เหตุการณ์ข้อมูลส่วนตัวหลุดจากกระทรวงสาธารณสุขไม่ใช่เรื่องที่เกิดในไทยเป็นครั้งแรก ที่ผ่านมาบริษัทน้อยใหญ่ต่างเคยทำให้ข้อมูลส่วนตัวของผู้ใช้บริการหลุดออกไปหลายครั้ง แต่ไม่เคยมีการลงโทษหรือการชดเชยอย่างจริงจัง จากกฎหมายที่ในตอนนี้ถึงมีก็เหมือนไม่มี

Highlights

  • เหตุการณ์ข้อมูลโรงพยาบาลหลุดไม่ใช่เหตุการณ์ข้อมูลส่วนตัวถูกเปิดเผยเป็นครั้งแรก แต่เกิดขึ้นมากมายในทั่วทุกมุมโลก
  • นับเฉพาะในไทยก็เกิดเหตุการณ์นี้ขึ้นหลายครั้ง ทั้งจากการโจมตีโดยคนนอกรวมถึงความสะเพร่าหละหลวมโดยคนใน
  • บางครั้งผู้ให้บริการเลือกปล่อยปละไม่ตอบคำถามหรือออกมาชี้แจงใดต่อสาธารณะจากผลกระทบที่เกิดขึ้น
  • พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่เป็นความหวัง ยังไม่มีผลบังคับใช้จนปี 2565 จึงคาดหวังบทลงโทษได้ไม่มากนัก

--------------------

          ปัญหาข้อมูลส่วนบุคคลรั่วไหลจากผู้ให้บริการคือเรื่องพบเห็นได้ทั่วไปในพักหลัง ด้วยบริษัทน้อยใหญ่ต่างถูกแฮกเกอร์มือฉมังเจาะระบบรักษาความปลอดภัยเพื่อนำไปใช้ประโยชน์ในหลายด้าน ทั้งในส่วนการเรียกค่าไถ่เพื่อไม่ให้ปล่อยข้อมูลหลุดไป นำข้อมูลในส่วนนั้นไปทำเงินโดยตรง หรือขายต่อเพื่อใช้ประโยชน์ด้านอื่นล้วนอันตรายไม่แพ้กัน


          นี่เป็นประเด็นปัญหาในทั่วทุกมุมโลกในการรักษาความปลอดภัยข้อมูลผู้ใช้งาน แม้แต่บริษัทยักษ์ใหญ่ด้านเทคโนโลยีทั้งหลายไม่ว่าจะเป็น Yahoo, Apple, Facebook หรือ Microsoft เองล้วนเผชิญปัญหาด้านรักษาความปลอดภัยทางเครือข่าย รวมถึงข้อมูลของผู้ใช้บริการถูกเปิดเผยมาแล้วแทบทั้งสิ้น


          ล่าสุดในประเทศไทยเรื่องนี้กลายเป็นประเด็นร้อนเมื่อมีข้อมูลรายชื่อคนไข้ของสาธารณสุขออกมาเผยแพร่ ข้อมูลที่หลุดมามีตั้งแต่รายชื่อ ที่อยู่ เบอร์โทรศัพท์ วันเดือนปีเกิด เลขบัตรประจำตัวประชาชน ไปจนข้อมูลด้านการแพทย์ และประกันสุขภาพ ชวนให้ตั้งคำถามว่าถ้าข้อมูลส่วนนี้หลุดไปหมด เราจะยังเหลือ “ข้อมูลส่วนตัว” กันอยู่อีกไหม?

