แนะนำ Microsoft ที่ให้องค์กรปฏิบัติตามกฎคุ้มครองข้อมูลส่วนบุคคลได้อย่างมั่นใจ
ใกล้เข้ามาทุกทีกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ว่าด้วยการกำหนดกฎข้อบังคับว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิใดบ้างเหนือข้อมูลนั้นๆ
วางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดหน้าที่ที่องค์กรผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลจะต้องกระทำเพื่อรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงในกรณีที่เกิดเหตุข้อมูลรั่วไหลขึ้นอีกด้วย
โดยกฎหมายฉบับนี้ มีต้นแบบมาจากกฎหมายการคุ้มครอง ‘สิทธิของข้อมูลส่วนบุคคล’ หรือ General Data Protection Regulation (GDPR) ของสหภาพยุโรป ซึ่งเป็นกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่มีบทลงโทษค่าปรับในอัตราที่สูงมาก ดังจะเห็นจากข่าวที่องค์กรระดับโลกหลายแห่งปล่อยปละละเลยทำให้มีการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าถูกปรับเป็นตัวเงินหลายร้อยล้านบาท
แม้กฎหมายของเราจะไม่มีโทษปรับที่รุนแรงเหมือน GDPR แต่หากเกิดความเสียหายขึ้น ความเสียหายในแง่ของชื่อเสียง ความเชื่อมั่นของลูกค้า เวลา และค่าใช้จ่ายในการแก้ไข อาจมากกว่าค่าปรับหลายเท่า ดังนั้นการป้องกันด้วยการปรับกระบวนการทำงานต่างๆ และนำเทคโนโลยีมาใช้เพื่อเพิ่มมาตรการการรักษาความปลอดภัยและควบคุมการเข้าถึงข้อมูลส่วนบุคคล จึงเป็นสิ่งที่ดีกว่า
เพื่อช่วยองค์กรในการปฏิบัติตามกฎหมายฉบับนี้ ไมโครซอฟท์จึงได้พัฒนาชุดเครื่องมือที่ช่วยให้องค์กรที่ใช้งาน Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลทั้งในรูปแบบของ Structured และ Unstructured ได้อย่างสมบูรณ์แบบ โดย Microsoft 365 มีความสามารถหลักๆ ครอบคลุมการปฏิบัติตาม พ.ร.บ. 3 ด้าน ได้แก่
- การระบุตัวตน และกำหนดสิทธิ์การเข้าถึงข้อมูล (Identity and Access Management)
- การปกป้องและคุ้มครองข้อมูล (Information Protection)
- การป้องกันการถูกโจมตีจากภัยคุกคามทางไซเบอร์ (Threat Protection)
โดยมีหลากหลายเครื่องมือ ที่สามารถนำมาประยุกต์ใช้ รวมถึงมีขั้นตอนปฏิบัติที่ช่วยทำให้ผู้ใช้ Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ง่ายยิ่งขึ้น 7 ขั้นตอนหลักและเครื่องมือต่างๆ ประกอบด้วย
1. ค้นหาข้อมูลส่วนบุคคลที่กระจายอยู่ในองค์กร
ด้วย Advanced eDiscovery ระบบจะสามารถสแกนหาข้อมูลส่วนบุคคลที่กระจายอยู่ในระบบไอทีส่วนต่างๆ ขององค์กรไม่ว่าจะอยู่ใน File Server ซอฟต์แวร์ที่ใช้อยู่ในองค์กร, Office 365 รวมถึงแอปพลิเคชันบนระบบคลาวด์
ระบบสามารถทำ Classify หรือแบ่งประเภทเอกสาร เพื่อระบุว่าข้อมูลที่พบในไฟล์ต่างๆ นั้นเป็นข้อมูลส่วนบุคคลหรือไม่ รวมทั้งกำหนดระดับความสำคัญของข้อมูล ไม่ว่าจะเป็น วันเดือนปีเกิด เลขบัตรประชาชนของคนไทย เลขบัตรเครดิต และดำเนินการกำหนด Label ให้ไฟล์ๆ นั้น ว่ามีสิทธิการใช้งานระดับใดอัตโนมัติ
เครื่องมือที่จำเป็นต้องใช้ : Advanced eDiscovery, Cloud App Security, Advanced Data Governance, Azure Information Protection
