t-reg PDPA Platform

บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วงข้อมูลส่วนบุคคล

บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วง ข้อมูลส่วนบุคคล

เนื้อหาในบทความ

เริ่มปีใหม่ 2021 ก็ปวดหัวกันตั้งแต่ต้นปี เพราะบริษัทจำกัด (มหาชน) แห่งหนึ่งในไทยทำข้อมูลส่วนบุคคลรั่ว

‍เรื่องนี้ดูเบาไม่ได้ เพราะนอกจากจะอันตรายกับบริษัทแล้ว นี่ยังเสี่ยงต่อการโดนลงโทษ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะต้องรับโทษข้อไหน? ทำยังไงดี? และในแง่มุมลูกค้าที่จะเข้ามาฟ้องร้อง ในส่วนองค์กรหรือธุรกิจคุณสามารถทำอะไรได้บ้างเพื่อเลี่ยงความอันตรายจากการรั่วไหลของข้อมูล? (สามารถทำความเข้าใจเรื่อง PDPA ได้ที่ Blog ของเรา) https://tregdotblog.wpcomstaging.com/blog/pdpa/what-is-pdpa/

เริ่มมาดูกันก่อนว่า ข้อมูลส่วนบุคคล รั่วจากอะไร?

จากฝ่าย Hacker (ALTDOS) ได้อ้างว่า

เราไม่ได้ขโมยแค่ข้อมูลที่บันทึกไว้แค่บางส่วนแต่เราขโมยข้อมูลทั้งหมดข้อมูลที่ขโมยได้ไม่ใช่แค่ชื่ออายุ ด้วย Database ของ HR แล้วมันมีทุกอย่างตั้งแต่ข้อมูลพ่อ แม่ พี่น้องชายหญิง การศึกษา ประวัติการทำงาน เงินเดือน และอีกเยอะเลย

และ

ไม่พบการป้องกันหรือแม้แต่ Firewall ทั้งทีได้แจ้งเตือนวันและเวลาก่อนการโจมตีด้วยซ้ำ

พร้อมกับแนบ 2 รูปนี้…

data breach-2
data breach-1

ล่าสุดทางบริษัทได้ชี้แจงว่า “เป็นการขู่กรรโชก” เท่านั้น แต่ ALTDOS ตอบกลับว่าได้เรียกค่าไถ่กับทางบริษัทเป็นจำนวนเงิน 5 แสนเหรียญ แต่ทางบริษัทมหาชนได้เจรจาต่อรองจ่ายเพียง 1 ใน 3 พร้อมว่าจ้างให้ทาง ALTDOS เป็นพนักงานดูแล Cyber Security ซึ่งเขาปฏิเสธ

ในเรื่องนี้ มีความผิดทางโทษของ PDPA เต็มๆ

  • ทางบริษัทต้องความรับผิดทางแพ่ง ตามความเสียหายจริง และอาจต้องชดใช้ค่าสินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
  • อาจโดนโทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • และอาจโดนโทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

ข้อมูลรั่วแล้วต้องทำอย่างไรต่อ?

เหตุการณ์นี้จะไม่มีทางเกิดขึ้น หากมีการทำ PDPA ในองค์กร แต่คุณต้องเข้าใจก่อนว่าตัว พ.ร.บ. PDPA นั้นมีหลายกระบวนการ และ หลายขั้นตอนในการจัดการ ทั้งนี้ทั้งนั้นก็เพื่อทำให้ข้อมูลไม่รั่วไหลไปง่ายๆ และเพิ่มความปลอดภัยให้กับข้อมูลส่วนบุคคลนั่นเอง แม้ว่า PDPA จะยังไม่ได้บังคับใช้เต็มรูปแบบในส่วนขององค์กร แต่การไม่ลงมือทำนั้นนับวันยิ่งเพิ่มความเสี่ยงในการรั่วไหลของข้อมูลมากขึ้น

