Pichitchai Sangnak

4,940

Pichitchai Sangnak
Pichitchai Sangnak
เหตุละเมิดข้อมูลส่วนบุคคล pdpa 2024
ตลอดปี พ.ศ. 2567 (ค.ศ. 2024) ประเทศไทย เกิดเหตุการละเมิดข้อมูลส่วนบุคคลหลายครั้งสำคัญจนมักตกเป็นเป้าหมายของผู้ไม่ประสงค์ดี ที่พยายามเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
เพื่อปกป้ององค์กรจากภัยคุกคามดังกล่าว องค์กรควรเตรียมพร้อมและดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล ให้สอดคลองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยครอบคลุมประเด็นสำคัญ เช่น การจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ดำเนินการป้องกันมิให้ผู้อื่นใช้ข้อมูลโดยมิชอบ จัดให้มีระบบในการตรวจสอบการลบหรือทำลายข้อมูลส่วนบุคคล การฝึกอบรมและสร้างการตระหนักรู้ให้กับบุคลากรที่มีความเกี่ยวข้อง รวมถึงหน้าที่อื่นๆ เพื่อคุ้มครองข้อมูล รวมถึงลดความเสี่ยงที่อาจจะเกิดขึ้น
 
PDPA Thailand รวบรวม 5 เหตุละเมิดข้อมูลส่วนบุคคล ประเทศไทย ปี 2567 (เพื่อเป็นกรณีศึกษา) 
1. แฮกเกอร์ ประกาศขายข้อมูลคนไทยเกือบ 20 ล้านชุดข้อมูล
2. JIB รับข้อมูลลูกค้ารั่วจริง ดำเนินคดีอดีตพนักงาน เร่งเยียวยา 4 ผู้เสียหาย
3. PDPC ประสานด่วน กกต. ชี้แจงเหตุทำข้อมูลผู้สมัคร สว. หลุด 2 หมื่นชื่อ
4. กลุ่มแฮกเกอร์ได้แฮกข้อมูลของแบล็คแคนยอน เป็นจำนวนที่มากกว่า 958GB และสามารถเข้าถึงเซอร์เวอร์ทั้งหมด
5. แฮกเกอร์อ้างขโมยข้อมูลสมาชิก The 1 Card ของ Central ไปกว่า 5 ล้านราย ประกาศปล่อย 5 แสนชื่อ 
 
  • 1. แฮกเกอร์ ประกาศขายข้อมูลคนไทยเกือบ 20 ล้านชุดข้อมูลในเดือน มกราคม 2567 ประกอบไปด้วยหน่วยงานรัฐ 2 แห่ง คือกรมกิจการผู้สูงอายุและกองทัพเรือ 
เกิดเหตุการณ์อะไรขึ้น ?
     เมื่อวันที่ 22 มกราคม 2567 บีบีซีไทยได้รับคำยืนยันจากทั้งกรมกิจการผู้สูงอายุและสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ว่ามีข้อมูลส่วนบุคคลรั่วไหลโดยมีข้อมูลที่ใช้ระบุตัวบุคคลได้ (Personal Identifiable Information: PII) ของคนไทยเกือบ 20 ล้านชุดข้อมูลรั่วไหลและถูกประกาศขายบนแพลตฟอร์มซื้อขายข้อมูลฯ ผิดกฎหมาย ซึ่งมีทั้งข้อมูล ชื่อ – นามสกุล, เลขบัตรประชาชน, เบอร์โทรศัพท์ ฯลฯ
ข้อมูลส่วนบุคคลที่รั่วไหล เป็นข้อมูลที่ใช้ระบุตัวบุคคลได้ (PII) ประกอบด้วย
  1. ชุดข้อมูลส่วนบุคคลพื้นฐานและประวัติคำสั่งซื้อจากศูนย์หนังสือจุฬาฯ
  2. ข้อมูลที่อ้างว่าเป็นข้อมูลส่วนตัวของเจ้าหน้าที่ในกองทัพเรือ
  3. ข้อมูลส่วนตัวของผู้ลงทะเบียนหางานทางออนไลน์
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
หน่วยงานดังกล่าว มีช่องโหว่ในระบบความปลอดภัยของทั้งภาครัฐและภาคเอกชน ทำให้ข้อมูลส่วนบุคคลของประชาชนหลุดออกมาได้ เช่น การใช้ช่องทางที่ไม่ปลอดภัยในการเก็บข้อมูลส่วนบุคคล ไม่มีการกำกับสิทธิการเข้าถึงข้อมูลส่วนบุคคล หรือแม้แต่การละเมิดข้อมูลส่วนบุคคลที่ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอ
 
