สคส.ปรับแล้ว 21.5 ล้าน รัฐ-เอกชน ปล่อยข้อมูลรั่ว

สคส.จัดหนัก! หน่วยงานรัฐ-เอกชน ปล่อยข้อมูลรั่ว ปรับแล้ว 21.5 ล้านบาท ลั่นบังคับใช้ PDPA จริงจัง ใครละเลยความปลอดภัย เตรียมโดนเล่นงานต่อเนื่อง

เมื่อวันที่ 1 ส.ค.68 นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า รัฐบาลเดินหน้าบังคับใช้ พระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 อย่างจริงจัง เพราะเกี่ยวพันกับสิทธิพื้นฐานของประชาชน โดยเฉพาะกรณีหน่วยงานที่เก็บ ใช้ หรือเปิดเผยข้อมูลจำนวนมากแต่ไร้มาตรการความปลอดภัย เสี่ยงถูกอาชญากรฉกฉวยนำไปหลอกลวงประชาชน

เป้าหมายเชิงนโยบาย คือ ข้อมูลรั่วไหลต้องเป็นศูนย์ ซึ่งต้องพึ่งระบบคิด การจัดการความเสี่ยง และวัฒนธรรมองค์กรด้านข้อมูลส่วนบุคคลอย่างเคร่งครัด กระทรวงดีอีจะร่วมกับ สคส.ขับเคลื่อน 3 ด้าน ได้แก่ การส่งเสริมให้ทุกองค์กรมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) อย่างเป็นระบบ การพัฒนามาตรฐานความมั่นคงปลอดภัยของระบบสารสนเทศที่ทันสมัย และการรณรงค์สร้างความรู้ความเข้าใจแก่ประชาชนในการรู้เท่าทันสิทธิของตนเอง

พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กล่าวว่า คำสั่งลงโทษเกิดจากการตรวจสอบข้อเท็จจริงและพิจารณาโดยคณะกรรมการผู้เชี่ยวชาญ โดยมี 5 กรณีสำคัญเป็นอุทาหรณ์ ได้แก่ กรณีแรก หน่วยงานรัฐที่ให้บริการผ่านเว็บแอปถูกโจมตี ข้อมูลประชาชนกว่า 200,000 รายถูกนำไปขายในดาร์กเว็บ ตรวจพบใช้รหัสผ่านอ่อนแอ ขาดการประเมินความเสี่ยง ไม่ทบทวนมาตรการต่อเนื่อง และละเลยการทำข้อตกลงประมวลผลข้อมูล (DPA) กับบริษัทพัฒนาระบบ ขณะที่บริษัทพัฒนาระบบก็ไม่ได้ออกแบบมาตรการความปลอดภัยตั้งแต่ต้นและไม่มีการควบคุมการเข้าถึงข้อมูล คณะกรรมการผู้เชี่ยวชาญคณะที่ 3 สั่งปรับหน่วยงานรัฐและบริษัทเอกชน ฝ่ายละ 153,120 บาท

อีกกรณีเป็นโรงพยาบาลเอกชนขนาดใหญ่ ภาพถุงขนมทำจากเอกสารเวชระเบียนถูกเผยแพร่ในสื่อสังคมออนไลน์ ตรวจพบเวชระเบียนรั่วไหลกว่า 1,000 ฉบับ ระหว่างขั้นตอนส่งทำลายเอกสาร โรงพยาบาลทำสัญญากับกิจการขนาดเล็กให้ทำลายเอกสาร แต่ขาดการติดตามควบคุมมาตรฐาน ทำให้ข้อมูลสุขภาพซึ่งเป็นข้อมูลอ่อนไหวตามมาตรา 26 รั่วไหล อีกทั้งผู้รับจ้างนำเวชระเบียนไปพักไว้ที่บ้าน ไม่ทำตามขั้นตอนและไม่แจ้งเหตุรั่วไหล คณะกรรมการผู้เชี่ยวชาญคณะที่ 4 สั่งปรับโรงพยาบาล 1,210,000 บาท และปรับผู้ประมวลผลข้อมูล (บุคคลธรรมดา) 16,940 บาท รวม 1,226,940 บาท