2. Encryption ปกป้องข้อมูลที่พบด้วยการเข้ารหัสและกำหนดนโยบายรักษาความปลอดภัย
หลังจากค้นหาข้อมูลส่วนบุคคลต่างๆ พบแล้ว สิ่งที่ต้องทำต่อไปคือ ใช้ Advanced Information Protection (AIP) ในการกำหนดนโยบายรักษาความปลอดภัยด้วยการเข้ารหัส (Encryption) ทั้งข้อมูลที่อยู่ในระบบ เครื่องคอมพิวเตอร์ของผู้ใช้ Office 365 รวมถึงหากไฟล์ที่ถูกระบุว่ามีข้อมูลส่วนบุคคลอยู่ภายในถูกย้ายไปยังแอปพลิเคชันบนระบบคลาวด์ของผู้ให้บริการอื่นๆ ก็จะถูกเข้ารหัสก่อนเช่นกัน
ด้วยการทำงานร่วมกับ Intune โซลูชันบริหารจัดการการนำอุปกรณ์โมบายมาใช้งานในองค์กร ทำให้การกำหนดนโยบายการเข้ารหัสข้อมูลดังกล่าวยังครอบคลุมถึงข้อมูลที่ถูกเก็บอยู่ในอุปกรณ์โมบายต่างๆ อีกทั้งยังสามารถกำหนดสิทธิเพิ่มเติมได้ว่า สามารถแชร์ข้อมูลดังกล่าวไปยังแอปพลิเคชันใดในอุปกรณ์โมบายได้บ้าง ไม่ว่าจะเป็นการแชร์ไฟล์เอกสารไปยัง Line หรือ Facebook Messenger เป็นต้น ถือเป็นการรักษาความปลอดภัยและป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention) ให้แก่ข้อมูลส่วนบุคคลได้เป็นอย่างดี
หรือหากอุปกรณ์โมบายที่มีไฟล์ที่มีข้อมูลส่วนบุคคลเก็บอยู่เกิดสูญหายหรือถูกขโมย ระบบก็สามารถสั่งลบข้อมูลในอุปกรณ์จากระยะไกลได้
เครื่องมือที่จำเป็นต้องใช้ : Cloud App Security, Intune, BitLocker, Azure Information Protection, Windows Information Protection
3. การกำหนดสิทธิการเข้าถึงข้อมูล
เป็นกระบวนการในการควบคุมการเข้าถึงข้อมูลของผู้ใช้ เพราะเพียงแค่การล็อกอินเข้าสู่ระบบด้วย Username และ Password ในปัจจุบันนั้นไม่เพียงพออีกต่อไป การระบุตัวตนผู้ใช้ผ่านอินเทอร์เน็ตหรือระบบคลาวด์อย่างมีประสิทธิภาพนั้น ควรใช้ระบบ Multi Factor Authentication โดยมีกระบวนการล็อกอินด้วยวิธีอื่นๆ อย่างน้อยอีกหนึ่งชั้น ไม่ว่าจะเป็นใช้ระบบไบโอเมตริก รหัส PIN, การใช้รหัส OTP (One Time Password) รวมถึงการเปรียบเทียบอุปกรณ์และพฤติกรรมการล็อกอิน เป็นต้น
เครื่องมือที่จำเป็นต้องใช้ : Azure Active Directory Premium, Multi-Factor Authentication, Intune
4. ติดตามการใช้งานข้อมูลและแอปพลิเคชันบนระบบคลาวด์ของผู้ใช้
Microsoft 365 มีชุดเครื่องมือ ที่สามารถ ติดตาม ตรวจสอบ และป้องกัน การใช้งานไฟล์ที่มีข้อมูลส่วนตัวไปใช้งานบนแอปพลิเคชันบนระบบคลาวด์อื่นๆ ที่ไม่ใช่ขององค์กร แต่เพื่อไม่เป็นการละเมิดสิทธิ์ส่วนบุคคล สิ่งที่ผู้ดูแลระบบเห็นจะเป็นแนวโน้มการใช้งานแอปพลิเคชันบนระบบคลาวด์ ซึ่งมีประโยชน์ในการวางแผนกำหนดนโยบายการใช้งานคลาวด์ขององค์กร จะอนุญาต หรืออนุญาตให้ใช้โดยจำกัดสิทธิการใช้งานบางอย่างก็ได้ เช่น ใช้กับอุปกรณ์ใดได้บ้าง ใช้กับไฟล์ที่มีข้อมูลส่วนตัวประเภทใดได้บ้าง
ซึ่งไฟล์ที่มีข้อมูลส่วนบุคคลอยู่ภายใน แต่ถูกนำไปใช้งานบนบริการคลาวด์อื่นๆ นโยบายการปกป้องที่กำหนดไว้ตั้งแต่แรกก็จะติดตามไปด้วย ทำให้ไฟล์ข้อมูลยังคงมีความปลอดภัยแม้จะอยู่นอกระบบขององค์กรก็ตาม
