ตลอดปี พ.ศ. 2567 (ค.ศ. 2024) ประเทศไทย เกิดเหตุการละเมิดข้อมูลส่วนบุคคลหลายครั้งสำคัญจนมักตกเป็นเป้าหมายของผู้ไม่ประสงค์ดี ที่พยายามเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
เพื่อปกป้ององค์กรจากภัยคุกคามดังกล่าว องค์กรควรเตรียมพร้อมและดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล ให้สอดคลองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยครอบคลุมประเด็นสำคัญ เช่น การจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ดำเนินการป้องกันมิให้ผู้อื่นใช้ข้อมูลโดยมิชอบ จัดให้มีระบบในการตรวจสอบการลบหรือทำลายข้อมูลส่วนบุคคล การฝึกอบรมและสร้างการตระหนักรู้ให้กับบุคลากรที่มีความเกี่ยวข้อง รวมถึงหน้าที่อื่นๆ เพื่อคุ้มครองข้อมูล รวมถึงลดความเสี่ยงที่อาจจะเกิดขึ้น
PDPA Thailand รวบรวม 5 เหตุละเมิดข้อมูลส่วนบุคคล ประเทศไทย ปี 2567 (เพื่อเป็นกรณีศึกษา)
1. แฮกเกอร์ ประกาศขายข้อมูลคนไทยเกือบ 20 ล้านชุดข้อมูล
2. JIB รับข้อมูลลูกค้ารั่วจริง ดำเนินคดีอดีตพนักงาน เร่งเยียวยา 4 ผู้เสียหาย
3. PDPC ประสานด่วน กกต. ชี้แจงเหตุทำข้อมูลผู้สมัคร สว. หลุด 2 หมื่นชื่อ
4. กลุ่มแฮกเกอร์ได้แฮกข้อมูลของแบล็คแคนยอน เป็นจำนวนที่มากกว่า 958GB และสามารถเข้าถึงเซอร์เวอร์ทั้งหมด
5. แฮกเกอร์อ้างขโมยข้อมูลสมาชิก The 1 Card ของ Central ไปกว่า 5 ล้านราย ประกาศปล่อย 5 แสนชื่อ
1. แฮกเกอร์ ประกาศขายข้อมูลคนไทยเกือบ 20 ล้านชุดข้อมูลในเดือน มกราคม 2567 ประกอบไปด้วยหน่วยงานรัฐ 2 แห่ง คือกรมกิจการผู้สูงอายุและกองทัพเรือ
เกิดเหตุการณ์อะไรขึ้น ?
เมื่อวันที่ 22 มกราคม 2567 บีบีซีไทยได้รับคำยืนยันจากทั้งกรมกิจการผู้สูงอายุและสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ว่ามีข้อมูลส่วนบุคคลรั่วไหลโดยมีข้อมูลที่ใช้ระบุตัวบุคคลได้ (Personal Identifiable Information: PII) ของคนไทยเกือบ 20 ล้านชุดข้อมูลรั่วไหลและถูกประกาศขายบนแพลตฟอร์มซื้อขายข้อมูลฯ ผิดกฎหมาย ซึ่งมีทั้งข้อมูล ชื่อ – นามสกุล, เลขบัตรประชาชน, เบอร์โทรศัพท์ ฯลฯ
ข้อมูลส่วนบุคคลที่รั่วไหล เป็นข้อมูลที่ใช้ระบุตัวบุคคลได้ (PII) ประกอบด้วย
ชุดข้อมูลส่วนบุคคลพื้นฐานและประวัติคำสั่งซื้อจากศูนย์หนังสือจุฬาฯ
ข้อมูลที่อ้างว่าเป็นข้อมูลส่วนตัวของเจ้าหน้าที่ในกองทัพเรือ
ข้อมูลส่วนตัวของผู้ลงทะเบียนหางานทางออนไลน์
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
หน่วยงานดังกล่าว มีช่องโหว่ในระบบความปลอดภัยของทั้งภาครัฐและภาคเอกชน ทำให้ข้อมูลส่วนบุคคลของประชาชนหลุดออกมาได้ เช่น การใช้ช่องทางที่ไม่ปลอดภัยในการเก็บข้อมูลส่วนบุคคล ไม่มีการกำกับสิทธิการเข้าถึงข้อมูลส่วนบุคคล หรือแม้แต่การละเมิดข้อมูลส่วนบุคคลที่ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอ
2. JIB รับข้อมูลลูกค้ารั่วจริง ดำเนินคดีอดีตพนักงาน เร่งเยียวยา 4 ผู้เสียหาย – สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยคำสั่งฯ ระบุ โทษทางปกครอง PDPA ค่าปรับสูงถึง 7,000,000 บาท
เกิดเหตุการณ์อะไรขึ้น ?
