ไม่น่าเชื่อว่า Data Breach จะทำให้กิจการโรงแรมระดับโลก สัญชาติอังกฤษอย่าง Marriott International ต้องจำนนต่อค่าปรับจำนวนกว่า 18.4 ล้านยูโร ที่ ICO สั่งปรับในปี 2020
ที่มาของค่าปรับจำนวนมหาศาลนี้ มาจากกรณีการรั่วไหลของข้อมูลลูกค้ากว่า 300 ล้านราย ในปี 2014 ขณะที่ Marriott ได้ออกมายอมรับว่าโดนแฮ็กข้อมูลจริงในปี 2018 ซึ่งต่อมาได้กลายเป็นประเด็นร้อนที่หลายคนสงสัยว่า เพราะเหตุใด Marriott จึงเพิกเฉยต่อการรั่วไหลของข้อมูลสำคัญ และทิ้งระยะเวลายาวนานขนาดนี้
อีกหนึ่งความเคลือบแคลงใจคือ ข้อมูลที่รั่วไหลไปนั้น เป็นจำนวนข้อมูลลูกค้ากว่า 300 ล้านราย รายละเอียดของข้อมูลที่รั่วไหลไปนั้น มีทั้งชื่อ ที่อยู่ หมายเลขพาสปอร์ต อีเมล ข้อมูลการเดินทาง ฯ ของแขกผู้เข้าพัก กว่า 7 ล้านรายชื่อเป็นข้อมูลที่เชื่อมโยงกับประชากรชาวอังกฤษอีกด้วย ด้วยจำนวนข้อมูลสำคัญรั่วไหลไปจำนวนมากขนาดนี้ เหตุใด marriott จึงไม่รีบดำเนินการหรือแจ้งเหตุการละเมิดข้อมูลให้ทันท่วงที?
t-reg จะพาผู้อ่านทุกท่านไปทำความเข้าใจกรณีนี้ ผ่านการทำความเข้าใจ การละเมิดข้อมูล หรือ Data Breach พร้อมวิเคราะห์ประเด็นเชื่อมโยงกับกฎหมาย PDPA และการปรับใช้กับธุรกิจโรงแรมไทย
เกิดอะไรขึ้นกับ Marriott International
กรณี Marriott International ถูกละเมิดข้อมูลโดยแฮ็กเกอร์ ทำการโจมตีและขโมยข้อมูลสำคัญ กว่า 20GB. กลายเป็นประเด็นที่ถูกจับตามองในเวลานั้นเป็นอย่างมากเพราะนอกจากข้อมูลสำคัญที่รั่วไหลไปจะเป็นข้อมูลสำคัญที่ระบุตัวตนของแขกผู้เข้าพักได้แล้ว ท่าทีของ Marriott ที่ตอบโต้กับเหตุการณ์นี้ ยังเป็นที่น่ากังขา
หลังจาก Marriott ออกมายอมรับข่าว นักวิจัยด้านภัยคุกคามอัจฉริยะ (Threat Intelligence) นามว่า Andrei Barysevich จากบริษัท Recorded Future ออกมาตั้งข้อสังเกตต่อกรณีนี้ว่า บริษัทที่มีศักยภาพในระดับนี้ควรตรวจจับเหตุการณ์โจรกรรมที่เข้ามาในระบบได้ตั้งแต่ช่วงเดือนแรกที่มีการแฮ็กระบบ หรือภายในปี 2015 ทว่าสิ่งที่ Marriott ออกมาแถลงไทม์ไลน์เหตุการณ์ คือ
ด้วยเหตุนี้นักข่าว นักวิจารณ์ ลูกค้าหลายรายของ Marriott จึงออกมาตั้งข้อสังเกตในทิศทางเดียวกัน แบ่งเป็นประเด็นดังนี้
1. ช่วงที่เกิดกรณีนี้ เป็นช่วงเวลาไล่เลี่ยกันกับข่าว Marriott ประกาศควบรวมกิจการ Starwood Hotels and Resorts Worldwide ถัดจากควบรวมกิจการเพียง 2 เดือน เหตุการณ์แฮ็กข้อมูลก็เกิดขึ้น
2. การควบรวมกิจการ Starwood Hotels and Resorts Worldwide โดย Marriott นั้น เป็นการควบรวมกิจการขนาดใหญ่ที่ต้องมีการตรวจสอบความเสี่ยงก่อนอยู่แล้ว เหตุใด Marriott จึงไม่ตระหนักถึงอันตรายที่จะเกิดขึ้น
3. Marriott จะออกมาตรการทางเทคนิคในการดูแลความปลอดภัยข้อมูลส่วนบุคคลของแขกผู้เข้าพักอย่างไร
ข้อสังเกตที่จะพูดถึงกันต่อในหัวข้อถัดไป คือคำศัพท์ที่น่าสนใจ 1 คำจากกรณีนี้มาขยายความต่อ คำนั้นคือคำว่า การละเมิดข้อมูล หรือ Data Breach เนื่องจากสำนักข่าวต่างประเทศนิยมใช้คำศัพท์นี้กับกรณี Marriott International นอกจากนี้คำว่า การละเมิดข้อมูล หรือ Data Breach ยังเป็นศัพท์ที่น่าสนใจที่ปรากฎอยู่ในกฎหมาย PDPA ของไทยอีกด้วย
การละเมิดข้อมูล หรือ Data Breach คือ?
