“ถุงโตเกียวลายผู้ป่วย-ขนมเบื้องหน้าบุ๊กแบงก์-กล้วยแขกสำเนาบัตร” มหากาพย์ข้อมูลรั่วเอาผิดได้!!

ถุงกระดาษแห่งความลับ!! เมื่อประวัติส่วนตัวและข้อมูลส่วนบุคคล ที่ควรถูกจัดเก็บอย่างรัดกุม กลับกลายมาเป็นส่วนประกอบของเมนูข้างทางซ้ำๆ ซากๆ คำถามเรื่อง“การเอาผิดหน่วยงาน” จึงเกิดขึ้น

ชั่งกิโลขาย!! “ข้อมูลที่ไม่ควรรั่วไหล”

เอาเข้าจริงๆ ประเทศไทย ถ้าแฮกเกอร์ต้องการล้วงความลับ บางทีอาจจะไม่ต้องใช้เทคนิค หรือเทคโนโลยีอะไรมากมายก็ได้ เพราะแค่เดินไปชื้อ “กล้วยแขก” ก็แทบจะได้ข้อมูลทุกอย่างของพี่น้องชาวไทยไปแล้ว

ไม่ได้พูดเกินจริง เพราะล่าสุดแฟนเพจชื่อดังอย่าง “หมอแล็บแพนด้า”เพิ่งโพสต์ถึงเคส “เอกสารหลุด” อีกแล้ว ครั้งนี้เป็นข้อมูลของผู้ป่วยโรงพยาบาลดัง ที่มาในรูปแบบ "ถุงขนมโตเกียว”
“แฟนเพจแจ้งว่า เจอขนมโตเกียวใส่ถุงพับจากเอกสารOPD (Out-Patient-Department :ผู้ป่วยนอก)รพ.แห่งหนึ่งใน จ.อุบลราชธานี รายละเอียดครบเลย เป็นเพศชายติดเชื้อไวรัสตับอักเสบบี จะกินต่อหรือพอแค่นี้”

{เอกสารข้อมูลผู้ป่วย ที่กลายเป็น “ถุงขนมโตเกียว”}

ล่าสุด “กรมสนับสนุนบริการสุขภาพ (สบส.)”ได้สั่งตรวจสอบโรงพยาบาลเอกชนดังกล่าวแล้ว หากพบว่า “ผิดจริง”เรื่องการทำเอกสารหลุด จะ “ลงโทษตามกฎหมาย”แต่ถ้าไม่ใช่ก็จะแค่ดำเนินการ “ตักเตือน”

หลังเรื่องนี้เป็นประเด็นร้อนได้ไม่นาน อีกเคสสะท้อนความไม่ปลอดภัยระบบข้อมูลส่วนตัวในบ้านเรา ก็ผุดขึ้นมาเพิ่มอีก รอบนี้มาในรูปแบบ “ขนมเบื้อง”หลังแฟนเพจวิเคราะห์สังคมชื่อดังอย่าง“Drama-addict”ออกมาโพสต์ภาพจากลูกเพจ ซึ่งได้ของแถมเป็น “ถุงขนมลายบัตรประชาชน”

“วันก่อนไปซื้อขนมเบื้องตามรถเข็นทั่วไป แล้วใส่ถุงกระดาษ และพบว่าถุงกระดาษที่ใส่มา คือเอกสารที่ถูกปรินท์สี มีข้อมูล บัตรประชาชน หน้าสมุดบุ๊กแบงก์ ลายเซ็น ครบเลย”

{“ถุงขนมเบื้อง” ลายบัตรประชาชน ภาพสีพร้อมลายเซ็น}

“ข้อมูลส่วนตัว” กับ “ถุงกระดาษ” เหมือนจะเป็นของคู่กัน เพราะเมื่อปีที่แล้วก็มีบางคน ได้ถุงขนมลาย “สำเนาทะเบียนบ้าน”เหมือนกัน จึงขอร้องเรียนผ่านแฟนเพจ“Drama-addict” เช่นเคย

“ก่อนหน้านี้ได้สำเนาบัตรประจำตัวประชาชน ที่มีลายเซ็นกำกับ บางครั้งก็เป็นข้อมูลบางส่วนที่กรอกให้กับบริษัทประกัน ที่เป็นมหาชนบริษัทหนึ่ง
อาทิตย์ที่แล้วได้ bank details ของใครไม่รู้ ล่าสุดอาทิตย์นี้ได้สำเนาทะเบียนมาคะ”

