ในโลกไซเบอร์  สิ่งที่คนทั่วโลกหวาดหวั่นเป็นอย่างมากก็คือภัยคุกคามที่แฝงมากับความสะดวกสบายและความสนุกสนาน และนับวันคนทั่วโลกต่างก็ตระหนักถึงภัยคุกคามนี้มากยิ่งขึ้นและพยายามหาทางป้องกันและรับมือกับภัยจากเทคโนโลยีนี้มากขึ้นเช่นกัน

ปัจจุบัน มีกฎหมายและระเบียบที่ช่วยลดภัยอันตรายและปกป้องความเป็นส่วนตัวของเราในโลกดิจิตอลมากขึ้น ซึ่งจากข้อมูลของไอบีเอ็มพบว่าค่าใช้จ่ายของการละเมิดข้อมูลมีสูงถึง 3.6 ล้านเหรียญสหรัฐในขณะที่กฎระเบียบและกฎหมายก็มีความเข้มงวดมากขึ้น เมื่อเรามีการเชื่อมโยงกันมากขึ้น รัฐบาลทั่วโลกจึงแนะนำให้ใช้กฎระเบียบเกี่ยวกับความเป็นส่วนตัว เช่นในสหภาพยุโรปใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เรียกว่า GDPR (General Data Protection Regulation) ซึ่งองค์กรต้องปฏิบัติตาม

เมื่อเป็นเช่นนี้แล้ว องค์กรจะจัดการกับข้อมูลความมั่นคงปลอดภัยรวมทั้งปฏิบัติตามกฎหมายและระเบียบที่เกี่ยวข้องได้อย่างไรปัจจุบัน ทุกองค์กรมีทางเลือกแล้วโดยไอเอสโอได้เผยแพร่มาตรฐานสากลฉบับแรกที่จะช่วยแก้ไขปัญหาดังกล่าว

ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 และISO/IEC 27002 for privacy information management —Requirements and guidelines ระบุข้อกำหนดสำหรับการกำหนด การนำไปใช้ การรักษา และการปรับปรุงอย่างต่อเนื่องสำหรับระบบการจัดการความมั่นคงปลอดภัยด้านข้อมูลที่เกี่ยวข้องกับความเป็นส่วนตัวโดยเฉพาะหรือที่เรียกกันว่าระบบการจัดการ PIMS (Protecting Personal Data)

จากการอ้างอิงก่อนหน้านี้ไปยังมาตรฐาน ISO/IEC 27552 ระหว่างที่มีการพัฒนานั้น มีการพัฒนามาตรฐาน  ISO/IEC 27001, Information Technology – Security techniques – Information security management systems – Requirements ซึ่งจัดเตรียมข้อกำหนดพิเศษที่จำเป็นเมื่อต้องเกี่ยวข้องกับเรื่องความเป็นส่วนตัว

ดร.แอนเดรียส โวล์ฟ ประธานคณะกรรมการวิชาการไอเอสโอที่พัฒนามาตรฐานดังกล่าวระบุว่าองค์กรส่วนใหญ่มีกระบวนการระบุข้อมูลส่วนบุคคลและทำการปกป้องข้อมูลนั้นซึ่งไม่เพียงแต่เป็นข้อกำหนดทางกฎหมายเท่านั้น แต่ยังจำเป็นต้องทำตามความต้องการของสังคมด้วย

ISO/IEC 27701 ระบุกระบวนการและจัดเตรียมแนวทางปกป้องการระบุข้อมูลส่วนบุคคลเพราะการมีระบบการจัดการ มีการระบุกระบวนการเพื่อปรับปรุงอย่างต่อเนื่องในเรื่องของการปกป้องข้อมูล โดยเฉพาะอย่างยิ่ง มีความสำคัญมากในโลกที่เทคโนโลยีไม่เคยหยุดนิ่ง  และไมโครซอฟต์ก็เป็นผู้เข้าร่วมในคณะกรรมการดังกล่าวด้วย