นิยามของ Data Breach (เรียก Data leak ก็ได้) คือ การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่นำไปสู่ การทำลาย การสูญหาย การแก้ไข การเปิดเผย และการเข้าถึงโดยไม่ได้รับอนุญาตกับข้อมูลส่วนบุคคล โดยลักษณะที่เข้าข่ายการละเมิดหรือข้อมูลรั่วไหล แบ่งเป็น 3 ลักษณะคือ
การละเมิดความลับของข้อมูล คือการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ
การละเมิดความถูกต้องแท้จริงของข้อมูล คือการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ
การละเมิดความพร้อมใช้งาน อันหมายถึง การทำให้เข้าถึงข้อมูลไม่ได้หรือการทำให้ข้อมูลสูญหายหรือทำลายไป ไม่ว่าโดยการกระทำโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ
Data Breach เกิดจากหลายหลายสาเหตุ อาทิ
ช่องโหว่จากซอฟต์แวร์ที่ไม่ทันสมัย ซอฟต์แวร์ที่ไม่ได้รับการอัพเดทเป็นเวลานาน หรือระบบการป้องกันที่ไม่ทันสมัย อาจไม่สามารถป้องกันหรือยับยั้งไวรัส มัลแวร์ หรือภัยคุกคามอื่น ๆ ได้ เพราะในขณะที่ระบบรักษาความปลอดภัยพัฒนาไปข้างหน้า เหล่า Attacker หรือ Hacker ก็พัฒนาเครื่องมือเพื่อมาขโมยข้อมูลเช่นกัน
รหัสผ่านที่ไม่รัดกุม การใช้รหัสผ่านที่คาดเดาได้ง่าย หรือรหัสผ่านชั้นเดียว เสี่ยงต่อการถูกแฮ็กข้อมูล
E-mail phishing เป็นกลวิธีที่แฮ็กเกอร์ใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อหลอกให้ผู้ใช้งานตกเป็นเหยื่อ แล้วทำการกรอกข้อมูล หรือทำตามคำสั่งที่แฮ็กเกอร์ต้องการ E-mail phishing อาจแฝงไวรัส มัลแวร์หรือโทรจันไว้ที่เว็บปลอมเหล่านั้น เพื่อให้ผู้เสียหายหลงกล กดคลิกเข้าไปแล้วดูดข้อมูลที่สำคัญไปได้
- Drive-by downloads บางครั้งการดาวน์โหลดไฟล์บนระบบอินเตอร์เน็ต อาจเป็นการดาวน์โหลดที่แฝงไปด้วยไวรัสหรือมัลแวร์ โดยมากแล้วไวรัสจะแฝงตัวอยู่ในเบราว์เซอร์ แอปพลิเคชัน หรือระบบปฏิบัติการที่ล้าสมัย
ทำไม Data Breach จึงเป็นสิ่งที่ต้องระวัง
ประการแรก เป็นที่ทราบกันดีว่า เมื่อเกิดการละเมิดข้อมูล สิ่งที่ได้ผลกระทบมากที่สุดคือข้อมูลที่อาจสูญหาย หรือถูกแก้ไขบิดเบือน และการละเมิดข้อมูลอาจสร้างความเสียหายต่อระบบ ทำให้ไม่สามารถเข้าใช้งานตามปกติได้ ถูกปิด หรือระงับถาวร กิจกรรมอื่นๆ ที่เกี่ยวข้องกับ Data Driven ต้องหยุดชะงักตามไปด้วย
ประการที่สอง หากเป็นองค์กรขนาดใหญ่ที่จัดเก็บข้อมูลจำนวนมาก หรือใช้ Big Data ในการประมวลผล หากถูกละเมิดข้อมูลหรือข้อมูลรั่วไหล ความเสียหายระดับใหญ่จะเกิดขึ้นกับข้อมูลเหล่านั้น และองค์กรอาจเผชิญความเสี่ยงในการถูกฟ้องร้องจากเจ้าของข้อมูล หรือหน่วยงานที่ควบคุมดูแลความปลอดภัยของข้อมูลได้อย่างที่เคยเกิดขึ้นแล้วกับ British Airways และอีกหลาย ๆ องค์กรในยุโรป
ประการที่สาม เมื่อเกิดการละเมิดข้อมูล หรือเกิดการรั่วไหลของข้อมูลส่วนบุคคล อาจทำให้เจ้าของข้อมูลถูกคุกคามความเป็นส่วนตัว หรือถูกแฮ็กเกอร์เรียกค่าไถ่เพื่อแลกกับการไม่เปิดเผยข้อมูลนั้น ๆ นอกจากนี้ การละเมิดข้อมูล หรือเกิดการรั่วไหล กระทบกับความไว้วางใจของลูกค้าหรือผู้ใช้งาน ด้วยเหตุนี้ เจ้าของข้อมูลส่วนบุคคลจึงเริ่มตื่นตัวและหวงแหน ความเป็นส่วนตัวรวมถึงข้อมูลส่วนบุคคลมากขึ้น กระแสความตื่นตัวนี้กระทบกับธุรกิจที่เก็บ รวบรวม ใช้ข้อมูลส่วนบุคคล
