ปกป้องข้อมูลส่วนบุคคลตาม PDPA ในระบบกำลังพล
ข้อมูลกำลังพลเป็นข้อมูลอ่อนไหว บทความนี้อธิบายการปกปิดข้อมูล การเปิดเผยแบบมีเหตุผลและบันทึกได้ และการประมวลผลภายในหน่วย
โดย ทีมความปลอดภัยข้อมูล RTA-TRC
ข้อมูลกำลังพลกองประจำการประกอบด้วยข้อมูลส่วนบุคคลที่อ่อนไหว ตั้งแต่เลขประจำตัวประชาชนไปจนถึงข้อมูลครอบครัวและที่อยู่ การประมวลผลข้อมูลเหล่านี้ต้องเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างเคร่งครัด RTA-TRC ออกแบบการปกป้องข้อมูลเป็นค่าเริ่มต้น ไม่ใช่สิ่งที่เพิ่มเข้ามาภายหลัง
ปกปิดข้อมูลเป็นค่าเริ่มต้น
หน้าจอทุกหน้าจะแสดงข้อมูลส่วนบุคคลแบบปกปิด (mask) เสมอ เช่น แสดงเพียงชื่อย่อแทนชื่อ-นามสกุลเต็ม ผู้ใช้เห็นเฉพาะข้อมูลเท่าที่จำเป็นต่อการทำงาน หลักการนี้ลดความเสี่ยงการรั่วไหลตั้งแต่ระดับการแสดงผล
เปิดเผยเมื่อจำเป็น และบันทึกทุกครั้ง
เมื่อเจ้าหน้าที่จำเป็นต้องเห็นข้อมูลเต็มเพื่อปฏิบัติงาน การเปิดเผยต้องเป็นการกระทำที่ตั้งใจ ระบุเหตุผล และถูกบันทึกไว้ในบันทึกการเข้าถึง (audit log) ว่าใครเปิดดูข้อมูลใด เมื่อใด และด้วยเหตุผลใด
- การเปิดเผยข้อมูลต้องระบุเหตุผลก่อนทุกครั้ง
- บันทึกการเข้าถึงเก็บข้อมูล ใคร เมื่อไหร่ ทำอะไร อย่างครบถ้วน
- สิทธิ์การเข้าถึงเป็นไปตามบทบาท (RBAC) ตามหลักให้สิทธิ์เท่าที่จำเป็น
ความรับผิดชอบที่ตรวจสอบได้
การคุ้มครองข้อมูลที่ดีไม่ได้วัดจากคำสัญญา แต่วัดจากความสามารถในการตรวจสอบ ทุกการเข้าถึงข้อมูลอ่อนไหวทิ้งร่องรอยที่ตรวจสอบย้อนหลังได้ ทำให้หน่วยงานรับผิดชอบต่อข้อมูลของกำลังพลได้อย่างแท้จริง