แนวทาง PDPA (Personal Data Protection Act) ในด้านความปลอดภัยของข้อมูล

แนวทาง PDPA (Personal Data Protection Act) ในด้านความปลอดภัยของข้อมูล
ถ้าธุรกิจของคุณเกี่ยวข้องกับข้อมูลส่วนบุคคล (เช่น HIS ในโรงพยาบาล) ต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัย โดยแยกเป็น 3 ส่วนหลัก


🔹 1. การควบคุมการเข้าถึงข้อมูล (Access Control)

  • RBAC (Role-Based Access Control) → กำหนดสิทธิ์ของผู้ใช้งาน เช่น แพทย์, พยาบาล, แอดมิน
  • Logging & Monitoring → เก็บ Log การเข้าถึงข้อมูล (ตาม พ.ร.บ. คอมพิวเตอร์ฯ)
  • Multi-Factor Authentication (MFA) → เพิ่มการยืนยันตัวตน
  • API Security → ถ้าเปิดให้ระบบอื่นเรียก API ต้องใช้ OAuth2, JWT, หรือ Mutual TLS

🔹 2. การเข้ารหัสข้อมูล (Encryption)

  • Data at Rest (ข้อมูลที่ถูกเก็บ)
    • Disk Encryption → เช่น ใช้ LUKS, BitLocker, หรือ Full Disk Encryption
    • Field-Level Encryption → ใช้ pgcrypto ใน PostgreSQL หรือ TDE (Transparent Data Encryption)
    • Key Management System (KMS) → ใช้เครื่องมือเช่น HashiCorp Vault หรือ AWS KMS
  • Data in Transit (ข้อมูลที่ส่งผ่านเครือข่าย)
    • ใช้ TLS (HTTPS, TLS 1.2/1.3)
    • หลีกเลี่ยงการส่งข้อมูลผ่าน HTTP หรือ FTP ที่ไม่เข้ารหัส

🔹 3. การปกป้องข้อมูลจากภัยคุกคาม (Data Protection)

  • DLP (Data Loss Prevention) → ป้องกันการรั่วไหลของข้อมูล เช่น ไม่ให้ Export CSV โดยไม่มีการเข้ารหัส
  • Backup & Disaster Recovery → สำรองข้อมูลที่เข้ารหัส และทดสอบกู้คืนเป็นระยะ
  • Penetration Testing (Pentest) → ทดสอบความปลอดภัยของระบบ
  • GDPR/PDPA Compliance → มีนโยบาย ลบข้อมูลผู้ใช้ตามคำร้องขอ (Right to be Forgotten)

📌 ตัวอย่าง Implement จริง

HIS (Hospital Information System) ต้องทำอย่างไรให้เข้า PDPA?

หัวข้อวิธีทำให้ปลอดภัย
เข้าถึงข้อมูลคนไข้ใช้ RBAC ให้แพทย์ดูข้อมูลได้เฉพาะแผนกตัวเอง
บันทึก Log การเข้าถึงใช้ ELK Stack (Elasticsearch + Kibana) หรือ Graylog
Encryption ที่ Databaseใช้ pgcrypto เข้ารหัสเลขบัตรประชาชน
เข้ารหัสข้อมูลที่ส่งผ่าน APIใช้ HTTPS + JWT Authentication
ป้องกันข้อมูลรั่วไหลตรวจสอบสิทธิ์ก่อน Export CSV/PDF

📌 ต้องทำอะไรบ้างให้ผ่านมาตรฐาน?

1️⃣ กำหนดนโยบาย PDPA และให้พนักงานอบรม
2️⃣ ออกแบบระบบให้มี Security ตั้งแต่ต้น
3️⃣ เข้ารหัสข้อมูลทุกที่ (At Rest & In Transit)
4️⃣ ควบคุมการเข้าถึงข้อมูล (RBAC, MFA, API Security)
5️⃣ ทดสอบระบบและ Audit ความปลอดภัยเป็นระยะ


🎯 สรุป

  • PDPA ไม่ใช่แค่เรื่องกฎหมาย แต่เป็นเรื่องของ Security & Trust
  • ต้องมีมาตรการป้องกันข้อมูลทุกระดับ (เข้าถึง, เข้ารหัส, ป้องกันรั่วไหล)
  • การ Implement ต้องใช้แนวคิด Security by Design

🔹 HIS หรือระบบของคุณต้องปรับตรงไหนให้เข้า PDPA?