เมื่อวันที่ 28 มีนาคม 2567 ข้อมูลส่วนบุคคลของลูกค้าบริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์รั่วไหลจำนวนมาก ส่งผลให้มีผู้ได้รับความเสียหายผ่านการใช้ข้อมูลส่วนบุคคลโดยไม่ชอบ เหตุละเมิดดังกล่าวสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ตรวจสอบพบว่าเป็นข้อมูลการซื้อสินค้าและข้อมูลส่วนบุคคลของลูกค้าบริษัทจริง และมีความบกพร่องในการทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในหลายประเด็น
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
มีคนอ้างเป็นพนักงานบริษัทนี้ ติดต่อเข้ามาแจ้งรายละเอียดข้อมูลส่วนบุคคลที่ถูกต้อง พร้อมใช้กลลวงทำให้ลูกค้าหลงเชื่อและเกิดความเสียหาย หลังจากเกิดความเสียหายตรวจสอบพบว่าบริษัทนี้ไม่ได้ดำเนินการตามที่ PDPA กำหนด ลูกค้าจึงยื่นร้องเรียนมายัง สคส. เพื่อให้ทางหน่วยงานช่วยตรวจสอบให้ สคส. จึงสั่งลงโทษปรับรวมมูลค่ากว่า 7 ล้านบาท
รายละเอียดโทษทางปกครองและค่าปรับ
กรณีไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) – 1,000,000 บาท
กรณีไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม – 3,000,000 บาท
กรณีไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด – 3,000,000 บาท
3. PDPC ประสานด่วน กกต. ชี้แจงเหตุทำข้อมูลผู้สมัคร สว. หลุด 2 หมื่นชื่อ
เกิดเหตุการณ์อะไรขึ้น ?
เมื่อวันที่ 11 มิถุนายน 2567 จากกรณีมีการเปิดเผยรายชื่อและเลขบัตรประจำตัวประชาชนของผู้ผ่านการคัดเลือกสมาชิกวุฒิสภา (สว.) ระดับอำเภอ จำนวนกว่า 20,000 ราย จนเกิดเป็นกระแสบนโลกออนไลน์เกี่ยวกับเรื่องข้อมูลส่วนบุคคลรั่วไหล
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
ข้อมูลที่รั่วไหลนี้ไม่ได้เกิดจากการแฮกหรือการโจมตีทางไซเบอร์จากภายนอก แต่เป็นการละเมิดภายในระบบ ซึ่งอาจเกิดจากช่องโหว่ในการจัดการข้อมูลของ กกต. หรือจากการเข้าถึงข้อมูลของผู้สมัครโดยไม่ได้รับอนุญาต ข้อมูลที่หลุดออกไปอาจรวมถึงชื่อ ที่อยู่ หรือข้อมูลส่วนตัวอื่น ๆ ที่ละเอียดอ่อนของผู้สมัคร สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ประสานไปยังสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) เพื่อตรวจสอบเหตุการณ์ดังกล่าวและชี้แจงข้อเท็จจริง
4. เพจเฟซบุ๊ก “Black Canyon” ได้โพสต์เตือนลูกค้า ว่าอย่ากดลิงค์เด็ดขาด หลังไลน์ถูกแฮ็กส่งข้อความทางกลุ่มแฮกเกอร์ได้แฮกข้อมูลของแบล็คแคนยอน เป็นจำนวนที่มากกว่า 958GB และสามารถเข้าถึงเซอร์เวอร์ทั้งหมด
เกิดเหตุการณ์อะไรขึ้น ?
เมื่อวันที่ 2 พฤศจิกายน 2567 LINE ประเทศไทย แจ้ง Black Canyon Coffee ถูกแฮก บัญชี “Black Canyon Coffee” ถูกเข้าถึงโดยไม่ได้รับอนุญาต และได้เผยแพร่ข้อความและลิงก์ที่แอบอ้างเพื่อให้ผู้ติดตามทำตาม ทาง LINE ได้ตรวจสอบและติดตามสถานการณ์ พบว่าทุกกรณีดังกล่าวไม่ได้เกิดจากการเข้าถึงระบบเซิร์ฟเวอร์ของ LINE โดยตรงเพจเฟซบุ๊ก “Black Canyon” ได้โพสต์เตือนลูกค้า ว่าอย่ากดลิงค์เด็ดขาด หลังไลน์ถูกแฮ็กส่งข้อความที่ไม่ถูกต้อง และยืนยันว่า ข้อมูลของลูกค้าทุกท่านได้รับการจัดเก็บด้วยมาตรการความปลอดภัยขั้นสูงสุด โดยข้อมูลที่จัดเก็บเป็นข้อมูลทั่วไป ไม่มีการเก็บข้อมูลทางด้านการเงินของลูกค้าแต่อย่างใด
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
บริษัทแบล็คแคนยอนถูกแฮ็กข้อมูลส่วนบุคคลของลูกค้า โดยมีผลกระทบทำให้บัญชีไลน์ OA รวมถึงข้อมูลส่วนบุคคลของบริษัท ไม่ว่าจะเป็นข้อมูลทางการเงิน หรือแม้แต่ข้อมูลภายในบริษัทที่ใช้ในการดำเนินงานต่างๆ รั่วไหลออกไป ซึ่งแฮกเกอร์ขู่ว่าหากบริษัทไม่ติดต่อกลับมา พวกเขาจะเปิดเผยข้อมูลทั้งหมดที่ได้มาในวันที่ 5 พฤศจิกายน 2567
5. แฮกเกอร์อ้างขโมยข้อมูลสมาชิก The 1 Card ของ Central ไปกว่า 5 ล้านราย ประกาศปล่อย 5 แสนชื่อ
