ในช่วงต้นเดือนพฤศจิกายน 2566 ได้มีประเด็นร้อนเกิดขึ้น เมื่อเจ้าหน้าที่ตำรวจกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยีได้แถลงผลจับกุมนายหน้าประกันที่มีพฤติกรรมนำข้อมูลส่วนบุคคลไปขายให้กับกลุ่มมิจฉาชีพ ก่อให้เกิดความเสียหายและส่งผลกระทบต่อความเชื่อมั่นของภาคธุรกิจประกันอย่างหลีกเลี่ยงไม่ได้
ล่าสุด พิเชฐ เจียรมณีทวีสิน หรือ อาจารย์ทอมมี่ กรรมการผู้จัดการ บริษัท แอคชัวเรียล บิสซิเนส โซลูชั่น จำกัด (ABS) และอดีตนายกสมาคมนักคณิตศาสตร์ประกันภัยแห่งประเทศไทย พร้อมกับ ดร.นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท อัลฟ่าเซค จำกัด (ALPHASEC) และนายกสมาคมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ได้ให้ความเห็นและตั้งข้อสังเกตไว้ว่า เหตุการณ์ที่ข้อมูลรั่วไหลนั้นสามารถมีโอกาสเกิดขึ้นได้อยู่ตลอดเวลา แม้ว่าองค์กรจะมีระบบการรักษาความปลอดภัยที่ดีเท่าไรก็ตาม แต่การคุกคามทางไซเบอร์ก็มีได้หลากหลายรูปแบบ ซึ่งสิ่งที่องค์กรต้องดำเนินการอย่างเร่งด่วนคือ การวางมาตรการป้องกันที่สอดคล้องกับกฎหมาย เพื่อเตรียมรับมือกับสถานการณ์ที่ไม่คาดคิดว่าจะเกิดขึ้น
ยิ่งในสมัยนี้ข้อมูลส่วนบุคคลเป็นสิ่งที่องค์กรให้ความสำคัญเป็นอย่างมาก โดยเฉพาะเรื่องความปลอดภัยของข้อมูล เพราะในปัจจุบันประเทศไทยมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยต้องปฏิบัติตามที่กฎหมายกำหนดไว้เพื่อป้องกันการรั่วไหลของข้อมูล ซึ่งก่อให้เกิดความเสียหาย
ทั้งนี้ การรั่วไหลของข้อมูลส่วนบุคคลเป็นปัญหาร้ายแรงที่คาดว่าจะเกิดขึ้นได้บ่อยในปัจจุบันนี้ โดยจะส่งผลกระทบต่อสิทธิและความเป็นส่วนตัวของบุคคล การแพร่หรือกระจายข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตเป็นสิ่งที่ทุกธุรกิจควรระวังเป็นอย่างมาก และต้องเตรียมการรับมืออย่างรอบด้าน
โดยสาเหตุหลักที่ข้อมูลส่วนบุคคลรั่วไหลมีดังต่อไปนี้
- ข้อมูลส่วนบุคคลถูกจัดเก็บโดยระบบสารสนเทศที่ไม่มีการคำนึงถึงความปลอดภัย โดยจะทำให้ข้อมูลถูกเปิดเผยได้ง่ายขึ้น
- การใช้งานอินเทอร์เน็ตเป็นหนึ่งในปัจจัยที่ทำให้ข้อมูลส่วนบุคคลรั่วไหล เช่น การส่งหรือรับข้อมูลผ่านเครือข่ายอินเทอร์เน็ต ทำให้มีโอกาสที่ข้อมูลถูกนำไปใช้งานผิดวัตถุประสงค์โดยผู้ไม่หวังดี
“การรั่วไหลของข้อมูลส่วนบุคคลเกิดขึ้นได้เสมอ แม้องค์กรจะมีการรักษาความปลอดภัยที่ดี ดังนั้น การสร้างความตระหนักรู้และการใช้เทคโนโลยีอย่างเหมาะสมจึงเป็นสิ่งสำคัญในการลดโอกาสการรั่วไหลของข้อมูลส่วนบุคคลในยุคนี้”
โดยมีการตั้งสมมติฐานว่า แนวโน้มของการคุกคามทางไซเบอร์ที่เกิดขึ้นในช่วงเวลาดังกล่าว ตามรายงานของ Kroll บริษัทผู้ให้บริการด้านความมั่นคงปลอดภัยชั้นนำของโลก พบว่าอันดับการคุกคามที่เกิดขึ้นเรื่อยๆ ในปี 2566 คือ
- การคุกคามอีเมลขององค์กร (Business Email Compromise: BEC)
- การพยายามเข้าถึงระบบสารสนเทศ (Unauthorized Access)
- การเรียกค่าไถ่ข้อมูลที่สำคัญ เช่น เลขบัตรประชาชน วันเกิด (Ransomware)
- การเจาะระบบแอปพลิเคชันเพื่อขโมยข้อมูล มักเกิดกับกลุ่มธุรกิจบริการ ธุรกิจสุขภาพและโรงงานอุตสาหกรรม ธุรกิจเทคโนโลยีและการสื่อสาร และธุรกิจการเงินและประกัน
สำหรับทางออกในการแก้ปัญหานั้น อาจารย์ทอมมี่ และ ดร.นิพนธ์ ให้คำแนะนำเรื่องการดูแลรักษาความปลอดภัยในระบบสารสนเทศที่จะช่วยลดโอกาสข้อมูลส่วนบุคคลรั่วไหล ดังนี้
- การใช้บริการผ่านแอปพลิเคชัน โดยเฉพาะแบบสาธารณะ ควรมีระบบการตรวจสอบตัวตนที่แม่นยำเพื่อป้องกันการเข้าถึงข้อมูล
- การดูแลรักษาระบบและปรับปรุงอย่างสม่ำเสมอ ซึ่งจะต้องมีการตรวจประเมินความเสี่ยงของระบบสารสนเทศ เพื่อค้นหาช่องโหว่ของระบบและดำเนินการแก้ไข จะช่วยลดโอกาสในการรั่วไหลของข้อมูล
- การมีผู้เชี่ยวชาญในการเฝ้าระวังการโจมตีและการขโมยข้อมูลจากอุปกรณ์ของผู้ใช้งาน ซึ่งองค์กรต้องมีความสามารถในการตรวจจับพฤติกรรมการพยายามเจาะระบบและแก้ไขปัญหาได้อย่างทันท่วงที
- การป้องกันโดยใช้เทคโนโลยี เพื่อส่งต่อข้อมูลขององค์กรระหว่างผู้ใช้งานภายในและภายนอก เช่น การส่งข้อมูลในช่องทางอีเมล อินเทอร์เน็ต แอปพลิเคชันสนทนา และสื่อสังคมออนไลน์
- การสร้างความตระหนักรู้ด้านความปลอดภัยให้กับทุกคนในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามกฎหมาย โดยใช้เทคนิคการเข้ารหัสข้อมูลที่แข็งแกร่ง ทำให้ข้อมูลที่ถูกส่งผ่านเครือข่ายไม่สามารถอ่านได้ จะช่วยป้องกันการรั่วไหลของข้อมูล
ถึงแม้ว่าข้อมูลที่รั่วไหลจะไม่ได้เกิดจากความผิดขององค์กร หรือเกิดจากการถูกแฮก แต่องค์กรเป็นผู้ดูแลข้อมูลส่วนบุคคลทำให้มีหน้าที่ต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น โดยกฎหมาย PDPA ได้มีการกำหนดโทษทั้งทางอาญา แพ่ง และโทษทางปกครองเอาไว้
