PDPA กับ Cloud ในหน่วยงานภาครัฐ:
เก็บข้อมูลประชาชนอย่างไรไม่ให้ผิดกฎหมาย
เมื่อหน่วยงานภาครัฐขับเคลื่อนบริการสู่ Digital Government ข้อมูลประชาชนจำนวนมาก ไม่ว่าจะเป็นข้อมูลทะเบียนราษฎร์ ข้อมูลสุขภาพ ข้อมูลการเงิน หรือข้อมูลที่เกี่ยวข้องกับสิทธิและสวัสดิการของประชาชน ย่อมถูกจัดเก็บ ประมวลผล และเชื่อมโยงผ่านระบบดิจิทัลมากขึ้น
การนำข้อมูลเหล่านี้ขึ้นสู่ Cloud จึงไม่ใช่เพียงการเลือกพื้นที่จัดเก็บข้อมูล แต่เป็นการวางระบบกำกับดูแลข้อมูลทั้งวงจร ตั้งแต่ที่ตั้งของข้อมูล สิทธิ์การเข้าถึง การบันทึกหลักฐานการใช้งาน การสำรองข้อมูล ไปจนถึงการรับมือเมื่อเกิดเหตุข้อมูลรั่วไหล โดยเฉพาะภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA
ดังนั้น “PDPA กับ Cloud ในหน่วยงานภาครัฐ” จึงเป็นประเด็นสำคัญที่ต้องออกแบบอย่างรอบคอบ เพื่อให้การเก็บข้อมูลประชาชนบน Cloud มีความปลอดภัย ตรวจสอบได้ และสร้างความเชื่อมั่นต่อประชาชนในระยะยาว
การเลือก Cloud Provider ที่สอดคล้องกับ Data Sovereignty
จุดเริ่มต้นของการจัดเก็บข้อมูลประชาชนบน Cloud อย่างปลอดภัย คือการเลือก Cloud Provider ที่สามารถตอบโจทย์ด้าน Data Sovereignty หรืออธิปไตยทางข้อมูลได้อย่างชัดเจน หน่วยงานภาครัฐควรพิจารณาว่าข้อมูลถูกจัดเก็บไว้ที่ใด อยู่ภายใต้กฎหมายใด มีการถ่ายโอนข้อมูลออกนอกประเทศหรือไม่ และผู้ให้บริการมีมาตรการควบคุมการเข้าถึงข้อมูลจากบุคคลภายนอกอย่างไร
ในบริบทของ PDPA การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศต้องคำนึงถึงมาตรฐานการคุ้มครองข้อมูลของประเทศปลายทาง รวมถึงเงื่อนไขและข้อยกเว้นที่กฎหมายกำหนด ดังนั้น หน่วยงานภาครัฐจึงควรตรวจสอบเงื่อนไขในสัญญาให้บริการ Cloud ข้อตกลงการประมวลผลข้อมูล SLA นโยบายการสำรองข้อมูล และแนวทางการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยให้ครบถ้วนก่อนใช้งานจริง
นอกจากนี้ มาตรฐานสากลอย่าง ISO/IEC 27001 และ ISO/IEC 27701 ควรถูกใช้เป็นเกณฑ์ประกอบการประเมินผู้ให้บริการ Cloud เพื่อช่วยให้หน่วยงานมีแนวทางบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและข้อมูลส่วนบุคคลอย่างเป็นระบบ
สิ่งที่ควรตรวจสอบก่อนเลือก Cloud Provider
- ที่ตั้ง Data Center และขอบเขตการจัดเก็บข้อมูล
- มาตรฐานความปลอดภัย เช่น ISO/IEC 27001 และ ISO/IEC 27701
- SLA และเงื่อนไขการดูแลข้อมูลส่วนบุคคล
- ระบบ Audit Log และการตรวจสอบย้อนหลัง
- มาตรการป้องกันการเข้าถึงจากบุคคลที่ไม่ได้รับอนุญาต
การจัดการสิทธิ์เข้าถึงตามหลัก Privacy by Design
แม้จะเลือก Cloud Provider ที่มีมาตรฐานสูงแล้ว แต่หากหน่วยงานออกแบบสิทธิ์การเข้าถึงไม่รัดกุม ความเสี่ยงด้านข้อมูลส่วนบุคคลยังคงเกิดขึ้นได้ หลักสำคัญคือ Privacy by Design ซึ่งหมายถึงการออกแบบระบบให้คุ้มครองความเป็นส่วนตัวตั้งแต่ต้น ไม่ใช่การนำมาตรการความปลอดภัยมาเพิ่มภายหลัง