 

       และแน่นอนว่าในไทยเอง การมีข้อมูลส่วนตัวของลูกค้าถูกดึงออกมาจากผู้ให้บริการโดยมือมืดเกิดขึ้นอยู่หลายครั้ง บ้างที่ได้ไปเป็นแค่ส่วนเล็กน้อย บางส่วนถูกนำมาเรียกค่าไถ่ หรือวางขายในตลาดมืด รวมถึงบางครั้งส่งผลกระทบกับเงินในบัญชีทีเดียว
คำชี้แจงกรณีบริษัทแอ็กซ่า

ย้อนเหตุการณ์ข้อมูลส่วนตัวของผู้ใช้บริการหลุดในประเทศไทย
          กรณีดังคงหนีไม่พ้นเหตุการณ์ช่วงเดือนพฤษภาคม 2564 กับบริษัทประกันสัญชาติฝรั่งเศสอย่าง AXA ที่ให้บริการลูกค้าหลายประเทศตั้งแต่ไทย, ฟิลิปปินส์, มาเลเซีย และฮ่องกง ถูกโจมตีด้วยฝีมือของแฮกเกอร์ Avaddon ทำให้มีข้อมูลในบริษัทมากกว่า 3TB หลุดออกไป

 

          ข้อมูลในส่วนนี้ครอบคลุมข้อมูลส่วนตัวของลูกค้าที่มีความละเอียดอ่อน ตั้งแต่ใบรายงานผลการแพทย์ เอกสารเรียกสินไหมทดแทน เอกสารการจ่ายเงินให้ลูกค้า สำเนาบัญชีธนาคารลูกค้า เอกสารทางการแพทย์ และเอกสารยืนยันตัวตนจำพวกบัตรประชาชน ทั้งหมดนี้คือข้อมูลที่ถูกนำมาเรียกค่าไถ่ไม่อย่างนั้นจะถูกปล่อยในตลาดมืด

 

          เหตุการณ์ดังกล่าวทำให้ทางบริษัทกรุงไทย-แอกซ่าประกันชีวิตต้องออกมาชี้แจงแถลงการณ์ต่อเรื่องที่เกิดขึ้น แต่ไม่ทราบว่ารายละเอียดจากเรื่องที่เกิดขึ้นรวมถึงการชดเชยค่าเสียหายแก่ลูกค้าดำเนินไปถึงไหน มีเพียงประกาศฉบับแรกที่ออกมาเผยแพร่ให้รับรู้ว่ามีการตรวจสอบแล้วจะแจ้งให้ทราบในภายหลังเท่านั้น

 

          นอกจากบริษัทประกันสุขภาพแล้วที่เป็นเป้าโจมตีไม่แพ้กันคือผู้ให้บริการอินเตอร์เน็ต เช่น บริษัท ทริปเปิลที บรอดแบนด์ จำกัดหรือ 3BB ถูกเจาะข้อมูลจากทางบริษัท Jasmine International ที่เป็นบริษัทแม่เรียกค่าไถ่ จนมีข้อมูลหลุดออกมามากกว่า 8 ล้านรายการ

 

          ภายหลังทางบริษัทได้ทำการชี้แจงแถงการณ์เกี่ยวกับเรื่องนี้ในวันที่ 12 มกราคม 2564 โดยมีใจความสำคัญว่าข้อมูลส่วนที่หลุดมามีแค่เลขลูกค้า เบอร์โทรศัพท์ อีเมล และวันเกิดเท่านั้น ส่วนข้อมูลอื่นอย่างบัตรประจำตัวประชาชนกับข้อมูลทางการเงินไม่มีการเข้าถึง
  แถลงการณ์จากกรณี3บีบี
          หรือในกรณีอัปยศที่สุดคือการหลุดของข้อมูลของบริษัท ทรู คอร์เปอเรชั่น กับการเผลอทำข้อมูลลูกค้าหลุดโดยไม่มีการโจมตีทางระบบใดๆ เป็นช่องโหว่จากความสะเพร่าของผู้ดูแลระบบเอง ในการเปิดให้คนนอกเข้าถึงข้อมูลผู้ใช้ ทั้งในส่วนของสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ต กว่า 46,000 ราย รวม 32GB

 