ประการที่สี่ Data Breach ก่อให้เกิดความเสียหายต่อชื่อเสียงและความน่าเชื่อถือขององค์กร อย่างหลีกเลี่ยงไม่ได้ และความเสียหายที่เกิดขึ้นนั้นประเมินค่าได้ยาก องค์กรต้องใช้ทั้งเวลาและทรัพยากรไม่น้อยในการกู้คืนความไว้วางใจจากลูกค้า ผู้ใช้งานหรือนักลงทุน
ทั้งหมดนี้เป็นเหตุผลที่ทุกองค์กรต้องตื่นตัวกับการละเมิดข้อมูลหรือ Data Breach ให้มากขึ้น พัฒนาระบบ Cyber Security ในองค์กร พร้อมสร้างความรู้ความเข้าใจเรื่องข้อมูลส่วนบุคคล กฎหมายที่เกี่ยวข้อง ระบบ Cyber Security ให้กับบุคลากรในองค์กร เพื่อป้องกันการละเมิดข้อมูลที่อาจเกิดขึ้นได้ทุกเมื่อ
ผลกระทบและบทเรียนจากเหตุ Data Breach ของ Marriott International มีอะไรบ้าง
กรณีของ Marriott International ได้กลายเป็นประเด็นใหญ่ในแวดวงธุรกิจโรงแรม ผู้เกี่ยวข้องจากหลายฝ่ายกำลังจับตามองท่าทีของ Marriott International ทั้งการรับมือผลกระทบที่จะเกิดขึ้นตามมาหลังจากนี้ และปรับปรุงมาตรการณ์ทางเทคนิคภายในองค์กร สิ่งที่สามารถเรียนรู้ได้จากกรณีนี้คือผลกระทบและบทเรียนจากความประมาทของ Marriott International ซึ่งมีรายละเอียดดังต่อไปนี้
1. Marriott International ละเลยขั้นตอนประเมินความเสี่ยง หรือจงใจเลี่ยงเหตุละเมิด
เชื่อว่านักท่องเที่ยวจากทุกมุมโลก มีความคุ้นชินกับชื่อ Marriott International ในฐานะเครือโรงแรมขนาดใหญ่ แต่ไม่หยุดเพียงเท่านั้นเพราะในปี 2016 Marriott International ได้ก้าวขึ้นมาเป็นกลุ่มโรงแรมขนาดใหญ่ที่สุดในโลก โดยมีโรงแรมในเครือมากถึง 30 โรงแรม มีสาขากระจายตามประเทศต่าง ๆ รวมกว่า 5,800 สาขาทั่วโลก เนื่องจากการเข้าซื้อกิจการของ Starwood Hotel and Resort Worldwide ด้วยจำนวนเงิน 13,000 ล้านดอลลาร์ หรือราว 428,000 ล้านบาท
ทว่าหลังจากประกาศความยิ่งใหญ่ได้เพียงสองเดือน Marriott International ก็ได้เจอมรสุมใหญ่ เพราะ Starwood Hotel and Resort Worldwide รายงานว่าบริษัทถูกแฮ็กเกอร์โจรกรรมข้อมูลตั้งแต่ปี 2014 Marriott ในฐานะบริษัทแม่ ได้เผยไทม์ไลน์จากเหตุการณ์นี้ ทำให้โลกได้ให้เห็นความผิดปกติของช่วงระยะเวลาระหว่างที่เกิดเหตุและช่วงที่ Marriott สามารถตรวจจับความผิดปกติได้นั้นเวลาห่างกันมากถึง 4 ปี
ยังไม่มีการสรุปอย่างแน่ชัดว่า เหตุใด Marriott จึงไม่สามารถตรวจจับความผิดปกติที่เกิดขึ้นได้อย่างทันท่วงที ทั้งที่ความเป็นจริงแล้ว องค์กรใหญ่ระดับ Marriott International ซึ่งมีทรัพยากรพร้อมสรรพในทุกด้าน ควรมีระบบ Data Security Foudation ที่รัดกุมมากพอ และมีทีมผู้เชี่ยวชาญคอยดูแลระบบและตรวจจับความผิดปกติที่จะเกิดขึ้น
ผู้เชี่ยวชาญด้าน Data Security หลายคนได้ออกมาตั้งข้อสังเกตว่า การควบรวมกิจการ Starwood Hotels and Resorts Worldwide โดย Marriott นั้น เป็นการควบรวมกิจการขนาดใหญ่ที่ต้องมีการตรวจสอบความเสี่ยงก่อนอยู่แล้ว การนิ่งเฉยต่อเหตุการณ์การละเมิดข้อมูลของ Marriott เป็นเพราะไม่ได้ตระหนักถึงอันตรายที่เกิดขึ้น หรือจงใจเพิกเฉยต่อความเสี่ยง อาจเพราะเห็นว่าการรับผิดชอบค่าชดเชยจากการรั่วไหลของข้อมูล มีมูลค่าต่ำกว่า การที่บริษัทต้องรื้อระบบรักษาความปลอดภัยทางไซเบอร์ใหม่และพัฒนาให้รัดกุมยิ่งกว่าเดิม
2. ผลักภาระให้เจ้าของข้อมูลเผชิญความเสี่ยง
จากที่เกริ่นไปแล้วในข้อแรก ว่าข้อสันนิษฐานเบื้องหลังของการละเมิดข้อมูลในครั้งนี้ อาจมีด้วยกันสองประเด็น คือ
1. Marriott ไม่ได้ตระหนักถึงอันตรายที่เกิดขึ้น นำมาสู่การประเมินความเสี่ยงต่ำกว่าความจริง หรือ
