คกก.คุ้มครองข้อมูลบุคคลและกระทรวงดิจิทัลฯ ประชุม 2 นัดตรวจสอบมาตรการรักษาความปลอดภัยข้อมูลของหน่วยงานรัฐ ตรวจสอบที่มาข้อมูลหลุด หน่วยงานที่ทำหลุดอาจมีโทษทางปกครองปรับ 3 ล้านบาท
4 เม.ย.2566 เพจของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หน่วยงานภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเผยแพร่ถึง พลเอก ดร.ภุชพงศ์ พงษ์ศิริ ประธานคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 พิจารณาเรื่องร้องเรียนทางเทคโนโลยีและอื่นๆ กล่าวถึงผลการประชุมเมื่อวานนี้(3 เม.ย.) กรณีข้อมูลหน่วยงานรัฐภาครัฐรั่วไหลในขณะนี้ เพื่อกำหนดแนวทางแก้ไขปัญหาข้อมูลส่วนบุคคลรั่วไหลในหน่วยงานภาครัฐตามที่เป็นข่าว
พลเอก ดร.ภุชพงศ์ กล่าวว่า คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 มีมติร่วมกันว่า
1. ให้ดำเนินการสอบสวนหน่วยงานรัฐที่ทำให้ข้อมูลรั่วไหลเพื่อตรวจหาสาเหตุและดำเนินการแก้ไขโดยทันที
2. ให้มีคำสั่งเรียกหน่วยงานที่ดูแลเกี่ยวกับการสื่อสาร และหน่วยงานรัฐที่เกี่ยวข้อง รวมถึงผู้ให้บริการโทรศัพท์มือถือ มาชี้แจงประเด็นเรื่องข้อมูลรั่วไหลจากหน่วยงานภาครัฐ รวมถึงจะขอความร่วมมือให้ผู้ให้บริการโทรศัพท์มือถือจัดทำระบบกรองข้อมูล (Filtering system) เพื่อป้องกับปัญหาการเผยแพร่ข้อมูลส่วนบุคคลโดยมิชอบผ่านระบบ SMS
3. ให้ สคส. เร่งทำการประชาสัมพันธ์ให้ประชาชน และขอความร่วมมือสื่อมวลชนที่นำเสนอข่าวการรั่วไหลของข้อมูลส่วนบุคคล โดยให้ดำเนินการปิดบังหมายเลขโทรศัพท์ และข้อมูลส่วนบุคคลที่ถูกนำมาเผยแพร่ เพื่อหลีกเลี่ยงการกระทำที่ผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
4. เตรียมออกคำสั่งตามมาตรา 72 (2) ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบหน่วยงานภาครัฐว่ามีมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลของประชาชนที่ได้มาตรฐานหรือไม่ โดยเฉพาะจะเริ่มตรวจสอบจากหน่วยงานภาครัฐที่มีฐานข้อมูลประชาชนมากกว่า 1 ล้านข้อมูลขึ้นไป และให้หน่วยงานรัฐที่มีข้อมูลรั่วไหลมาชี้แจงว่าเหตุใดจึงไม่แจ้งเหตุข้อมูลส่วนบุคคลรั่วไหล ภายใน 72 ชั่วโมง หรือระยะเวลาตามที่กฎหมายกำหนด
นอกจากนี้ หากคณะกรรมการผู้เชี่ยวชาญพิจารณาแล้วเห็นว่า หากหน่วยงานที่ข้อมูลรั่วไหลดังกล่าวข้างต้นมีความผิดจริง คณะกรรมการฯ อาจพิจารณาโทษปรับทางปกครอง ตามมาตรา 83 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีโทษปรับไม่เกิน 3 ล้านบาท
ยังหาตัว 9Near ประชุมหลายองค์กรตรวจสอบมาตรฐาน รปภ.ข้อมูล
นอกจากนั้นเพจของกระทรวงดิจิทัลฯ ยังเผยแพร่ถึง ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวถึงกรณี ผู้ใช้งานบัญชี “9near” ที่อ้างว่ามีข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านราย บนเว็บไซต์ Breach Forums นอกเหนือจากที่เร่งหาหลักฐานและตัวคนร้ายแล้ว ได้มอบหมายให้ปลัดกระทรวงดิจิทัลฯ ประสานงานกับผู้เกี่ยวข้องเร่งหาข้อเท็จจริง ดูแลผู้เสียหายจาก 9near ตลอดจนเร่งรัดการใช้ Digital ID และยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
