สรุปเหตุการณ์ข้อมูลรั่วไหลในประเทศไทย เดือนเมษายน 2568: ไปรษณีย์ไทย บางจาก โฮมโปร โดนโจมตี

เดือนเมษายน 2568 ถือเป็นเดือนที่ประเทศไทยเผชิญกับวิกฤตด้าน ความปลอดภัยของข้อมูลส่วนบุคคล หลายกรณี จากองค์กรขนาดใหญ่ทั้งภาครัฐและเอกชน ไม่ว่าจะเป็น ไปรษณีย์ไทย, บางจาก คอร์ปอเรชั่น และ โฮมโปร โดยแต่ละเหตุการณ์มีผลกระทบต่อประชาชนหลายล้านราย และสร้างแรงกระเพื่อมด้านความมั่นคงของข้อมูลทั่วประเทศ

ไปรษณีย์ไทย (ต้นเดือนเมษายน 2568)

ช่วงต้นเดือนเมษายน 2568 มีการเปิดเผยว่า ข้อมูลผู้ใช้บริการไปรษณีย์ไทย กว่า 19 ล้านรายการ ซึ่งคาดว่าเป็นข้อมูลจากระบบ CRM ถูกนำไปเผยแพร่บน Dark Web โดยข้อมูลที่หลุดออกไปประกอบด้วย:

• ชื่อ-นามสกุล
• ที่อยู่
• หมายเลขโทรศัพท์
• อีเมล

อย่างไรก็ตาม ไม่มีข้อมูลธุรกรรมทางการเงิน ที่รั่วไหลในครั้งนี้

มาตรการที่ดำเนินการ:

• ปิดช่องทางเข้าถึงข้อมูลทันที
• ยกระดับระบบความปลอดภัย
• ประสานงานกับหน่วยงานรัฐเพื่อป้องกันเหตุซ้ำ

เดือนเมษายน 2568 มีเหตุการณ์ข้อมูลรั่วไหลจากองค์กรขนาดใหญ่ในประเทศไทยหลายแห่ง โดยแต่ละกรณีมีรายละเอียดดังนี้

บางจาก คอร์ปอเรชั่น (กลางเดือนเมษายน 2568)

ช่วงกลางเดือนเมษายน 2568 บริษัท บางจาก คอร์ปอเรชั่น ตรวจพบการเข้าถึง ข้อมูลลูกค้า ในระบบรับฟังความคิดเห็นโดยมิชอบ รวมกว่า 6.5 ล้านรายการ

ข้อมูลที่รั่วไหล ได้แก่:

• ข้อมูลพื้นฐานส่วนบุคคล (ไม่มีข้อมูลอ่อนไหวหรือข้อมูลทางการเงิน)

มาตรการเร่งด่วน:

• ส่ง SMS แจ้งเตือนลูกค้า
• เตือนให้ระวังการกดลิงก์แปลกปลอม หรือส่ง OTP ให้บุคคลอื่น
• เพิ่มความเข้มงวดในการปกป้องระบบไอที

บทบาทของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.):

• เข้าตรวจสอบและกำกับให้รายงานผลกระทบ
• บังคับให้ปฏิบัติตาม PDPA อย่างเคร่งครัด

โฮมโปร (กลางเดือนเมษายน 2568)

โฮมโปรเผชิญกับเหตุการณ์ข้อมูลรั่วไหลในช่วงเวลาใกล้เคียงกับบางจาก โดยตรวจพบเหตุการณ์เข้าถึงข้อมูลส่วนบุคคลของลูกค้าออนไลน์โดยมิชอบ มีข้อมูลรั่วไหลประมาณ 17 ล้านรายการ

ข้อมูลที่รั่วไหล:

• ข้อมูลส่วนบุคคลพื้นฐาน (ไม่มีข้อมูลธุรกรรมทางการเงินหรือข้อมูลอ่อนไหว)

มาตรการจากโฮมโปร:

• ปิดกั้นการเข้าถึงโดยมิชอบทันที
• แจ้งเตือนลูกค้าให้เฝ้าระวัง
• ยกระดับความปลอดภัยของระบบทั้งหมด

ทั้งนี้ สคส. ได้เข้าดำเนินการตรวจสอบและสั่งให้โฮมโปรรายงานและปฏิบัติตามแนวทางกฎหมาย PDPA ภายใน 72 ชั่วโมง

ความสำคัญของกฎหมาย PDPA: ไม่ใช่แค่กฎหมาย แต่คือกลไกสร้างความเชื่อมั่น

เหตุการณ์ข้อมูลรั่วไหลทั้ง 3 กรณีในเดือนเมษายน 2568 สะท้อนชัดเจนถึง ความสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งบังคับใช้อย่างเป็นทางการในประเทศไทย โดยมีจุดประสงค์หลักเพื่อ:

• คุ้มครองสิทธิของเจ้าของข้อมูล ไม่ให้ถูกนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม
• กำหนดมาตรฐานการจัดเก็บ ใช้งาน และเปิดเผยข้อมูล สำหรับองค์กร
• สร้างความเชื่อมั่นแก่ประชาชน และนักลงทุน ว่าข้อมูลจะได้รับการดูแลอย่างเหมาะสม

