การป้องกันและคุ้มครองข้อมูลส่วนบุคคล
- Details
- Category: มติ ครม.
- Published: Wednesday, 22 November 2023 18:55
- Hits: 2032
การป้องกันและคุ้มครองข้อมูลส่วนบุคคล
คณะรัฐมนตรีรับทราบเรื่อง การป้องกันและคุ้มครองข้อมูลส่วนบุคคล ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอ ดังนี้
สาระสำคัญและข้อเท็จจริง
เมื่อวันที่ 9 พฤศจิกายน 2566 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ดำเนินการจัดประชุมเพื่อกำหนดแนวทางการบูรณาการป้องกันและแก้ไขปัญหาอาชญากรรมทางไซเบอร์จากกรณีข้อมูลส่วนบุคคลรั่วไหลและมีการซื้อ-ขายในเว็บไซต์หรือแพลตฟอร์มต่างๆ โดยมีนายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธาน ศาสตราจารย์พิเศษวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม พร้อมด้วย พลตำรวจโท วรวัฒน์ วัฒน์นครบัญชา ผู้บัญชาการกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นายสมศักดิ์ เจริญไพฑูรย์ รองอธิบดีกรมการปกครอง ผู้แทนจากกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี และสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เข้าร่วมหารือกำหนดมาตรการในการแก้ไขปัญหาการซื้อ - ขายข้อมูลส่วนบุคคลทางออนไลน์ สรุปสาระสำคัญได้ดังนี้
สาเหตุและช่องทางการเกิดข้อมูลรั่วไหล
1. หน่วยงานภาครัฐขาดระบบเฝ้าระวังและตรวจสอบ และความเอาใจใส่และละเลยกระบวนการรักษาความมั่นคงปลอดภัยของข้อมูลทำให้เกิดการเผยแพร่ข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลรั่วไหล (Personal Data Breach) ปรากฏหรือเปิดเผยต่อสาธารณะโดยไม่จำเป็น และไม่ได้รับอนุญาตจากเจ้าของข้อมูล
2. เจ้าหน้าที่ภาครัฐและหน่วยงานไม่ได้จัดให้มีระบบการรักษาความมั่นคงปลอดภัยของข้อมูลที่ดีพอทั้งจากการนำข้อมูลไปเก็บอยู่ใน Data Center ของบริษัทเอกชน หรือไม่จัดให้มีการรักษาความปลอดภัยเพียงพอให้แก่ระบบคอมพิวเตอร์ต่างๆ (Computer Server) ขาดการตรวจสอบเฝ้าระวังที่ดีพอ ทำให้มีช่องโหว่ในระบบ เป็นความเสี่ยงที่ทำให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล การโจมตีหรือบุกรุกจาก Hacker ทำให้สามารถเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตและนำข้อมูลออกไปเผยแพร่ ซึ่งพบได้บ่อยจากหน่วยงานที่ไม่มีหรือขาดระบบรักษาความปลอดภัยเพียงพอ ขาดการตรวจจับ เฝ้าระวังการบุกรุกเข้าถึงระบบจากภายนอก การตั้งค่าระบบที่ผิดพลาด เป็นต้น
3. เจ้าหน้าที่ภาครัฐและหน่วยงานขาดการสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล การสื่อสารให้บุคลากร พนักงาน หรือลูกจ้างในองค์กรเห็นถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ความเสี่ยงที่อาจเกิดจากการใช้ข้อมูลส่วนบุคคลในการทำงานโดยขาดความระมัดระวัง ส่งผลให้เกิดโทษต่อหน่วยงานและส่วนตัวอย่างไร การสร้างเสริมความตระหนักรู้ให้แก่บุคลากร พนักงาน หรือลูกจ้าง เป็นการป้องกันความผิดพลาดที่เกิดจากบุคคล (human error) ในการนำข้อมูลส่วนบุคคลไปใช้ในการทำงานขององค์กร
ที่ประชุมเห็นชอบแนวทางร่วมกันกำหนดมาตรการป้องกันและคุ้มครองข้อมูลส่วนบุคคล โดยมีข้อเสนอแนะและแนวทางการแก้ไข ดังนี้
ระยะเร่งด่วน 30 วัน
1. ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบข้อมูลที่เปิดเผยต่อสาธารณะจัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) และเร่งตรวจสอบค้นหา เฝ้าระวัง การรั่วไหลของข้อมูลส่วนบุคคลว่าเกิดขึ้นจากหน่วยงานใด หรือช่องทางใด และเมื่อพบข้อบกพร่องของการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงานต่างๆ เร่งประสานแจ้งเตือนการรั่วไหลของข้อมูลส่วนบุคคลแก่หน่วยงานนั้น เพื่อระงับยับยั้งไม่ให้เกิดความเสี่ยงหรือความเสียหายที่อาจเกิดขึ้นโดยเร็ว จากการเฝ้าระวังตรวจสอบที่ผ่านมา (ข้อมูลตั้งแต่วันที่ 9 - 20 พฤศจิกายน 2566) มีผลจากการเร่งตรวจสอบ ดังนี้
- ดำเนินการตรวจสอบแล้ว จำนวน 3,119 หน่วยงาน (ภาครัฐ/ภาคเอกชน)
- ตรวจพบข้อมูลรั่วไหล/แจ้งเตือนหน่วยงาน จำนวน 1,158 เรื่อง
- หน่วยงานแก้ไขแล้ว จำนวน 781 เรื่อง
- พบกรณีซื้อ - ขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.)
