ในปัจจุบัน การพัฒนาของภัยคุกคามทางไซเบอร์มีความรุนแรงเพิ่มมากขึ้นอย่างต่อเนื่อง การละเมิดข้อมูลส่วนบุคคลจึงกลายเป็นอีกหนึ่งปัญหาที่องค์กรต่าง ๆ ทั่วโลกกังวลและหวาดหวั่นต่อผลกระทบที่อาจจะเกิดขึ้น เนื่องจากเมื่อเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นแล้วนั้น นอกจากจะก่อให้เกิดผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลแล้ว องค์กรที่ประสบกับเหตุละเมิดข้อมูลส่วนบุคคลยังต้องเผชิญกับความเสียหายต่อชื่อเสียง การสูญเสียความเชื่อมั่นจากลูกค้า และความรับผิดทางกฎหมายตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งอาจนำไปสู่การถูกปรับเป็นจำนวนเงินมหาศาล
ดังนั้น เพื่อทำความเข้าใจเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล และทราบถึงสาเหตุหลักของเหตุการณ์ละเมิดข้อมูลจึงมีความสำคัญอย่างยิ่ง ซึ่งจะช่วยให้องค์กรสามารถประเมินความเสี่ยง วางแผนรับมือ และปรับปรุงมาตรการรักษาความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ
การละเมิดข้อมูลส่วนบุคคล หมายถึง การละเมิดมาตรการรักษาความปลอดภัยที่ทำให้ข้อมูลส่วนบุคคลสูญหาย ถูกเข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยโดยไม่ได้รับอนุญาต ไม่ว่าจะเกิดจากความตั้งใจ ความประมาท ภัยคุกคามทางไซเบอร์ หรือข้อผิดพลาดอื่น ๆ
1. การละเมิดความลับ (Confidentiality Breach) คือ ข้อมูลถูกเข้าถึงหรือเปิดเผยโดยไม่ได้รับอนุญาต
2. การละเมิดความถูกต้องครบถ้วน (Integrity Breach) คือ ข้อมูลถูกเปลี่ยนแปลง แก้ไข หรือเสียหายโดยมิชอบ
3. การละเมิดความพร้อมใช้งาน (Availability Breach) คือ ข้อมูลสูญหาย ถูกทำลาย หรือไม่สามารถเข้าถึงได้ตามปกติ
(ข้อมูลจากศูนย์เฝ้าระวังและติดตามสถานการณ์เหตุละเมิดข้อมูลส่วนบุคคล; PDPC Eagle Eyes)
เป็นการถูกเจาะระบบจากแฮกเกอร์ ที่อาศัยจุดอ่อนหรือช่องโหว่ของ Google หรือบริการที่เกี่ยวข้อง ส่งผลให้ข้อมูลส่วนบุคคลถูกเข้าถึงโดยไม่ได้รับอนุญาต
เป็นลักษณะการรั่วไหลของข้อมูล ที่เกิดจากความผิดพลาดในการจัดเก็บข้อมูลหรือระบบรักษาความปลอดภัยที่ไม่เพียงพอ ส่งผลให้ข้อมูลส่วนบุคคลรั่วไหลออกจากระบบโดยไม่ได้ตั้งใจ ซึ่งมักเกิดจากการขาดการตรวจสอบและการควบคุมที่เข้มงวด
เป็นความผิดพลาดที่เกิดจากการกระทำของมนุษย์โดยตรง เช่น การตั้งค่าความปลอดภัยไม่ถูกต้อง ความผิดพลาดของผู้ใช้หรือผู้ดูและระบบ การเผลอเปิดเผยข้อมูลโดยไม่ตั้งใจโดยผู้ที่มีสิทธิเข้าถึงข้อมูลให้บุคคลอื่นที่ไม่มีสิทธิทราบ ซึ่งเป็นสาเหตุพื้นฐานที่พบได้บ่อยและส่งผลให้ข้อมูลส่วนบุคคลรั่วไหลโดยไม่ได้ตั้งใจ
เป็นลักษณะของการดำเนินการโดยผู้ไม่ประสงค์ดี ที่จะทำการรวบรวมข้อมูลส่วนบุคคล เพื่อนำข้อมูลดังกล่าวไปจำหน่ายผ่านตลาดมืด นับเป็นกระทำที่เป็นการละเมิดกฎหมาย และสร้างความเสียหายรายแรงต่อเจ้าของข้อมูลส่วนบุคคล เนื่องจากโดยส่วนมากข้อมูลที่ถูกนำไปขายมักถูกนำไปใช้ในทางที่ผิดและส่งผลให้เกิดเสียหายต่อเนื่องตามมา
มัลแวร์ เป็นโปรแกรมที่มีลักษณะเป็นอันตราย โดยถูกออกแบบเพื่อใช้สำหรับขโมยหรือทำลายข้อมูลจากอุปกรณ์ของเป้าหมาย ซึ่งสามารถแพร่กระจายและสร้างความเสียหายต่อข้อมูลส่วนบุคคลได้อย่างรวดเร็วโดยมักแฝงตัวมากับการดาวน์โหลดหรือการเปิดไฟล์ที่น่าสงสัย
จากสถิติข้างต้น ทำให้เห็นว่าการเกิดเหตุละเมิดข้อมูลส่วนบุคคลเป็นไปได้ด้วยหลากหลายสาเหตุ ทั้งในสาเหตุที่ทางองค์กรสามารถป้องกันได้ และไม่สามารถป้องกันได้ ถึงแม้จะมีความพยายามในการบริหารจัดการด้านความมั่นคงปลอดภัยให้มีประสิทธิภาพมากเพียงใดก็ตาม สิ่งที่สำคัญไม่น้อยไปกว่าการจัดให้มีกระบวนการในการรักษาความมั่นคงปลอดภัยของข้อมูลและระบบสารสนเทศที่เป็นไปตามมาตรฐานแล้ว คือการที่องค์กรมีกระบวนการในการประเมินความเสี่ยงและแจ้งเหตุละเมิดข้อมูลส่วนบุคคลอย่างเป็นระบบ ทั้งนี้ เพื่อให้องค์กรสามารถจัดการเหตุดังกล่าวได้อย่างทันท่วงที ซึ่งเป็นการป้องกันความเสี่ยงจากความรับผิดทางกฎหมาย PDPA และความเสียหายต่อชื่อเสียงขององค์กร รวมทั้งยังเป็นการสร้างความเชื่อมั่นในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้าและผู้ใช้บริการอีกด้วย
หากมีข้อสงสัยเกี่ยวกับการบริหารจัดการเหตุการณ์ละเมิดข้อมูลส่วนบุคคล บริษัท เอเทนติค คอนซัลติ้ง จำกัด มีผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งยินดีให้คำปรึกษาท่านเกี่ยวกับกระบวนการในการประเมินความเสี่ยงและแจ้งเหตุละเมิดข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ และการจัดทำ PDPA Compliance อย่างครบถ้วน
ศึกษาข่าวสารที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคลของประเทศไทยเพิ่มเติมได้ที่ บทวิเคราะห์ สคส. แถลงข่าว สั่งปรับ 7 ล้านบาท เหตุข้อมูลรั่วไหล
