WORLD7

BANPU2024

smed PIONEER 720x100

การป้องกันและคุ้มครองข้อมูลส่วนบุคคล

Details
Category: มติ ครม.
Published: Wednesday, 22 November 2023 18:55
Hits: 2344

Gov 04

การป้องกันและคุ้มครองข้อมูลส่วนบุคคล

          คณะรัฐมนตรีรับทราบเรื่อง การป้องกันและคุ้มครองข้อมูลส่วนบุคคล ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอ ดังนี้ 

          สาระสำคัญและข้อเท็จจริง

          เมื่อวันที่ 9 พฤศจิกายน 2566 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ดำเนินการจัดประชุมเพื่อกำหนดแนวทางการบูรณาการป้องกันและแก้ไขปัญหาอาชญากรรมทางไซเบอร์จากกรณีข้อมูลส่วนบุคคลรั่วไหลและมีการซื้อ-ขายในเว็บไซต์หรือแพลตฟอร์มต่างๆ โดยมีนายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธาน ศาสตราจารย์พิเศษวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม พร้อมด้วย พลตำรวจโท วรวัฒน์ วัฒน์นครบัญชา ผู้บัญชาการกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นายสมศักดิ์ เจริญไพฑูรย์ รองอธิบดีกรมการปกครอง ผู้แทนจากกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี และสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เข้าร่วมหารือกำหนดมาตรการในการแก้ไขปัญหาการซื้อ - ขายข้อมูลส่วนบุคคลทางออนไลน์ สรุปสาระสำคัญได้ดังนี้ 

          สาเหตุและช่องทางการเกิดข้อมูลรั่วไหล

          1. หน่วยงานภาครัฐขาดระบบเฝ้าระวังและตรวจสอบ และความเอาใจใส่และละเลยกระบวนการรักษาความมั่นคงปลอดภัยของข้อมูลทำให้เกิดการเผยแพร่ข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลรั่วไหล (Personal Data Breach) ปรากฏหรือเปิดเผยต่อสาธารณะโดยไม่จำเป็น และไม่ได้รับอนุญาตจากเจ้าของข้อมูล

          2. เจ้าหน้าที่ภาครัฐและหน่วยงานไม่ได้จัดให้มีระบบการรักษาความมั่นคงปลอดภัยของข้อมูลที่ดีพอทั้งจากการนำข้อมูลไปเก็บอยู่ใน Data Center ของบริษัทเอกชน หรือไม่จัดให้มีการรักษาความปลอดภัยเพียงพอให้แก่ระบบคอมพิวเตอร์ต่างๆ (Computer Server) ขาดการตรวจสอบเฝ้าระวังที่ดีพอ ทำให้มีช่องโหว่ในระบบ เป็นความเสี่ยงที่ทำให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล การโจมตีหรือบุกรุกจาก Hacker ทำให้สามารถเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตและนำข้อมูลออกไปเผยแพร่ ซึ่งพบได้บ่อยจากหน่วยงานที่ไม่มีหรือขาดระบบรักษาความปลอดภัยเพียงพอ ขาดการตรวจจับ เฝ้าระวังการบุกรุกเข้าถึงระบบจากภายนอก การตั้งค่าระบบที่ผิดพลาด เป็นต้น

          3. เจ้าหน้าที่ภาครัฐและหน่วยงานขาดการสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล การสื่อสารให้บุคลากร พนักงาน หรือลูกจ้างในองค์กรเห็นถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ความเสี่ยงที่อาจเกิดจากการใช้ข้อมูลส่วนบุคคลในการทำงานโดยขาดความระมัดระวัง ส่งผลให้เกิดโทษต่อหน่วยงานและส่วนตัวอย่างไร การสร้างเสริมความตระหนักรู้ให้แก่บุคลากร พนักงาน หรือลูกจ้าง เป็นการป้องกันความผิดพลาดที่เกิดจากบุคคล (human error) ในการนำข้อมูลส่วนบุคคลไปใช้ในการทำงานขององค์กร

          ที่ประชุมเห็นชอบแนวทางร่วมกันกำหนดมาตรการป้องกันและคุ้มครองข้อมูลส่วนบุคคล โดยมีข้อเสนอแนะและแนวทางการแก้ไข ดังนี้

          ระยะเร่งด่วน 30 วัน

          1. ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบข้อมูลที่เปิดเผยต่อสาธารณะจัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) และเร่งตรวจสอบค้นหา เฝ้าระวัง การรั่วไหลของข้อมูลส่วนบุคคลว่าเกิดขึ้นจากหน่วยงานใด หรือช่องทางใด และเมื่อพบข้อบกพร่องของการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงานต่างๆ เร่งประสานแจ้งเตือนการรั่วไหลของข้อมูลส่วนบุคคลแก่หน่วยงานนั้น เพื่อระงับยับยั้งไม่ให้เกิดความเสี่ยงหรือความเสียหายที่อาจเกิดขึ้นโดยเร็ว จากการเฝ้าระวังตรวจสอบที่ผ่านมา (ข้อมูลตั้งแต่วันที่ 9 - 20 พฤศจิกายน 2566) มีผลจากการเร่งตรวจสอบ ดังนี้

          - ดำเนินการตรวจสอบแล้ว จำนวน 3,119 หน่วยงาน (ภาครัฐ/ภาคเอกชน) 

          - ตรวจพบข้อมูลรั่วไหล/แจ้งเตือนหน่วยงาน จำนวน 1,158 เรื่อง

          - หน่วยงานแก้ไขแล้ว จำนวน 781 เรื่อง

          - พบกรณีซื้อ - ขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) 

          ทั้งนี้ ภายใน 30 วัน ศูนย์ PDPC Eagle Eye มีเป้าหมายตรวจสอบ ให้ครบ 9,000 หน่วยงาน

