ข้อมูลผู้ป่วย 16 ล้านราย: มาตรการทางด้านความมั่นคงปลอดภัยที่เหมาะสม?

บทความโดย... 
ชิโนภาส อุดมผล
Certified DPO, Optimum Solution Defined (OSD)
ศุภวัชร์ มาลานนท์
CIPP/EU /US /A, Certified DPO, GMI KMUTT

ข้อมูลที่ถูกโจรกรรม ประกอบด้วย ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด เบอร์โทรศัพท์ เลขทะเบียนผู้ป่วย ชื่อแพทย์เจ้าของไข้ และรายละเอียดต่าง ๆ เกี่ยวกับผู้ป่วยหากพิจารณาจากลักษณะและประเภทของข้อมูลส่วนบุคคลที่ถูกเข้าถึงแล้วจะพบว่าข้อมูลดังกล่าวในส่วนที่เกรายวข้องกับ “ข้อมูลสุขภาพ” จัดเป็นข้อมูลอ่อนไหวหรือ sensitive data ซึ่งกฎหมายในหลาย ๆ ประเทศมุ่งให้ความมากกว่าข้อมูลส่วนบุคคลโดยทั่วไป
    จากเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวผู้เขียนเห็นว่าต้องถือเป็นเหตุการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงต่อสิทธิและเสรีภาพขั้นพื้นฐาน (fundamental right) ของเจ้าของข้อมูลส่วนบุคคล หรือ data subject อย่างร้ายแรง ซึ่งองค์กรที่มีการดำเนินการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (การประมวลผลข้อมูลส่วนบุคคล) โดยเฉพาะข้อมูลสุขภาพนั้น ต้องจัดให้มีมาตรการทางด้านความมั่นคงปลอดภัยของข้อมูล (data security) อย่างถูกต้องเหมาะสม หมั่นทบทวนและปรับปรุงให้มาตรการดังกล่าวมีมาตรฐานอยู่ตลอดเวลา เพื่อเป็นการคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตลอดจนเป็นการป้องกันตัวเองจากการประมวลผลข้อมูลส่วนบุคคลโดยละเมิดต่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562     
    จากเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นมีสองประเด็นหลัก ๆ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่ต้องพิจารณาคือ ประเด็นเรื่องหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการจัดให้มีมาตราการทางด้านความมั่นคงปลอดภัยที่เหมาะสมตามมาตรา 37 (1) และหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล มาตรา 37 (4)

มาตรการทางด้านความมั่นคงปลอดภัย 
    เนื่องจากข้อมูลเกี่ยวกับผู้ป่วย สุขภาพ และประวัติการรักษาของผู้ป่วยจัดเป็นข้อมูลประเภทข้อมูลอ่อนไหวหน่วยงานที่มีการประมวลผลข้อมูลส่วนบุคคลประเภทนี้จึงมีความจำเป็นอย่างยิ่งที่ต้องจัดให้มีมาตรการทางด้านความมั่นคงปลอดภัย หรือ security measure ที่มีมาตรฐานที่สูงกกว่าการมาตรการทางด้านความปลอดภัยในระบบประมวลผลข้อมูลส่วนบุคคลธรรมดา เพื่อเป็นการป้องกันการสูญหาย เข้าถึง ใช้ หรือเปลี่ยนแปลงแก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยไม่ชอบ
    การวางระบบทางด้านความมั่นคงปลอดภัย ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการทางด้านความมั่นคงปลอดภัยทั้งทางด้านกายภาย (physical security measure) เช่น การจัดมาตรการความปลอดภัยจากการเข้าถึงพื้นที่ห้อง server หรือ data center ทางด้านเทคนิค (technical security measure) เช่นการ configurate firewall การแปลงข้อมูลเป็นข้อมูลแฝงหรือข้อมูลนิรนาม และการทำ encryption data ฯลฯ  และทางด้านองค์กร (organisational security measure) เช่นการสร้างความตระหนักรู้ของบุคลากรภายในองค์กร 
    การแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคล 
    เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้นแล้ว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37(4) ยังได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล และในบางกรณีอาจต้องแจ้งแก่เจ้าของข้อมูลส่วนบุคคล โดยการแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ นั้นแบ่งได้เป็นสองกรณีด้วยกัน กล่าวคือ 

1) กรณีที่เหตุการละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงที่จะกระทบต่อ “สิทธิและเสรีภาพของบุคคล” ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง 
    2) กรณีที่การละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล (likely to result in a high risk to the rights and freedoms of natural persons) ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุแห่งการละเมิดแก่เจ้าของข้อมูลพร้อมกับแนวทางเยียวยาเหตุละเมิดนั้นด้วย 
    จากรณีที่เกิดขึ้น ผู้เขียนเห็นว่าข้อมูลที่ถูกละเมิดเป็นข้อมูลเกี่ยวกับสุขภาพของประชาชนและเป็นข้อมูลจำนวนมาก เหตุการณ์ดังกล่าวจึงถือเป็นเหตุการละเมิดที่มีความเสี่ยงสูงที่ที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล โรงพยาบาลหรือหน่วยงานที่เกี่ยวข้องในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องดำเนินการรายงานถึงเหตุการละเมิดข้อมูลดังกล่าวไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพร้อมทั้งแจ้งไปยังเจ้าของข้อมูลส่วนบุคคลทั้งหมดให้ทราบถึงเหตุการณ์การดังกล่าวภายใน 72 ชั่วโมงและแจ้งให้เจ้าของข้อมูลทราบถึงแนวทางการเยียวยาของเหตุละเมิดที่เกิดขึ้นด้วย
    แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หลาย ๆ ส่วนจะยังไม่ใช้บังคับ แต่ในส่วนของ “มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” นั้นมีผลใช้บังคับแล้วตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 และฉบับที่ 2 (2564) ที่กำหนดหน้าที่ให้องค์กร (ผู้ควบคุมข้อมูลส่วนบุคคล) มีหน้าที่ธำรงไว้ซึ่ง “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” กล่าวคือ การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ  นอกจากนี้ พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 ยังได้กำหนดว่า “ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้” 
    ต่อกรณีที่เกิดขึ้น ดูเหมือนจะมีหลายท่านได้ออกมากล่าวในทำนองว่าโรงพยาบาลไม่มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม นั่นหมายความว่าหน่วยงานของรัฐอาจจะบกพร่องในการปกป้องข้อมูลของผู้ป่วยและบกพร่องละเลยต่อการประปฏิบัติตาม “มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” ซึ่งเป็นหน้าที่ตามกฎหมายแล้วหรือไม่.