เพราะการทำ PDPA ไม่ได้ต้องดูเพียงกระบวนการขอความยินยอมใช้ข้อมูลส่วนบุคคลแค่เท่านั้น แต่ล่าสุดยังถูกโยงไปถึงการจัดเก็บ Log File อย่างไรให้สามารถยืนยันเป็นหลักฐานได้ว่าทางองค์กรจัดเก็บจริง เมื่อสำรวจแล้วพบว่ามีความน่าเชื่อถือและความปลอดภัยมากพอที่จะผ่านกฎหมายได้
ก่อนที่เราจะไปดูว่า PDPA ต้องเก็บ Log file อะไรบ้าง เรามาพูดถึงว่า “PDPA ต้องเก็บ log ด้วยหรือไม่” ซึ่งต้องบอกว่าถ้าไปอ่านในตัวกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่มีบอกเลยว่าต้องมีการจัดเก็บ log แล้วทำไมผมถึงบอกว่าต้องจัดเก็บ Log หรือว่า จัดเก็บ log อะไรบ้าง ซึ่งสิ่งที่บอกว่าเราต้องจัดเก็บ log มันจะอยู่ในตัวมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ. ศ. 2563 ของประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งประกาศตัวนี้บอกว่าเราต้องมีวิธีให้เราสามารถตรวจสอบย้อนหลังว่าใครเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลในองค์กรของเราบ้าง ก็เลยเป็นที่มาว่าเราจะต้องจัดเก็บ log ด้วย ซึ่งเราก็ได้มีการเขียนบทความไว้ก่อนหน้านี้เป็นที่เรียบร้อยแล้วว่า “PDPA ต้องเก็บ log ด้วยหรือไม่” สามารถเข้าไปอ่านได้จาก PDPA ต้องเก็บ Log ด้วยหรือไม่ ? – OpenPDPA เมื่อเรารู้แล้วว่าเราต้องจัดเก็บ log ตาม PDPA คราวนี้เราก็จะมาดูต่อว่าเราจะต้องจัดเก็บ log อะไรบ้าง
PDPA ต้องเก็บ Log File อะไรบ้าง
อย่างแรกที่เราต้องรู้คือ วัตถุประสงค์ในการเก็บ Log คืออะไร ในกรณีนี้ที่เราต้องการเก็บ Log เพื่อ Comply ตามกฎหมาย PDPA แน่นอนว่าเราก็ต้องเก็บ Log จากอุปกรณ์ที่มีข้อมูลส่วนบุคคลอยู่ ซึ่งสมัยก่อนข้อมูลส่วนบุคคลอาจจะอยู่ในรูปแบบของเอกสาร ตรงนี้ก็ต้องมีวิธีการตรวจสอบว่าใครเข้ามาดูเอกสารบ้าง เช่น กล้องวงจรปิด แต่ปัจจุบันข้อมูลส่วนบุคคลของลูกค้าเราไม่ได้อยู่ในรูปแบบเฉพาะที่เป็นเอกสารที่เป็นกระดาษอย่างเดียว แต่เป็นในรูปแบบดิจิทัลก็มี นี่จึงเป็นที่มาว่าเราต้องรู้ให้ได้ว่าใครบ้างที่เข้าถึงข้อมูลส่วนบุคคลที่เก็บอยู่ในอุปกรณ์ที่ต่าง ๆ เหล่านั้น
ก่อนที่จะไปดูว่าเก็บอะไรบ้าง สิ่งที่เราต้องรู้ก่อนคือเรามีอุปกรณ์อะไรบ้างที่จัดเก็บข้อมูลส่วนบุคคลของลูกค้าของเราอยู่ หากใครที่ทำโครงการ PDPA จะทราบว่า ROP (Records of processing) หรือ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ที่สามารถบอกได้เลยว่าข้อมูลส่วนบุคคลขององค์กรของเรามีอะไรบ้าง ถูกจัดเก็บไว้ที่ไหน (Assets) ซึ่งก็จะเป็นอุปกรณ์ที่เราจะนำมาเก็บ Log นั้นเอง