ทั้งนี้ ภายใน 30 วัน ศูนย์ PDPC Eagle Eye มีเป้าหมายตรวจสอบ ให้ครบ 9,000 หน่วยงาน
2. ให้สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติดำเนินการตรวจสอบเฝ้าระวัง และวิเคราะห์ความเสี่ยงของพฤติกรรมหรือช่องโหว่ต่างๆ ที่อาจทำให้เกิดข้อมูลรั่วไหลของหน่วยงานต่างๆ โดยเฉพาะอย่างยิ่งหน่วยงานภาครัฐที่เป็นหน่วยงานในลักษณะหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ทั้ง 7 ด้าน ได้แก่ ด้านความมั่นคงภาครัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค และด้านสาธารณสุข ซึ่งปัจจุบันมีหน่วยงาน CII จำนวน 54 หน่วยงาน หากพบข้อบกพร่องของการรักษาความมั่นคงปลอดภัยของระบบ หรือข้อมูลของหน่วยงานต่างๆ เร่งประสานแจ้งเตือนช่องโหว่หรือการรั่วไหลของข้อมูลส่วนบุคคลแก่หน่วยงานนั้น เพื่อระงับยับยั้งไม่ให้เกิดความเสี่ยงหรือความเสียหายที่อาจเกิดขึ้นโดยเร็ว จากการเฝ้าระวังตรวจสอบที่ผ่านมา สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติตรวจพบการโจมตีไซเบอร์เกี่ยวกับข้อมูลรั่วไหล (ข้อมูลตั้งแต่วันที่ 9 - 20 พฤศจิกายน 2566) ดังนี้
1. การตรวจสอบช่องโหว่ จำนวน 91 หน่วยงาน ซึ่ง สกมช. พบว่าทั้ง 91 หน่วยงานมีความเสี่ยง โดยมีความเสี่ยงระดับสูง จำนวน 21 หน่วยงาน และ สกมช. ได้แจ้งแก้ไขทั้ง 91 หน่วยงานแล้ว
2. การตรวจพบการโจมตีทางไซเบอร์ เกี่ยวกับข้อมูลส่วนบุคคล จํานวน 11 เหตุการณ์ โดยแบ่งเป็น
- กรณีข้อมูลรั่วไหล (Data Leak) ส่ง สคส. เพื่อดำเนินการตามกฎหมาย จำนวน 8 เหตุการณ์
- กรณีข้อมูลถูกละเมิดหรือถูกโจมตี (Data Breach) ส่ง บช.สอท. สืบสวนดำเนินคดี จำนวน 3 เหตุการณ์
3. ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ร่วมกับหน่วยงานที่เกี่ยวข้อง อาทิ สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชนสร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นหากไม่ปฏิบัติตามระเบียบขั้นตอนการรักษาความปลอดภัยของหน่วยงาน ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Awareness Training) เช่น การป้องกันการบุกรุกจากบุคคลภายนอก การตั้งค่าระบบอย่างปลอดภัย และการบังคับใช้กฎหมายตามอำนาจหน้าที่อย่างเคร่งครัด ทั้งนี้ ในวันที่ 16 พ.ย. 66 ได้มีการจัดอบรม DPO (Data Protection Officer) สำหรับหน่วยงานรัฐ ที่มีข้อมูลส่วนบุคคลจำนวนมาก จำนวน 85 หน่วยงาน เพื่อกำชับให้ดูแลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย และให้ความรู้ตลอดจนแนวปฏิบัติที่ถูกต้อง
4. ให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยีเร่งรัดมาตรการปิดกั้นกรณีการซื้อ - ขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และสืบสวนดำเนินคดี ตลอดจนจับกุมผู้กระทำความผิดโดยเร็ว
ระยะ 6 เดือน
เพื่อป้องกันและลดปัญหาการรั่วไหลของข้อมูลส่วนบุคคลจากการที่หน่วยงานภาครัฐส่งข้อมูลแก่หน่วยงานภายนอก หรือขาดบุคลากรในการกำกับดูแลงานด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน เห็นควรส่งเสริมการใช้งานระบบคลาวด์กลางภาครัฐที่มีความน่าเชื่อถือ เป็นระบบที่มีความมั่นคงปลอดภัยตามหลักวิชาการสากล สามารถรองรับการใช้งานของบุคลากรของหน่วยงานต่างๆ ได้อย่างปลอดภัยไม่เกิดการโจรกรรมหรือการรั่วไหลของข้อมูล
ระยะ 12 เดือน
ประเมินและปรับปรุง พัฒนากฎหมายที่เกี่ยวข้องให้สามารถบังคับใช้กฎหมายให้ทันสมัยต่อบริบทของสังคมและพฤติการณ์ที่เปลี่ยนไป เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เป็นต้น เพื่อเพิ่มประสิทธิภาพการบังคับใช้กฎหมายของเจ้าหน้าที่ในการตรวจสอบและป้องกันอาชญากรรมทางไซเบอร์ที่ดียิ่งขึ้น
(โปรดตรวจสอบมติคณะรัฐมนตรีที่เป็นทางการจากสำนักเลขาธิการคณะรัฐมนตรีอีกครั้ง)
ที่ประชุมคณะรัฐมนตรี นายเศรษฐา ทวีสิน (นายกรัฐมนตรี) 21 พฤศจิกายน 2566
สำนักโฆษก สำนักเลขาธิการนายกรัฐมนตรี โทร. 0 2288-4396
11861