หน้าที่'ภาครัฐ’จัดให้มีมาตรการความมั่นคงปลอดภัย
ผู้บริหารภาครัฐมีหน้าที่ต้องปฏิบัติตามกฎหมาย การละเลยต่อหน้าที่ที่มีกฎหมายกำหนดให้ต้องปฏิบัติอาจมีความรับผิดทางปกครองและทางอาญาได้
แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะยังไม่มีผลใช้บังคับทั้งฉบับและถูกเลื่อนการใช้บังคับไปเป็นวันที่ 1 มิถุนายน 2565 โดยการเลื่อนการบังคับใช้ดังกล่าวอาจทำให้หลาย ๆ หน่วยงานเข้าใจว่าไม่มีหน้าที่ใด ๆ ตามกฎหมายให้ต้องปฏิบัติในช่วงระยะเวลานี้ ซึ่งในความเป็นจริงนั้นไม่ถูกต้องเสียทีเดียว
เนื่องจากตามพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 และฉบับที่ 2 พ.ศ. 2564 แม้จะกำหนดยกเว้นไม่ให้นำพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไปใช้ในกิจการจำนวน 22 กิจการก็ตาม แต่ก็ได้กำหนดให้องค์กรต่าง ๆ ที่ได้รับการยกเว้นการใช้บังคับของกฎหมายเหล่านั้น ต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำหนดด้วย
กระทรวงดิจิทัลฯ ก็ได้ออกประกาศกระทรวงเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 และประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (ฉบับที่ 2) พ.ศ. 2564 (“มาตรฐานการรักษาความมั่นคงปลอดภัยฯ”) ขึ้นเพื่อใช้บังคับกับกรณีดังกล่าว
ตามมาตรฐานการรักษาความมั่นคงปลอดภัยฯ กำหนดให้องค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical)
หน้าที่ในการจัดให้มีความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว หมายความถึง การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
มาตรฐานการรักษาความมั่นคงปลอดภัยฯ กำหนดเป็นมาตรฐานขั้นต่ำว่าอย่างน้อยองค์กรต่าง ๆ ต้องจัดให้มาตรการดังนี้
- การควบคุมการเข้าถึงข้อมูลส่วนบุคคล และอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
- การกำหนดเกี่ยวกับสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
- การบริหารการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
- การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกัน การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
- การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
กฎหมายได้เปิดโอกาสให้องค์กรอาจจะไม่ใช้มาตรฐานขั้นต่ำดังกล่าวแต่อาจเลือกใช้มาตรฐานที่สูงกว่านี้ก็ได้ ซึ่งอาจได้แก่ Information Security Framework ที่ใช้ในอุตสาหกรรม อาทิ Payment Card Industry Data Security Standard, NIST Cybersecurity Framework, ISO/IEC 27001: Information Security หรือ HIPAA Security Rule เป็นต้น
อย่างไรก็ตาม การกำหนด Information Security Framework หรือการลงทุนในด้านมาตรการรักษาความมั่นคงปลอดภัยนั้นไม่ใช่เรื่องง่ายเสียทีเดียว เนื่องจากมีปัจจัยที่ต้องนำมาประกอบการพิจารณาหลายประการ อาทิ ความเสี่ยงและความร้ายแรง ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผลข้อมูลฯ และเทคโนโลยีที่มีอยู่และต้นทุนของการนำมาใช้ ประกอบกัน
และในการประเมินสถานการณ์เกี่ยวกับระดับความปลอดภัยที่เหมาะสมนั้น ควรพิจารณาความเสี่ยงจากการประมวลผลโดยเฉพาะอย่างยิ่งจากการถูกทำลายโดยอุบัติเหตุหรือโดยไม่ชอบด้วยกฎหมาย ความเสียหายจากการเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงข้อมูลส่วนบุคคล ประกอบด้วย
หากพิจารณาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะพบว่าการที่องค์กรใดไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมก็อาจมีความรับผิดทางปกครองไม่เกินสามล้านบาทอีกด้วย
การกำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยที่เหมาะจึงเป็นหน้าที่เบื้องต้นตามกฎหมายที่ทุกองค์กรต้องจัดให้มีและสามารถแสดงออกและพิสูจน์ได้ว่าได้จัดให้มีแล้ว (demonstrate of compliance)แล้วถามว่าความจะมาแตกว่าองค์กรไหนไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมได้ตอนไหน คำตอบคือ
- เมื่อถูกตรวจสอบโดยหน่วยงานที่มีอำนาจตามกฎหมาย
- เมื่อเกิดการรั่วไหลของข้อมูลหรือเหตุการละเมิดข้อมูลส่วนบุคคลขึ้น (data breach)
ดังนั้น เรื่อง data breach และการกำหนด Information Security Framework ที่เหมาะสม จึงเป็นเรื่องเดียวกันและจำเป็นต้องดำเนินการไปพร้อมกันเสมอ ดังนั้น ในด้านการดำเนินการ องค์กรจึงจำเป็นต้องจัดให้มีนโยบายด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Information Security Policy)และคู่มือการปฏิบัติงานเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล (Incident Response Plan)
รวมทั้งสามารถนำระบบเทคโนโลยีสารสนเทศมาใช้เพื่อให้สอดคล้องกับกฎหมาย มีการติดตั้งระบบโครงสร้างพื้นฐานเพื่อป้องกันภัยพิบัติสาธารณะที่เกี่ยวกับเหตุการณ์ข้อมูลรั่วไหล และต้องมีการฝึกอบรมพนักงานให้เข้าใจเกี่ยวกับการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยฯ นั้นเพื่อสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่บุคลากรที่เกี่ยวข้องทราบด้วย (เป็นหน้าที่ตามข้อ 4. มาตรฐานการรักษาความมั่นคงปลอดภัยฯ)
ทั้งหมดที่กล่าวมาเป็นหน้าที่ตามกฎหมายของหน่วยงานรัฐที่ต้องปฏิบัติ ไม่ว่าจะเป็นราชการส่วนกลาง รัฐวิสาหกิจ หรือองค์กรปกครองส่วนท้องถิ่น การละเลยต่อหน้าที่ที่มีกฎหมายกำหนดให้ต้องปฏิบัติ อาจนำมาซึ่งความรับผิดทางวินัย โทษทางปกครอง คุณสมบัติการดำรงตำแหน่งผู้บริหารในองค์กรของรัฐ และความรับผิดอาญาได้อีกด้วย.