ไมโครซอฟท์เองในฐานะบริษัทระดับโลก ก็จำเป็นต้องปฏิบัติตาม GDPR เช่นกัน ทำให้โซลูชันของไมโครซอฟท์เองอย่าง Microsoft 365 รองรับ GDPR มาตั้งแต่แรก เมื่อ PDPA มีความใกล้เคียงกับ GDPR มาก การปรับ Microsoft 365 ให้เข้ากันได้กับ PDPA จึงทำได้แทบจะทันที
จากผลสำรวจของทางไมโครซอฟท์ได้ระบุว่า การเปลี่ยนมาใช้งาน Microsoft 365 จะช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ไปแล้วถึงประมาณ 70% โดยที่โซลูชัน Microsoft 365 จะเข้ามาช่วยเหลือใน 7 ขั้นตอนหลักที่องค์กรจำเป็นต้องคำนึงถึง เพื่อปฏิบัติตามกฏหมาย PDPA
1. การค้นหาข้อมูลส่วนบุคคลที่ถูกจัดเก็บในไฟล์เอกสารต่างๆ ไม่ว่าจะอยู่บน On-premises, Office 365 หรือ Cloud อื่นๆ
ด้วยเครื่องมือที่หลากหลายบนโซลูชัน Microsoft 365 ไม่ว่าจะเป็น Azure Information Protection, Office 365 Advanced eDiscovery ที่ช่วยให้องค์กรสามารถค้นหาไฟล์เอกสารที่มีข้อมูลส่วนบุคคลได้ในทันที ไม่ว่าไฟล์เอกสารนั้นๆ จะถูกจัดเก็บไว้ที่ On-premises server, Office 365 หรือ Cloud Services อื่นๆ รวมถึงสามารถรู้ถึงรายละเอียดของประเภทข้อมูลส่วนบุคคลที่มีอยู่ในไฟล์เอกสารนั้นๆ ด้วย
2. การปกป้องข้อมูลส่วนบุคคลบนไฟล์เอกสารต่างๆ เมื่อผู้ใช้เข้าถึงไฟล์จากอุปกรณ์ หรือสถานที่ต่างๆ
ในปัจจุบัน หลายๆ องค์กรเริ่มให้ความสำคัญกับนโยบายการทำงานนอกสถานที่ (remote work) หรือการทำงานจากที่บ้าน (work from home) ทำให้หลายๆ องค์กรมีความจำเป็นต้องเพิ่มมาตรการรักษาความปลอดภัยในการเข้าถึงไฟล์เอกสารต่างๆ รวมถึงการป้องกันการรั่วไหลของไฟล์เอกสารที่มีข้อมูลส่วนบุคคล
ด้วยเครืองมือ Azure Active Directory Premium สามารถช่วยให้องค์กรกำหนดเงื่อนไขที่จะอนุญาตให้ผู้ใช้เข้าถึงไฟล์เอกสาร (Conditional Access) เพื่อรองรับสภาวะแวดล้อมที่หลากหลายได้ อาทิเช่น
ผู้ใช้ที่ต้องการเข้าถึงไฟล์เอกสาร โดยเป็นการทำงานนอกสถานที่ จำเป็นต้องให้ผู้ใช้งานยืนยันตัวตนเพิ่มเติม โดยส่งสัญญาณไปที่โทรศัพท์เคลื่อนที่เพื่อให้ยืนยันตัวตน หรืออาจจะโทรเข้าไปให้กด PIN (multi-factor authentication)
ผู้ใช้ที่ใช้อุปกรณ์สื่อสารส่วนบุคคล (Personal mobile phone/tablet) เพื่อเข้าถึงไฟล์เอกสาร จำเป็นต้องให้ผู้ใช้งานยืนยันตัวตนเพิ่มเติมผ่าน multi-factor authentication และยอมรับใน “Terms of use” ในการใช้ไฟล์เอกสารนั้นๆ
3. การกำหนดสิทธิในการเข้าถึงไฟล์เอกสารที่มีข้อมูลส่วนบุคคล
เพื่อช่วยปกป้องไฟล์เอกสารที่มีข้อมูลส่วนบุคคลที่จำเป็นและกำหนดสิทธิการเข้าถึง Azure Information Protection เป็นเครื่องมือบนโซลูชัน Microsoft 365 ที่จะ จะช่วยแบ่งแยกประเภทของไฟล์เอกสาร (classify) พร้อมติดป้าย (label) ให้ว่าเป็นเอกสารทั่วไป เอกสารความลับเฉพาะ หรือข้อมูลอ่อนไหวของลูกค้า (Sensitive data) องค์กรสามารถกำหนดนโยบายรักษาความปลอดภัย (policy) ของไฟล์ในแต่ละประเภท label ว่าสามารถเปิดหรือแชร์ไฟล์ที่ไหนได้บ้าง พร้อมทั้งเข้ารหัสข้อมูล (encryption) โดย policy และ label เหล่านี้จะติดกับเอกสารไปทุกที่ไม่ว่าจะถูกส่งหรือนำไปเปิดที่ไหน
