เจไอบี คอมพิวเตอร์ กรุ๊ป ประกาศยกระดับมาตรการป้องกันและรักษาความปลอดภัยข้อมูล หลังถูกสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สั่งปรับ 7 ล้านบาท กรณีข้อมูลการซื้อสินค้าและข้อมูลส่วนบุคคลของลูกค้าเจไอบีจำนวนมากรั่วไหล และมีผู้เสียหายปรากฏเป็นข่าวมาแล้ว
วันนี้ (27 ส.ค.) รายงานข่าวแจ้งว่า เฟซบุ๊ก JIB Computer Group ของบริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด ได้ออกจดหมายเปิดผนึกถึงลูกค้า เมื่อวันที่ 25 ส.ค.ที่ผ่านมา ระบุว่า "เรียน ลูกค้าผู้มีอุปการคุณทุกท่าน
จากเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลที่เกิดขึ้น มีสาเหตุจากการเข้าถึงข้อมูลส่วนบุคคลของผู้ที่ไม่ได้รับอนุญาตจากนอกบริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด และนำข้อมูลส่วนบุคคลและข้อมูลการซื้อสินค้าของลูกค้าบางส่วนไปเผยแพร่และสร้างความเสียหาย แม้ว่าทางบริษัทฯ จะมีมาตรการและระบบรักษาความมั่นคงปลอดภัยอยู่แล้วก็ตาม
ทางบริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด ดำเนินการรับผิดชอบกับเหตุการณ์ที่เกิดขึ้น โดยการยกระดับมาตรการป้องกันและรักษาความปลอดภัยข้อมูล เพื่อเป็นหลักประกันว่าข้อมูลส่วนบุคคลที่อยู่ภายใต้การควบคุมภายในของบริษัทฯ จะมีความมั่นคงปลอดภัยจากภัยคุกคามต่างๆ รวมถึงมีการจ้างบริษัทผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ และทีมกฎหมายมืออาชีพ เข้ามาร่วมตรวจสอบและแก้ไขอย่างเร่งด่วน เพื่อเพิ่มความมั่นใจในมาตรฐานการรักษาความปลอดภัยของข้อมูลให้มากยิ่งขึ้น ตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังนี้
1. ปรับปรุงมาตรการด้านความมั่นคงปลอดภัย : บริษัทฯ มีการดำเนินการปรับปรุงการป้องกัน การเข้าถึงและการทำปิดบังข้อมูลสำคัญในระบบสารสนเทศและเว็บไซต์ รวมถึงปรับปรุงระบบเครือข่ายและโครงสร้างพื้นฐานของบริษัทให้แข็งแรงมากขึ้น
2. แต่งตั้งคณะทำงานผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย : บริษัทฯ ได้แต่งตั้งคณะทำงานผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยเพื่อดำเนินการร่วมงานกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อควบคุมดูแลการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายและมาตรฐานสากล
3. ส่งเสริมและพัฒนาศักยภาพของบุคลากร : บริษัทฯ ดำเนินการจัดอบรมให้พนักงานทุกคนมีความรู้ความเข้าใจเกี่ยวกับความมั่นคงปลอดภัยและความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลที่ถูกต้อง
4. การเยียวยาและการแสดงความรับผิดชอบ : เราตระหนักถึงความเสียหายที่อาจเกิดขึ้นกับท่าน และเรามุ่งมั่นที่จะแสดงความรับผิดชอบอย่างเต็มที่และเหมาะสมเพื่อเยียวยาความเสียหายที่อาจเกิดขึ้นกับท่าน รวมถึงการให้ข้อมูลและคำแนะนำเกี่ยวกับวิธีการป้องกันตนเองจากภัยคุกคามที่อาจเกิดขึ้น
5. ทางบริษัทฯ ไม่มีนโยบายให้พนักงานทักหาลูกค้า เพื่อขอคืนเงิน คืนสินค้า หรือเปลี่ยนแปลงข้อมูลใดๆ และ/หรือ หากมีการแจ้งให้ทำธุรกรรมทางการเงิน โปรดสังเกตที่ชื่อบัญชีธนาคารของบริษัทฯ ทุกธนาคาร จะเป็นชื่อบัญชี เจ.ไอ.บี. คอมพิวเตอร์ กรุ๊ป จำกัด เท่านั้น