เบื้องต้นคุณสามารถแก้ไขความเสี่ยงได้ด้วยตนเอง

  • การจัดเตรียมข้อมูลเอกสารที่เป็นข้อมูลอ่อนไหวและข้อมูลส่วนบุคคล
  • การแต่งตั้งบุคคลพร้อมเอกสารสำหรับผู้ที่จะเข้ามาดูแลด้าน PDPA โดยเฉพาะ
  • การจัดทำระบบแสดงการไหลของข้อมูล
  • การระบุเหตุผลของการใช้ข้อมูล
  • และอีกหลายส่วนที่สำคัญในการรักษาความปลอดภัย

อย่ารอให้บริษัทคุณโดนแฮกเหมือน Use case นี้ โปรดระมัดระวังและใส่ใจด้าน Cyber Security ก่อนจะสายไป

FREE EVENT
ร่วมรับฟังแนวทางการรับมือเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เพื่อเตรียมความพร้อมสำหรับองค์กรของท่านในการรับมือกับเหตุละเมิดที่อาจเกิดขึ้น โดยผู้เชี่ยวชาญผู้มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิทัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection
RELATED POST
pdpa-dpia
t-reg news

ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร? ควรริเริ่มและดำเนินการอย่างไรให้สำเร็จ

ปฏิเสธไม่ได้ว่าปัจจุบัน จำนวนของข้อมูลในองค์กร ยิ่งมากยิ่งเป็นสิ่งที่ดีต่อการโฆษณา ดีต่อการพัฒนาผลิตภัณฑ์ แต่ขณะเดียวกันยิ่งมีข้อมูลมาก ก็ยิ่งมีความเสี่ยงต่อการรั่วไหล เสี่ยงต่อการจารกรรมข้อมูล ดังนั้นการหยิบยืมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล

อ่านต่อ »
PDPA ย่อมาจากอะไร และต้องทำอะไรบ้าง พร้อมภาพเครื่องชั่งและนิ้วกดสัญลักษณ์แม่กุญแจบนพื้นหลังดิจิทัล
t-reg knowledge

PDPA ย่อมาจากอะไร ต้องทำอะไรบ้าง

สำหรับมือใหม่ หลายคนอาจจะยังไม่ทราบว่าการเข้าถึงบนเว็บไซต์และมีข้อความขอเข้าถึง หรือกดยอมรับคุกกี้ตั้งแต่เราเข้าสู่เว็บไซต์เป็นการขอเข้าถึงข้อมูลการใช้งาน ข้อมูลส่วนตัว ไม่ว่าจะอีเมลล์ เบอร์โทร ชื่อ หรือ

อ่านต่อ »
อินโฟกราฟิก PDPA อธิบาย Data Controller, Processor และ Data Subject พร้อมชายกำลังคิดและข้อความ “เข้าใจ PDPA ในบทความเดียว”
t-reg knowledge

Data Subject, Data Controller และ Data Processor คืออะไร? เข้าใจ PDPA ในบทความเดียว

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายสำคัญที่ทุกองค์กรในประเทศไทยต้องเข้าใจ โดยเฉพาะบทบาทหลัก 3 ส่วน ได้แก่ Data

อ่านต่อ »
pdpa ประกันภัย
t-reg knowledge

10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ PDPA X ธุรกิจประกันภัย เข้าใจกฎหมาย ธุรกิจไปได้ไกลกว่า

PDPA ประกันภัย สำคัญอย่างไรในยุคที่กฎหมายคุ้มครองข้อมูลของลูกค้า? ธุรกิจประกันภัย เป็นหนึ่งในธุรกิจที่ใช้ข้อมูลส่วนบุคคลประกอบการดำเนินธุรกรรม  อาทิ การนำข้อมูลส่วนบุคคลมาใช้สนับสนุนการรับพิจารณาประกัน การปฏิบัติตามสัญญา การให้บริการลูกค้า

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่