          เหตุการณ์ดังกล่าวถูกผู้เชี่ยวชาญตรวจพบในวันที่ 8 มีนาคม 2561 แต่กว่าจะได้รับการแก้ไขก็เป็นในวันที่ 12 เมษายน ทั้งที่มีความพยายามส่งข้อความหาบริษัทตั้งแต่วันที่ 12 มีนาคมแต่กลับไม่ได้รับความสนใจ ก่อนออกมาแถลงการณ์ในวันที่ 14 เมษายนว่าทั้งหมดเกิดจากฝีมือแฮกเกอร์ จนถูกทางกสทช.สั่งลงดาบให้ชดเชยผู้เสียหายและปรับปรุงมาตรการความปลอดภัย รวมถึงมีการส่งหนังสือย้ำเตือนเรื่องความปลอดภัยแก่บริษัทให้บริการโทรศัพท์มือถืออื่นเพิ่มเติมด้วย

 

          นั่นคือเหตุการณ์ที่เกิดขึ้นกับบริษัทใหญ่ที่เคยผ่านตามาไม่มากก็น้อย แน่นอนว่าเมื่อลองไล่ดูนับว่ามีผู้เสียหายเป็นจำนวนมากทีเดียว แต่โดยมากข้อมูลเหล่านี้ถูกสกัดกั้น ตรวจสอบ และแจ้งเตือนแก่ผู้บริโภคทันท่วงที(เพราะเป็นข่าวดัง) แต่จะเป็นอย่างไรถ้ากระบวนการเหล่านั้นไม่เกิดขึ้น?

 

เหตุการณ์ข้อมูลบัตรเครดิตของผู้ใช้บริการหลุดจากเว็บไซต์สำนักพิมพ์ชื่อดัง

ภาพที่ผู้เสียหายพยายามแกะโค๊ดไวรัสจากเว็บของสำนักพิมพ์
          เรื่องนี้ถูกเปิดเผยโดยกลุ่มพูดคุยนิยาย “คุยเฟื่องเรื่อง light novel” โดยผู้ใช้งานรายหนึ่ง ได้ออกมาตั้งข้อสังเกตเรื่องบัตรของเขาถูกแฮกและต้องอายัติหลายต่อหลายครั้ง จนมาสอบถามข้อมูลผู้เสียหายจากนักอ่านภายในกลุ่ม ก่อนนำไปวิเคราะห์จากบรรดาโปรแกรมเมอร์ ผลสรุปของปัญหาในครั้งนี้คือเว็บไซต์ของสำนักพิมพ์ Phoenix Next

 

          โดยทางผู้ใช้งานคาดการณ์ว่า น่าจะมีการฝังสคริปไว้คอยดูดข้อมูลบัตรเครดิตและเดบิตของลูกค้าตั้งแต่ช่วงเดือนตุลาคม 2563 หากอ้างอิงจากข้อมูลของผู้เสียหาย โดยข้อมูลที่หลุดออกไปมีตั้งแต่ ชื่อ ที่อยู่ เบอร์โทรศัพท์ หมายเลขบัตรเครดิต วันเดือนปีหมดอายุ จนถึงรหัสหลังบัตร เป็นข้อมูลรายละเอียดมากพอให้นำไปใช้ในธุรกรรมการเงินได้เหลือเฟือ

 

          เลวร้ายกว่านั้นคือทั้งที่มีการตรวจพบโดยผู้ใช้งานตั้งแต่วันที่ 19 มีนาคม 2564 แต่กว่าต้นสังกัดจะมีการตอบรับก็เป็นในวันที่ 23 มีนาคม อีกทั้งแค่ออกมาชี้แจงหยุดให้บริการเว็บไซต์ชั่วคราว แต่แถลงการณ์ผ่านช่องทางสาธารณะกลับเผยแพร่ได้ไม่นานก็ลบออกไปจากหน้าเพจของทางสำนักพิมพ์ โดยไม่มีการแจ้งข้อมูลให้ทราบเป็นวงกว้างเพิ่มเติมเพื่อยับยั้งความเสียหายเลย กลับอาศัยการแจ้งเตือนผ่านทางอีเมลและข้อความส่วนตัวให้กับลูกค้าทีละคนแทน

 

