ข้อมูลรั่วไหล ดีอีเอส ถกแพลตฟอร์มอีคอมเมิร์ซ พบเป็นข้อมูลซื้อสินค้าออนไลน์ปี 2561 สั่งการ USCERT ประสานผู้ดูแลระบบเร่งระงับการเผยแพร่ข้อมูล
นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เปิดเผยว่า ในวันนี้ (24 พฤศจิกายน 2563) ได้เรียกประชุมหารือกับผู้ให้บริการอีคอมเมิร์ซรายใหญ่ ที่ดำเนินการอยู่ในประเทศไทย รวมถึงหน่วยงานที่เกี่ยวข้อง เพื่อร่วมกันจัดทำแนวทางดูแลข้อมูลของผู้ใช้บริการ และมาตรการดูแลข้อมูลผู้ใช้งานแพลตฟอร์ม หลังจากเกิดปัญหา ข้อมูลรั่วไหล โดยให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลสูงสุด
ในการประชุมวันนี้ ได้ให้ผู้ประกอบการอีคอมเมิร์ซ ชี้แจงข้อเท็จจริงของข่าว ที่มีข้อมูลส่วนบุคคลของผู้ใช้บริการรั่วไหล และมีการนำไปประกาศขายกันทางไซเบอร์
จากการตรวจสอบ ของหน่วยงานที่เกี่ยวข้อง พบว่า ข้อมูลผู้ใช้บริการ ที่รั่วไหลไปจากแพลตฟอร์มอีคอมเมิร์ซ และถูกนำไปประกาศขายผ่านทางไซเบอร์ พบว่าเป็นข้อมูลเกี่ยวกับ การซื้อสินค้าผ่านแพลตฟอร์มต่าง ๆ ในช่วงปี 2561 โดยประกอบด้วยข้อมูล เช่น ชื่อ นามสกุล หมายเลขโทรศัพท์ อีเมล วันที่ทำธุรกรรม จำนวนเงิน ช่องทางการขาย
สำหรับขั้นต้น ดีอีเอส ได้ประสานงานกับ หน่วยงานด้านความมั่นคงปลอดภัยที่เกี่ยวข้อง (USCERT) ในการประสานกับผู้ดูแลระบบ เพื่อระงับการเผยแพร่ข้อมูลดังกล่าวแล้ว
นายพุทธิพงษ์ กล่าวว่า พ.ร.ฎ กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคล ไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ซึ่งขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปอีก 1 ปี (27 พฤษภาคม 2563 – 31 พฤษภาคม 2564)
อย่างไรก็ตาม ยังกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคล ให้เป็นไปตามมาตรฐาน ที่กระทรวงกำหนด
ทั้งนี้ ถึงแม้จะยังไม่มีบทลงโทษ แต่ก็ต้องปฏิบัติตามกฎหมาย และประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 (18 กรกฎาคม 2563 – 31 พฤษภาคม 2564) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ ดังนี้
1. การควบคุมการเข้าถึงข้อมูลส่วนบุคคล และอุปกรณ์ในการจัดเก็บ และประมวลผล ข้อมูลส่วนบุคคล โดยคำนึงถึงการใช้งาน และความมั่นคงปลอดภัย
2. การกำหนดเกี่ยวกับการอนุญาต หรือการกำหนดสิทธิ ในการเข้าถึงข้อมูลส่วนบุคคล
3. การบริหารจัดการการเข้าถึงของผู้ใช้งาน เพื่อควบคุมการเข้าถึง ข้อมูลส่วนบุคคล เฉพาะผู้ที่ได้รับอนุญาตแล้ว
4. การกำหนดหน้าที่ความรับผิดชอบ ของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือ การลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บ หรือประมวลผลข้อมูลส่วนบุคคล
5. การจัดให้มีวิธีการ เพื่อให้สามารถตรวจสอบย้อนหลัง เกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการ และสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
นอกจากนี้ พ.ร.บ.การกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม ตามมาตรา 5 และ 7 กำหนดว่า ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล รู้ว่ามีการเข้าถึงโดยมิชอบ ซึ่งข้อมูล หรือ ระบบคอมพิวเตอร์ ที่มีมาตรการการป้องกันการเข้าถึงโดยเฉพาะ และมาตรการนั้น มิได้มีไว้สำหรับตน ทำให้ข้อมูลส่วนบุคคลรั่วไหล ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องแจ้งความเพื่อดำเนินคดีด้วย
สำหรับส่วนที่สำคัญที่สุด เมื่อเกิดเหตุข้อมูลผู้ใช้บริการรั่วไหล ผู้ให้บริการ จะต้องชี้แจงประชาชน ผู้ได้รับผลกระทบ ถึงรายละเอียดข้อมูลที่ถูกเข้าถึง และแนะนำวิธีการปฏิบัติเพื่อลดความเสี่ยง เช่น การเปลี่ยนรหัสผ่าน และระมัดระวังเมื่อมีคนโทรไปเพื่อหลอกลวง
นอกจากนี้ ผู้ให้บริการ ซึ่งเป็นผู้ควบคมข้อมูลส่วนบุคคล มีหน้าที่ดำเนินการ เพื่อป้องกันมิให้คู่สัญญาที่เป็นผู้ประมวลข้อมูลส่วนบุคคล ทั้งที่เป็นคนกลางในการบริหารจัดการขาย (sales management platform) และผู้ให้บริการคลังสินค้าและขนส่ง
สิ่งที่ประชาชนควรระมัดระวังในการใช้งาน แพลตฟอร์มอีคอมเมิร์ซ เพื่อลดผลกระทบกรณีข้อมูลรั่วไหล ได้แก่
- เจ้าของข้อมูลไม่ควรหลงเชื่อโอนเงินให้กับผู้ที่ติดต่อเข้ามาทางโทรศัพท์ หรือ อีเมล์ ในทันที ควรตรวจสอบโดยการติดต่อกลับไปยังช่องทางปกติ
- หากมีผู้ติดต่อมาว่าเป็นเจ้าหน้าที่ธนาคาร หรือหน่วยงานของรัฐเพื่อให้โอนเงิน ควรปฏิเสธการโอนเงิน และติดต่อกลับไปยังหน่วยงานต้นสังกัดโดยตรง
- หากมีการแจ้งเตือนเรื่องการเปลี่ยนรหัสผ่านทางอีเมล์ หรือ SMS ไม่ควรคลิกลิงก์ในทันที ให้ตรวจสอบกับหน่วยงานหรือผู้ให้บริการโดยตรง
- แจ้งผู้ให้บริการที่เกี่ยวข้อง เช่น ธนาคาร เพื่อให้ทราบความเสี่ยงที่อาจเกิดจากการแอบอ้างเป็นเจ้าของข้อมูล เป็นต้น
- ควรเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ อย่างน้อยทุก 6 เดือน
- กำหนด username password ให้แตกต่างกันออกไปในแต่ละบริการ
- กรณีที่เป็นการใช้งานจากแอปพลิเคชันบนมือถือ ควรมีการติดตั้งแอปพลิเคชันป้องกันมัลแวร์
อ่านข่าวเพิ่มเติม
- อ่านที่นี่! แคสเปอร์สกี้ แนะวิธีป้องกัน ข้อมูลลูกค้าซื้อของออนไลน์ รั่วไหล
- ดีอีเอส คลอด มาตรฐานความปลอดภัย ‘ข้อมูลส่วนบุคคล’
- โควิด-19 โอกาสทองอาชญากรรมไซเบอร์ ‘สามารถฯ’ เร่งรุกซีเคียวริตี้