วันที่ 3 เม.ย.2566 วิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้เป็นประธานการประชุม “การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของหน่วยงานรัฐ” โดยได้เชิญหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลขนาดใหญ่หรือมีจำนวนมากหารือ อาทิ กระทรวงมหาดไทย กระทรวงสาธารณสุข กระทรวงการคลัง กระทรวงแรงงาน กระทรวงพัฒนาสังคมและความมั่นคงของมนุษย์ สำนักงานตำรวจแห่งชาติ และ สำนักงาน กกต. เป็นต้น รวมทั้งผู้ที่เกี่ยวข้องได้แก่ ธนาคารแห่งประเทศไทย สำนักงาน กสทช. สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (สกมช.) และ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ในการประชุมได้มีการ หารือประเด็นสำคัญดังนี้
1. ระบบเทคโนโลยีสารสนเทศรวมทั้งฐานข้อมูลของหน่วยงานเป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลที่เกี่ยวข้องหรือไม่ มีการตรวจสอบเพื่อป้องกันและแก้ไขช่องโหว่ของระบบที่อาจเกิดขึ้นหรือไม่ ผลเป็นอย่างไร
ศิวรักษ์ ศิวโมกษธรรม เลขาธิการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้รายงานในที่ประชุมว่า จากการสุ่มตรวจของ สคส. ได้พบการเผยแพร่ข้อมูลส่วนบุคคลที่ไม่เหมาะสมของหน่วยงานของรัฐ และได้ทำการแจ้งเตือนไปแล้ว ที่ผ่านมาก็ได้รับความร่วมมือปรับปรุงตามคำแนะนำ
ทาง พลอากาศตรี อมร ชมเชย. เลขาธิการ สกมช.ให้ข้อมูลว่า THAICERT ของ สกมช. ตรวจพบว่าระบบเทคโนโลยีสารสนเทศ ของหน่วยงานรัฐหลายหน่วยงานถูกโจมตี และยังมีการหลุดรั่วของข้อมูล ซึ่งได้ประสานงาน เร่งแก้ปัญหาและป้องกันปัญหาอย่างต่อเนื่อง
2. แนวปฏิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลในหน่วยงานของรัฐ อาทิ พ.ร.บ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ.2550 และ (ฉบับที่ 2) พ.ศ.2560 พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 รวมทั้งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 และ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ.2565
ทั้งนี้ หากหน่วยงานทำข้อมูลรั่ว โดยเฉพาะข้อมูลที่มีความอ่อนไหว ต้องรีบแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้เสียหาย รวมถึงควรทำการเยียวยาผู้เสียหายด้วย
3. การช่วยเหลือสนับสนุนของ สคส. สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ และกระทรวงดิจิทัลฯ ต่อหน่วยงานต่างๆ ในเรื่อง ระบบเทคโนโลยีสารสนเทศและการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน รวมทั้งแนวทางการทำงานร่วมกันในเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
