PDPA ต้องทำอะไรบ้าง
ตัว PDPA เป็น พ.ร.บ. ที่ทำให้ IT Admin ต้องมีหน้าที่ในการป้องกันข้อมูลรั่วไหล Fusion ขอนำเสนอเครื่องมือที่มาช่วยให้ IT สามารถควบคุมข้อมูลได้อย่างมั่นใจว่าทุกข้อมูลในบริษัทถูกควบคุม และ มีการ monitor ข้อมูลอย่างใกล้ชิด
สรุปหน้าที่ของ IT Admin ต้องมีอะไรบ้าง
- Personal Data Discovery – สำรวจข้อมูลส่วนบุคคลที่องค์กรจัดเก็บรวบรวม ประมวลผล เผยแพร่ หรือมีการส่งข้อมูลออกนอกประเทศ พร้อมจัดหมวดหมู่และกำหนดสิทธิ์การใช้งานของผู้ที่เกี่ยวข้อง จัดการด้วยเครื่องมือ MICROSOFT 365 – DATA CLASSIFICATION
- Rights of Data Subject – รักษาสิทธิ์ของเจ้าของข้อมูลโดยกำหนดให้มีวิธีการและขั้นตอนในการร้องข้อจากเจ้าของข้อมูล เช่น การเข้าถึงข้อมูลของตน การลบหรือทำลาย และการแก้ไขข้อมูล เป็นต้น จัดการด้วยเครื่องมือ MICROSOFT 365 – RETENTION LABELS
- Data Security – วางมาตรการควบคุมในการดูแลรักษาข้อมูลส่วนบุคคล เช่น การเข้ารหัสข้อมูล การกำหนดสิทธิ์ของผู้ใช้งานข้อมูล หรือการป้องกันการรั่วไหลของข้อมูลสู่ภายนอก เป็นต้น จัดการด้วยเครื่องมือ MICROSOFT 365 – SENSITIVITY LABELS
- Data Breach Notification – กำหนดให้มีการเฝ้าระวัง แจ้งเตือน และบันทึกการประมวลผลข้อมูลส่วนบุคคล รวมไปถึงมีมาตรการแจ้งเตือนเจ้าของข้อมูลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดเหตุข้อมูลรั่วไหลสู่ภายนอก จัดการด้วย MICROSOFT 365 – DATA LOSS PREVENTION (DLP)
- Data Transfer – วางมาตรการควบคุมการส่งข้อมูลออกไปประมวลผลภายนอกองค์กร อาทิ การส่งข้อมูลไป Public Cloud หรือส่งข้อมูลไปให้บริษัทคู่ค้า ด้วยเครื่องมือ MICROSOFT 365 – INFORMATION SHARING POLICY
Sensitivity Labels
องค์กรสามารถบริหารและจัดการข้อมูลด้วย Sensitivity Labels โดยสร้างนโยบาย เช่น Public, PII หรือ Confidential ที่เหมาะสมและเข้ารหัสเอกสาร เพื่อป้องกันข้อมูลส่วนบุคคลหลุดไปสู่สาธารณะหรือหลุดไปยังกลุ่มบุคคลที่ไม่พึงประสงค์ การกำหนด ตัวอย่างเช่น อีเมลที่มีข้อมูลส่วนบุคคลจะไม่สามารถส่งให้ผู้อื่นได้ การกำหนด Sensitivity Label นี้ สามารถใช้นโยบาย Data Classification (ถ้ามี) เป็นข้อมูลพื้นฐานการกำหนดนโยบายได้เช่นกัน องค์กรควรคิดถึงความครอบคลุมทั้งในแง่ของการคุ้มครองข้อมูลส่วนบุคคล
MICROSOFT 365 – RETENTION LABELS
ข้อมูลที่เพิ่มขึ้นทุกวัน ทั้งอีเมล เอกสาร และข้อความ Chat จะต้องสามารถจัดการข้อมูลเหล่านั้นได้ โดยเฉพาะข้อมูล ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่ต้องแจ้งถึงวัตถุประสงค์และกรอบเวลาของการรวบรวม ใช้ เปิดเผย ทำลาย อย่างชัดเจน
Retention Label สามารถกำหนดมาตรการ จัดการตามกรอบเวลาหรือตามการร้องขอ โดยกำหนดโยบายนี้ให้สอดคล้องกับกฎหมาย ระเบียบ หรือมาตรฐาน เช่น ข้อมูลการเงิน เก็บไว้ 7 ปี ข้อมูลพนักงานเก็บ 10 ปี
Retention Label สามารถนำำไปใช้ได้กับอีเมล (Exchange Online) ไฟล์ (SharePoint, OneDrive, Microsoft 365 Groups)
ข้อความใน Microsoft Teams และ Yammer
MICROSOFT 365 – DATA LOSS PREVENTION (DLP)
การปฏิบัติตามกฎหมาบคุ้มครองข้อมูลส่วนบุคคล องค์กรต้องป้องกันข้อมูลที่อ่อนไหว ทางธุรกิจ (business sensitive information) ไม่ให้ถูกเปิดเผยออกไปทั้งตั้งใจและไม่ตั้งใจ ข้อมูลที่มีความอ่อนไหวในแง่ของธุรกิจนี้อาจหมายถึงข้อมูลการผลิต ข้อมูลการเงิน หรือข้อมูลที่อาจจะระบุตัวตน (personally identifiable information-PII) ต่างๆ เช่น หมายเลขบัตรประชาชน หมายเลขบัตรเครดิตการ์ด ข้อมูลสุขภาพ
นอกเหนือไปจากกลไกป้องกันต่างๆ องค์กรยังสามารถช่วยให้พนักงานตระหนักถึงความรับผิดชอบต่อการป้องกันข้อมูลสำคัญทางธุรกิจ ด้วยการกำหนดชี้แจงนโยบาย โดยสามารถกำหนด ในรูปแบบ Policy Tip หรือข้อความตอบกลับแจ้งนโยบาย และสำหรับหน่วยงานตรวจสอบ Microsoft 365 มีรายงาน และการแจ้งเตือนเมื่อ DLP ทำงาน ซึ่งจะช่วยให้องค์กรสามารถตอบสนองต่อเหตุการณ์ข้อมูลรั่วไหลที่อาจเกิดขึ้นได้อย่างรวดเร็ว
MICROSOFT 365 – MICROSOFT ENDPOINT MANAGER
เทคโนโลยีสำหรับตรวจสอบอุปกรณ์ที่เข้ามาใช้งานระบบ และต้องสามารถจัดการระบบหรือตรวจสอบความเสี่ยงของอุปกรณ์โดยเฉพาะอย่างยิ่ง บริษัทที่ให้พนักงานสามารถนำอุปกรณ์ Smart phone or tablet ของส่วนตัวมาใช้ในการทำงานได้ (Bring your own device-BYOD)
สามารถกำหนดนโยบายความปลอดภัยด้านข้อมูลต่างๆ ลงไปบนอุปกรณ์ เช่น ตั้งเวลาล็อกหน้าจอ เมื่อไม่มีผู้ใช้งาน การกำหนด update OS Security ป้องกันอุปกรณ์ที่ถูกขโมย มีกลไกป้องกันข้อมูลส่วนบุคคลรั่วไหลออกไปทางอุปกรณ์เหล่านี้ด้วย ไม่ว่าจะเป็นการคัดลอก ส่งต่อ Microsoft Endpoint Manager สามารถจัดการอุปกรณ์ Windows 10, Mac, iOS, Android ได้ง่ายๆ จากแผงคอนโซลเดียว
Reference PDPA ต้องทำอะไรบ้าง