คอมพิวเตอร์เก่าอย่านึกว่าทิ้งได้ง่าย ๆ | พิเศษ เสตเสถียร
เมื่อวันที่ 20 กันยายนที่ผ่านมา Morgan Stanley Smith Barney (MSSB) บริษัทวาณิชธนกิจชื่อดัง ตกลงยอมความกับ Securities and Exchange Commission (SEC) ในข้อหาเกี่ยวกับการทิ้งเครื่องคอมพิวเตอร์เก่าในสำนักงานโดยไม่ระมัดระวัง!!!
ทำไม SEC ต้องมายุ่งเกี่ยวกับการทิ้งเครื่องคอมพิวเตอร์เก่า? เหตุผลก็เพราะว่า ในบรรดาเครื่องคอมพิวเตอร์เก่าโดยเฉพาะ Hard disk และ Server มีข้อมูลส่วนบุคคลของผู้เป็นลูกค้ากว่า 15 ล้านคน
เรื่องของเรื่องเกิดเมื่อปี 2015 MSSB ทำการเปลี่ยนแปลงคอมพิวเตอร์ของบริษัทนับพันเครื่อง ในการนี้ MSSB ไปว่าจ้างบริษัทแห่งหนึ่งมาทำการจัดการเอาเครื่องคอมพิวเตอร์เก่าเหล่านั้นไปกำจัด แต่บริษัทแห่งนี้ไม่มีประสบการณ์เกี่ยวกับวิธีการกำจัดเครื่องคอมพิวเตอร์โดยถูกวิธีมาก่อน
ผลสุดท้าย เครื่องคอมพิวเตอร์เหล่านั้นถูกนำไปประมูลขายโดยที่มิได้มีการลบข้อมูลส่วนบุคคลที่อยู่ในเครื่องเหล่านั้นออก ในภายหลัง MSSB ติดตามเครื่องที่ขายไปได้บางส่วน
แต่ว่าส่วนใหญ่ได้หายสาบสูญไปโดยไม่สามารถติดตามได้โดยเฉพาะเครื่อง Server 42 เครื่องที่มีข้อมูลซึ่งไม่ได้เข้ารหัสของลูกค้าอยู่ งานนี้ MSSB ต้องเสียค่าปรับยอมความไปทั้งสิ้น 35 ล้านเหรียญสหรัฐ
กรณีนี้เป็นตัวอย่างอันดีของการทิ้งอุปกรณ์คอมพิวเตอร์เก่า ซึ่งตามปกติจะมีการอัพเดทเครื่องมือประเภทนี้ให้ทันสมัยอยู่เสมอ เครื่องที่ใช้ไม่ได้แล้วก็จะทิ้งหรือจำหน่ายไป แต่คนส่วนใหญ่มักจะลืมไปว่าภายในเครื่องยังมีข้อมูลส่วนบุคคลอยู่
ในประเทศแคนาดา The Office of the Privacy Commissioner (OPC) ได้กำหนดหลักการและแนวทางปฏิบัติที่ดีเกี่ยวกับการเก็บรักษาและจำหน่ายทิ้ง (Personal Information Retention and Disposal: Principles and Best Practices) ซึ่งมีสาระสำคัญหลายประการ เช่น
-ข้อมูลส่วนบุคคลจะต้องถูกเอาออกหรือทำลายอย่างปลอดภัยก่อนที่จะทิ้งฮาร์ดแวร์ซึ่งมีข้อมูลดังกล่าวบรรจุอยู่
-บริษัทใดที่จะกำจัดเครื่องอุปกรณ์คอมพิวเตอร์จะต้องตั้งบุคคลคนหนึ่งเพื่อรับผิดชอบงานการทำลายข้อมูล และแจ้งให้พนักงานทุกคนได้ทราบเพื่อส่งไฟล์และเครื่องคอมพิวเตอร์ไปยังบุคคลนั้น
- ถ้าหากบริษัทให้บุคคลภายนอกมารับงาน บริษัทต้องแน่ใจว่าบุคคลภายนอกนั้นมีความรู้ความสามารถที่เชื่อถือได้ และรับประกันว่าจะมีวิธีทำลายที่เหมาะสมกับเครื่องอุปกรณ์และข้อมูลที่อยู่ภายในเครื่องอุปกรณ์นั้น
ฯลฯ
รายละเอียดไปดูได้ที่ https://www.priv.gc.ca/en/privacy-topics/business-privacy/safeguards-and-breaches/safeguarding-personal-information/gd_rd_201406/
ในกฎหมายไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็บอกเอาไว้ในมาตรา 27 ว่า
“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล …..”
คำว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” ก็หมายถึง “บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” อย่างเช่นในกรณีข้างต้น MSSB ก็เป็นผู้ควบคุมข้อมูลส่วนบุคคล
ในมาตรา 37 ยังได้บอกอีกว่า“ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด…………………………………
(3) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม …….”
ที่กล่าวมานี้เป็นเพียงส่วนหนึ่งของกฎหมายเท่านั้น ไม่ได้เอาเนื้อความของกฎหมายมาทั้งหมดเพราะมีรายละเอียดที่ซับซ้อนและเข้าใจยากอยู่มาก แต่ที่แน่ ๆ คือผู้ฝ่าฝืนกฎหมายดังกล่าวก็จะมีโทษคือ
มาตรา 79 ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง ……ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ
มาตรา 83 ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตาม….. มาตรา 27 วรรคหนึ่งหรือวรรคสอง….. หรือมาตรา 37 ……ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท”
บริษัทของคุณทิ้งคอมพิวเตอร์เก่าโดยถูกต้องตามกฎหมายหรือเปล่าครับ?
อ้างอิง
Regulatory Obligations Concerning the Disposal of Outdated Hard Drives and Servers ของ Ruth Promislow, Bennett Jones LLP