สำหรับมาตรฐาน ISO/IEC 27001 (ไอเอสโอ/ไออีชี 27001) และ ISO/IEC 17799 (ไอเอสโอ/ไออีชี 17799) เป็นมาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัย ให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ระหว่างมาตรฐานทั้งสองสามารถอธิบายได้ดังนี้ มาตรฐาน ISO/IEC 27001 (ไอเอสโอ/ไออีชี 27001) เป็นมาตรฐานที่กำลังได้รับความนิยมอย่างแพร่หลายในปัจจุบัน และกล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS : Information Security Management (อินฟอเมชั่น
ชิคิลิตี้ เมเนจเม้นต์) ให้กับองค์กร ซึ่งวัตถุประสงค์ของมาตรฐานนี้เพื่อให้องค์กร สามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่ มาตรฐาน ISO/IEC 17799 (ไอเอสโอ/ไออีชี 17799)
เป็นมาตรฐานที่กล่าวถึงเรื่องของวิธีปฎิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC 27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฎิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้ ซึ่งหัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐานดังกล่าว มีดังนี้
สรุป ส่วนมาตรฐาน ISO/IEC 17799 (ไอเอสโอ/ไออีชี 17799) จะเน้นเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบ ISMS (ไอเอสเอ็มเอส) ที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามมาตรฐาน ISO/IEC 27001 (ไอเอสโอ/ไออีชี 27001) กำหนดไว้ด้วย มาตรฐานสากล ISO ISO คืออะไร ไอเอสโอ คือองค์การมาตรฐานสากล อ้างอิง oknation.nationtv.tv Cap & Corp Forum แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะอยู่ในช่วงชะลอการบังคับใช้ไปอีกหนึ่งปีก็ตาม แต่พระราชบัญญัตินี้ก็ถือว่าสร้างความกังวลให้แก่ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ไม่น้อย เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติหน้าที่ วิธีบริหารและขั้นตอนในการดำเนินการเก็บ รวบรวม ใช้ ประมวลผล รวมถึงการที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม โดยมีบทกำหนดโทษไว้ในกรณีที่ผู้ประกอบการไม่ปฏิบัติตามทั้งในทางแพ่งที่กำหนดให้มีค่าสินไหมเพื่อการลงโทษ (มาตรา 78) และในทางปกครองโดยกำหนดโทษปรับทางปกครองไว้ค่อนข้างสูงเพื่อปฏิบัติตามกฎหมาย ผู้ประกอบการบางส่วนให้ความสนใจไปที่การจัดทำมาตรฐานความปลอดภัยให้แก่ข้อมูลหรือ ISO 27001 (Information Security Standard) จึงมีคำถามที่ตามมาว่าหากผู้ประกอบการจัดทำมาตรฐานความปลอดภัยตามมาตรฐานของ ISO 27001 แล้วมาตรการดังกล่าวจะเพียงพอหรือไม่ในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ISO 27001 ถือเป็นแนวทางการวางมาตรการความปลอดภัยแก่ข้อมูลที่มีมาตรฐานเป็นที่ยอมรับในระดับสากล มีมาตรฐานครอบคลุมสามปัจจัยหลักในการจัดเก็บดูแลรักษาข้อมูล กล่าวคือ 1) บุคลากร 2) ขั้นตอนวิธีการ และ 3) เทคโนโลยีที่นำเข้ามาช่วยในการจัดเก็บข้อมูล โดยนอกจากเป็นการกำหนดมาตรการแล้ว การจัดทำ ISO 27001 ยังเป็นการสร้างวัฒนธรรมองค์กรในเรื่องของมาตรการความปลอดภัยของข้อมูล (Awareness of security incident) และความรู้ความเข้าใจของบุคลากรในการเฝ้าระวัง (Monitor) และรายงานสถานะความปลอดภัยหรือเหตุการณ์ด้านความปลอดภัยของข้อมูล (Detect & report security incidents) และการดำเนินการตาม ISO 27001 ยังทำให้ผู้ประกอบการต้องจัดให้มีระบบในการวางแผน พัฒนา และติดตั้งระบบการจัดการความปลอดภัยของข้อมูลหรือ Information Security Management System (ISMS) ซึ่งเป็นมาตรการและวิธีการในการจัดการความเสี่ยงทั้งในด้าน กฎหมาย (Legal) เทคนิค (Technical) และกายภาพ (Physical) โดย ISO 27001 จะให้ความสำคัญกับการจัดการใน 6 ประเด็น ดังนี้
เมื่อมีการทำมาตรฐานด้านความปลอดภัยแก่ข้อมูลให้เป็นไปตาม ISO 27001 แล้ว จะเห็นได้ว่าการจัดทำมาตรการความปลอดภัยดังกล่าวจะช่วยให้ผู้ประกอบการดำเนินการตามหน้าที่ที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดได้บางส่วนในเรื่องของความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลในมิติต่อไปนี้
แม้ว่าการจัดทำ ISO 27001 จะมีกระบวนการบางอย่างที่ทำให้ผู้ประกอบการสามารถปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้ แต่ ISO 27001 ก็เป็นเพียงมิติหนึ่งเท่านั้นเนื่องจาก ISO 27001 และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีวัตถุประสงค์ที่ต่างกัน โดยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีเป้าหมายหลักในการกำหนดมาตรฐานให้แก่องค์กรต่าง ๆ ในการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ในการปกป้องคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Data privacy) ในขณะที่ ISO 27001 มุ่งหมายเฉพาะเรื่องการสร้างมาตรการความปลอดภัยของข้อมูล (Information security) และมี “การประเมินความเสี่ยงของข้อมูล” (Information security risk assessment) เป็นหัวใจสำคัญของการทำระบบการจัดการความมั่นคงปลอดภัยของข้อมูล แต่อาจจะขาดมิติในเรื่องของกระบวนการต่าง ๆ ก่อนการได้มาซึ่งข้อมูลส่วนบุคคลและการบริหารจัดการต่าง ๆ ที่เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลไป ทั้งนี้ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of data subjects) ไว้หลายประการดังต่อไปนี้
ดังนั้น จึงเป็นหน้าที่ของผู้ประกอบการที่ต้องพัฒนาระบบการจัดการข้อมูลของตนให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เพื่อให้ผู้รับบริการสามารถใช้สิทธิอันเกี่ยวกับข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนดข้างต้นได้อีกด้วย ในทัศนะของผู้เขียนจึงเห็นว่าผู้ประกอบการไม่สามารถปฏิบัติหน้าที่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้อย่างครบถ้วนได้ด้วยการจัดให้องค์กรมีมาตราฐานตาม ISO 27001 เท่านั้น เนื่องจากแนวปฏิบัติที่ดีตาม ISO 27001 เป็นเพียงส่วนช่วยด้านความปลอดภัยของข้อมูลส่วนบุคคลซึ่งเป็นเพียงส่วนหนึ่งของการปฏิบัติตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ แต่การที่ผู้ประกอบการจะสามารถปฏิบัติตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ ได้อย่างถูกต้องครบถ้วน จะต้องพิจารณาตั้งแต่ขั้นตอนการได้มาซึ่งข้อมูลส่วนบุคคลว่าได้มาอย่างไร ชอบด้วยกฎหมายหรือไม่ มีฐานความชอบด้วยกฎหมายอย่างไร ใช้และประมวลผลข้อมูลที่ได้ในกรณีใดได้บ้าง ใครบ้างมีสิทธิเข้าถึงข้อมูลที่ได้มา และมีมาตรการด้านความมั่นคงปลอดภัยอย่างไร เป็นต้น เมื่อ ISO 27001 เป็นเพียงองค์ประกอบหนึ่งในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น ในช่วงการพักการบังคับใช้กฎหมายไว้ชั่วคราวนี้ จึงเป็นโอกาสอันดีที่ผู้ประกอบการในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลควรจะเร่งดำเนินการต่าง ๆ เพื่อให้มีมาตรการที่สอดคล้องกับกรอบและข้อกำหนดต่าง ๆ ที่กฎหมายกำหนดไว้ โดยเฉพาะการบริหารการใช้สิทธิต่าง ๆ ของเจ้าของข้อมูล ลำพัง ISO 27001 จึงยังไม่เพียงพอครับ … ศุภวัชร์ มาลานนท์ คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์ Max Planck Institute Luxembourg ชิโนภาส อุดมผล Optimum Solution Defined (OSDCo., Ltd.) |