หน่วยงานภาครัฐควรใช้แนวคิด Least Privilege Access หรือการให้สิทธิ์เท่าที่จำเป็นต่อหน้าที่งานจริง ผ่านระบบ IAM หรือ Identity and Access Management เพื่อให้เจ้าหน้าที่แต่ละบทบาทเข้าถึงข้อมูลได้เฉพาะส่วนที่เกี่ยวข้องกับภารกิจเท่านั้น
ใช้ IAM และ Least Privilege Access
ระบบ IAM ช่วยให้หน่วยงานกำหนดสิทธิ์การเข้าถึงตามบทบาทของผู้ใช้งานได้อย่างชัดเจน เจ้าหน้าที่แต่ละคนควรเข้าถึงเฉพาะข้อมูลที่จำเป็นต่อหน้าที่จริงเท่านั้น เพื่อลดความเสี่ยงจากการเข้าถึงข้อมูลเกินความจำเป็น
เพิ่ม MFA และบันทึก Log เพื่อตรวจสอบย้อนหลัง
การใช้ MFA หรือ Multi-Factor Authentication ควรเป็นมาตรฐานพื้นฐานของระบบ Cloud ภาครัฐ โดยเฉพาะบัญชีผู้ดูแลระบบและบัญชีที่เข้าถึงข้อมูลอ่อนไหว ในขณะเดียวกัน ระบบควรบันทึก Log อย่างละเอียดว่าใครเข้าถึงข้อมูลอะไร เมื่อใด จากอุปกรณ์หรือเครือข่ายใด และมีการดำเนินการใดกับข้อมูลนั้นบ้าง
ทบทวนสิทธิ์เป็นประจำเมื่อเจ้าหน้าที่เปลี่ยนบทบาท
สิทธิ์การเข้าถึงไม่ควรถูกกำหนดเพียงครั้งเดียวแล้วปล่อยไว้ตลอดไป หน่วยงานควรกำหนดรอบการทบทวนสิทธิ์ เช่น รายไตรมาส หรือเมื่อมีการเปลี่ยนตำแหน่ง ย้ายหน่วยงาน สิ้นสุดสัญญาจ้าง หรือหมดภารกิจที่เกี่ยวข้องกับข้อมูลนั้น เพื่อป้องกันความเสี่ยงจากบัญชีที่ยังมีสิทธิ์ค้างอยู่โดยไม่จำเป็น
ยกระดับความเชื่อมั่นผ่านโครงสร้างพื้นฐาน GDCC
สำหรับหน่วยงานภาครัฐที่ต้องการโครงสร้างพื้นฐาน Cloud ที่ออกแบบมาเพื่อภาครัฐโดยเฉพาะ GDCC หรือ Government Data Center and Cloud Service เป็นทางเลือกสำคัญที่ช่วยให้การใช้งาน Cloud ภาครัฐมีมาตรฐานร่วมกันมากขึ้น
GDCC ช่วยสนับสนุนการให้บริการ Cloud สำหรับหน่วยงานภาครัฐ โดยมุ่งเน้นความปลอดภัย ความพร้อมใช้งาน และการบริหารจัดการระบบจากศูนย์กลาง หน่วยงานสามารถใช้โครงสร้างพื้นฐานที่เหมาะกับภารกิจภาครัฐ พร้อมต่อยอดสู่บริการดิจิทัลอื่น ๆ เช่น AI, IoT, Open Data และระบบสนับสนุนการให้บริการประชาชน
เมื่อใช้งานร่วมกับแนวทาง Data Governance ที่ชัดเจน หน่วยงานสามารถกำหนดนโยบายการจัดเก็บ ใช้งาน แบ่งปัน และทำลายข้อมูลได้เป็นระบบมากขึ้น ลดความเสี่ยงจากการตั้งค่าผิดพลาด และช่วยให้การบริหารจัดการข้อมูลประชาชนสอดคล้องกับแนวทาง PDPA ได้ดีขึ้น
สรุป: Cloud ที่ดีต้องปลอดภัย ตรวจสอบได้ และสร้างความเชื่อมั่น
PDPA ไม่ใช่อุปสรรคต่อการพัฒนารัฐบาลดิจิทัล หากหน่วยงานภาครัฐวางรากฐานด้าน Cloud, Cybersecurity และ Data Governance อย่างถูกต้องตั้งแต่ต้น การเลือก Cloud Provider ที่สอดคล้องกับ Data Sovereignty การออกแบบสิทธิ์เข้าถึงตามหลัก Privacy by Design และการใช้โครงสร้างพื้นฐานที่ออกแบบเพื่อภาครัฐ เช่น GDCC จะช่วยสนับสนุนให้การเก็บข้อมูลประชาชนมีความปลอดภัย โปร่งใส และตรวจสอบได้มากขึ้น
สำหรับหน่วยงานภาครัฐที่ต้องการยกระดับการจัดเก็บข้อมูลประชาชนบน Cloud ให้มั่นคงและสอดคล้องกับ PDPA สามารถศึกษารายละเอียดบริการ GDCC หรือเริ่มประเมินความพร้อมของระบบร่วมกับผู้เชี่ยวชาญ เพื่อวางแนวทาง Cloud ภาครัฐที่ปลอดภัยและยั่งยืนต่อไป
