แม้ว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเป็น พ.ร.บ. ที่ทำให้ฝ่าย IT Admin และทุกๆองค์กรต้องมีมาตราการป้องกันข้อมูลรั่วไหลและต้องหาเครื่องมือคุณภาพมาช่วยเพิ่มความสามารถในการควบคุมได้อย่างมั่นใจว่าทุกข้อมูลในบริษัทถูกควบคุมและมีการตรวจสอบการเข้าถึง-การใช้ข้อมูลอย่างใกล้ชิด  

หน้าที่ของ IT Admin ต้องทำอะไรบ้าง?  

1.Personal Data Discovery – สำรวจค้นหาข้อมูลส่วนบุคคล

สำรวจค้นหาข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้ในไฟล์เอกสาร รูปภาพ ฐานข้อมูล อีเมล และในระบบ File System ไม่ว่าจะเป็น ชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล วันเกิด เลขบัตรประชาชน เลขบัตรเครดิต หรือข้อมูลส่วนบุคคลอื่นๆ พร้อมจัดเก็บและจำแนกประเภทของข้อมูลเพื่อให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร นอกจากนี้ยังต้องสามารถตั้งค่าปกปิดหรือแทนที่ข้อมูลส่วนบุคคลนั้นๆ ในไฟล์บางประเภทเพื่อไม่ให้อ่านหรือเห็นได้ตามปกติ รวมถึงสามารถสแกนไฟล์เอกสารหรือรูปภาพในระบบไฟล์หรืออีเมลที่แพร่กระจายภายในองค์กรหรือส่งออกไปภายนอกได้ และสามารถทำงานรองรับระบบปฏิบัติการต่างๆเช่น Windows, macOS, Linux, FreeBDS, AIX, HPUX และ Solaris ได้อีกด้วย  

เครื่องมือต่างๆที่ควรมี 

Operating Systems: Microsoft Windows for Server or for Workstation, macOS, Linux

Database Systems: Microsoft SQL Server, PostgreSQL, Oracle, MySQL

Email & Collaborations Systems: Microsoft 365/Exchange Online, Google Workspace.

Cloud Platform : Microsoft Azure Cloud, Amazon Web Service, Google Cloud Platform

Cloud Storage : Microsoft OneDrive, Microsoft SharePoint, Google Drive/Google App.

2. Rights of Data Subject – รักษาสิทธิ์ของเจ้าของข้อมูล

มีหน้าที่รักษาสิทธิ์ของเจ้าของข้อมูลโดยกำหนดให้มีวิธีการและขั้นตอนในการร้องขอจากเจ้าของข้อมูล เช่น การเข้าถึงข้อมูลส่วนตัว การอนุญาตให้ควบคุมการเข้าถึงข้อมูล การลบหรือทำลาย และการแก้ไขข้อมูล รวมถึงการจัดการการอนุญาตข้อกำหนดของวิธีการปกปิดป้องกันข้อมูลรั่วไหล สำหรับองค์กรที่มีพนักงานหลายคนสามารถจำกัดการเข้าถึงข้อมูลได้ ตัวอย่างเช่น พนักงานชั่วคราว ผู้รับเหมา หรือบุคคลที่สามจะเข้าถึงได้เฉพาะข้อมูลที่ถูกปิดบังเท่านั้น โดยใช้กระบวนการ Data Masking ป้องกันการเปิดเผยข้อมูลที่ละเอียดอ่อน โดยการปิดบังหรือแทนที่ข้อมูลที่ละเอียดอ่อนด้วยข้อมูลที่สมมติขึ้น เพื่อปกปิดข้อมูลที่แท้จริง  

3.Data Security – วางมาตรการควบคุมในการดูแลรักษาข้อมูลส่วนบุคคล 

วางมาตรการควบคุมในการดูแลรักษาข้อมูลส่วนบุคคลและข้อมูลสำคัญขององค์กรที่อยู่ในรูปของเอกสารอิเล็กทรอนิกส์ (เช่น DOCX, XLXS, PPTX, PDF) ด้วยการเข้ารหัสฐานข้อมูล เฉพาะผู้ที่มีสิทธิ์เท่านั้นจึงจะสามารถถอดรหัสเพื่อเข้าถึงข้อมูลได้ ลดความเสี่ยงเมื่อเกิดเหตุข้อมูลรั่วไหลโดยไม่ได้ตั้งใจหรือถูกขโมย และควรที่จะสามารถบริหารจัดการกุญแจที่ใช้เข้ารหัสข้อมูลแบบรวมศูนย์ เพื่อให้สอดคล้องกับมาตรฐานและข้อบังคับต่างๆของ PDPA รวมถึงวางแผนรองรับการเข้ารหัสฐานข้อมูลหลายประเภทได้  

4.Data Breach Notification – กำหนดแนวทาง เฝ้าระวัง แจ้งเตือน และดำเนินการเมื่อเกิดเหตุข้อมูลรั่วไหล 

ปกป้องข้อมูลส่วนบุคคลและข้อมูลสำคัญ เช่น ข้อมูลการเงิน ข้อมูลลูกค้า เอกสารสัญญา ไม่ให้รั่ว ไหลออกสู่ภายนอกองค์กร โดยเริ่มต้นจากการคัดแยกประเภทของข้อมูล จัดลำดับความ สำคัญ กำหนดให้มีการเฝ้าระวัง รวมไปถึงจัดทำมาตรการแจ้งเตือนเจ้าของข้อมูลและคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดเหตุข้อมูลรั่วไหลสู่ภายนอก จัดการกำหนดนโยบายการป้องกัน ข้อมูลรั่วไหลของข้อมูลแต่ละประเภท ไปจนถึงสกัดกั้นการกระทำใดๆที่อาจก่อให้เกิดการรั่วไหลของ ข้อมูลสู่ภายนอก  

5.Data Transfer – วางมาตรการควบคุมการส่งข้อมูล 

วางมาตรการควบคุมการส่งข้อมูลออกไปประมวลผลทั้งภายในและภายภายนอกองค์กร อาทิ  วางแผนการติดตามและป้องกันการเข้าถึงฐานข้อมูลโดยมิชอบ วางแผนการติดตามและตรวจสอบ การกระทำที่เกิดขึ้นบนฐานข้อมูลทั้งหมด รวมไปถึงจัดเก็บในรูปของ Audit Log เพื่อดูเหตุการณ์ที่ เกิดขึ้นย้อนหลังได้ นอกจากนี้ยังสามารถบริหารจัดการสิทธิ์ในการเข้าถึงฐานข้อมูล ติดตามการ ใช้สิทธิ์ในระดับสูงและมีการแจ้งเตือนแบบ Rule-Based หรือ Heuristic-Based เมื่อมีการละเมิด นโยบายด้านความมั่นคงปลอดภัยของฐานข้อมูลตามที่องค์กรกำหนดได้ 

เป็นอย่างไรบ้างคะ หน้าที่และความรับผิดชอบนี้ไม่ใช่เรื่องใหม่ แต่เป็นเรื่องที่ต้องทบทวนการดำเนินงานร่วมวางแผนและช่วยกันทำงานกับอีกหลายภาคส่วน เพื่อที่จะช่วยกันปกป้องคุ้มครองข้อมูลส่วนบุคคลของทุกคนได้ ทั้งของตัวเอง เพื่อนร่วมงาน คู่ค้า และลูกค้าของคุณได้ โดยไม่ขัดต่อพ.ร.บ. PDPA