เริ่มจากภาพรวมโครงสร้างลำดับของกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ดังรูปที่ 1 เริ่มจาก พระราชบัญญัติ (พ.ร.บ.) พระราชกฤษฎีกา (พ.ร.ฎ.) ไปจนถึง ประกาศหน่วยงานกำกับดูแล (คธอ. ฯลฯ) สรุปได้ว่า กฎหมายสำคัญด้านเทคโนโลยีสารสนเทศ/ความมั่นคงปลอดภัยสารสนเทศ/การคุ้มครองข้อมูลส่วนบุคคล ประกอบไปด้วยกฏหมาย 6 ประเภทใหญ่ๆดังนี้ (ดูรูปที่ 2)
1. กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transaction Law)
2. กฎหมายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-related Crime Law)
3. กฎหมายระบบการชำระเงิน (Payment System Law)
4. กฎหมายดิจิทัลเพื่อเศรษฐกิจและสังคม (Digital Economy and Society)
5.
กฎหมายความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Law)
6. กฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Law)
ซึ่งมีรายละเอียดดังรูปที่ 3
โดยเมื่อปลายเดือนพฤษภาคม 2562 ที่ผ่านมามีการประกาศกฏหมายใหม่สองฉบับ ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จากบทความที่ผ่านมาเราได้กล่าวถึงรายละเอียดของพระราชบัญญัติทั้งสองฉบับไปแล้ว หากแต่เรายังไม่มีรายละเอียดในการเตรียมพร้อมปฏิบัติตามกฏหมายในระดับองค์กร ในบทความนี้จะขอกล่าวถึง ภาพรวมแนวทางดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ตามลำดับ
ภาพรวมแนวทางดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์
แนวทางดำเนินการความมั่นคงปลอดภัยไซเบอร์ระดับชาติ มีแนวความคิดมาจาก กรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ของสหรัฐ (NIST Cybersecurity Framework) ดังรูปที่ 4 โดยจะเห็นปรากฏอยู่ในมาตรา 13 ของ พ.ร.บ.
ดังนั้น แนวทางในการดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ควรจะสอดคล้องกับ NIST Cybersecurity Framework ดังกล่าว ควรมี Key Activities ดังต่อไปนี้ (ดูรูปที่ 5)
กำหนดแนวทางการกำกับดูแลด้านไซเบอร์ (Cybersecurity Governance & Cyber Resilience)
กำหนดโครงสร้างการกำกับดูแล นโยบายด้านความมั่นคงปลอดภัยไซเบอร์ และกรอบการดำเนินงาน/กรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity
Framework)
กำหนดกรอบการบริหารความเสี่ยง การประเมินความเสี่ยงด้านภัยคุกคามไซเบอร์
(Cybersecurity Risk Assessment, Cybersecurity Maturity Assessment)
กำหนดแนวทางบริหารจัดการความเสี่ยงของผู้ให้บริการ Supply Chain Risk Management
ทดสอบด้านความมั่นคงปลอดภัย การตรวจสอบช่องโหว่และทดสอบเจาะระบบสำคัญ
ตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit)
พัฒนา วิธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานและการเฝ้าระวัง (ในภาวะปกติและในภาวะฉุกเฉิน)
สร้างความตระหนักภัยคุกคามไซเบอร์ การเสริมสร้างความรู้ให้กับผู้บริหารและผู้ปฏิบัติงาน
จัดให้มีระบบเฝ้าระวังและจัดการภัยคุกคามไซเบอร์
พัฒนาแผนบริหารจัดการเหตุการณ์ภัยไซเบอร์ (Cybersecurity incident response plan)
พัฒนาแผนรองรับภัยคุกคามไซเบอร์ระดับไม่ร้ายแรง ระดับร้ายแรง ระดับวิกฤติ
กำหนดกรอบการประสานกับ Thai-CERT, TB-CERT, Sector-based CERT หน่วยงานกำกับดูแล ฯลฯ
แจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฏิบัติการ
เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ไปยังสำนักงาน
แจ้งรายชื่อและข้อมูลการติดต่อของเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ดูแลระบบ (หลังจากมีประกาศฯ)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีแนวคิดมาจาก หลักการด้านการคุ้มครองข้อมูลส่วนบุคคล OECD Privacy Principles ทั้ง 8 ข้อ และ กฏหมาย GDPR ของสหภาพยุโรป
องค์กรควรมีการจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) มีการจัดทำแนวปฏิบัติ (ข้อปฏิบัติ) ในการคุ้มครองข้อมูลส่วนบุคคล
โดยนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กรควรสอดคล้องกับหลักการด้านการคุ้มครองข้อมูลส่วนบุคคล OECD Privacy Principles ทั้ง 8 ข้อ (ดรูปที่ 6) ได้แก่
1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด
2. คุณภาพของข้อมูลส่วนบุคคล
3. การระบุวัตถุประสงค์ในการเก็บรวบรวม
4. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
5. การรักษาความมั่นคงปลอดภัย
6. การเปิดเผยเกี่ยวกับการดำเนินการแนวปฏิบัติ และนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7. การมีส่วนร่วมของเจ้าของข้อมูล
8.
ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล
การดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ควรมี Key Activities ดังต่อไปนี้ (ดูรูปที่ 7)
กำหนดแนวทางการกำกับดูแลในการคุ้มครองข้อมูลส่วนบุคคล
กำหนดโครงสร้างการกำกับดูแล นโยบายการคุ้มครองข้อมูลส่วนบุคคล และกรอบการดำเนินงาน
กำหนด “ผู้ควบคุมข้อมูลส่วนบุคคล” “ตัวแทน”
กำหนด “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO Data Protection Officer)
กำหนด “ผู้ประมวลผลข้อมูลส่วนบุคคล “ตัวแทน”
พิจารณาข้อมูลต่าง ๆ ของธนาคาร เพื่อกำหนด “ข้อมูลส่วนบุคคล” ที่ต้องดำเนินการตามกฎหมายหรือกฎเกณฑ์ที่ประกาศบังคับใช้
พัฒนากรอบการกำกับดูแลและบริหารจัดการข้อมูลระดับองค์กร (Data Governance, Data Management, Data Protection)
พัฒนากรอบการบริหารความเสี่ยง การประเมินความเสี่ยง การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy/Data Protection Impact Assessment, Risk Assessment)
กำหนด Business Owner, Data Owner, Data Protection Officer
วิพัฒนาธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคล
สร้างความตระหนัก การเสริมสร้างความรู้ให้กับผู้ปฏิบัติงาน
กำหนดกรอบการประสานกับหน่วยงานกำกับดูแล หน่วยงานภาครัฐ และหน่วยงานความร่วมมืออื่นๆ
ผู้เขียนแนะนำว่า การเตรียมพร้อมกับ พ.ร.บ. ทั้งสองฉบับ ควรรีบเตรียมการตั้งแต่วันนี้ ก่อนที่หน่วยงานกำกับจะเริ่มดำเนินการตรวจสอบ หรือ ก่อนที่จะมีเหตุไม่พึงประสงค์เกิดขึ้นในองค์กรของเรา