  • 2. JIB รับข้อมูลลูกค้ารั่วจริง ดำเนินคดีอดีตพนักงาน เร่งเยียวยา 4 ผู้เสียหาย – สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยคำสั่งฯ ระบุ โทษทางปกครอง PDPA ค่าปรับสูงถึง 7,000,000 บาท
เกิดเหตุการณ์อะไรขึ้น ?
     เมื่อวันที่ 28 มีนาคม 2567  ข้อมูลส่วนบุคคลของลูกค้าบริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์รั่วไหลจำนวนมาก ส่งผลให้มีผู้ได้รับความเสียหายผ่านการใช้ข้อมูลส่วนบุคคลโดยไม่ชอบ เหตุละเมิดดังกล่าวสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ตรวจสอบพบว่าเป็นข้อมูลการซื้อสินค้าและข้อมูลส่วนบุคคลของลูกค้าบริษัทจริง และมีความบกพร่องในการทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในหลายประเด็น
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
มีคนอ้างเป็นพนักงานบริษัทนี้ ติดต่อเข้ามาแจ้งรายละเอียดข้อมูลส่วนบุคคลที่ถูกต้อง พร้อมใช้กลลวงทำให้ลูกค้าหลงเชื่อและเกิดความเสียหาย หลังจากเกิดความเสียหายตรวจสอบพบว่าบริษัทนี้ไม่ได้ดำเนินการตามที่ PDPA กำหนด ลูกค้าจึงยื่นร้องเรียนมายัง สคส. เพื่อให้ทางหน่วยงานช่วยตรวจสอบให้ สคส. จึงสั่งลงโทษปรับรวมมูลค่ากว่า 7 ล้านบาท 
รายละเอียดโทษทางปกครองและค่าปรับ
  1. กรณีไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) – 1,000,000 บาท
  2. กรณีไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม – 3,000,000 บาท
  3. กรณีไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด – 3,000,000 บาท
 
  • 3. PDPC ประสานด่วน กกต. ชี้แจงเหตุทำข้อมูลผู้สมัคร สว. หลุด 2 หมื่นชื่อ
เกิดเหตุการณ์อะไรขึ้น ?
     เมื่อวันที่ 11 มิถุนายน 2567 จากกรณีมีการเปิดเผยรายชื่อและเลขบัตรประจำตัวประชาชนของผู้ผ่านการคัดเลือกสมาชิกวุฒิสภา (สว.) ระดับอำเภอ จำนวนกว่า 20,000 ราย จนเกิดเป็นกระแสบนโลกออนไลน์เกี่ยวกับเรื่องข้อมูลส่วนบุคคลรั่วไหล 
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
ข้อมูลที่รั่วไหลนี้ไม่ได้เกิดจากการแฮกหรือการโจมตีทางไซเบอร์จากภายนอก แต่เป็นการละเมิดภายในระบบ ซึ่งอาจเกิดจากช่องโหว่ในการจัดการข้อมูลของ กกต. หรือจากการเข้าถึงข้อมูลของผู้สมัครโดยไม่ได้รับอนุญาต ข้อมูลที่หลุดออกไปอาจรวมถึงชื่อ ที่อยู่ หรือข้อมูลส่วนตัวอื่น ๆ ที่ละเอียดอ่อนของผู้สมัคร สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ประสานไปยังสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) เพื่อตรวจสอบเหตุการณ์ดังกล่าวและชี้แจงข้อเท็จจริง 

 

  • 4. เพจเฟซบุ๊ก “Black Canyon” ได้โพสต์เตือนลูกค้า ว่าอย่ากดลิงค์เด็ดขาด หลังไลน์ถูกแฮ็กส่งข้อความทางกลุ่มแฮกเกอร์ได้แฮกข้อมูลของแบล็คแคนยอน เป็นจำนวนที่มากกว่า 958GB และสามารถเข้าถึงเซอร์เวอร์ทั้งหมด
เกิดเหตุการณ์อะไรขึ้น ?
   เมื่อวันที่ 2 พฤศจิกายน 2567 LINE ประเทศไทย แจ้ง  Black Canyon Coffee ถูกแฮก บัญชี “Black Canyon Coffee” ถูกเข้าถึงโดยไม่ได้รับอนุญาต และได้เผยแพร่ข้อความและลิงก์ที่แอบอ้างเพื่อให้ผู้ติดตามทำตาม ทาง LINE ได้ตรวจสอบและติดตามสถานการณ์ พบว่าทุกกรณีดังกล่าวไม่ได้เกิดจากการเข้าถึงระบบเซิร์ฟเวอร์ของ LINE โดยตรงเพจเฟซบุ๊ก “Black Canyon” ได้โพสต์เตือนลูกค้า ว่าอย่ากดลิงค์เด็ดขาด หลังไลน์ถูกแฮ็กส่งข้อความที่ไม่ถูกต้อง และยืนยันว่า ข้อมูลของลูกค้าทุกท่านได้รับการจัดเก็บด้วยมาตรการความปลอดภัยขั้นสูงสุด โดยข้อมูลที่จัดเก็บเป็นข้อมูลทั่วไป ไม่มีการเก็บข้อมูลทางด้านการเงินของลูกค้าแต่อย่างใด
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
บริษัทแบล็คแคนยอนถูกแฮ็กข้อมูลส่วนบุคคลของลูกค้า โดยมีผลกระทบทำให้บัญชีไลน์ OA รวมถึงข้อมูลส่วนบุคคลของบริษัท ไม่ว่าจะเป็นข้อมูลทางการเงิน หรือแม้แต่ข้อมูลภายในบริษัทที่ใช้ในการดำเนินงานต่างๆ รั่วไหลออกไป ซึ่งแฮกเกอร์ขู่ว่าหากบริษัทไม่ติดต่อกลับมา พวกเขาจะเปิดเผยข้อมูลทั้งหมดที่ได้มาในวันที่ 5 พฤศจิกายน 2567 

