PDPA Data Protection
ตอบโจทย์ข้อกฎหมาย ด้วย Microsoft 365 โซลูชัน
PDPA มีผลบังคับใช้กับองค์กรทุกองค์กรที่เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทย เพื่อขายสินค้าหรือบริการให้กับเจ้าของข้อมูล (ตามมาตรา 5 ในกฎหมาย) ดังนั้นองค์กรจึงต้องเริ่มวางแผน ทั้งในด้านบุคลากร เช่น แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ตามมาตรา 41 และ 42 รวมไปถึงจัดทำกระบวนการต่างๆ เช่น จัดทำขั้นตอนในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (consent management process) และเครื่องมือหรือเทคโนโลยีด้านการรักษาความปลอดภัยของข้อมูลมาใช้ เพื่อการันตีเรื่อง compliance ก่อนกฎหมายจะมีผลบังคับใช้ในอีกเพียง 2 เดือนข้างหน้านี้เท่านั้น ( หน้าที่ของ IT มีดังนี้ )
และเมื่อองค์กรได้ทำการเก็บข้อมูลส่วนบุคคล Microsoft 365 โซลูชัน ก็มีเทคโนโลยีที่องค์กรสามารถนำไปใช้ในการดูแล รักษาความปลอดภัยของข้อมูลส่วนบุคคล รวมไปถึงเครื่องมือที่จะช่วยรองรับกระบวนการการร้องขอข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อปฏิบัติตามกฎหมาย PDPA อีกด้วย
จากผลสำรวจของทางไมโครซอฟท์ได้ระบุว่า การเปลี่ยนมาใช้งาน Microsoft 365 จะช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ไปแล้วถึงประมาณ 70% โดยที่โซลูชัน Microsoft 365 จะเข้ามาช่วยเหลือใน 7 ขั้นตอนหลักที่องค์กรจำเป็นต้องคำนึงถึง เพื่อปฏิบัติตามกฏหมาย PDPA
1. การค้นหาข้อมูลส่วนบุคคลที่ถูกจัดเก็บในไฟล์เอกสารต่างๆ ไม่ว่าจะอยู่ใน on-premise, Office 365 หรือ Cloud อื่นๆ
ด้วยเครื่องมือที่หลากหลายบนโซลูชัน Microsoft 365 ไม่ว่าจะเป็น Azure Information Protection, Office 365 Advanced eDiscovery ที่ช่วยให้องค์กรสามารถค้นหาไฟล์เอกสารที่มีข้อมูลส่วนบุคคลได้ในทันที ไม่ว่าไฟล์เอกสารนั้นๆ จะถูกจัดเก็บไว้ที่ on-premise server, Office 365 หรือ Cloud Services อื่นๆ รวมถึงสามารถรู้ถึงรายละเอียดของประเภทข้อมูลส่วนบุคคลที่มีอยู่ในไฟล์เอกสารนั้นๆ ด้วย
2. การปกป้องข้อมูลส่วนบุคคลบนไฟล์เอกสารต่างๆ เมื่อผู้ใช้เข้าถึงไฟล์จากอุปกรณ์ หรือสถานที่ต่างๆ
ในปัจจุบัน หลายๆ องค์กรเริ่มให้ความสำคัญกับนโยบายการทำงานนอกสถานที่ (remote work) หรือการทำงานจากที่บ้าน (work from home) ทำให้หลายๆ องค์กรมีความจำเป็นต้องเพิ่มมาตรการรักษาความปลอดภัยในการเข้าถึงไฟล์เอกสารต่างๆ รวมถึงการป้องกันการรั่วไหลของไฟล์เอกสารที่มีข้อมูลส่วนบุคคล
ด้วยเครืองมือ Azure Active Directory Premium สามารถช่วยให้องค์กรกำหนดเงื่อนไขที่จะอนุญาตให้ผู้ใช้เข้าถึงไฟล์เอกสาร (Conditional Access) เพื่อรองรับสภาวะแวดล้อมที่หลากหลายได้ อาทิเช่น
- ผู้ใช้ที่ต้องการเข้าถึงไฟล์เอกสาร โดยเป็นการทำงานนอกสถานที่ จำเป็นต้องให้ผู้ใช้งานยืนยันตัวตนเพิ่มเติม โดยส่งสัญญาณไปที่โทรศัพท์เคลื่อนที่เพื่อให้ยืนยันตัวตน หรืออาจจะโทรเข้าไปให้กด PIN (multi-factor authentication)
- ผู้ใช้ที่ใช้อุปกรณ์สื่อสารส่วนบุคคล (personal mobile phone/tablet) เพื่อเข้าถึงไฟล์เอกสาร จำเป็นต้องให้ผู้ใช้งานยืนยันตัวตนเพิ่มเติมผ่าน Multi-factor authentication และยอมรับใน “Terms of use” ในการใช้ไฟล์เอกสารนั้นๆ
3. การกำหนดสิทธิในการเข้าถึงไฟล์เอกสารที่มีข้อมูลส่วนบุคคล