          2. ให้สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติดำเนินการตรวจสอบเฝ้าระวัง และวิเคราะห์ความเสี่ยงของพฤติกรรมหรือช่องโหว่ต่างๆ ที่อาจทำให้เกิดข้อมูลรั่วไหลของหน่วยงานต่างๆ โดยเฉพาะอย่างยิ่งหน่วยงานภาครัฐที่เป็นหน่วยงานในลักษณะหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ทั้ง 7 ด้าน ได้แก่ ด้านความมั่นคงภาครัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค และด้านสาธารณสุข ซึ่งปัจจุบันมีหน่วยงาน CII จำนวน 54 หน่วยงาน หากพบข้อบกพร่องของการรักษาความมั่นคงปลอดภัยของระบบ หรือข้อมูลของหน่วยงานต่างๆ เร่งประสานแจ้งเตือนช่องโหว่หรือการรั่วไหลของข้อมูลส่วนบุคคลแก่หน่วยงานนั้น เพื่อระงับยับยั้งไม่ให้เกิดความเสี่ยงหรือความเสียหายที่อาจเกิดขึ้นโดยเร็ว จากการเฝ้าระวังตรวจสอบที่ผ่านมา สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติตรวจพบการโจมตีไซเบอร์เกี่ยวกับข้อมูลรั่วไหล (ข้อมูลตั้งแต่วันที่ 9 - 20 พฤศจิกายน 2566) ดังนี้

          1. การตรวจสอบช่องโหว่ จำนวน 91 หน่วยงาน ซึ่ง สกมช. พบว่าทั้ง 91 หน่วยงานมีความเสี่ยง โดยมีความเสี่ยงระดับสูง จำนวน 21 หน่วยงาน และ สกมช. ได้แจ้งแก้ไขทั้ง 91 หน่วยงานแล้ว

          2. การตรวจพบการโจมตีทางไซเบอร์ เกี่ยวกับข้อมูลส่วนบุคคล จํานวน 11 เหตุการณ์ โดยแบ่งเป็น

                  - กรณีข้อมูลรั่วไหล (Data Leak) ส่ง สคส. เพื่อดำเนินการตามกฎหมาย จำนวน 8 เหตุการณ์

                  - กรณีข้อมูลถูกละเมิดหรือถูกโจมตี (Data Breach) ส่ง บช.สอท. สืบสวนดำเนินคดี จำนวน 3 เหตุการณ์

          3. ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ร่วมกับหน่วยงานที่เกี่ยวข้อง อาทิ สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชนสร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นหากไม่ปฏิบัติตามระเบียบขั้นตอนการรักษาความปลอดภัยของหน่วยงาน ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Awareness Training) เช่น การป้องกันการบุกรุกจากบุคคลภายนอก การตั้งค่าระบบอย่างปลอดภัย และการบังคับใช้กฎหมายตามอำนาจหน้าที่อย่างเคร่งครัด ทั้งนี้ ในวันที่ 16 พ.ย. 66 ได้มีการจัดอบรม DPO (Data Protection Officer) สำหรับหน่วยงานรัฐ ที่มีข้อมูลส่วนบุคคลจำนวนมาก จำนวน 85 หน่วยงาน เพื่อกำชับให้ดูแลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย และให้ความรู้ตลอดจนแนวปฏิบัติที่ถูกต้อง

          4. ให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยีเร่งรัดมาตรการปิดกั้นกรณีการซื้อ - ขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และสืบสวนดำเนินคดี ตลอดจนจับกุมผู้กระทำความผิดโดยเร็ว 

          ระยะ 6 เดือน

          เพื่อป้องกันและลดปัญหาการรั่วไหลของข้อมูลส่วนบุคคลจากการที่หน่วยงานภาครัฐส่งข้อมูลแก่หน่วยงานภายนอก หรือขาดบุคลากรในการกำกับดูแลงานด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน เห็นควรส่งเสริมการใช้งานระบบคลาวด์กลางภาครัฐที่มีความน่าเชื่อถือ เป็นระบบที่มีความมั่นคงปลอดภัยตามหลักวิชาการสากล สามารถรองรับการใช้งานของบุคลากรของหน่วยงานต่างๆ ได้อย่างปลอดภัยไม่เกิดการโจรกรรมหรือการรั่วไหลของข้อมูล

          ระยะ 12 เดือน

          ประเมินและปรับปรุง พัฒนากฎหมายที่เกี่ยวข้องให้สามารถบังคับใช้กฎหมายให้ทันสมัยต่อบริบทของสังคมและพฤติการณ์ที่เปลี่ยนไป เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เป็นต้น เพื่อเพิ่มประสิทธิภาพการบังคับใช้กฎหมายของเจ้าหน้าที่ในการตรวจสอบและป้องกันอาชญากรรมทางไซเบอร์ที่ดียิ่งขึ้น

 

(โปรดตรวจสอบมติคณะรัฐมนตรีที่เป็นทางการจากสำนักเลขาธิการคณะรัฐมนตรีอีกครั้ง)

ที่ประชุมคณะรัฐมนตรี นายเศรษฐา ทวีสิน (นายกรัฐมนตรี) 21 พฤศจิกายน 2566

สำนักโฆษก สำนักเลขาธิการนายกรัฐมนตรี โทร. 0 2288-4396

 

 

11861

Click Donate Support Web 

Banner GPF720x100 PX

CKPower 720x100

MTL 720x100

kasat 720x100TOA 720x100

kbank 720x100 66

QIC 720x100

วิริยะ 720x100

AXA 720 x100

aia 720 x100

BKI 720 x 100

PTG 720x100

ais 720x100

apm

 

 

Facebook

5 ข่าวฮอตนิวส์!