ตัวอย่างหรือว่าประเภทของอุปกรณ์ที่ใช้สำหรับเก็บข้อมูลส่วนบุคคล เช่น File Share Server ที่ไว้เก็บไฟล์ ซึ่งในไฟล์เหล่านั้นก็อาจจะมีข้อมูลส่วนบุคคลอยู่ในไฟล์เหล่านั้นก็ได้ หรือว่าจะเป็นในส่วนของ Database Server เช่น เวลาลูกค้าสมัครสมาชิกเข้ามาหรือเข้ามาใช้เว็บไซต์ของเราก็จะกรอกข้อมูลส่วนบุคคลเข้ามา เราจะเก็บข้อมูลส่วนบุคคลไว้ใน Database นอกเหนือจากนั้นก็จะเป็นในส่วนของระบบ CRM (Customer Relation Management) หรือระบบ ERP (Enterprise Resource Planing) อันนี้ก็คือประเภทหรือเป็นตัวอย่างของอุปกรณ์ที่จัดเก็บข้อมูลส่วนบุคคล ที่จะต้องจัดเก็บ Log
เมื่อเรารู้แล้วว่าเราจะต้องจัดเก็บ log จากอุปกรณ์ประเภทไหนบ้าง คราวนี้เรามาดูกันว่ามีขั้นตอนอะไรบ้างในการจัดเก็บ Log
ขั้นตอนการจัดเก็บ Log File
- Enable Audit Log : หากก่อนหน้านี้ บางอุปกรณ์อาจไม่มีการเปิดบันทึก Log ไว้ ที่จะบอกว่ามีใครเข้าถึงหรือมีใครทำอะไรกับข้อมูลส่วนบุคคลบ้าง เราจึงต้องเข้าไปตรวจสอบหรือเปิดให้บันทึก Log บนอุปกรณ์เหล่านั้นก่อน ซึ่งแต่ละอุปกรณ์ก็จะมีวิธีการ enable audit log แตกต่างกันไป ซึ่งนี่เป็นสิ่งเราต้องศึกษาเพิ่มเติมว่าแต่อุปกรณ์เราสามารถ Enable Audit Log ได้อย่างไร
- Log Collection : หรือขั้นตอนการส่ง Log หรือขั้นตอนการเก็บ Log นั่นเอง ยกตัวอย่างเช่น File share หรือว่าระบบ CRM ก็จะมีการจัดเก็บ Log ในตัวเองหรือเราสามารถ Config เพื่อส่ง Log ออกจากอุปกรณ์นั้นไปเก็บที่ Remote Server หรือว่าเป็น Centralize Log Management ได้
- Log Visualization : การนำออกมาใช้ประโยชน์ ต้องบอกว่าในส่วนของ PDPA นั้น เมื่อเกิดเหตุข้อมูลรั่วไหล สิ่งที่เราต้องทำก็คือเราต้องหาสาเหตุให้ได้ว่าข้อมูลรั่วไหลได้อย่างไร แล้วเราก็จะต้องแจ้งไปที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงด้วยหรือว่าภายใน 3 วัน ซึ่งนี่ก็เป็นขั้นตอนที่ 3 ของการจัดเก็บ Log นั่นก็คือการ Parsing และการทำ Visualization เพื่อช่วยให้เราสามารถค้นหาข้อมูลได้ง่ายขึ้น เร็วขึ้น
แต่ที่สำคัญคือ หากเราเก็บ Log เรียบร้อยแล้ว แต่เราไม่มีกระบวนการในการนำ Log มาใช้ประโยชน์ได้ Visualization อาจทำให้เราไม่สามารถหาหลักฐานหรือหาสาเหตุได้ภายใน 72 ชั่วโมง ขั้นตอนที่ 3 ก็ถือเป็นขั้นตอนที่สำคัญที่เราจะต้องมีวิธีการที่จะนำ Log ออกมาใช้งานได้ง่าย ซึ่ง 3 ขั้นตอนนี้ก็ต้องทำครอบคลุมทุกอุปกรณ์ที่เราจะเก็บข้อมูลส่วนบุคคล