2. จงใจเพิกเฉยต่อความเสี่ยง และผลักภาระให้เจ้าของข้อมูลเผชิญความเสี่ยงที่จะเกิดขึ้น เพราะเห็นว่าการรับผิดชอบค่าชดเชยจากการรั่วไหลของข้อมูล มีมูลค่าต่ำกว่า การที่บริษัทต้องรื้อระบบรักษาความปลอดภัยทางไซเบอร์ใหม่และพัฒนาให้รัดกุมยิ่งกว่าเดิม
ซึ่งหากข้อสันนิษฐาน เป็นจริงตามข้อที่สอง หมายความว่า Marriott International จงใจผลักภาระให้กับเจ้าของข้อมูล จงใจปกปิดข่าวการละเมิดข้อมูลเพื่อปกป้องชื่อเสี่ยงขององค์กร โดยไม่คำนึงถึงผลกระทบและความเสี่ยงที่จะเกิดขึ้นกับเจ้าของข้อมูล แม้ยังไม่มีการยืนยันอย่างเป็นทางการว่า ข้อสันนิษฐานเบื้องหลังของการละเมิดข้อมูลในครั้งนี้ เป็นจริงตามประเด็นใด Marriott International ต้องออกมาให้ความกระจ่างกับประเด็นนี้ เพราะความเสียหายที่เกิดขึ้น กระทบต่อผู้คนจำนวนไม่น้อย
3. ข้อมูลมหาศาลรั่วไหลสู่ภายนอก
สำหรับองค์กรขนาดใหญ่ที่เป็น Data Driven Organization มองว่าข้อมูล หรือ Data ในฐานระบบ คือสินทรัพย์มูลค่ามหาศาลเพราะ องค์กรสามารถใช้ข้อมูลจากหลากหลายช่องทาง ทั้งข้อมูลที่ได้มาจากการปฏิสัมพันธ์กับลูกค้าโดยตรง หรือผ่านแพลตฟอร์มอื่นๆ เพื่อขับเคลื่อนแคมเปญการตลาด วิเคราะห์กลุ่มลูกค้า เพื่อให้ได้มาซึ่งพฤติกรรมเชิงลึกของกลุ่มลูกค้า รวมถึงการทำนายแนวโน้มพฤติกรรมการซื้อของลูกค้าในอนาคตได้ด้วย
ด้วยเหตุนี้ ข้อมูลกว่า 20 GB. ที่ถูกแฮ็กเกอร์ขโมยไปจาก Mariott นอกจากจะมีขนาดมหาศาลในเชิงของจำนวนข้อมูลแล้ว ยังประเมินค่าเป็นสินทรัพย์มูลค่ามหาศาล ที่ Marriott ได้สูญเสียไปอีกด้วย
ความน่ากังวล ที่เป็นผลกระทบจากการรั่วไหลของข้อมูลส่วนบุคคลมากถึง 300 ล้านรายชื่อ คือเจ้าของข้อมูลส่วนบุคคลอาจถูกคุกคาม ถูกสวมสิทธิ์จากแฮ็กเกอร์หรือผู้ไม่หวังดี ส่งผลกระทบต่อวิถีชีวิตของเจ้าของข้อมูล และอาจสร้างความเสียหายอาจร้ายแรงถึงขั้นกระทบกับความมั่นคงของประเทศได้
4. เสียหายหลายร้อยล้าน เพราะระบบ Data Security Foundation ที่หละหลวม
นักวิจัยด้านความปลอดภัย และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ตั้งคำถามต่อความหละหลวมของ Data Security Foundation หรือระบบดูแลความปลอดภัยของข้อมูลส่วนบุคคลของ Marriott และต่างก็ตั้งข้อสงสัยว่าเหตุใด การควบรวมกิจการขนาดใหญ่ที่ใช้เม็ดเงินในการลงทุนสูงเช่นนี้ ถึงมีขั้นตอนการตรวจสอบความเสี่ยงที่ไม่สามารถตรวจจับการโจมตีจากแฮ็กเกอร์ได้ อย่างทันท่วงที สำนักข่าวหลายแห่งในยุโรปลงข่าวในทำนองเดียวกันว่า
Marriott เพิ่งค้นพบว่า มีบุคคลที่ไม่ได้รับอนุญาตได้ทำการคัดลอก เข้ารหัสข้อมูล และดำเนินการลบข้อมูลในฐานข้อมูล เมื่อวันที่ 19 พฤศจิกายน พ.ศ. 2561 แม้ Mariott จะสามารถถอดรหัสข้อมูลดังกล่าวได้ และระบุว่าเนื้อหาจากฐานข้อมูลการสำรองห้องพักของโรงแรมที่ถูกแฮ็กไป เป็นข้อมูลของแขกผู้เข้าพักโรงแรม Starwood Hotels and Resorts Worldwide แต่การตรวจสอบนี้เกิดขึ้น 4 ปีให้หลัง เรื่องนี้กลายเป็นประเด็นที่หลายคนเพ่งความสนใจ และไม่ปักใจเชื่อว่านักดูแลระบบรักษาความปลอดภัยไซเบอร์ของ Marriott จะไม่สามารถจับพิรุธแฮ็กเกอร์ได้
อย่างไรก็ดี เนื่องจาก Marriott ไม่ได้เผยแพร่รายละเอียดทางเทคนิคเกี่ยวกับระบบ รักษาความปลอดภัยไซเบอร์ของ Marriott International และแบรนด์โรงแรมในเครืออื่นๆ จึงทำให้คำถามและความเคลืองแคลงใจจากผู้เชี่ยวชาญและแขกของโรงแรมยังไม่ถูกทำให้กระจ่างแจ้ง และยังคงเป็นความคลุมเครือมาจนถึงปัจจุบัน