          ในส่วนการชดเชยค่าเสียหาย มีรายงานจากภายในกลุ่มต้นเรื่องว่าต้องทำการส่งใบเสร็จให้กับทางสำนักพิมพ์ จากนั้นจึงได้รับการชดเชยค่าเสียหายตามจริง เช่น ค่าบัตร หรือค่าเสียหายที่ถูกแฮก แต่ไม่มีแถลงการณ์แสดงความรับผิดชอบเพิ่มเติมเกี่ยวกับข้อมูลส่วนตัวอื่นที่หลุดไป อีกทั้งไม่มีการขอโทษผู้ใช้บริการในช่องทางสาธารณะแม้แต่ครั้งเดียว

 

          ปัจจุบันทางเว็บไซต์ของสำนักพิมพ์มีการปรับปรุงโฉมหน้าใหม่พร้อมให้คำมั่นเรื่องการปรับปรุงระบบความปลอดภัย และยังไม่มีแถลงการณ์เพิ่มเติมเกี่ยวกับกรณีการถูกแฮกในครั้งนี้ประกาศออกมาสู่สาธารณะอยู่ดี

 

          ชวนให้ตั้งคำถามขึ้นมาในหัวว่า แล้วการที่ข้อมูลของเราต้องหลุดไปหลุดมาสู่มือมิจฉาชีพเช่นนี้เราไม่มีทางทำอะไรได้เลยหรือ? ไม่มีกฎหมายข้อไหนคุ้มครองข้อมูลของเราเลย? ไม่มีการลงโทษผู้ให้บริการที่หละหลวมกับเรื่องเหล่านี้ซ้ำแล้วซ้ำเล่า? คำตอบคือมีแต่ยังไม่ใช่ในตอนนี้

แถลงการณ์ที่ถูกลบออกไปจากเพจของสำนักพิมพ์ดังที่จนวันนี้ยังไม่มีคำขอโทษในช่องทางสาธารณะ

PDPA กฎหมายคุ้มครองข้อมูลผู้บริโภคที่ดูดีแต่ยังคงไม่มีผลในตอนนี้
          PDPA(Personal Data Proctection Act) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีเนื้อหาในการรักษาความลับให้แก่ข้อมูลส่วนบุคคลมากขึ้น โดยเจ้าของข้อมูลสามารถเข้าถึง แก้ไข ลบ ทำลาย ให้สิทธิ เพิกถอน และระงับการใช้งานข้อมูลส่วนตัวได้ตลอด รวมถึงมีการกำหนดบทลงโทษจากความผิดในกรณีนี้อย่างชัดเจน

 

          ในส่วนของผู้ฝ่าฝืนละเมิดกฎหมายส่วนนี้ มีบทลงโทษทางอาญาและโทษปรับ คือจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท โทษทางแพ่งเท่ากับค่าเสียหายตามจริงบวกกับสินไหมทดแทนเพิ่มเติมสูงสุดไม่เกิน 2 เท่าของค่าเสียหาย รวมถึงโทษทางปกครองปรับอีก 1-5 ล้านบาท

 

          แน่นอนเป็นข้อกฎหมายที่ฟังดูดีแต่ในตอนนี้ยังเป็นข้อกฎหมายที่ยังไม่มีผลบังคับใช้ ภายหลังการประกาศราชกฤษฎีกาเลื่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปก่อน ในวันที่ 8 พฤษภาคม 2564 ด้วยสาเหตุกฎหมายมีรายละเอียดและความซับซ้อนค่อนข้างมากอีกทั้งสถานการณ์โควิด จึงเลื่อนการบังคับใช้ไปจนถึงวันที่ 31 พฤษภาคม 2565

 

          นั่นทำให้ความปลอดภัยในข้อมูลรวมถึงบทลงโทษแก่ผู้ให้บริการที่ทำข้อมูลของเราหลุดยังไม่แน่ชัด คงต้องรอกันอีกสักพักจึงได้รู้ว่าการบังคับใช้กฎหมายนี้ จะช่วยให้ข้อมูลของเราปลอดภัยขึ้นแค่ไหน

 

เกรียงไกร เรืองทรัพย์เดช

--------------------
ที่มา: