ตอบโจทย์ PDPA ด้วย Microsoft 365 โซลูชัน

ไมโครซอฟท์เองในฐานะบริษัทระดับโลก ก็จำเป็นต้องปฏิบัติตาม GDPR เช่นกัน ทำให้โซลูชันของไมโครซอฟท์เองอย่าง Microsoft 365 รองรับ GDPR มาตั้งแต่แรก เมื่อ PDPA มีความใกล้เคียงกับ GDPR มาก การปรับ Microsoft 365 ให้เข้ากันได้กับ PDPA จึงทำได้แทบจะทันที

จากผลสำรวจของทางไมโครซอฟท์ได้ระบุว่า การเปลี่ยนมาใช้งาน Microsoft 365 จะช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ไปแล้วถึงประมาณ 70% โดยที่โซลูชัน Microsoft 365 จะเข้ามาช่วยเหลือใน 7 ขั้นตอนหลักที่องค์กรจำเป็นต้องคำนึงถึง เพื่อปฏิบัติตามกฏหมาย PDPA 

1. การค้นหาข้อมูลส่วนบุคคลที่ถูกจัดเก็บในไฟล์เอกสารต่างๆ ไม่ว่าจะอยู่บน On-premises, Office 365 หรือ Cloud อื่นๆ

ด้วยเครื่องมือที่หลากหลายบนโซลูชัน Microsoft 365 ไม่ว่าจะเป็น Azure Information Protection, Office 365 Advanced eDiscovery ที่ช่วยให้องค์กรสามารถค้นหาไฟล์เอกสารที่มีข้อมูลส่วนบุคคลได้ในทันที ไม่ว่าไฟล์เอกสารนั้นๆ จะถูกจัดเก็บไว้ที่ On-premises server, Office 365 หรือ Cloud Services อื่นๆ รวมถึงสามารถรู้ถึงรายละเอียดของประเภทข้อมูลส่วนบุคคลที่มีอยู่ในไฟล์เอกสารนั้นๆ ด้วย

2. การปกป้องข้อมูลส่วนบุคคลบนไฟล์เอกสารต่างๆ เมื่อผู้ใช้เข้าถึงไฟล์จากอุปกรณ์ หรือสถานที่ต่างๆ

ในปัจจุบัน หลายๆ องค์กรเริ่มให้ความสำคัญกับนโยบายการทำงานนอกสถานที่ (remote work) หรือการทำงานจากที่บ้าน (work from home) ทำให้หลายๆ องค์กรมีความจำเป็นต้องเพิ่มมาตรการรักษาความปลอดภัยในการเข้าถึงไฟล์เอกสารต่างๆ รวมถึงการป้องกันการรั่วไหลของไฟล์เอกสารที่มีข้อมูลส่วนบุคคล
ด้วยเครืองมือ Azure Active Directory Premium สามารถช่วยให้องค์กรกำหนดเงื่อนไขที่จะอนุญาตให้ผู้ใช้เข้าถึงไฟล์เอกสาร (Conditional Access) เพื่อรองรับสภาวะแวดล้อมที่หลากหลายได้ อาทิเช่น

ผู้ใช้ที่ต้องการเข้าถึงไฟล์เอกสาร โดยเป็นการทำงานนอกสถานที่ จำเป็นต้องให้ผู้ใช้งานยืนยันตัวตนเพิ่มเติม โดยส่งสัญญาณไปที่โทรศัพท์เคลื่อนที่เพื่อให้ยืนยันตัวตน หรืออาจจะโทรเข้าไปให้กด PIN (multi-factor authentication)

ผู้ใช้ที่ใช้อุปกรณ์สื่อสารส่วนบุคคล (Personal mobile phone/tablet) เพื่อเข้าถึงไฟล์เอกสาร จำเป็นต้องให้ผู้ใช้งานยืนยันตัวตนเพิ่มเติมผ่าน multi-factor authentication และยอมรับใน “Terms of use” ในการใช้ไฟล์เอกสารนั้นๆ

3. การกำหนดสิทธิในการเข้าถึงไฟล์เอกสารที่มีข้อมูลส่วนบุคคล

เพื่อช่วยปกป้องไฟล์เอกสารที่มีข้อมูลส่วนบุคคลที่จำเป็นและกำหนดสิทธิการเข้าถึง Azure Information Protection เป็นเครื่องมือบนโซลูชัน Microsoft 365 ที่จะ จะช่วยแบ่งแยกประเภทของไฟล์เอกสาร (classify) พร้อมติดป้าย (label) ให้ว่าเป็นเอกสารทั่วไป เอกสารความลับเฉพาะ หรือข้อมูลอ่อนไหวของลูกค้า (Sensitive data) องค์กรสามารถกำหนดนโยบายรักษาความปลอดภัย (policy) ของไฟล์ในแต่ละประเภท label ว่าสามารถเปิดหรือแชร์ไฟล์ที่ไหนได้บ้าง พร้อมทั้งเข้ารหัสข้อมูล (encryption) โดย policy และ label เหล่านี้จะติดกับเอกสารไปทุกที่ไม่ว่าจะถูกส่งหรือนำไปเปิดที่ไหน