5. Data Breach กระทบความน่าเชื่อถือ ทำหุ้นดิ่ง
หลังจาก Marriott ออกมาแถลงถึงเหตุการณ์ครั้งนี้ รายละเอียดของแถลงการณ์ได้แพร่สะพัดออกไปทั่วทุกมุมโลก ทำให้เกิดผลกระทบต่อความน่าเชื่อถือของบริษัทเป็นอย่างมาก หุ้น Marriott ดิ่งร่วง 5.6% ไม่นานหลังจากบริษัทออกมาแถลงการณ์ยอมรับต่อเหตุการณ์ที่เกิดขึ้น แขกที่เคยเข้าพักเกิดความเคลือบแคลงใจต่อนโยบายของ Marriott และเชนโรงแรมในเครืออื่นๆ และมีการตั้งข้อสังเกตุต่อเหตุการณ์นี้ว่า Marriott จะแสดงความรับผิดชอบต่อกรณีนี้อย่างไร ซึ่งทางโรงแรม ได้มีการแต่งตั้งคณะทำงาน และศูนย์บริการเฉพาะ เพื่อประสานงานช่วยเหลือกับเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบจากเหตุการณ์นี้
ทางโรงแรมยังให้บริการตรวจสอบผ่านทางอินเทอร์เน็ตในช่องทาง WebWatcher ได้ตลอดทั้งปี เพื่อรองรับการร้องเรียนที่เกิดขึ้นตามมาจากเหตุการณ์ดังกล่าว แม้ว่าจะมีการแถลงการณ์ขอโทษอย่างเป็นทางการจากผู้บริหารระดับสูงของ Marriott แต่ถ้อยแถลงดังกล่าวนั้น ก็ไม่อาจรื้อฟื้นความเชื่อใจของแขกผู้เข้าพักและนักลงทุนให้กลับมาเป็นดังเดิมได้ 100% เหตุการณ์นี้ถูกยกให้เป็นบทเรียนราคาแพงที่ Marriott และแบรนด์โรงแรมอื่น ๆ ไม่ควรนิ่งนอนใจ และควรทำความเข้าใจเพื่อป้องกันไม่ให้เกิดเกตุการณ์ซ้ำรอย
6. GDPR สั่งฟ้องร้อง
จากเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น ส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้ากว่า 300 ล้านราย แม้ยังไม่มีการยืนยันจาก Marriott ว่า ข้อมูลที่ถูกโจรกรรมไป 20 GB. มีข้อมูลอะไรบ้าง ทว่าความประมาทและการเพิกเฉยต่อเหตุการณ์การละเมิดในครั้งนี้ ทำให้ Information Commissioner’s Office (ICO) หรือคณะกรรมาธิการด้านข้อมูลของสหราชอาณาจักร เข้ามาสอบสวนกรณีที่เกิดขึ้น ICO เผยว่าความผิดพลาดของ Marriott คือ ความล้มเหลวในการรักษาความปลอดภัยข้อมูลส่วนบุคคล ตามที่ระบุในกฎหมาย GDPR
GDPR ย่อมาจาก General Data Protection Regulation หรือที่รู้จักในชื่อ กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป ซึ่งมีสาระสำคัญคือ มุ่งให้การคุ้มครองพลเมืองของสหภาพยุโรปจากการโดนคุกคามข้อมูลส่วนบุคคลหรือการละเมิดความเป็นส่วนตัว เพิ่มสิทธิในการควบคุมข้อมูลในทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สรุปสั้น ๆ ก็คือ GDPR ให้สิทธิ เก็บ-ใช้-ถ่ายโอน ข้อมูลส่วนบุคคลแก่พลเมืองสหภาพยุโรป
ดังนั้นผู้ให้บริการ ห้างร้าน หรือองค์กร ที่ดำเนินกิจกรรมเกี่ยวเนื่องกับข้อมูลส่วนบุคคล จะต้องชี้แจงหลักเกณฑ์และความรับผิดชอบต่อข้อมูลให้กับเจ้าของข้อมูลส่วนบุคคล ที่เป็นพลเมืองสหภาพยุโรปทราบก่อนเสมอ
ข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย GDPR ได้แก่ข้อมูลส่วนบุคคล อาทิ ชื่อ รหัสประจำตัวประชาชน เพศ สัญชาติ รวมถึงข้อมูลสารสนเทศที่แสดงให้เห็นกิจกรรม การใช้งานของบุคคลนั้นทั้งออนไลน์และออฟไลน์ ในส่วนของบทลงโทษในกรณีที่มีการกระทำความผิด กฎหมาย GDPR กำหนดบทลงโทษเป็นค่าปรับ ที่สูงถึง 20 ล้านยูโร (ราวๆ 740 ล้านบาท) หรือ 4% ของรายได้ต่อปีทั่วโลกของบริษัท นับได้ว่าเป็นกฎหมายที่มีค่าปรับสูงมากทีเดียว
