ไมโครซอฟท์ ย้ำถึงมาตรการรับมือพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA : Personal Data Protection Act) ที่จะเริ่มบังคับใช้ภายใน 2 เดือนข้างหน้า พร้อมแนะนำ 7 ขั้นตอนที่องค์กรธุรกิจต้องทำในช่วงโค้งสุดท้ายก่อนครบกำหนดเวลาบังคับใช้
นายโอม ศิวะดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่า หลังจากที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ได้ผ่านการพิจารณาและเผยแพร่ทางราชกิจจานุเบกษาไปในช่วงกลางปี 2562 ที่ผ่านมา มีองค์กรและธุรกิจจำนวนไม่น้อยในประเทศไทยที่หันมาให้ความสนใจในการปรับเปลี่ยนแนวทางการทำงาน ยกระดับมาตรฐานต่าง ๆ ให้เป็นไปตามกรอบข้อบังคับด้านความเป็นส่วนตัวข้อมูลในกฎหมายฉบับนี้
ขณะเดียวกัน ยังมีองค์กรอีกจำนวนไม่น้อยที่ยังไม่สามารถปรับเปลี่ยนระบบงานได้อย่างทั่วถึงและสมบูรณ์ ส่วนความต้องการในด้านการค้นหา จัดเก็บ และประมวลผลข้อมูล ก็ยังคงเพิ่มขึ้นอย่างรวดเร็ว และยังอาจขยายตัวไปถึงข้อมูลในรูปแบบใหม่ ๆ มากมาย จึงทำให้การปรับตัวให้รองรับมาตรฐานใหม่อย่างถูกต้องตามกฎหมายเป็นภารกิจที่ซับซ้อนไม่น้อย
โดยที่ปัจจุบันองค์กรธุรกิจขนาดใหญ่ส่วนมากได้ดำเนินการณ์เพื่อรองรับพรบ.ฉบับดังกล่าวไปแล้วกว่า 70% แต่กลายเป็นว่าองค์กรธุรกิจขนาดกลาง และขนาดเล็กส่วนใหญ่ยังอยู่ในระหว่างการศึกษาแนวทางในการปฏิบัติตามกฏหมาย
ด้วยเหตุนี้ ทางไมโครซอฟท์ จึงได้รวบรวมขั้นตอนที่องค์กรธุรกิจ โดยเฉพาะเอสเอ็มอี สามารถนำไปประยุกต์ใช้ในการวางระบบให้ได้มาตรฐานออกเป็น 7 ขั้นตอนใหญ่ ได้แก่
1. การแยกแยะข้อมูลส่วนบุคคลออกจากข้อมูลที่ไม่มีโครงสร้างแน่นอน (Unstructured Data) ซึ่งอาจครอบคลุมทั้งข้อมูลที่จัดเก็บอยู่ในระบบที่ติดตั้งอยู่ภายในองค์กรเอง ในระบบคลาวด์ของไมโครซอฟท์อย่าง Office 365 หรือแอปพลิเคชันคลาวด์อื่น ๆ
2. ปกป้องข้อมูลในทุกช่องทาง ตั้งแต่ระบบขององค์กร ระบบคลาวด์ ไปจนถึงอุปกรณ์พกพา โดยสามารถใช้การเข้ารหัส ซึ่งอาจทำได้ทั้งกับตัวข้อมูลเอง อุปกรณ์ที่จัดเก็บข้อมูล หรือแอปพลิเคชันที่จัดการกับข้อมูล นอกจากนี้ Office 365 ยังมีตัวช่วยให้ผู้จัดการระบบสามารถจัดประเภทข้อมูลได้อย่างมีประสิทธิภาพ แยกแยะและแนะนำว่าข้อมูลแบบใดควรหรือไม่ควรนำไปใช้งานอย่างไรบ้าง
3. ควบคุมการเข้าถึงข้อมูลโดยละเอียด ด้วยมาตรการป้องกันที่นอกเหนือจากรหัสผ่านทั่วไป ซึ่งอาจเป็นได้ทั้งการใช้ข้อมูลทางชีวภาพของผู้ใช้อย่างลายนิ้วมือ ใบหน้า หรือดวงตา และการใช้อุปกรณ์อย่างสมาร์ทโฟนหรือสมาร์ทการ์ดของผู้ใช้ที่ได้รับอนุญาตเป็นกุญแจร่วมกับรหัสผ่าน
4. ค้นหาและควบคุมแอปพลิเคชันคลาวด์ที่เข้าถึงข้อมูลส่วนบุคคล นับตั้งแต่การประเมินความเหมาะสมของการใช้งานแอปพลิเคชันนั้น ๆ ภายใต้กฎหมายใหม่ กำหนดรูปแบบวิธีการใช้งานแอปพลิเคชันให้ชัดเจน และปกป้องข้อมูลที่แอปเหล่านี้สามารถเข้าถึงได้
5. เฝ้าระวังและรับมือกับความเสี่ยง พร้อมลงมือแก้ไขก่อนที่จะเกิดความเสียหาย ทั้งจากการจู่โจมจากภายนอก และการกระทำของพนักงานภายในองค์กรเอง ไม่ว่าจะตั้งใจหรือไม่ก็ตาม พร้อมด้วยมาตรการลดความเสียหายจากการจู่โจม ปัจจุบัน ระบบ Advanced Threat Protection ของ Office 365 สามารถช่วยจัดการกับความเสี่ยงในหลายระดับ เช่นการตรวจจับไฟล์แนบอีเมลหรือลิงก์ที่อาจเป็นอันตราย ก่อนที่ผู้ใช้จะได้เปิดไฟล์หรือลิงก์ขึ้นมาด้วยตัวเอง เป็นต้น
6. ประเมินมาตรฐานการปฏิบัติงานทุกขั้นตอน ด้วยโซลูชั่นอย่าง Compliance Manager ที่สามารถประเมินและให้คะแนนการปฏิบัติงานขององค์กรตามมาตรฐานและกฎหมายต่าง ๆ ตามข้อมูลระบบงานของผู้ดูแล พร้อมให้คำแนะนำที่เหมาะสมสำหรับการพัฒนาระบบต่อไป
7. เตรียมตัวรับมือคำข้อจากเจ้าของข้อมูลส่วนบุคคล (Data Subject Request) ด้วยบริการเช่น Data Privacy Dashboard ใน Office 365 ที่ช่วยบริหารจัดการและติดตามคำขอดังกล่าวได้ พร้อมรองรับการค้นหาข้อมูลส่วนบุคคลหลากหลายประเภทในทุกแอปพลิเคชันของ Office
“แพลตฟอร์มคลาวด์ของไมโครซอฟท์มีเทคโนโลยีที่ทำงานผสานกันทั่วถึงทั้งระบบ ทั้งยังมีการสนับสนุนอย่างรอบด้านจากพันธมิตรทั่วประเทศ จึงพร้อมปกป้องข้อมูลส่วนบุคคลตามมาตรฐานของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลในทุกระดับ ไม่ว่าองค์กรจะใช้งานโครงสร้างพื้นฐานทางเทคโนโลยีในรูปแบบไหน ทั้งยังมาพร้อมกับระบบรักษาความปลอดภัยที่แน่นหนา ช่วยลดความเสี่ยง จำกัดความเสียหาย และขับเคลื่อนการฟื้นฟูระบบหากเกิดการโจมตี”
