“กระทรวงดิจิทัลฯ”
เดินหน้ามาตรการคุ้มครองข้อมูลส่วนบุคคล เร่งดำเนินการ 3 ระยะ 30 วัน, 6 เดือน, 1 ปี
ผลักดันแก้ไขกฎหมาย ปกป้องประชาชนจากการโจรกรรมข้อมูลทุกมิติ สั่ง “สคส.”
ตรวจสอบด่วนกรณีผู้ปกครองร้องถูกใช้ข้อมูลในใบงานบุตร โทรศัพท์มาขายประกัน
วันที่
22 พฤศจิกายน 2566 นายประเสริฐ จันทรรวงทอง
รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) เปิดเผยว่า
ที่ประชุมคณะรัฐมนตรี (ครม.) เมื่อวันที่ 21 พฤศจิกายน 2566 รับทราบมาตรการคุ้มครองข้อมูลส่วนบุคคล ตามที่กระทรวง MDES เสนอเพื่อป้องกันและแก้ไขปัญหาการโจรกรรมข้อมูลส่วนบุคคลของประชาชน
ซึ่งเป็นภัยคุกคามคนไทยอย่างหนักในปัจจุบัน โดยแบ่งเป็นระยะเร่งด่วน 30 วัน , ระยะ 6 เดือนและระยะ 1 ปี
ซึ่งครอบคลุมการแก้ไขปัญหาและปกป้องข้อมูลส่วนบุคคลของประชาชนในทุกมิติ
นายประเสริฐ
กล่าวว่า สืบเนื่องจากมติ ครม. เมื่อวันที่ 7 พฤศจิกายน 2566 มอบหมายให้กระทรวงดิจิทัลฯ และกระทรวงมหาดไทย
เสนอแนวทางป้องกันและคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลฯ
ได้หารือกับหน่วยงานที่เกี่ยวข้องแล้วและได้กำหนดมาตรการการดำเนินการเป็น 3 ระยะ ประกอบด้วย ระยะเร่งด่วน 30 วัน
ได้มอบหมายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้จัดตั้งศูนย์ PDPC
Eagle Eye ซึ่งเร่งดำเนินการมาตั้งแต่วันที่ 9-20 พฤศจิกายน 2566 ตรวจสอบหน่วยงานภาครัฐและภาคเอกชน
จำนวน 3,119 หน่วยงาน
พบความเสี่ยงข้อมูลรั่วไหลและได้ดำเนินการแจ้งเตือน จำนวน 1,158 เรื่อง ซึ่งหน่วยงานได้ดำเนินการแก้ไขแล้ว 781
เรื่อง ส่วนกรณีอื่นๆ อยู่ระหว่างการดำเนินการโดยเร็ว
นอกจากนี้ยังพบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง
ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี
(บช.สอท.) ทั้งนี้ศูนย์ PDPC Eagle Eye มีเป้าหมายตรวจสอบ 9,000 หน่วยงาน ภายใน 30 วัน
นายประเสริฐ
กล่าวว่า
นอกจากนี้ยังมอบหมายให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
(สกมช.) ตรวจสอบช่องโหว่ของระบบ cybersecurity โดยได้ดำเนินการตั้งแต่วันที่ 9-20 พฤศจิกายน 2566 พบช่องโหว่ในหน่วยงานต่างๆ 91 หน่วยงาน มีความเสี่ยงระดับสูงจำนวน 21 หน่วยงาน
ซึ่งได้มีการแจ้งแก้ไขแล้วทั้ง 91 หน่วยงาน
รวมถึงได้มีการตรวจพบการโจมตีทางไซเบอร์ เกี่ยวกับข้อมูลส่วนบุคคล จำนวน 11 เหตุการณ์ แบ่งเป็น 1. กรณีข้อมูลรั่วไหล (Data
Leak) พบ 8 เหตุการณ์ ซึ่งได้ส่งเรื่องให้
สคส. ดำเนินการตามกฎหมายแล้ว และ 2.กรณีข้อมูลถูกละเมิดหรือถูกโจมตี
(Data Breach) พบ 3 เหตุการณ์
ซึ่งก็ได้ส่งเรื่องให้ บช.สอท. สืบสวนดำเนินคดี
นายประเสริฐ
กล่าวว่า รวมทั้งยังได้มีแนวทางในการสร้างความตระหนักรู้ให้กับประชาชน
โดยเมื่อวันที่ 16 พฤศจิกายน 2566 สคส. และ สกมช.
ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย
สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย
รวมถึงเครือข่ายภาคสื่อมวลชนได้มีการจัดอบรม DPO (Data Protection Officer)
สำหรับหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลจำนวนมาก จำนวน 85 หน่วยงาน เพื่อสร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
รวมไปถึงยังได้มีแนวทางในการปราบปรามและขยายผลคดี
โดยเร่งรัดมาตรการปิดกั้นกรณีการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย
และสืบสวนดำเนินคดี ตลอดจนจับกุมผู้กระทำความผิดโดยเร็ว ซึ่งจากการตรวจสอบพบกรณีซื้อขายข้อมูลส่วนบุคคล
3 เรื่อง ซึ่งอยู่ในระหว่างการขยายผล
นายประเสริฐ
กล่าวอีกว่า สำหรับระยะ 6 เดือน
ได้ดำเนินการเร่งรัดการใช้คลาวด์กลางภาครัฐพบว่าหลายหน่วยงานไม่ได้จัดให้มีระบบการรักษาความมั่นคงปลอดภัยที่ดีพอ
ขาดคน IT และ Cybersecurity
นายประเสริฐ
กล่าวว่า สำหรับระยะ 1 ปี จะมีการปรับปรุงกฎหมายที่เกี่ยวข้องทั้งระบบ อาทิ การแก้ไข
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ให้อำนาจ สคส.
ฟ้องร้องดำเนินคดีได้เอง ในกรณีซื้อขายข้อมูลและมีบทลงโทษที่ชัดเจน, พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562
ให้มีบทลงโทษ กรณีหน่วยงานไม่ปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์,
พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2562 ให้มีฐานความผิดกรณีซื้อขายข้อมูลส่วนบุคคลด้วย
นายประเสริฐ
กล่าวว่า ข้อมูลส่วนบุคคลของประชาชนเป็นเรื่องใหญ่ที่กระทรวงดิจิทัลฯ ให้ความสำคัญ
ล่าสุดกรณีที่มีผู้ปกครองในพื้นที่จังหวัดขอนแก่นระบุถูกบริษัทประกันชีวิตใช้ข้อมูลส่วนตัวจากการกรอกใบงานของบุตรในการโทรศัพท์มาขายประกัน
อาจเข้าข่ายการละเมิดข้อมูลส่วนบุคคล ซึ่งได้สั่งการให้
สคส.ดำเนินการตรวจสอบโดยด่วน และอาจจะต้องเชิญบริษัทประกันชีวิตที่ถูกอ้างถึงมาชี้แจงด้วย