การละเมิดกฎหมาย GDPR เกิดขึ้นแล้วหลายต่อหลายครั้งในยุโรป และมีการสั่งปรับ ลงโทษกับองค์กรที่ทำผิดทุกองค์กร ในกรณีนี้ ภายหลังจากการสอบสวนรายละเอียด ICO ได้เตรียมสั่งปรับ Marriott เป็นเงินจำนวน 18.4 ล้านยูโร ซึ่งถือเป็นค่าปรับจำนวนมหาศาล ติดอันดับ 5 ของฟ้องร้องช่วง 3 ปีแรกของการประกาศใช้กฎหมาย GDPR อย่างเป็นทางการ
อย่างไรก็ดี ICO ได้แจ้งต่อ Marriott เรื่องสิทธิ์ในการทักท้วงก่อนการตัดสินจะถึงที่สุดและออกเป็นคำสั่งปรับจริง ซึ่ง Marriott กล่าวว่าทางบริษัทจะทักท้วงในกรณีนี้อย่างแน่นอน ซึ่งในช่วงแรกมีการวิเคราะห์ออกมา ถึงจำนวนค่าปรับที่ Marriott จะต้องดำเนินการจ่าย อาจสูงถึง 99 ล้านยูโร ทว่าค่าปรับจริงที่ ICO แถลงออกมาน้อยกว่าที่สื่อหลายสำนักคาดการณ์
แม้จะมีกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลแล้ว องค์กรของไทยยังต้องปฏิบัติตามเงื่อนไขทางกฎหมายของ GDPR หากมีการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคล ทั้งดำเนินธุรกิจ หรือการให้บริการใด ๆ ที่เกี่ยวข้องกับพลเมืองของสหภาพยุโรป ดังนั้นองค์กรจึงควรปฎิบัติตามเงื่อนไขของกฎหมายทั้งสองให้ครบถ้วน เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร และรักษามาตรฐานความปลอดภัยให้ทัดเทียมกับองค์กรอื่นๆ
7. สร้างระบบ Cyber Security Awareness และ Data Security Fondation เพื่อปกป้อง Privacy
จากเคสนี้ช่วยชี้ให้เห็นว่า องค์กรส่วนใหญ่มักให้ความสำคัญกับการปฏิบัติตามขั้นตอนให้ครบถ้วนเท่าที่กฎหมายกำหนด หรือเน้นไปที่การเขียนนโยบายเพื่อแจ้งต่อลูกค้าหรือผู้ใช้งาน บางองค์กรจะมุ่งไปที่การเฟ้นหาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือมุ่งพัฒนาและเตรียมความพร้อมแพลตฟอร์มเพื่อรองรับการใช้สิทธิของลูกค้า ทุกขั้นตอนที่กล่าวมาทั้งหมดนี้ล้วนเป็นสิ่งที่ทุกองค์กรต้องทำให้ครอบคลุม
ทว่าขั้นตอนต่อจากขั้นตอนเหล่านี้ คือการที่องค์กรต้องสร้างการตระหนักรู้เกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคล (Cyber Security Awareness) ให้กับพนักงานทุกระดับในองค์กร เพื่อสื่อสารนโยบาย แนวทางปฏิบัติ ให้พนักงานทุกระดับในองค์กรได้ทราบ เมื่อสร้างความตระหนักรู้แล้ว ผลผลิตที่จะเกิดต่อจากความรู้ความเข้าใจ ได้แก่
พนักงานในองค์กรเห็นภาพเดียวกัน เกิดความเข้าใจและตระหนักรู้ถึงความสำคัญของข้อมูลส่วนบุคคลทั้งในระดับพนักงานและองค์กร
สร้างวัฒนธรรมการตระหนักรู้ เกี่ยวกับข้อมูลส่วนบุคคล
ลดความเสี่ยงจากภัยคุกคามต่าง ๆ ปกป้องข้อมูลส่วนบุคคลซึ่งเป็นทรัพยากรที่ล้ำค่าขององค์กร
ถือเป็นการปฏิบัติตามที่กฎหมายและประกาศที่เกี่ยวข้อง และใช้เป็นหลักฐานเกี่ยวกับการปฏิบัติตามกฎหมาย เมื่อมีการตรวจสอบย้อนหลัง
ป้องกันความเสี่ยงที่เกี่ยวกับ Privacy Risk ความเสี่ยงด้านการละเมิด ใช้ผิดวัตถุประสงค์
แผนกหรือฝ่ายงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เกิดการตระหนักรู้และระมัดระวังในการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลตามขอบเขต
อ่านประโยชน์ของการทำ Cyber Security Awareness เพิ่มเติมที่
SECAP
t-reg Blog
ขั้นตอนถัดมาที่ควรมีการพัฒนาให้ต่อเนื่องกัน คือการสร้างความรู้ความเข้าใจเรื่อง Data Security Foundation หรือระบบดูแลความปลอดภัยของข้อมูลส่วนบุคคล เหตุที่องค์กรต้องมี Data Security Foundation เพราะ Cyber Security Awareness เปรียบได้กับการให้ความรู้แก่คนในบ้าน ทว่า Data Security Foundation จะเป็นระบบที่รักษาข้อมูลของคนในบ้าน ไม่ให้โจรหรือบุคคลอื่น ฉกฉวยข้อมูลของคนในบ้านเราไป