จูลี บริลล์ รองประธานและรองที่ปรึกษาทั่วไปด้านกฎระเบียบและความเป็นส่วนตัวของไมโครซอฟต์กล่าวว่า ไมโครโซอฟต์มีความชื่นชมในคณะกรรมการไอเอสโอ/ไออีซีที่ได้พัฒนามาตรฐานด้านความเป็นส่วนตัวนับตั้งแต่เรื่องพื้นฐานที่มีความสำคัญในเรื่องความเป็นส่วนตัวเพื่อให้องค์กรทุกขนาด อุตสาหกรรม รวมไปถึงด้านอำนาจศาลสามารถปกป้องและควบคุมข้อมูลส่วนบุคคลได้และในขั้นต่อไป ไมโครซอฟต์มุ่งมั่นในการขยายเรื่องของสิทธิที่มีตาม GDPR ไปยังลูกค้าของไมโครซอฟต์ทั่วโลกด้วย  ซึ่งไมโครซอฟต์อาชัวร์จะช่วยให้ลูกค้าและหุ้นส่วนในการปรับโมเดลการปฏิบัติงานร่วมกัน

ISO/IEC 27701 ได้รับการพัฒนาโดยกลุ่มงานที่ 5 ของคณะกรรมการวิชาการ ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection ซึ่งประกอบด้วยผู้เชี่ยวชาญจากทั่วโลกที่ทำหน้าที่ด้านการปกป้องข้อมูล หน่วยงานที่ทำหน้าที่ด้านความมั่นคงปลอดภัย หน่วยงานวิชาการและภาคอุตสาหกรรม

มาธธู กราลล์ จากคณะกรรมการยุติธรรมแห่งคณะกรรมาธิการสหภาพยุโรปซึ่งเป็นองค์กรอิสระที่ทำการติดตามปกป้องข้อมูลส่วนบุคคลเป็นผู้เข้าร่วมในคณะอนุกรรมการวิชาการ SC 27 และเป็นผู้มีส่วนร่วมในการพัฒนามาตรฐาน กล่าวว่าแม้ว่าจะมีความเสี่ยงของการไม่ปฏิบัติตามกฎระเบียบเหล่านี้ เแต่องค์กรหลายแห่งอาจไม่พร้อมและไม่ต้องการแนวทาง แต่เมื่อมีผู้ร้องเรียนและมีการเสียค่าปรับเกี่ยวกับการปกป้องข้อมูลและความเป็นส่วนตัวเพิ่มขึ้น มาตรฐานนี้จึงมีความจำเป็นอย่างเห็นได้ชัดในปัจจุบัน

นอกจากนี้ องค์กรจำเป็นต้องนำความเชื่อถือมาสู่องค์กรเอง หุ้นส่วน ลูกค้า ลูกจ้าง และผู้มีส่วนได้ส่วนเสีย มาตรฐานดังกล่าวนับว่ามีส่วนสำคัญอย่างยิ่งในการสร้างความเชื่อถือเหล่านั้น

ปัจจุบัน ประเทศไทย มีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เมื่อวันที่ 24 พฤษภาคม 2562 แล้ว องค์กรต่างๆ จึงควรเตรียมความพร้อมเกี่ยวกับมาตรการในการจัดการข้อมูลส่วนบุคคลของลูกค้า และมาตรฐานไอเอสโอเกี่ยวกับเรื่องนี้เป็นมาตรฐานที่ทุกองค์กรสามารถนำไปใช้งานในการบริหารจัดการได้เป็นอย่างดี  โดยมาตรฐานไอเอสโอด้านความมั่นคงปลอดภัยของข้อมูล และการปกป้องข้อมูลส่วนบุคคลที่ได้รับการพัฒนาแล้วมีจำนวน 184 ฉบับ และอยู่ในระหว่างการพัฒนาจำนวน 80 ฉบับ

ที่มา
1. https://www.iso.org/news/ref2419.html
2. https://www.iso.org/committee/45306.html
3.http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

Related posts

• Line Phone โทรเข้าได้แม้อีกฝ่ายไม่มี Line
• ISO สนับสนุน ILO เรื่องความปลอดภัยของผู้ใช้แรงงาน
• FDA สหรัฐ เตรียมใช้ ISO 13485 แทนกฎระเบียบเครื่องมือแพทย์
• คู่มือความปลอดภัยและอาชีวอนามัยฉบับใหม่สำหรับ SMEs
• สตาร์ทอัพดาวรุ่งในออสเตรียกับการมาตรฐาน

Tags: IT, Standardization, Technology