน (ดาวน์โหลดที่นี่)

โดยแต่ละองค์กร/บริษัทต่าง ๆ สามารถใช้เอกสารข้างต้นเป็นแนวปฏิบัติเพื่อช่วยให้บริการมีความมั่นคงปลอดภัยและสร้างความน่าเชื่อถือให้กับผู้ให้บริการ โดยข้อเสนอแนะมาตรฐานฉบับดังกล่าวได้พัฒนาตามแนวมาตรฐานของ

  1. European Union Agency for Network and Information Security ( ENISA) , Technical guidelines for the implementation of minimum security measures for Digital Service providers, December, 2016.
  2. ISO/IEC27001:2013,Informationtechnology-Securitytechniques–Informationsecurity management systems – Requirements, 2013.
  3. ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for Information security Controls, 2013.
  4. ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ.2555

อย่างไรก็ตาม หากองค์กรหรือบริษัทของท่านยังมีข้อสงสัยเกี่ยวกับการกำหนดมาตรฐานความมั่นคงปลอดภัยสารสนเทศ เอซีอินโฟเทคยินดีให้คำปรึกษาและร่วมวางแผนในการจัดทำมาตรฐานฯ เพื่อให้องค์กรของท่านสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีการเก็บรักษาข้อมูลอิเล็กทรอนิกส์อย่างปลอดภัย โดยติดต่อเราได้ที่ [email protected] หรือ โทร. 02 670 8980 ถึง 3 (จันทร์ – ศุกร์, 9:00 – 18:00 น.)