นอกจากนี้ ได้หารือถึงแนวทางเร่งรัดการใช้ Digital ID เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน ซึ่งในเรื่องนี้ กระทรวงดิจิทัลฯ ได้จัดทำ พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ.2565 (Digital ID) ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 ธ.ค.2565 และ ผลักดันการพัฒนาระบบยืนยันตัวตน National Digital ID ของกระทรวงมหาดไทย ซึ่งจะมีประโยชน์ในการป้องกันข้อมูลรั่วไหล และยืนยันตัวตนได้อย่างมั่นใจมาขึ้นอีกระดับหนึ่ง ซึ่งการยืนยันตัวตนด้วย Digital ID จะช่วยป้องกันการถูกขโมยข้อมูล รวมทั้งการป้องกันการหลอกลวงประชาชนจากการทำธุรกรรมออนไลน์
ปลัดกระทรวงดิจิทัลฯ กล่าวว่า “วันนี้สรุปได้ว่าการหาข้อเท็จจริงเรื่องที่อ้างว่าข้อมูลขนาดใหญ่รั่วจากหน่วยงานภาครัฐ ยังดำเนินการอยู่ กรณีที่มีข้อมูลรั่ว หรือระบบเทคโนโลยีสารสนเทศมีช่องโหว่ หน่วยงานต้องเร่งปรับปรุงแก้ไข ในขณะเดียวกันทำการซักซ้อม แนวปฎิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงขอความร่วมมือหน่วยงาน ยกระดับความมั่นคงปลอดภัยข้อมูล และช่วยผลักดันการใช้ Digital ID”
9Near ประกาศหยุดปฏิบัติการ ส่งคำเตือนถึงสปอนเซอร์และรัฐ
อย่างไรก็ตาม ล่าสุด 9Near ประกาศถึงทุกคนที่เข้าเว็บไซต์ของพวกเขาว่าได้ยุติปฏิบัติการแล้วโดยให้เหตุผลไว้บนหน้าเว็บไซต์ว่าพวกเขาไม่ต้องการสร้างความเดือดร้อนให้และไม่เห็นด้วยกับ "ปฏิบัติการทางการเมืองอันสกปรก" ของผู้สนับสนุน ทำให้พวกเขาไม่มีเหตุผลที่จะสร้าง "ภัยพิบัติ" ต่อความเป็นส่วนตัวของบุคคลอื่น และอย่างน้อยที่ในช่วงหลายวันที่ผ่านมารัฐบาลเริ่มตระหนักถึงความปลอดภัยและความเป็นส่วนตัวของประชาชนแล้ว
9Near ยังระบุว่าพวกเขาไม่ได้ซื้อข้อมูลจากหน่วยงานรัฐและไม่ใช่แก๊งคอลเซนเตอร์ด้วย อีกทั้งยังไม่เคยขายข้อมูลทั้งหมดไปและข้อมูลที่พวกเขาครอบครองอยู่นั้นใช้เพื่อ "การเคลื่อนไหว" ไม่ใช่เพื่อเงิน
นอกจากนั้นยังมีการส่งสารถึง "ผู้สนับสนุนนิรนาม" ด้วยว่าเป้าหมายของผู้สนับสนุนกับพวกเขานั้นไม่ใช่เป้าหมายของ 9Near เพราะเป้าหมายของผู้สนับสนุนนั้นเป็นเพื่อประโยชน์ของตัวเองไม่ใช่เพื่อประชาชน นอกจากนั้น 9Near ยังระบุว่าการพูดคุยที่ทำกันอย่างนิรนามกับผู้สนับสนุนนั้น พวกเขารู้ว่าผู้สนับสนุนเหล่านี้เป็นใครและเป็นฝ่ายไหน และได้เร่งให้ผู้สนับสนุนมาเจรจาให้จบก่อนถึงวันที่ 5 เม.ย.2566 ด้วยก่อนที่จะเกิดอะไรตามมา
ส่วนสุดท้าย 9Near มีคำเตือนถึงคนที่กำลังตามล่าหาพวกเขาว่าถ้ามีการจับกุมพวกเขาคนใดคนหนึ่ง พวกเขาจะสั่งเริ่มการทำงานของสคริปท์ให้เผยแพร่ข้อมูลทุก 7 วันเป็นเวลา 10 ปี และได้ทำลายกุญแจสำหรับการเข้าถึงและมีเพียงพวกเขาที่จะยกเลิกสคริปท์นี้ได้
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)