และถ้าย้อนไปเมื่อปี 64 สาวรายหนึ่งแค่อยากกิน “กล้วยแขก”แต่กับได้ “สำเนาบัตรประชาชน”พร้อมลายเซ็นของใครไม่รู้มาเป็นของแถม

“สวัสดีค่ะ วันนี้ไปซื้อกล้วยทอดมา แล้วได้ห่อกล้วยทอดมาแบบนี้ ถามป้าที่ขายว่าบัตรประชาชนคนที่บ้านป้ารึเปล่า ต้องไปทำลายทิ้งนะ
ป้าบอกไม่ใช่ของบ้านป้า สบายใจได้ กระดาษนี่ ป้าไปรับชั่งกิโลมาจากสำนักงาน...”

{ห่อกล้วยแขก ที่ถูกขายมาจาก ‘สำนักงาน...’}

“เอาผิดได้” ถ้าเจ้าตัวรู้

เหตุการณ์เอกสารสำคัญหลุด ข้อมูลส่วนตัวถูกเปิดเผยแบบนี้ ทำไมมันยังเกิดขึ้นซ้ำๆ ซากๆ ไม่ว่าจะผ่านไปกี่ยุคสมัยก็ตาม ส่งให้เกิดข้อสงสัยว่า ประชาชนสามารถเอาผิดหน่วยงานที่รับผิดชอบได้หรือเปล่า?

“ดร.อุดมธิปก ไพรเกษตร”ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด และPDPA Thailand กูรูด้านความปลอดภัยข้อมูลส่วนบุคคล จึงช่วยตอบคำถามนี้ของทีมข่าวเอาไวให้

“เอาผิดได้ครับ” ซึ่งโทษมี 2 แบบคือ “โทษทางปกครอง”กับ “โทษทางอาญา” เริ่มกันที่แบบแรก อย่าง “โทษทางปกครอง”คือทุกคนสามารถไปร้องเรียนที่ “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)”โดยที่ “ไม่จำเป็นต้องเป็น เจ้าทุกข์”

พูดง่ายๆ ถ้าใครเจอว่า “ข้อมูลส่วนตัว”ของคนอื่นรั่วไหล ก็สามารถเข้าแจ้งความได้ และทางสำนักงานก็มีหน่วยงานอย่าง “ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล(PDPC Eagle Eye)” ที่คอยตรวจสอบและสอบสวนอยู่ว่า ทำข้อมูลหลุดจริงหรือไม่ และถ้าทำหลุดจริง โทษอาจเป็นการ “ตักเตือน”หรือ “ปรับ”

{“ดร.อุดมธิปก” จากPDPA Thailand}

อีกแบบคือ “โทษทางอาญา” ซึ่งมีโทษทั้งจำทั้งปรับ สูงสุด “1 ปี” หรือ “ปรับ 1 ล้านบาท” แต่แบบนี้ต้องมีเจ้าทุกข์ และผู้เสียหายต้องไปฟ้องด้วยตัวเอง “แต่เราไม่รู้ว่า ผู้เสียหายเขารู้ตัวหรือเปล่า”

ทุกวันนี้เรามี “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)” ที่ทุกองค์กรต้องปฏิบัติ และโดยกฎหมายบังคับว่า “หน่วยงานรัฐ”, “องค์ที่มีข้อมูลจำนวนมากเพื่อใช่ในกิจการ” และ “องค์มีข้อมูลอ่อนไหว” ต้องมี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)” อยู่ในองค์กร

เกี่ยวกับเรื่องนี้กูรูด้านความปลอดภัยข้อมูลส่วนบุคคลรายเดิม อย่าง “ดร.อุดมธิปก” บอกว่า ในเคสเอกสารทางการแพทย์หลุด จริงๆ โรงพยาบาลอยู่ในข่าย “องค์กรที่มีข้อมูลอ่อนไหว” ทุกโรงพยาบาลต้องมี “เจ้าหน้าDPO”

“ปัญหาส่วนใหญ่ของโรงพยาบาล ไม่ว่ารัฐหรือเอกชน คือไม่มีเจ้าหน้าที่ DPO ประเด็นแรก ประเด็นที่ 2 คือ ไม่ได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล”

ปัญหาหลักๆ คือ “ไม่ลบ-ทำลาย”

