หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ พ.ร.บ. คอมพิวเตอร์ ซึ่งหากใครเคยวางระบบให้ผ่าน พ.ร.บ. คอมฯ น่าจะคุ้นเคยดีกับการเก็บ Log 90 วัน แต่สำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA นั้นต่อให้ไล่อ่านตั้งแต่มาตรา 1 ถึงมาตรา 96 ก็ไม่เห็นคำว่าต้องจัดเก็บ Log สักมาตราแล้วผมเอาอะไรมาบอกว่าถูกครึ่งเดียว ?
นั่นเป็นเพราะข้อกำหนดนั้นไม่ได้อยู่ในตัว พ.ร.บ. ที่เป็นกฎหมายแม่ครับ แต่อยู่ในกฎหมายลูกที่ประกาศตามมาใน ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
ซึ่งข้อกำหนดดังกล่าวนั้นอยู่ในข้อ 5 ซึ่งเป็นเนื้อหาที่ระบุถึงหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งในข้อย่อย 5 ได้กำหนดให้ผู้ควบคุมข้อมูล(Data Controller) ต้องจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล(Personal Data)
ซึ่งนั่นก็คือการบอกให้เราต้องมีการจัดเก็บ Audit Log ของการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอน ข้อมูลส่วนบุคคลนั่นเอง ซึ่งแล้วถ้าถามว่า เราเก็บ Log พ.ร.บ. คอมฯ แล้วยังต้องเก็บ Log PDPA เพิ่มอีกหรือไม่ ?
ถ้าเก็บ Log พ.ร.บ.คอมฯ แล้ว ยังต้องเก็บ Log PDPA เพิ่มอีกหรือไม่ ?
ต้องเก็บเพิ่มครับ เนื่องจากวัตถุประสงค์ของการจัดเก็บ Log ของ พ.ร.บ. คอมฯ และ PDPA นั้นแตกต่างกันอยู่ครับ พ.ร.บ. คอมฯ นั้นมีวัตถุประสงค์ในการจัดเก็บ Log ที่บันทึกข้อมูลเกี่ยวกับการใช้งาน Internet โดยมีอุปกรณ์ที่เกี่ยวข้องจำพวก Firewall, Web Server, File Sharing, Email, Web Proxy และ Instant Message เป็นต้น แต่ในมุมมองของ PDPA นั้นเน้นไปที่การจัดเก็บ Log ที่บันทึกข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ทำให้อุปกรณ์ที่จำเป็นต้องได้รับการเก็บ Log นั้นแตกต่างกัน โดยของ PDPA นั้นเป็นอุปกรณ์จำพวก Database, File Sharing (เฉพาะไฟล์ที่บรรจุข้อมูลส่วนบุคคล) และระบบบริหารจัดการภายในต่าง ๆ ที่มีข้อมูลส่วนบุคคลของลูกค้าหรือพนักงาน ตัวอย่างเช่น Human Resource Management, eLearning, Customer Relation Management เป็นต้น
นั่นทำให้หลายองค์กรต้องทำการ Enable Audit Log ของระบบต่าง ๆ ที่มีการจัดเก็บข้อมูลส่วนบุคคลกันยกใหญ่ ผลที่ตามมาคือ Full Storage ครับ เพราะเนื่องจาก Log ประเภทนี้มักจะมีปริมาณข้อมูลมหาศาลและบางระบบอาจมีการเข้าถึงที่ค่อนข้างถี่
หลาย ๆ องค์กรที่มีการติดตั้งระบบ Log Centralized Management ไว้แล้วก็อาจจะดีหน่อยตรงที่สามารถส่ง Log จากอุปกรณ์เหล่านี้ไปเก็บยัง Log Centralized Management ได้โดยที่ไม่ต้องกังวลเรื่อง Full Storage แต่หลาย ๆ ครั้งก็มักจะพบปัญหาที่ว่าระบบ Log Management นั้นถูกออกแบบมาให้รองรับระบบที่เป็นอุปกรณ์ Network เท่านั้นหรือบางตัวอาจจะรับได้แค่เฉพาะ Protocol Syslog แต่ระบบที่มีการจัดเก็บข้อมูลส่วนบุคคลนั้นส่วนมากจะเป็นระบบฐานข้อมูลหรือ File Sharing ซะมากกว่าซึ่งไม่รองรับการส่ง Syslog นอกจากนี้ต่อให้เป็น Log Centralized Management ก็อาจจะเกิดอาการ Full Storage ได้เหมือนกันหากในตอนแรกออกแบบ Sizing มาให้รองรับเฉพาะข้อมูลสำหรับ พ.ร.บ. คอมฯ
จัดเก็บ Log ให้รองรับ PDPA ได้อย่างไร ?