ด้วยเหตุนี้ระบบดูแลความปลอดภัยของข้อมูลจึงเป็นเรื่องที่ต้องพัฒนาไปพร้อมกับการสร้างความเป็นส่วนตัว การสร้างความเข้าใจ เพราะถึงแม้ว่าบริษัทหรือองค์กรของคุณจะมี Privacy Notice มี Privacy Policy แล้ว แต่ยังไม่มี Security Foundation ข้อมูลส่วนบุคคลในองค์กรก็อาจจะยังเสี่ยงต่อการโจรกรรมหรือคุกคามจากแฮ็กเกอร์
ทั้ง Cyber Security Awareness และ Data Security Foundation จึงกลายเป็นโจทย์ความท้าทายใหม่ที่ Marriott ควรพัฒนาให้ดียิ่งขึ้น หากมีการดำเนินการอยู่แล้ว หรือริเริ่มทำอย่างจริงจัง เพื่อดูแลความปลอดภัยข้อมูลส่วนบุคคลของลูกค้าให้ปลอดภัย ไม่ให้เกิดเหตุการณ์ซ้ำรอยขึ้นอีก
8. กรณี Marriott International ในมุมมองของกฎหมาย PDPA
แม้กรณี Marriott International จะไม่ได้เกิดขึ้นในไทย และถูกวินิจฉัยด้วยกฎหมาย GDPR ซึ่งเป็นกฎหมายของสหภาพยุโรป ทว่ากฎหมาย GDPR คือแม่แบบของกฎหมาย PDPA ของไทย ทำให้สาระสำคัญและเนื้อหาบางประการของกฎหมาย PDPA มีความคล้ายคลึงกับ GDPR นั่นเอง
สำหรับประเทศไทย กฎหมายที่มีสาระสำคัญในการคุ้มครองข้อมูลส่วนบุคคล คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือที่นิยมเรียกกันว่า PDPA (Personal Data Protection Act) มีสาระสำคัญที่ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ตรงตามวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล หากข้อมูลมีการรั่วไหล ถูกถ่ายโอน ถูกดัดแปลงหรือไม่ได้รับความยินยอมจากเจ้าของข้อมูล นำข้อมูลไปใช้โดยพลการ หรือนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้ จนเกิดความเสียหายต่อข้อมูลหรือละเมิดความเป็นส่วนตัว ผู้เสียหายสามารถฟ้องร้องเอาผิดได้
ประเภทข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPA ได้แก่
ข้อมูลส่วนบุคคล (Personal Data) อาทิ ชื่อ-สกุล ข้อมูลที่อยู่ อายุ หมายเลขโทรศัพท์ ข้อมูลการศึกษา ฯลฯ
ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ฯลฯ
ทำความเข้าใจความแตกต่างและจุดร่วมของของกฎหมาย GDPR และ PDPA คลิกที่นี่
จากกรณีการโดนแฮ็กข้อมูลของ Marriott International แฮ็กเกอร์ได้ละเมิดข้อมูลในลักษณะ ละเมิดความลับของข้อมูล ด้วยการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ข้อมูลที่ได้รับความเสียหายจากเหตุการณ์ครั้งนี้ ได้แก่ ชื่อ ที่อยู่ หมายเลขพาสปอร์ต อีเมล ข้อมูลการเดินทาง ฯ ซึ่งเป็นข้อมูลส่วนบุคคลทั่วไป (Personal Data) อันอยู่ภายใต้การคุ้มครองของกฎหมาย PDPA ขณะเดียวกันพฤติการณ์ของแฮ็กเกอร์ที่ทำแฮ็กข้อมูลของ Starwood Hotels and Resorts Worldwide เข้าข่ายละเมิดความลับของข้อมูล ตามลักษณะการละเมิดที่ระบุไว้ในกฎหมาย PDPA อีกด้วย
เข้าใจการละเมิดที่เกิดขึ้นกับ Marriott International ด้วยมุมมองของกฎหมาย PDPA
Marriott International และ Starwood Hotels and Resorts Worldwide ได้ออกมาแถลงความรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้น Arne M. Sorenson ผู้บริหารของ Marriott ระบุผ่านคำแถลงการณ์ว่า
” Marriott เสียใจอย่างสุดซึ้งต่อเหตุการณ์ที่เกิดขึ้น และไม่ได้นิ่งนอนใจกับผลกระทบที่จะเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลทุกราย และมีความพยายามอย่างเต็มที่ ในการรับผิดชอบต่อข้อมูลที่รั่วไหลออกไป”
