เตรียมความพร้อมให้กับองค์กรเพื่อให้สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย NIST Framework

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ประกาศในราชกิจจานุเบกษาในวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อพ้นกำหนด 1 ปี ซึ่งตามกำหนดการเดิมจะมีผลบังคับใช้ทั้งฉบับตั้งแต่วันที่ 27 พฤษภาคม 2563 เป็นต้นไป แต่ด้วยสถานการณ์ไวรัสโควิด 19 ส่งผลกระทบต่อเศรษฐกิจและสังคมโดยรวมเป็นอย่างมาก ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานและกิจการต่าง ๆ ทั้งภาครัฐและเอกชนจำนวนมากทั่วประเทศยังไม่พร้อมที่จะปฏิบัติตามพระราชบัญญัติดังกล่าว

จึงได้มีราชกิจจานุเบกษาเผยแพร่ประกาศพระราชกฤษฎีกา เลื่อนการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 ออกไปก่อนจนถึงวันที่ 31 พ.ค. 2565 เหตุมีผลกระทบจากโควิด กฎหมายมีรายละเอียดซับซ้อน ต้องใช้เทคโนโลยีขั้นสูง และมีบทลงโทษทั้งคามรับผิดทางแพ่งและโทษทางปกครองและอาญา ค่อนข้างแรง

pdpa1

โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้กับ

  • บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้เรียกว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) 

  • บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้เรียกว่า ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
  • หน่วยงานหรือองค์กรที่อยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย

แต่เนื่องจากยังไม่มีหลักเกณฑ์หรือแนวทางที่ชัดเจนอย่างเป็นทางการออกมาถึงวิธีการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้มีคำแนะนำจากเจ้าหน้าที่และผู้เชี่ยวชาญที่เกี่ยวข้องให้ยึดหลักเกณฑ์มาตรฐานสากลเพื่อใช้เป็นแนวทางในการนำมาปรับและประยุต์ใช้ในระหว่างรอหลักเกณฑ์ ไม่ว่าจะเป็น ISO/IEC 27701:2019, The COBIT Framwork, ISACA Privacy Principles และรวมไปถึง NIST Privacy Framwork ด้วยเช่นเดียวกัน 

pdpa3

บริษัทซังฟอร์ เทคโนโลยี (Sangfor Technologies) มีความยินดีที่จะนำเสนอวิธีการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามแนวทางหรือกรอบปฏิบัติตามมาตรฐาน NIST Privacy Framework  ซึ่งได้มีการร่วมมือกับภาครัฐและเอกชนจัดทำเครื่องมือที่ทรงพลังนี้ขึ้นมา เพื่อใช้เป็นกรอบการดำเนินงานในการคุ้มครองข้อมูลส่วนบุคคล รวมไปถึงการจัดระเบียบและปรับปรุงระบบรักษาความปลอดภัยทางไซเบอร์ขององค์กรควบคู่กันไปอย่างมีประสิทธิภาพสูงสุด 

โดยกรอบหลักการและการทำงานของ NIST Privacy Framework  จะแบ่งความเสี่ยงออกเป็น ด้าน คือความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Risks) และความเสี่ยงด้านความเป็นส่วนตัว (Privacy Risks) โดยความเสี่ยงทั้ง ด้านนี้มีจุดร่วมตรงกลางเรียกว่า ความเสี่ยงด้านความเป็นส่วนตัวหรือข้อมูลส่วนบุคคลที่มีความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์มาเกี่ยวข้อง (Privacy Breach Risks) 

ซึ่งโดยรวมแล้ว NIST Privacy Framework  จะประกอบด้วย ฟังก์ชันหลัก โดยอยู่ใน Privacy Risks จำนวน ฟังก์ชัน (IDENTIFY-P, GOVERN-P, CONTROL-P และ COMUNICATION-P) และอยู่ใน Privacy Breach Risks อีก 1 ฟังก์ชัน (PROTECT-P) โดยจะมีการทำงานร่วมกับฟังก์ชั่น DETECT, RESPOND, และ RECOVERY ตามกรอบหลักการและการทำงานของ NIST Cybersecurity Framework อีกด้วย โดยแนะนำให้ใช้ทั้ง 2 Framework ร่วมกันเพื่อจัดการและป้องกันความเสี่ยงทั้งในส่วนของความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) และความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Privacy) 

Identify: การระบุความเสี่ยงภายในองค์กรเพื่อใช้เป็นข้อมูลในการบริหารจัดการความเสี่ยง 

Protect: การวางกรอบหรือแนวทางปฏิบัติเพื่อป้องกันระบบขององค์กร 

Detect: การวางกรอบหรือแนวทางปฏิบัติเพื่อตรวจจับเหตุการณ์ผิดปกติที่เกิดขึ้นภายในองค์กร 

Respond: การวางกรอบหรือแนวทางปฏิบัติเพื่อตอบสนองกับเหตุการณ์ผิดปกติที่เกิดขึ้นภายในองค์กร 

Recovery: การวางกรอบหรือแนวทางปฏิบัติเพื่อฟื้นฟูหรือกู้คืนระบบขององค์กรให้กลับมาทำงานได้เป็นปรกติ 

NIST
NIST2

Identify: การระบุความเสี่ยงภายในองค์กรเพื่อใช้เป็นข้อมูลในการบริหารจัดการความเสี่ยง 

Identify2

Protect: การวางกรอบหรือแนวทางปฏิบัติเพื่อป้องกันระบบขององค์กร 

Protect
Protect2

Respond: การวางกรอบหรือแนวทางปฏิบัติเพื่อตอบสนองกับเหตุการณ์ผิดปกติที่เกิดขึ้นภายในองค์กร 

Respond

Recovery: การวางกรอบหรือแนวทางปฏิบัติเพื่อฟื้นฟูหรือกู้คืนระบบขององค์กรให้กลับมาทำงานได้เป็นปรกติ

Recovery

ผลิตภัณฑ์และโซลูชั่นจากทางบริษัทซังฟอร์ เทคโนโลยี (Sangfor Technologies) เพื่อนำมาใช้ในการตอบโจทย์เพื่อเตรียมความพร้อมให้องค์กรให้สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วยกรอบการทำงานมาตรฐาน ด้วย NIST Privacy Framwork และ NIST Cybersecurity Framework มีให้เลือกใช้งานดังนี้

Basic package:
• NGAF (with PX and Neural-X)
• Endpoint Secure

Standard package:
• NGAF (with PX and Neural-X)
• Endpoint Secure
• IAG
• HCI

Advanced package:
• NGAF (with PX and Neural-X)
• Endpoint Secure
• IAG
• Cyber Command
• HCI
• IR Service 

ข้อมูลเพิ่มเติม