ส่วนอีก 3 กรณี อยู่ในความรับผิดชอบของคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 เป็นการรั่วไหลจากธุรกิจเอกชนด้านค้าส่ง ค้าปลีก และสินค้าออนไลน์ โดยกรณีที่ 1 หน่วยงานขายอุปกรณ์คอมพิวเตอร์ ไม่จัดให้มีมาตรการความมั่นคงปลอดภัย ไม่แจ้งเหตุละเมิดต่อ สคส. และไม่มี DPO ทั้งที่เก็บข้อมูลจำนวนมาก สั่งปรับรวม 7 ล้านบาท กรณีที่ 2 หน่วยงานขายเครื่องสำอาง ไม่มีมาตรการความปลอดภัยและไม่แจ้งเหตุละเมิด สั่งปรับ 2.5 ล้านบาท กรณีที่ 3 หน่วยงานขายของเล่นสะสม ไม่มีมาตรการความปลอดภัย สั่งปรับผู้ควบคุมข้อมูล 500,000 บาท และปรับผู้ประมวลผลข้อมูล 3 ล้านบาท

"ทั้ง 5 กรณีสะท้อนชัดว่าการจัดการข้อมูลส่วนบุคคลไม่ใช่เรื่องเทคนิคหรือเอกสารเท่านั้น แต่คือความรับผิดชอบที่ต้องมีมาตรฐานความปลอดภัย การประเมินความเสี่ยงสม่ำเสมอ และกลไกกำกับติดตามที่โปร่งใส เพื่อคุ้มครองสิทธิประชาชน สคส. อยู่ระหว่างพิจารณาคดีอื่นอีกจำนวนมาก และจะเดินหน้าบังคับใช้กฎหมายอย่างเคร่งครัดควบคู่มาตรการเชิงรุก เพื่อผลักดันให้ข้อมูลรั่วไหลต้องเป็นศูนย์ กลายเป็นเป้าหมายร่วมของทุกองค์กรในสังคมไทย" พ.ต.อ.สุรพงศ์ กล่าว

ส่วนกรณีลูกค้ารายหนึ่งพบว่ารูปภาพส่วนตัวที่ไม่เคยเผยแพร่ ถูกนำไปตั้งเป็นโปรไฟล์ในแอปหาคู่ ก่อนสืบจนพบว่า ถูกพนักงานร้าน Studio 7 สาขาเซ็นทรัลภูเก็ต แอบ AirDrop รูปจากมือถือระหว่างใช้บริการ แล้วส่งต่อในกลุ่ม Telegram จนภาพหลุด นั้น พ.ต.อ.สุรพงศ์ กล่าวว่า ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) อยู่ระหว่างวางแผนลงพื้นที่ตรวจสอบร้านดังกล่าว โดยขณะนี้อยู่ในขั้นตอนตรวจสอบเบื้องต้น ซึ่งได้แจ้งให้ทางร้านเร่งส่งข้อมูลเพิ่มเติมเพื่อประกอบการตรวจสอบ

"หากมีผู้ใช้บริการรายอื่นที่ได้รับความเสียหายจากกรณีคล้ายกัน สามารถแจ้งเรื่องมายัง สคส. เพื่อให้เจ้าหน้าที่รวบรวมหลักฐานและเร่งดำเนินการได้เร็วขึ้น แม้ที่ผ่านมาเคยมีความกังวลเรื่องความปลอดภัยของข้อมูลในกระบวนการส่งซ่อมหรือย้ายข้อมูลมือถือ แต่กรณีนี้ถือเป็นเคสใหม่ที่เกิดขึ้นจากการนำข้อมูลลูกค้าไปใช้โดยมิชอบเป็นครั้งแรก" พ.ต.อ.สุรพงศ์ กล่าว

website : mgronline.com
facebook : MGRonlineLive
twitter : @MGROnlineLive
instagram : mgronline
line : MGROnline
youtube : MGR Online VDO