คอมพิวเตอร์เก่าอย่านึกว่าทิ้งได้ง่าย ๆ

Share

Warning: Undefined array key "postid" in /home/securitysy/domains/securitysystems.in.th/public_html/wp-content/plugins/page-views-count/src/pvc_widget.php on line 24

Warning: Undefined array key "increase" in /home/securitysy/domains/securitysystems.in.th/public_html/wp-content/plugins/page-views-count/src/pvc_widget.php on line 25

Warning: Undefined array key "show_views_today" in /home/securitysy/domains/securitysystems.in.th/public_html/wp-content/plugins/page-views-count/src/pvc_widget.php on line 26

Loading

เมื่อวันที่ 20 กันยายนที่ผ่านมา Morgan Stanley Smith Barney (MSSB) บริษัทวาณิชธนกิจชื่อดัง ตกลงยอมความกับ Securities and Exchange Commission (SEC) ในข้อหาเกี่ยวกับการทิ้งเครื่องคอมพิวเตอร์เก่าในสำนักงานโดยไม่ระมัดระวัง!!!

ทำไม SEC ต้องมายุ่งเกี่ยวกับการทิ้งเครื่องคอมพิวเตอร์เก่า? เหตุผลก็เพราะว่า ในบรรดาเครื่องคอมพิวเตอร์เก่าโดยเฉพาะ Hard disk และ Server มีข้อมูลส่วนบุคคลของผู้เป็นลูกค้ากว่า 15 ล้านคน

เรื่องของเรื่องเกิดเมื่อปี 2015 MSSB ทำการเปลี่ยนแปลงคอมพิวเตอร์ของบริษัทนับพันเครื่อง ในการนี้ MSSB ไปว่าจ้างบริษัทแห่งหนึ่งมาทำการจัดการเอาเครื่องคอมพิวเตอร์เก่าเหล่านั้นไปกำจัด แต่บริษัทแห่งนี้ไม่มีประสบการณ์เกี่ยวกับวิธีการกำจัดเครื่องคอมพิวเตอร์โดยถูกวิธีมาก่อน

ผลสุดท้าย เครื่องคอมพิวเตอร์เหล่านั้นถูกนำไปประมูลขายโดยที่มิได้มีการลบข้อมูลส่วนบุคคลที่อยู่ในเครื่องเหล่านั้นออก  ในภายหลัง MSSB ติดตามเครื่องที่ขายไปได้บางส่วน แต่ว่าส่วนใหญ่ได้หายสาบสูญไปโดยไม่สามารถติดตามได้โดยเฉพาะเครื่อง Server 42 เครื่องที่มีข้อมูลซึ่งไม่ได้เข้ารหัสของลูกค้าอยู่ งานนี้ MSSB ต้องเสียค่าปรับยอมความไปทั้งสิ้น  35 ล้านเหรียญสหรัฐ

กรณีนี้เป็นตัวอย่างอันดีของการทิ้งอุปกรณ์คอมพิวเตอร์เก่า ซึ่งตามปกติจะมีการอัพเดทเครื่องมือประเภทนี้ให้ทันสมัยอยู่เสมอ เครื่องที่ใช้ไม่ได้แล้วก็จะทิ้งหรือจำหน่ายไป แต่คนส่วนใหญ่มักจะลืมไปว่าภายในเครื่องยังมีข้อมูลส่วนบุคคลอยู่

ในประเทศแคนาดา The Office of the Privacy Commissioner (OPC) ได้กำหนดหลักการและแนวทางปฏิบัติที่ดีเกี่ยวกับการเก็บรักษาและจำหน่ายทิ้ง (Personal Information Retention and Disposal: Principles and Best Practices) ซึ่งมีสาระสำคัญหลายประการ เช่น

– ข้อมูลส่วนบุคคลจะต้องถูกเอาออกหรือทำลายอย่างปลอดภัยก่อนที่จะทิ้งฮาร์ดแวร์ซึ่งมีข้อมูลดังกล่าวบรรจุอยู่

– บริษัทใดที่จะกำจัดเครื่องอุปกรณ์คอมพิวเตอร์จะต้องตั้งบุคคลคนหนึ่งเพื่อรับผิดชอบงานการทำลายข้อมูล และแจ้งให้พนักงานทุกคนได้ทราบเพื่อส่งไฟล์และเครื่องคอมพิวเตอร์ไปยังบุคคลนั้น

– ถ้าหากบริษัทให้บุคคลภายนอกมารับงาน  บริษัทต้องแน่ใจว่าบุคคลภายนอกนั้นมีความรู้ความสามารถที่เชื่อถือได้ และรับประกันว่าจะมีวิธีทำลายที่เหมาะสมกับเครื่องอุปกรณ์และข้อมูลที่อยู่ภายในเครื่องอุปกรณ์นั้น

ฯลฯ

รายละเอียดไปดูได้ที่ https://www.priv.gc.ca/en/privacy-topics/business-privacy/safeguards-and-breaches/safeguarding-personal-information/gd_rd_201406/

ในกฎหมายไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็บอกเอาไว้ในมาตรา 27 ว่า

“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล …..”

คำว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” ก็หมายถึง “บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” อย่างเช่นในกรณีข้างต้น MSSB ก็เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ในมาตรา 37  ยังได้บอกอีกว่า“ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด…………………………………

(3) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม …….”

ที่กล่าวมานี้เป็นเพียงส่วนหนึ่งของกฎหมายเท่านั้น ไม่ได้เอาเนื้อความของกฎหมายมาทั้งหมดเพราะมีรายละเอียดที่ซับซ้อนและเข้าใจยากอยู่มาก แต่ที่แน่ ๆ คือผู้ฝ่าฝืนกฎหมายดังกล่าวก็จะมีโทษคือ

มาตรา 79 ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง ……ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ

มาตรา 83 ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตาม….. มาตรา 27 วรรคหนึ่งหรือวรรคสอง….. หรือมาตรา 37 ……ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท”

บริษัทของคุณทิ้งคอมพิวเตอร์เก่าโดยถูกต้องตามกฎหมายหรือเปล่าครับ?

แหล่งข้อมูล

https://www.bangkokbiznews.com/tech/innovation/1033495