การจัดเก็บ Log เพื่อรองรับกับ PDPA ในหลาย ๆ องค์กรจึงเลือกที่จะ Implement Log Management ใหม่ ไปเลยโดยมีการตั้ง Spec เอาไว้ให้รองรับในการทำ PDPA และสามารถรองรับการขยายปริมาณข้อมูลที่จัดเก็บได้ในอนาคตหรือ Scale up โดยข้อกำหนดในเรื่องของการ Scale up นี้เองทำให้หลาย ๆ แห่งได้มีการใช้ระบบ Log Management On Cloud เนื่องจากระบบที่เป็น On-premise นั้นมักมีข้อจำกัดในเรื่องของ Hardware Spec ทำให้ไม่สามารถตอบโจทย์ในเรื่องของการ Scale
นอกจากเรื่องของการ Scale แล้วอีกจุดหนึ่งที่มักจะอยู่ใน Spec ของระบบ Log Management ที่จะเข้ามาตอบโจทย์ในเรื่องของ PDPA ก็คือ ความสามารถในการแสดงผลหรือ Visualization โดยเฉพาะการแสดงถึงการเข้าถึงข้อมูลส่วนบุคคล เนื่องจากกฎหมายระบุให้ผู้ควบคุมข้อมูลจำเป็นต้องแจ้งเหตุเมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคลภายในระยะเวลา 72 ชั่วโมง หรือ 3 วัน นั่นเอง ซึ่งการแจ้งเหตุนั้นจำเป็นต้องแจ้งรายละเอียดเกี่ยวกับประเภทของข้อมูลส่วนบุคคลที่รั่วไหล ปริมาณข้อมูลที่รั่วไหล ผลกระทบที่เจ้าของข้อมูลส่วนบุคคลจะได้รับและแนวทางการแก้ไข นั่นหมายความว่าผู้ควบคุมต้องมีความพร้อมในการตรวจสอบเหตุการณ์และรวบรวมข้อมูลทั้งหมดภายในระยะเวลา 72 ชั่วโมงและส่งข้อมูลดังกล่าวให้แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งข้อมูลสำคัญที่ใช้ในการตรวจสอบสิ่งที่เกิดขึ้นในระบบก็คือข้อมูล Log นั่นเอง ด้วยเหตุนี้หลาย ๆ องค์กรจึงเลือกที่จะกำหนด Spec ให้ Log Management ที่เก็บข้อมูลการเข้าถึงข้อมูลส่วนบุคคลนั้นจะต้องสามารถแสดงผลเหตุการณ์การเข้าถึงข้อมูลส่วนบุคคลได้อย่างชัดเจนในรูปแบบของ Dashboard หรือ Report ที่สามารถนำไปใช้ได้ทันที เพราะหากระบบ Log Management ที่ใช้งานเก็บข้อมูลในรูปแบบของ Raw Log กว่าจะนำข้อมูลทั้งหมดมาประมวลผลก็อาจจะไม่ทันเวลาเส้นตาย 72 ชั่วโมงตามกฎหมายก็เป็นได้
สรุป
จากที่กล่าวมาทั้งหมดถึงแม้กฎหมายแม่ของ PDPA อาจจะไม่ได้ระบุถึงการจัดเก็บข้อมูล Log แต่กฎหมายลูกที่ออกมาก็มีการกำหนดชัดเจนให้มีการตรวจสอบการเข้าถึงข้อมูลส่วนบุคคลย้อนหลังได้ และในกรณีที่เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลผู้ควบคุมข้อมูลส่วนบุคคลก็จำเป็นต้องตรวจสอบเหตุการณ์ด้วย Log อยู่ดี ซึ่งหากคุณเป็นคนที่ทำงานด้าน Cybersecurity อยู่แล้วคุณก็คงจะทราบดีกว่าการที่เกิด Incident ขึ้นมาแต่ไม่มีการบันทึก Log ไว้นั้นก็เหมือนกับการให้มาสืบคดีโดยไม่มีที่เกิดเหตุ
โดยสรุปแล้ว Log Management นั้นยังคงทำหน้าที่เปรียบเสมือนกล้องวงจรปิดที่คอยเก็บบันทึกเหตุการณ์ต่าง ๆ ที่เกิดขึ้นในระบบสารสนเทศเอาไว้ ในยามปกตินั้นดูเหมือนมันจะไม่ได้มีประโยชน์อะไรมากมายนัก แต่ในยามวิกฤตมันจะเป็นสิ่งที่สำคัญที่สุดที่คุณมีเลยทีเดียว
เรียนรู้เพิ่มเติมเกี่ยวกับทุกแง่มุมสาระความรู้เรื่อง Log ได้ที่ : ilog.ai
