แนวทาง PDPA (Personal Data Protection Act) ในด้านความปลอดภัยของข้อมูล
ถ้าธุรกิจของคุณเกี่ยวข้องกับข้อมูลส่วนบุคคล (เช่น HIS ในโรงพยาบาล) ต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัย โดยแยกเป็น 3 ส่วนหลัก

🔹 1. การควบคุมการเข้าถึงข้อมูล (Access Control)
- RBAC (Role-Based Access Control) → กำหนดสิทธิ์ของผู้ใช้งาน เช่น แพทย์, พยาบาล, แอดมิน
- Logging & Monitoring → เก็บ Log การเข้าถึงข้อมูล (ตาม พ.ร.บ. คอมพิวเตอร์ฯ)
- Multi-Factor Authentication (MFA) → เพิ่มการยืนยันตัวตน
- API Security → ถ้าเปิดให้ระบบอื่นเรียก API ต้องใช้ OAuth2, JWT, หรือ Mutual TLS
🔹 2. การเข้ารหัสข้อมูล (Encryption)
- Data at Rest (ข้อมูลที่ถูกเก็บ)
- Disk Encryption → เช่น ใช้ LUKS, BitLocker, หรือ Full Disk Encryption
- Field-Level Encryption → ใช้
pgcrypto
ใน PostgreSQL หรือ TDE (Transparent Data Encryption) - Key Management System (KMS) → ใช้เครื่องมือเช่น HashiCorp Vault หรือ AWS KMS
- Data in Transit (ข้อมูลที่ส่งผ่านเครือข่าย)
- ใช้ TLS (HTTPS, TLS 1.2/1.3)
- หลีกเลี่ยงการส่งข้อมูลผ่าน HTTP หรือ FTP ที่ไม่เข้ารหัส
🔹 3. การปกป้องข้อมูลจากภัยคุกคาม (Data Protection)
- DLP (Data Loss Prevention) → ป้องกันการรั่วไหลของข้อมูล เช่น ไม่ให้ Export CSV โดยไม่มีการเข้ารหัส
- Backup & Disaster Recovery → สำรองข้อมูลที่เข้ารหัส และทดสอบกู้คืนเป็นระยะ
- Penetration Testing (Pentest) → ทดสอบความปลอดภัยของระบบ
- GDPR/PDPA Compliance → มีนโยบาย ลบข้อมูลผู้ใช้ตามคำร้องขอ (Right to be Forgotten)
📌 ตัวอย่าง Implement จริง
✅ HIS (Hospital Information System) ต้องทำอย่างไรให้เข้า PDPA?
หัวข้อ | วิธีทำให้ปลอดภัย |
---|---|
เข้าถึงข้อมูลคนไข้ | ใช้ RBAC ให้แพทย์ดูข้อมูลได้เฉพาะแผนกตัวเอง |
บันทึก Log การเข้าถึง | ใช้ ELK Stack (Elasticsearch + Kibana) หรือ Graylog |
Encryption ที่ Database | ใช้ pgcrypto เข้ารหัสเลขบัตรประชาชน |
เข้ารหัสข้อมูลที่ส่งผ่าน API | ใช้ HTTPS + JWT Authentication |
ป้องกันข้อมูลรั่วไหล | ตรวจสอบสิทธิ์ก่อน Export CSV/PDF |
📌 ต้องทำอะไรบ้างให้ผ่านมาตรฐาน?
1️⃣ กำหนดนโยบาย PDPA และให้พนักงานอบรม
2️⃣ ออกแบบระบบให้มี Security ตั้งแต่ต้น
3️⃣ เข้ารหัสข้อมูลทุกที่ (At Rest & In Transit)
4️⃣ ควบคุมการเข้าถึงข้อมูล (RBAC, MFA, API Security)
5️⃣ ทดสอบระบบและ Audit ความปลอดภัยเป็นระยะ
🎯 สรุป
- PDPA ไม่ใช่แค่เรื่องกฎหมาย แต่เป็นเรื่องของ Security & Trust
- ต้องมีมาตรการป้องกันข้อมูลทุกระดับ (เข้าถึง, เข้ารหัส, ป้องกันรั่วไหล)
- การ Implement ต้องใช้แนวคิด Security by Design
🔹 HIS หรือระบบของคุณต้องปรับตรงไหนให้เข้า PDPA?