fbpx

t-reg PDPA Platform

บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วงข้อมูลส่วนบุคคล

บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วง ข้อมูลส่วนบุคคล

Share on facebook
Share on twitter
Share on linkedin
Share on facebook
Share on twitter
Share on linkedin

เนื้อหาในบทความ

เริ่มปีใหม่ 2021 ก็ปวดหัวกันตั้งแต่ต้นปี เพราะบริษัทจำกัด (มหาชน) แห่งหนึ่งในไทยทำข้อมูลส่วนบุคคลรั่ว

‍เรื่องนี้ดูเบาไม่ได้ เพราะนอกจากจะอันตรายกับบริษัทแล้ว นี่ยังเสี่ยงต่อการโดนลงโทษ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะต้องรับโทษข้อไหน? ทำยังไงดี? และในแง่มุมลูกค้าที่จะเข้ามาฟ้องร้อง ในส่วนองค์กรหรือธุรกิจคุณสามารถทำอะไรได้บ้างเพื่อเลี่ยงความอันตรายจากการรั่วไหลของข้อมูล? (สามารถทำความเข้าใจเรื่อง PDPA ได้ที่ Blog ของเรา) https://t-reg.co/blog/pdpa/what-is-pdpa/

เริ่มมาดูกันก่อนว่า ข้อมูลส่วนบุคคล รั่วจากอะไร?

จากฝ่าย Hacker (ALTDOS) ได้อ้างว่า

เราไม่ได้ขโมยแค่ข้อมูลที่บันทึกไว้แค่บางส่วนแต่เราขโมยข้อมูลทั้งหมดข้อมูลที่ขโมยได้ไม่ใช่แค่ชื่ออายุ ด้วย Database ของ HR แล้วมันมีทุกอย่างตั้งแต่ข้อมูลพ่อ แม่ พี่น้องชายหญิง การศึกษา ประวัติการทำงาน เงินเดือน และอีกเยอะเลย

และ

ไม่พบการป้องกันหรือแม้แต่ Firewall ทั้งทีได้แจ้งเตือนวันและเวลาก่อนการโจมตีด้วยซ้ำ

พร้อมกับแนบ 2 รูปนี้…

data breach-2
data breach-1

ล่าสุดทางบริษัทได้ชี้แจงว่า “เป็นการขู่กรรโชก” เท่านั้น แต่ ALTDOS ตอบกลับว่าได้เรียกค่าไถ่กับทางบริษัทเป็นจำนวนเงิน 5 แสนเหรียญ แต่ทางบริษัทมหาชนได้เจรจาต่อรองจ่ายเพียง 1 ใน 3 พร้อมว่าจ้างให้ทาง ALTDOS เป็นพนักงานดูแล Cyber Security ซึ่งเขาปฏิเสธ

ในเรื่องนี้ มีความผิดทางโทษของ PDPA เต็มๆ

  • ทางบริษัทต้องความรับผิดทางแพ่ง ตามความเสียหายจริง และอาจต้องชดใช้ค่าสินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
  • อาจโดนโทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • และอาจโดนโทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

ข้อมูลรั่วแล้วต้องทำอย่างไรต่อ?

เหตุการณ์นี้จะไม่มีทางเกิดขึ้น หากมีการทำ PDPA ในองค์กร แต่คุณต้องเข้าใจก่อนว่าตัว พ.ร.บ. PDPA นั้นมีหลายกระบวนการ และ หลายขั้นตอนในการจัดการ ทั้งนี้ทั้งนั้นก็เพื่อทำให้ข้อมูลไม่รั่วไหลไปง่ายๆ และเพิ่มความปลอดภัยให้กับข้อมูลส่วนบุคคลนั่นเอง แม้ว่า PDPA จะยังไม่ได้บังคับใช้เต็มรูปแบบในส่วนขององค์กร แต่การไม่ลงมือทำนั้นนับวันยิ่งเพิ่มความเสี่ยงในการรั่วไหลของข้อมูลมากขึ้น

เบื้องต้นคุณสามารถแก้ไขความเสี่ยงได้ด้วยตนเอง

  • การจัดเตรียมข้อมูลเอกสารที่เป็นข้อมูลอ่อนไหวและข้อมูลส่วนบุคคล
  • การแต่งตั้งบุคคลพร้อมเอกสารสำหรับผู้ที่จะเข้ามาดูแลด้าน PDPA โดยเฉพาะ
  • การจัดทำระบบแสดงการไหลของข้อมูล
  • การระบุเหตุผลของการใช้ข้อมูล
  • และอีกหลายส่วนที่สำคัญในการรักษาความปลอดภัย

อย่ารอให้บริษัทคุณโดนแฮกเหมือน Use case นี้ โปรดระมัดระวังและใส่ใจด้าน Cyber Security ก่อนจะสายไป

แหล่งการเรียนรู้ PDPA

Openpdpa.org เป็นแหล่งข้อมูลสำหรับองค์กรและบุคคลที่ค้นคว้าเกี่ยวกับกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) คุณจะได้รับข้อมูลที่ตรงไปตรงมารวมถึงทำอย่างไรให้คุณสามารถทำ PDPA ได้ด้วยตนเอง อีกทั้งยังมีเอกสารที่จำเป็นต่อการทำ PDPA ที่สามารถดาวน์โหลดไปใช้ได้เลย ฟรี!

ส่งต่อบทความดีๆ ได้ที่นี่

Share on facebook
Share on twitter
Share on linkedin