4. ความสามารถในการตรวจสอบว่าไฟล์เอกสารได้ถูกจัดเก็บไว้ที่ใด และสามารถเรียกคืนสิทธิการเข้าถึงได้ในทุกเวลาที่ต้องการ
ไฟล์เอกสารที่ได้ถูกแบ่งประเภท (classify) และติดป้าย (label) ไว้แล้ว หากมีการแชร์ออกไปให้กับผู้ใช้งานอื่นๆ เราสามารถใช้ Azure Information Protection ในการ Monitor ดูว่า เอกสารถูกแชร์ไปให้ผู้ใช้งานคนไหน หรือ location ของไฟล์ที่ถูกแชร์ออกไปนอกองค์กร นอกจากนี้ยังสามารถที่จะเรียกคืนสิทธิ์ของการใช้งานไฟล์นั้นได้อีกด้วย
5. ตอบสนองได้อย่างทันท่วงที ต่อเหตุการณ์ข้อมูลรั่วไหล รวมไปถึงมีระบบการป้องกันความเสี่ยงด้าน Cybersecurity
เพื่อช่วยในการตรวจสอบไฟล์ที่สำคัญว่ามีการรั่วไหลออกไปจากระบบหรือไม่ ไม่ว่าจะเป็นทาง email, พื้นที่ storage ส่วนตัว และพื้นที่ส่วนกลาง เทคโนโลยี Data Loss Prevention บน Microsoft 365 จะเป็นเครื่องมือที่ช่วยในการกำหนดนโยบายในเรื่องปลอดภัย หรือจัดทำข้อแนะนำเวลาที่ไฟล์สำคัญเหล่านี้จะถูกแชร์ หรือส่งออกไป โดยเครื่องมือจะช่วยทำการตรวจไฟล์ที่สำคัญเหล่านี้ว่ามีการส่งออกไปนอกระบบขององค์กรหรือไม่ หากมีการส่งไฟล์ออกไประบบจะทำการแจ้งเตือนผู้ดูแลให้ทราบ
ในเรื่องของการป้องกันภัยคุกคามทางไซเบอร์เป็นสิ่งที่ทุกๆ องค์กรควรมีเครื่องมือในการดูแลป้องกันและตรวจสอบความผิดปกติในระบบได้ Microsoft 365 Advanced Threat Protection จึงเป็นเครื่องมือที่จะตรวจสอบภัยคุกคามที่เข้ามาในรูปแบบต่างๆ เช่น Microsoft Defender Advanced Threat Protection จะช่วยตรวจสอบความผิดปกติของอุปกรณ์ PC, Notebook ที่ผู้ใช้งานทำงานอยู่
6. การตรวจสอบอย่างต่อเนื่องเพื่อให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA
หนึ่งในพระเอกของ Microsoft 365 ซึ่งได้แก่ เครื่องมือ Compliance Manager ที่จะช่วยให้องค์กรสามารถตรวจสอบว่าตัวเองทำตามกฎระเบียบ (compliance) มากน้อยแค่ไหน มีส่วนไหนบ้างที่ต้องปรับปรุง โดยจะแสดงผลออกมาเป็นคะแนน พร้อมมีคำแนะนำและขั้นตอนต่าง ๆ ในส่วนที่ต้องปรับปรุงให้ด้วย เฟรมเวิร์คที่มีให้ก็ค่อนข้างครอบคลุมการใช้งานในไทย อาทิ เช่น GDPR เป็นต้น
7. ตอบสนองกับการเรียกคืนข้อมูลส่วนบุคคลของลูกค้า (Data Subject Requests)
จาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อกำหนดหนึ่งที่สำคัญคือเจ้าของข้อมูลส่วนบุคคลมีสิทธ์ที่จะขอดูข้อมูลของตนได้ ดังนั้นบริษัทจะต้องมีกระบวนการ และมีเครื่องมือที่รองรับความต้องการนี้ได้ Microsoft 365 มีฟังก์ชั่น Data Subject Request ที่จะเป็นหนึ่งในเครื่องมือให้องค์กรค้นหาไฟล์ที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลนั้นๆ
ที่มา: www.microsoft.com
Digital Marketing Executive | Aware Group ตั้งใจที่จะส่งมอบเนื้อหาที่เป็นประโยชน์ เขียนให้อ่านง่ายและเข้าใจง่าย แม้ผู้ที่ไม่มีความรู้ทางด้านเทคโนโลยีมาก่อนก็สามารถศึกษาร่วมกันได้ ยินดีที่จะนำเสนอเรื่องราวน่าสนใจด้านเทคโนโลยี มาร่วมเรียนรู้ด้วยกันนะคะ