เมื่อเรารู้แล้วว่าเราต้องจัดเก็บ Log อะไรบ้าง รู้ขั้นตอนที่เราต้องทำแต่ละอุปกรณ์แล้ว คราวนี้เรามาดูอีกสักนิดนึงว่า มีความท้าทายอะไรบ้างของการจัดเก็บ Log ตามของ PDPA
สิ่งที่ต้องคำนึงถึงในการเก็บ Log File ให้ Comply PDPA
- เราต้องรู้ให้ได้ก่อนว่าเราต้องจัดเก็บ Log จากอุปกรณ์อะไรบ้าง
- เมื่อรู้แล้วว่าเราต้องจัดเก็บอะไรบ้าง แล้วเราจะจัดเก็บ Log จากอุปกรณ์นั้นได้อย่างไร
- ปริมาณของ Log File ที่เราต้องจัดเก็บ ว่ามีปริมาณมากหรือน้อย ยกตัวอย่างเช่น Database ที่เราต้องจัดการ Log Query ว่าใครเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลบ้าง บางครั้งจะมีปริมาณ Transaction เยอะมาก ๆ ใน Database
- เมื่อเราจัดเก็บ Log แล้ว เราสามารถนำ Log นั้นมาใช้ประโยชน์หรือว่ามาช่วยให้เราหาสาเหตุได้หรือไม่
เราก็น่าจะเห็นภาพมากขึ้นแล้วว่า PDPA จะต้องมีการจัดเก็บ Log ตามประกาศของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม นอกเหนือจากนั้นอุปกรณ์ที่ต้องจัดเก็บ Log มีอะไรบ้าง ซึ่งก็จะต้องเป็นอุปกรณ์ที่มีข้อมูลส่วนบุคคลเก็บไว้ รวมถึงความท้าทายที่เราต้องเจอว่ามีอะไรบ้าง
ผู้ที่ทำงานในสาย IT หลาย ๆ ท่านก็อาจจะรู้จัก Solution อย่าง Log Management อยู่แล้ว แต่ต้องขอบอกว่าในอนาคตอันใกล้นี้อาจต้องมีการ Update หรือเปลี่ยนไปเพื่อให้ตอบโจทย์กับกฎหมายดิจิทัลอื่น ๆ ที่จะเริ่มเข้ามาแล้ว
เพราะ Log Management ที่เราใช้อยู่ในปัจจุบันอาจจะถูกออกแบบมาเพื่อจัดเก็บแค่ พ.ร.บ. คอมพิวเตอร์ (TCCA) อย่างเดียว แต่อย่างที่เราได้บอกไปข้างต้นว่าปัจจุบัน Log หรือ ข้อมูลจราจรคอมพิวเตอร์ ได้เกี่ยวข้องกับ PDPA แล้ว และด้วยการเพิ่มข้อมูลลงใน Database จะทำให้เราเจอปัญหาเรื่อง Storage ไม่เพียงพอก็เป็นได้ สิ่งที่จะแก้ปัญหาได้ก็จะต้องเป็น Log Management ที่มีความสามารถในการ Scale เช่น Log management ที่อยู่ใน Cloud ซึ่งข้อดีของการจัดเก็บ Log Management On Cloud คือเรื่องการ Scalable เพื่อขยายขนาด Storage ให้เพียงพอสำหรับการจัดเก็บ Log PDPA และรองรับกฎหมายในอนาคตด้วยนั่นเอง
สำหรับผู้ที่อยากรู้เพิ่มเติมว่า แล้วควรใช้ Log Management แบบใด
หรือต้องการคำแนะนำเพิ่มเติมหลังอ่านบทความนี้ สามารถติดต่อมาหาเราก่อนที่
Facebook : https://bit.ly/ilogfb
Blog : https://ilog.ai/blog/
Youtube : Ragnar Corporation Company Limited
