
General Data Protection Regulation (GDPR) เป็นกฎระเบียบของสหภาพยุโรปที่ออกมาเพื่อคุ้มครองความเป็นส่วนบุคคลของประชาชนในกลุ่มประเทศดังกล่าว ในขณะที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2563 (PDPA) ของไทยที่กำลังจะประกาศใช้ในปีหน้าก็มีเนื้อหาส่วนใหญ่ล้อมาจาก GDPR เช่นกัน บทความนี้จะแสดงให้เห็นว่า โซลูชันของ Tripwire ได้แก่ Tripwire Enterprise, IP360 และ Log Center สามารถตอบโจทย์กฏหมายเหล่านี้ได้อย่างไร

ใครต้องปฏิบัติตาม GDPR/PDPA
ทั้ง GDPR และ PDPA ต่างระบุชัดเจนว่า องค์กร หน่วยงาน หรือบริษัท แบบใดที่ต้องปฏิบัติตามกฎหมายเหล่านี้บ้าง ถ้าเป็น GDPR ก็คือใครก็ตามที่ต้องเข้าไปยุ่งเกี่ยวหรือต้องบริหารจัดการ (รวบรวม จัดเก็บ ประมวลผล และ/หรือแชร์) ข้อมูลส่วนบุคคลของบุคคลที่อยู่ในสหภาพยุโรป ในขณะที่ PDPA ก็จะเป็นบุคคลที่อยู่ในราชอาณาจักรไทย โดยข้อมูลส่วนบุคคลประกอบด้วยข้อมูลอะไรก็ตามที่เกี่ยวข้องกับตัวบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อนามสกุล ที่อยู่ เลขบัตรประชาชน เบอร์โทรศัพท์ รวมไปถึงข้อมูลจำเพาะทางกายภาพ สรีระ เศรษฐกิจ และสังคม สำหรับทางด้าน IT นั้น ข้อมูลส่วนบุคคลอาจรวมไปถึงหมายเลข IP และ MAC โดยผู้ที่ต้องปฏิบัติตามกฎหมายดังกล่าวจะแบ่งออกเป็น 2 กลุ่ม คือ ผู้ดูแลข้อมูล (Data Owners หรือ Data Controllers) และผู้ประมวลผลข้อมูล (Data Processors)
ทำไมถึงต้องให้ความสำคัญกับ GDPR/PDPA
เหตุ Data Breach นอกจากจะส่งผลกระทบต่อฐานลูกค้าและภาพลักษณ์ขององค์กรแล้ว ความล้มเหลวที่ไม่สามารถปฏิบัติตามข้อกำหนดของ GDPR อาจส่งผลให้บริษัทหรือองค์กรถูกปรับสูงสุดถึง 20 ล้านยูโร (ประมาณ 732 ล้านบาท) หรือ 4% ของรายได้ที่บริษัทหรือองค์กรทำได้จากทั่วโลก ถึงแม้ว่า PDPA ของไทยจะมีอัตราค่าปรับต่ำกว่า คือสูงสุด 5,000,000 บาท แต่มีโทษจำคุกพ่วงมาด้วย ระหว่าง 6 เดือนถึง 1 ปี
เตรียมพร้อมสำหรับ GDPR/PDPA
แม้ว่าหลายบริษัท/องค์กรจะมีมาตรการควบคุมสำหรับปกป้องข้อมูลสำคัญของตนอยู่แล้ว แต่ส่วนใหญ่ยังไม่ได้เตรียมพร้อมสำหรับ GDPR และ PDPA รายงานจาก Ipswitch พบว่า มากกว่า 2 ใน 3 ของผู้ที่อยู่ในสายงาน IT ระบุว่า พวกเขาจำเป็นต้องลงทุนในเทคโนโลยีหรือบริการใหม่เพื่อเตรียมธุรกิจของตนให้พร้อมรับ GDPR สำหรับ PDPA ก็ไม่ต่างกันมากนัก โดยเฉพาะเมื่อเกิดวิกฤตการณ์ COVID-19 ที่ทำให้ธุรกิจและการลงทุนของหลายๆ บริษัท/องค์กรทั่วไทยต้องชะลอตัว การเตรียมพร้อมสำหรับ PDPA หยุดชะงัก จนทำให้รัฐบาลต้องประกาศเลื่อนการบังคับใช้กฏหมายออกไปเป็นเดือนพฤษภาคม 2021 แทน
โซลูชันจาก Tripwire ตอบโจทย์ GDPR/PDPA ได้อย่างไร
Tripwire เป็นผู้นำทางด้านมาตรการควบคุมสำหรับ Compliance, Security และ IT Operations ซึ่งทั้ง GDPR และ PDPA ต่างกำหนดให้บริษัท/องค์กรต้องวางมาตรการควบคุมด้านความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลส่วนบุคคล ไม่ว่าจะเป็นของลูกค้าหรือของตัวพนักงานเอง นอกจาก Tripwire จะเข้ามาช่วยวางมาตรการควบคุมที่ได้มาตรฐานตรงตามข้อกำหนดแล้ว ยังช่วยประเมินระบบว่าดำเนินงานสอดคล้องกับ GDPR หรือไม่ รวมไปถึงช่วยจัดการเรื่อง Auditing และ Reporting อีกด้วย
โซลูชันของ Tripwire ประกอบด้วย File Integrity Monitoring, Configuration Management, Asset Discovery, Vulnerability Management และ Log Collection ซึ่งตอบโจทย์ GDPR/PDPA ที่เน้นการเฝ้าระวังและติดตามสินทรัพย์ไซเบอร์ได้เป็นอย่างดี โดยโซลูชันเหล่านี้จะช่วยค้นหาข้อมูลและสินทรัพย์ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล รวมไปถึงระบุช่องโหว่และระดับความเสี่ยงของสินทรัพย์เหล่านั้น นอกจากนี้ยังมีการจัดเก็บ Log สำหรับใช้ติดตามเหตุการณ์ที่เกิดขึ้นได้อีกด้วย

ตารางด้านล่างแสดงข้อกำหนดของ GDPA และโซลูชันของ Tripwire ช่วยตอบโจทย์ได้อย่างไร

ถึงแม้ว่าตอนนี้ทาง Tripwire จะยังไม่ได้ออกตารางเปรียบเทียบโซลูชันกับ PDPA ของไทย แต่ด้วยความคล้ายคลึงกันระหว่าง GDPR และ PDPA สามารถนำข้อมูลด้านบนไปประยุกต์ใช้เพื่ออ้างอิงได้เช่นกัน
ผู้ที่สนใจสามารถดาวน์โหลด White Paper เรื่อง “Tripwire and GDPR: Achieve Compliance Using Foundational Controls” มาศึกษาเพิ่มเติมได้ที่ https://www.tripwire.com/solutions/compliance-solutions/gdpr/tripwire-and-gdpr-achieving-compliance-with-foundational-controls-register
สอบถามรายละเอียดเพิ่มเติมเกี่ยวกับโซลูชันของ Tripwire ติดต่อ
- Yong Hong Ow (ohong@tripwire.com), Tripwire Sales Manager, Tripwire
- เอกวิทย์ พรหมสิทธิ์ (ekkawit@mtechpro.com), Product Manager, M-Solutions Technology (Thailand) Co., Ltd.