4. ความสามารถในการตรวจสอบว่าไฟล์เอกสารได้ถูกจัดเก็บไว้ที่ใด และสามารถเรียกคืนสิทธิการเข้าถึงได้ในทุกเวลาที่ต้องการ

ไฟล์เอกสารที่ได้ถูกแบ่งประเภท (classify) และติดป้าย (label) ไว้แล้ว หากมีการแชร์ออกไปให้กับผู้ใช้งานอื่นๆ เราสามารถใช้ Azure Information Protection ในการ Monitor ดูว่า เอกสารถูกแชร์ไปให้ผู้ใช้งานคนไหน หรือ location ของไฟล์ที่ถูกแชร์ออกไปนอกองค์กร นอกจากนี้ยังสามารถที่จะเรียกคืนสิทธิ์ของการใช้งานไฟล์นั้นได้อีกด้วย

5. ตอบสนองได้อย่างทันท่วงที ต่อเหตุการณ์ข้อมูลรั่วไหล รวมไปถึงมีระบบการป้องกันความเสี่ยงด้าน Cybersecurity

เพื่อช่วยในการตรวจสอบไฟล์ที่สำคัญว่ามีการรั่วไหลออกไปจากระบบหรือไม่ ไม่ว่าจะเป็นทาง email, พื้นที่ storage ส่วนตัว และพื้นที่ส่วนกลาง เทคโนโลยี Data Loss Prevention บน Microsoft 365 จะเป็นเครื่องมือที่ช่วยในการกำหนดนโยบายในเรื่องปลอดภัย หรือจัดทำข้อแนะนำเวลาที่ไฟล์สำคัญเหล่านี้จะถูกแชร์ หรือส่งออกไป โดยเครื่องมือจะช่วยทำการตรวจไฟล์ที่สำคัญเหล่านี้ว่ามีการส่งออกไปนอกระบบขององค์กรหรือไม่ หากมีการส่งไฟล์ออกไประบบจะทำการแจ้งเตือนผู้ดูแลให้ทราบ

ในเรื่องของการป้องกันภัยคุกคามทางไซเบอร์เป็นสิ่งที่ทุกๆ องค์กรควรมีเครื่องมือในการดูแลป้องกันและตรวจสอบความผิดปกติในระบบได้ Microsoft 365 Advanced Threat Protection จึงเป็นเครื่องมือที่จะตรวจสอบภัยคุกคามที่เข้ามาในรูปแบบต่างๆ เช่น Microsoft Defender Advanced Threat Protection จะช่วยตรวจสอบความผิดปกติของอุปกรณ์ PC, Notebook ที่ผู้ใช้งานทำงานอยู่

6. การตรวจสอบอย่างต่อเนื่องเพื่อให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA

หนึ่งในพระเอกของ Microsoft 365 ซึ่งได้แก่ เครื่องมือ Compliance Manager ที่จะช่วยให้องค์กรสามารถตรวจสอบว่าตัวเองทำตามกฎระเบียบ (compliance) มากน้อยแค่ไหน มีส่วนไหนบ้างที่ต้องปรับปรุง โดยจะแสดงผลออกมาเป็นคะแนน พร้อมมีคำแนะนำและขั้นตอนต่าง ๆ ในส่วนที่ต้องปรับปรุงให้ด้วย เฟรมเวิร์คที่มีให้ก็ค่อนข้างครอบคลุมการใช้งานในไทย อาทิ เช่น GDPR เป็นต้น

7. ตอบสนองกับการเรียกคืนข้อมูลส่วนบุคคลของลูกค้า (Data Subject Requests)

จาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อกำหนดหนึ่งที่สำคัญคือเจ้าของข้อมูลส่วนบุคคลมีสิทธ์ที่จะขอดูข้อมูลของตนได้ ดังนั้นบริษัทจะต้องมีกระบวนการ และมีเครื่องมือที่รองรับความต้องการนี้ได้ Microsoft 365 มีฟังก์ชั่น Data Subject Request ที่จะเป็นหนึ่งในเครื่องมือให้องค์กรค้นหาไฟล์ที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลนั้นๆ

ที่มา: www.microsoft.com

Tags

What do you think?

Related articles