เพื่อช่วยปกป้องไฟล์เอกสารที่มีข้อมูลส่วนบุคคลที่จำเป็นต้องปกป้อง และกำหนดสิทธิการเข้าถึง Azure Information Protection เป็นเครื่องมือบนโซลูชัน Microsoft 365 ที่จะ จะช่วยแบ่งแยกประเภทของไฟล์เอกสาร (classify) พร้อมติดป้าย (label) ให้ว่าเป็นเอกสารทั่วไป เอกสารความลับเฉพาะ หรือข้อมูลอ่อนไหวของลูกค้า (sensitive data) องค์กรสามารถกำหนดนโยบายรักษาความปลอดภัย (policy) ของไฟล์ในแต่ละประเภท label ว่าสามารถเปิดหรือแชร์ไฟล์ที่ไหนได้บ้าง พร้อมทั้งเข้ารหัสข้อมูล (encryption) โดย policy และ label เหล่านี้จะติดกับเอกสารไปทุกที่ไม่ว่าจะถูกส่งหรือนำไปเปิดที่ไหน
4. ความสามารถในการตรวจสอบว่าไฟล์เอกสารได้ถูกจัดเก็บไว้ที่ใด และสามารถเรียกคืนสิทธิการเข้าถึงได้ในทุกเวลาที่ต้องการ
ไฟล์เอกสารที่ได้ถูกแบ่งประเภท (classify) และติดป้าย (label) ไว้แล้ว หากมีการแชร์ออกไปให้กับผู้ใช้งานอื่นๆ เราสามารถใช้ Azure Information Protection ในการ Monitor ดูว่า เอกสารถูกแชร์ไปให้ผู้ใช้งานคนไหน หรือ location ของไฟล์ที่ถูกแชร์ออกไปนอกองค์กร นอกจากนี้ยังสามารถที่จะเรียกคืนสิทธิ์ของการใช้งานไฟล์นั้นได้อีกด้วย
5. ตอบสนองได้อย่างทันท่วงที ต่อเหตุการณ์ข้อมูลรั่วไหล รวมไปถึงมีระบบการป้องกันความเสี่ยงด้าน Cybersecurity
เพื่อช่วยในการตรวจสอบไฟล์ที่สำคัญว่ามีการรั่วไหลออกไปจากระบบหรือไม่ ไม่ว่าจะเป็นทาง email, พื้นที่ storage ส่วนตัว และพื้นที่ส่วนกลาง เทคโนโลยี Data Loss Prevention บน Microsoft 365 จะเป็นเครื่องมือที่ช่วยในการกำหนดนโยบายในเรื่องปลอดภัย หรือจัดทำข้อแนะนำเวลาที่ไฟล์สำคัญเหล่านี้จะถูกแชร์ หรือส่งออกไป โดยเครื่องมือจะช่วยทำการตรวจไฟล์ที่สำคัญเหล่านี้ว่ามีการส่งออกไปนอกระบบขององค์กรหรือไม่ หากมีการส่งไฟล์ออกไประบบจะทำการแจ้งเตือนผู้ดูแลให้ทราบ
ในเรื่องของการป้องกันภัยคุกคามทางไซเบอร์เป็นสิ่งที่ทุกๆ องค์กรควรมีเครื่องมือในการดูแลป้องกันและตรวจสอบความผิดปกติในระบบได้ Microsoft 365 Advanced Threat Protection จึงเป็นเครื่องมือที่จะตรวจสอบภัยคุกคามที่เข้ามาในรูปแบบต่างๆ เช่น Microsoft Defender Advanced Threat Protection จะช่วยตรวจสอบความผิดปกติของอุปกรณ์ PC, Notebook ที่ผู้ใช้งานทำงานอยู่
6. การตรวจสอบอย่างต่อเนื่องเพื่อให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA
หนึ่งในพระเอกของ Microsoft 365 ซึ่งได้แก่ เครื่องมือ Compliance Manager ที่จะช่วยให้องค์กรสามารถตรวจสอบว่าตัวเองทำตามกฎระเบียบ (compliance) มากน้อยแค่ไหน มีส่วนไหนบ้างที่ต้องปรับปรุง โดยจะแสดงผลออกมาเป็นคะแนน พร้อมมีคำแนะนำและขั้นตอนต่าง ๆ ในส่วนที่ต้องปรับปรุงให้ด้วย เฟรมเวิร์คที่มีให้ก็ค่อนข้างครอบคลุมการใช้งานในไทย อาทิ เช่น GDPR เป็นต้น
7. ตอบสนองกับการเรียกคืนข้อมูลส่วนบุคคลของลูกค้า (Data Subject Requests)
จาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อกำหนดหนึ่งที่สำคัญคือเจ้าของข้อมูลส่วนบุคคลมีสิทธ์ที่จะขอดูข้อมูลของตนได้ ดังนั้นบริษัทจะต้องมีกระบวนการ และมีเครื่องมือที่รองรับความต้องการนี้ได้ Microsoft 365 มีฟังก์ชั่น Data Subject Request ที่จะเป็นหนึ่งในเครื่องมือให้องค์กรค้นหาไฟล์ที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลนั้นๆ
อ่านรายละเอียดเพิ่มเติมได้ที่ https://www.microsoft.com/th-th/trust-center/privacy/gdpr-overview
Implement Microsoft Security Click