 

  • 5. แฮกเกอร์อ้างขโมยข้อมูลสมาชิก The 1 Card ของ Central ไปกว่า 5 ล้านราย ประกาศปล่อย 5 แสนชื่อ
เกิดเหตุการณ์อะไรขึ้น ?
     เมื่อวันที่ 19 พฤศจิกายน 2567 ที่ผ่านมา แฮกเกอร์ที่ใช้ชื่อว่า 0mid16B ประกาศว่าได้แฮกข้อมูลส่วนบุคคลของสมาชิกบัตร The1 ซึ่งเป็นบัตรสมาชิกของเซ็นทรัล ที่เอาไว้สะสมแต้มเวลาซื้อสินค้า โดยแฮกเกอร์ได้ข้อมูลไปเป็นจำนวนกว่า 5 ล้านบัญชี ประกอบด้วย ชื่อ – นามสกุล,  หมายเลขสมาชิก,  หมายเลขบัตรประชาชน,  ประเทศ, เบอร์โทรศัพท์ และอีเมล ด้วยการทดสอบกรอกเบอร์โทรศัพท์และแสดงปฏิกิริยาของเซิร์ฟเวอร์หลังบ้าน พบว่ามีการตอบสนองจริง
ทำไมถึงเกิดเหตุการณ์ดังกล่าว
แฮกเกอร์อ้างว่า ได้ติดต่อฝ่ายบริหารแต่การเจรจาไม่ประสบผล จึงตัดสินใจประกาศขายข้อมูลของสมาชิกบัตร The 1 บนดาร์กเว็บ เผยแพร่วิดีโอวิธีตรวจสอบข้อมูลตัวอย่าง และข้อมูลสมาชิกบางส่วน ระบุว่า บริษัทไทยไม่ใส่ใจเรื่องการปกป้องข้อมูล เพราะจะไม่มีอะไรเกิดขึ้นกับพวกเขา ไม่มีค่าปรับ PDPA ไม่มีการชดเชยให้กับลูกค้า และไม่มีความรับผิดชอบ เบื้องต้นยังไม่พบหลักฐานว่ามีการเจาะระบบหรือข้อมูลรั่วไหลใด ๆ เกิดขึ้น และทางบริษัทฯ ได้ดำเนินการแจ้งความกับตำรวจไซเบอร์เพื่อให้ดำเนินคดีกับผู้ที่กระทำผิดตามกฎหมายแล้ว
สรุป
     ทุกองค์กรมีหน้าที่สำคัญในการคุ้มครองข้อมูลส่วนบุคคล ตามกฏหมาย PDPA ระลึกอยู่เสมอว่าข้อมูลส่วนบุคคล เป็นเพียงสิ่งที่ “ยืม” จากเจ้าของข้อมูลส่วนบุคคล ดังนั้น การใช้ข้อมูลฯ ในองค์กร ควรต้องอยู่ในมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันและลดความเสี่ยงการเกิดเหตุการละเมิดข้อมูลส่วนบุคคลให้ได้น้อยที่สุด
การปฏิบัติตาม PDPA ไม่เพียงช่วยหลีกเลี่ยงความเสี่ยงทางกฎหมายและการเสียชื่อเสียง แต่ยังช่วยเสริมสร้างความเชื่อมั่นในด้านการรักษาความปลอดภัยของข้อมูลส่วนบุคคลจากลูกค้าและผู้ใช้บริการ
ขอบคุณที่มา: 
https://www.matichon.co.th/economy/news_4498411
https://www.isranews.org/article/isranews-scoop/131265-PDPC-JIB-PDPA-law-report.html
https://www.isranews.org/article/isranews-news/131111-invessdsddssd.html
https://www.thairath.co.th/news/politic/2792465
https://www.khaosod.co.th/special-stories/news_9487051
https://www.secnia.go.th/2024/11
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
อบรม pdpa
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
DPS 1200x300
dpo รวม