หากพบพฤติกรรมไม่พึงประสงค์ โปรดอย่าหลงเชื่อโดยเด็ดขาด หากมีข้อสงสัยสามารถตรวจสอบข้อมูลเพิ่มเติมได้ที่ Call Center : 02-017-4444 ตลอด 24 ชั่วโมง
บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด ขออภัยอีกครั้งสำหรับเหตุการณ์ที่เกิดขึ้น และขอให้ลูกค้าทุกท่านโปรดมั่นใจว่า บริษัทฯ จะพยายามอย่างเต็มที่เพื่อรักษาความปลอดภัยของข้อมูลของท่าน และสร้างความมั่นใจในการใช้บริการของเราต่อไป โดยท่านสามารถศึกษาวิธีการป้องกันเพิ่มเติมได้ที่เว็บไซต์ของบริษัทฯ
ขอแสดงความนับถืออย่างสูง
บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด"
รายงานข่าวเพิ่มเติมระบุว่า ก่อนหน้านี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ร่วมกับกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโลยี (บก.ปอท.) ได้เรียกให้ บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด เข้าชี้แจงถึงข้อเท็จจริงสืบเนื่องจากกรณีที่เป็นข่าวในสื่อสังคมออนไลน์ถึงการรั่วไหลของข้อมูลการซื้อสินค้าและข้อมูลส่วนบุคคลของลูกค้าเจไอบีจำนวนมาก
กระทั่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัล และอื่นๆ) สคส. มีคำสั่งลงวันที่ 31 ก.ค. 2567 ให้บริษัทเอกชนปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด โดยคำสั่งฯ ระบุโทษทางปกครองและค่าปรับรวมสูงถึง 7,000,000 บาท หลังจากก่อนหน้านี้มีกรณีข้อมูลส่วนบุคคลของลูกค้าบริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์รั่วไหลจำนวนมาก ส่งผลให้มีผู้ได้รับความเสียหายผ่านการใช้ข้อมูลส่วนบุคคลโดยไม่ชอบ จนเป็นข่าวในสื่อสังคมออนไลน์ และมีการเรียกบริษัทมาชี้แจงเกี่ยวกับเหตุละเมิดดังกล่าวต่อ สคส.แล้ว
จากการตรวจสอบพบว่าเป็นข้อมูลการซื้อสินค้าและข้อมูลส่วนบุคคลของลูกค้าบริษัทจริง และมีความบกพร่องในการทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในหลายประเด็น ทั้งนี้ สคส.ได้รวบรวมพยานหลักฐานเกี่ยวกับการกระทำผิดตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเพื่อส่งให้คณะกรรมการผู้เชี่ยวชาญพิจารณาโทษทางปกครองต่อไป ทั้งนี้ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 มีคำสั่งตัดสินให้บริษัทดังกล่าวรับโทษปรับทางปกครองภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายลำดับรอง ใน 3 ประเด็น ใน 3 ได้แก่
1. กรณีไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ปรับ 1,000,000 บาท
2. กรณีไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ปรับ 3,000,000 บาท
3. กรณีไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ปรับ 3,000,000 บาท
นอกเหนือจากการสั่งปรับทางปกครองแล้ว ในประกาศดังกล่าวยังมีแนวทางที่คณะกรรมการผู้เชี่ยวชาญฯ มีคำสั่งออกมาให้บริษัทปฏิบัติตาม ได้แก่ 1. ให้ปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยเพื่อป้องกันไม่ให้ข้อมูลรั่วไหล 2. จัดอบรมบุคลากรที่เกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 3. เพิ่มเติมมาตรการรักษาความมั่นคงปลอดภัยให้ทันกับเทคโนโลยีที่เปลี่ยนแปลง และ 4. แจ้งความคืบหน้าให้สคส.ทราบภายใน 7 วัน โดยหากไม่ปฏิบัติตาม ระวางโทษปรับเพิ่มอีกสูงสุดไม่เกิน 500,000 บาท ตามกฎหมาย PDPA มาตรา 89