ทว่านอกเหนือจากคำแถลงการณ์ที่ปล่อยออกมา ยังไม่มีรายละเอียดว่า Marriott International และ Starwood Hotels and Resorts Worldwide ได้ดำเนินการด้านเทคนิคเพื่อป้องกันการโจมตีจากแฮ็กเกอร์อย่างไร หากอ้างอิงกฎหมาย PDPA ของไทย ข้อผิดพลาดที่เกิดขึ้นกับ Marriott อาจถูกฟ้องร้องเรียกค่าเสียหาย และถูกพิจารณาโทษตามที่กฎหมาย PDPA กำหนด เนื่องจากการกระทำของ Marriott เข้าข่ายการกระทำที่ละเมิดต่อกฎหมาย มาตรา 37 ใน พระราชบัญญัติคุมครองข้อมูลส่วนบุคคล
(1) ซึ่งระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
นอกจากนี้ ในมาตรา 37 (4) ยังระบุรายละเอียด การแจ้งเตือนเหตุการละเมิดข้อมูล ไว้ว่า ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ แจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุท่าที่จะกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย
หากตีความจากเนื้อหาของกฎหมาย มาตรา 37 เปรียบเทียบกับกรณีของ Marriott International จะถือว่า การละเมิดความลับของข้อมูล ด้วยการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต เกิดขึ้นเนื่องจาก Marriott ละเลยหน้าที่ในการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบนั่นเอง
สรุปบทเรียน
จากกรณีที่เกิดขึ้นกับ Marriott International สามารถแยกย่อยประเด็นสำคัญๆ ได้หลายประเด็น ดังนี้
การละเมิดข้อมูล (Data Breach) หรือการละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่นำไปสู่ การทำลาย การสูญหาย การแก้ไข การเปิดเผย และการเข้าถึงโดยไม่ได้รับอนุญาตกับข้อมูลส่วนบุคคล เกิดขึ้นได้กับทุกองค์กร ทุกธุรกิจ และอาจสร้างให้เกิดความเสียหาย ทั้งต่อองค์กร ข้อมูลในองค์กร และลูกค้าขององค์กร
การตรวจสอบความเสี่ยง หรือการเฝ้าระวังการละเมิดข้อมูล เป็นสิ่งที่องค์กรต้องตื่นตัว และดำเนินการอย่างจริงจัง ไม่ควรเลี่ยง เพิกเฉยหรือละเลยความเสี่ยงที่อาจนำไปสู่เหตุการณ์ที่รุนแรง
เมื่อตรวจสอบว่าพบเหตุละเมิดข้อมูลจริง องค์กรควรดำเนินการรับผิดชอบต่อความเสียหายที่เกิดขึ้นอย่างจริงจัง ไม่ควรผลักภาระและความเสี่ยงให้กับเจ้าของข้อมูลส่วนบุคคล
นอกจากองค์กร มีหน้าที่ดำเนินการตามกฎหมายให้ครอบคลุมทั้งทางนโยบายและทางเทคนิคแล้ว องค์กรต้องทบทวนมาตรการความปลอดภัย เมื่อมีความจำเป็น หรือเมื่อมีเทคโนโลยดูแลความปลอดภัยที่พัฒนาขึ้นใหม่ เพื่อให้องค์กรมีระบบรักษาความมั่นคงปลอดภัยที่เท่ากันกับองค์กรชั้นนำอื่น ๆ
องค์กรควรให้ความสำคัญกับระบบรักษาความปลอดภัยข้อมูล (Data Security Fondation) และต่อยอดไปสู่การสร้างการตระหนักรู้เกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคล (Cyber Security Awareness) เพราะหากองค์กรเริ่มต้นจากสองสิ่งนี้ จะช่วยทำมอบความไว้วางใจ เรื่องความเป็นส่วนตัว (Privacy) ให้แก่ลูกค้าหรือผู้ใช้งานได้
หากองค์กรของท่าน เป็นองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคล หรือเป็นธุรกิจในกลุ่มโรงแรมเช่นเดียวกับ Marriott International หากมีความกังวลในเรื่องการละเมิดข้อมูล หรือกำลังริเริ่มดำเนินการตามข้อปฏิบัติในกฎหมาย PDPA ให้ครอบคลุมทั้งทางนโยบายและทางเทคนิค สามารถติดต่อใช้บริการแพลตฟอร์ม t-reg ทางเรายินดีให้บริการปรึกษา และช่วยท่านวางแผนทำ ตามแนวทาง PDPA อย่างครบถ้วน ครบวงจร ติดต่อเราได้ที่ t-reg.co