ในกรณีของไปรษณีย์ไทย บางจาก และโฮมโปร กฎหมาย PDPA ทำหน้าที่เป็น “แนวทางการจัดการภาวะวิกฤต” ที่ชัดเจน:

• องค์กรต้อง แจ้งเหตุ ต่อเจ้าของข้อมูลและ สคส. ภายใน 72 ชั่วโมง
• ต้องมีการ ประเมินความเสี่ยง และแจ้งแนวทางการป้องกันไม่ให้เกิดเหตุซ้ำ
• หากไม่ปฏิบัติตาม อาจต้องเผชิญ บทลงโทษทั้งทางแพ่ง อาญา และปกครอง

ด้วยเหตุนี้ PDPA จึงไม่ใช่แค่กฎหมายบนกระดาษ แต่เป็นกลไกหลักในการเสริมสร้าง “ความปลอดภัย + ความโปร่งใส” สำหรับทุกองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

สคส. ขยับเชิงรุก ประกาศใช้กฎหมายใหม่ และเร่งตรวจสอบ

ในเดือนเมษายน 2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ขับเคลื่อนมาตรการสำคัญ ได้แก่:

✅ ใช้ “พ.ร.ก.ไซเบอร์” ฉบับใหม่

• มีผลบังคับใช้ตั้งแต่ 13 เม.ย. 2568
• เพิ่มบทลงโทษสูงสุดถึงจำคุก 5 ปี และปรับ 500,000 บาท สำหรับผู้ละเมิดข้อมูลส่วนบุคคล

✅ ขยายขีดความสามารถของ “PDPC Eagle Eye”

• ศูนย์เฝ้าระวังข้อมูลส่วนบุคคล ทำงาน 24 ชั่วโมง
• แจ้งเตือนเหตุรั่วไหลอย่างทันท่วงที

✅ ประกาศ “แผนแม่บทการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2567–2570”

• ตั้งเป้าให้ทุกองค์กรปฏิบัติตาม PDPA ครบ 100%
• ส่งเสริมระบบคุ้มครองข้อมูลในทุกภาคส่วน

🧭 สรุป: บทเรียนจากเหตุการณ์ข้อมูลรั่วไหลเดือนเมษายน 2568

• เหตุการณ์ข้อมูลรั่วไหลจาก ไปรษณีย์ไทย, บางจาก, และ โฮมโปร เป็นเครื่องเตือนใจว่า ทุกองค์กรไม่ว่าจะเล็กหรือใหญ่ ล้วนตกเป็นเป้าหมายของภัยคุกคามไซเบอร์ได้เสมอ
• การแจ้งเตือนลูกค้าอย่างรวดเร็ว และการแสดงความโปร่งใสต่อสาธารณชน ถือเป็นแนวปฏิบัติที่ควรยึดไว้เพื่อรักษาความเชื่อมั่น
• กฎหมาย PDPA ไม่เพียงแต่เป็นข้อบังคับทางกฎหมาย แต่ยังเป็นกรอบที่ช่วยให้องค์กรสร้างวัฒนธรรม “เคารพในข้อมูล” (Data Respect) ซึ่งจะกลายเป็นจุดแข็งสำคัญในการแข่งขันระยะยาว
• หากองค์กรไม่มีระบบที่พร้อมตั้งแต่วันนี้ ความเสี่ยงในการละเมิดข้อมูลอาจหมายถึง ความเสียหายทั้งด้านชื่อเสียง กฎหมาย และต้นทุนในการกู้คืนความเชื่อมั่น

ถึงเวลา “ไม่รอให้เกิดเหตุ”: เสริมเกราะ PDPA ให้ธุรกิจของคุณวันนี้

คุณพร้อมหรือยัง? หากคำตอบคือ “ยังไม่แน่ใจ” — นั่นแปลว่าคุณควรเริ่มดำเนินการทันที

📌 เริ่มต้นตรวจสอบความพร้อมด้าน PDPA ขององค์กรคุณได้แล้ววันนี้!

• 📋 ทำ Gap Analysis
• 🛡️ ตรวจสอบความเสี่ยงข้อมูลรั่วไหล
• 📚 จัดอบรมพนักงานให้เข้าใจสิทธิและหน้าที่ภายใต้ PDPA
• 🧰 ใช้เครื่องมือจัดการคำขอจากเจ้าของข้อมูลอย่างเป็นระบบ

อย่ารอให้เหตุการณ์ข้อมูลรั่วไหลครั้งต่อไปเกิดขึ้นกับธุรกิจของคุณ

เพราะ “การป้องกัน” คือการลงทุนที่คุ้มค่าที่สุดในยุคที่ข้อมูลเป็นทรัพย์สิน

สนใจบริการหรือสอบถามเพิ่มเติม

โทร 089-698-2591

รับชมบริการอื่นของเราได้ที่ t-reg.co