เครื่องมือที่จำเป็นต้องใช้ : Cloud App Security, Azure Information Protection, Azure Active Directory (Conditional Access)
5. ป้องกันข้อมูลจากการคุกคามและเจาะระบบทางไซเบอร์ก่อนที่จะเกิดความเสียหาย
การปกป้องข้อมูลส่วนบุคคลของ Microsoft 365 ไม่ใช่แค่การแจ้งเตือนผู้ใช้ เมื่อเกิดเหตุการณ์เจาะระบบหรือขโมยข้อมูลขึ้นเท่านั้น แต่ระบบรักษาความปลอดภัยอย่าง Advanced Threat Protection สามารถป้องกันผู้ใช้และองค์กร ก่อนที่จะเกิดการบุกรุก เพื่อป้องกันไม่ให้เกิดความเสียหายจากการถูกเจาะระบบหรือเข้ามาขโมยข้อมูล
เครื่องมือรักษาความปลอดภัยของ Microsoft 365 ประกอบด้วย Advanced Threat Protection ที่จะคอยปกป้องผู้ใช้จากภัยคุกคามใหม่ๆ ในโลกไซเบอร์ ตรวจจับไฟล์อันตรายที่แนบมากับอีเมล หรือลิงก์ต้องสงสัยต่างๆ ตรวจจับพฤติกรรมต้องสงสัยที่อาจเกิดขึ้นในระบบ และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างรวดเร็ว
เบื้องหลังกลไกรักษาความปลอดภัยอันทรงประสิทธิภาพของ Microsoft 365 คือระบบ Threat Intelligent แสนฉลาด ประกอบด้วย AI และ Big Data ที่จะเก็บข้อมูลภัยคุกคามจากทั่วโลก วิเคราะห์แนวโน้มอันตรายใหม่ จับตารูปแบบพฤติกรรมต้องสงสัย ซึ่งผู้ใช้สามารถวางใจได้ว่า ไฟล์ข้อมูลที่เก็บอยู่ใน SharePoint, OneDrive และ Microsoft Teams จะเป็นไฟล์ที่ปลอดภัยแล้วจริงๆ
6. แนวทางสำหรับองค์กร เพื่อปฏิบัติตามกฎหมาย
ที่ผ่านมา การที่เราจะสามารถปรับกระบวนการบริหารจัดการข้อมูลส่วนบุคคลในระบบไอทีขององค์กรให้เป็นไปตามกฎหมายนั้น มีเครื่องมือช่วยอยู่มากมาย แต่สำหรับองค์กรที่ยังไม่แน่ใจว่าควรเริ่มต้นกระบวนการที่จุดไหนดี Microsoft 365 ก็ยังมี Compliance Manager เครื่องมือที่จะประเมินระดับการปฏิบัติตามกฎหมายขององค์กรและแนะนำแนวทางปฏิบัติให้แก่องค์กรที่ใช้ Microsoft 365 ว่า การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น จะมีขั้นตอนอย่างไรบ้าง และควรตั้งทีมทำงานที่ประกอบด้วยบุคลากรที่มีหน้าที่อะไรบ้าง โดยในปัจจุบันยังคงยึดกรอบปฏิบัติของ GDPR ส่วนกรอบปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของประเทศไทยจะมีตามมาในเร็วๆ นี้
7. ต้องสามารถจัดการกับคำร้องขอของเจ้าของข้อมูลได้
หนึ่งในข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลก็คือ ให้สิทธิเจ้าของข้อมูลในการขอรับข้อมูลที่เกี่ยวกับตนหรือคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูล ซึ่ง Microsoft 365 ก็มีเครื่องมือที่ช่วยให้องค์กรดึงข้อมูลที่เกี่ยวข้องต่างๆ ทั้งในส่วนของ Structured และ Unstructured data ออกมาได้อย่างรวดเร็ว เพื่อที่จะบริหารจัดการกับคำร้องขอของเจ้าของข้อมูลได้
ทั้งหมดที่กล่าวไปแล้ว คือความสามารถด้านต่างๆ ของ Microsoft 365 ที่ช่วยให้องค์กรที่อยู่ในฐานะถือครองข้อมูลส่วนบุคคลสามารถปฏิบัติตามข้อกำหนดของกฎหมายได้อย่างครอบคลุม ปกป้องข้อมูลส่วนบุคคลที่อยู่ในระบบ ทั้งการรั่วไหลจากภายในและจากภัยคุกคามภายนอก รวมถึงปรับกระบวนการใช้งานข้อมูลส่วนบุคคลให้เป็นระบบระเบียบ
ง่ายต่อการดูแลและบริหารจัดการ