กูรูจากPDPA Thailand ยังได้วิเคราะห์ต่อว่า ทำไมเรามักเห็น “เอกสารราชการ” หรือ “ข้อมูลส่วนตัว” มาอยู่เป็นลายบนถุงกล้วยแขก ก็เพราะ “การจัดการข้อมูล” และการเปลี่ยนถ่าย “จากกระดาษ ไปสู่ระบบดิจิทัล”

กฎหมายPDPAไม่ได้พูดแค่เรื่องการจัดเก็บข้อมูลส่วนตัวที่ปลอดภัยเท่านั้น มันยังรวมไปถึงการประมวลผลเพื่อนำไปใช้ โอนถ่าย และ “การลบทำลาย” ด้วย

“ประเด็นคือ ส่วนใหญ่ในเมืองไทย เราคิดแต่เรื่องการเก็บ เก็บให้ดี ประมวลผลใช้ตามที่กฎหมายกำหนด แต่เราลืมไปว่า การลบทำลายเนี่ย มันต้องทำยังไง”

บ้านเราไม่ได้เป็น “ดิจิทัล” ตั้งแต่แรก หลายหน่วยงานยังเก็บข้อมูลต่างๆ ใน “ระบบกระดาษ” เมื่อมีการถ่ายโอนเข้าระบบดิจิทัล “มันก็เหลือกระดาษ แต่ก็ไม่ได้มีการวางแผนลบทำลาย อันนี้แหละปัญหา”

ตามระบบของ“PDPA”ข้อหนึ่งที่ต้องคำนึกคือ “ผลกระทบต่อเจ้าของข้อมูล” เมื่อเอาข้อมูลส่วนบุคคลไปลบทำลายแล้ว ต้องคิดว่าแล้วมันยังมีผลกระทบต่อเจ้าของข้อมูลอยู่หรือเปล่า นี่คือจุดที่หลายองค์กรมองข้าม

“นี่เป็นปัญหาใหญ่ขององค์กร ที่มีระบบกระดาษอยู่เยอะ แล้วก็ไม่ได้มีการวางแผนในเรื่องการลบทำลาย พอเอาข้อมูลขึ้นระบบดิจิทัลแล้ว กระดาษก็เอาไปชั่งกิโลขาย จริงๆ แล้วนั้นนี่เป็นโทษหนักมากครับ”

ทั้งนี้มีอีกหลายองค์กรที่ยังไม่เปลี่ยนผ่านเข้าสู่ระบบดิจิทัล แต่ก็ถือว่าองค์กรที่ใช้ “ระบบกระดาษ 100%” เริ่มน้อยลงเรื่อยๆ แล้วทุกวันนี้

ปัญหาอีกอย่างหนึ่งที่ยังทำให้มีถุงกล้วยแขกลายบัตรประชาชน คือ“ช่องโหว่ของกฎหมาย” ในกฎหมายบังคับใหม่ “นิติบุคล” ต้องทำPDPAอย่างเคส “โรงพยาบาล” ถ้าเป็นเอกชน แน่นอนนี่คือความรับผิดชอบของนิติบุคคล

“แต่โรงพยาบาลรัฐ ส่วนใหญ่ไม่เป็นนิติบุคคล พอไม่เป็นนิติบุคคล ประเด็นสำคัญ ใครเป็นคนรับผิดชอบ”

ปัญหานี้รวมถึงหน่วยงานรัฐด้วย พอไม่รู้ว่าใครจะรับผิดชอบ แนวทางปฏิบัติก็ไม่ชัดเจน ทำให้เจ้าหน้าที่หลายคน ไม่รู้ต้องจัดการกับข้อมูลในมือยังไง

“สุดท้ายคือ ความตระหนักเรื่องการรักษาความปลอดภัยของข้อมูลส่วนบุคคล อันนี้เป็นปัญหาในองค์กรต่างๆ ”

ถ้าองค์กรไม่มองว่า ข้อมูลส่วนตัวเหล่านี้ทั้งของ “ประชาชน” หรือ “ลูกค้า” เป็นทรัพย์สินที่ต้องปกป้อง เขาก็จะไม่ลงทุนกับความปลอดภัยส่วนนี้ และปัญหาก็จะ “เกิดขึ้นอีก” ไม่ว่าจะอยู่ในระบบกระดาษ หรือขึ้นมาเป็นดิจิทัลแล้วก็ตาม