"ชัยวุฒิ" รมว.ดีอีเอส กำชับดูแลผู้เสียหายจาก 9near และเร่งใช้ Digital ID ขณะปลัดดีอีเอสประชุมเชิญหน่วยงานรัฐที่มีข้อมูลขนาดใหญ่มาหารือ "รักษาความมั่นคงปลอดภัย ข้อมูลส่วนบุคคลหน่วยงานรัฐ" 

วันที่ 3 เม.ย. 2566 นายชัยวุฒิ ธนาคมานุสรณ์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวถึงกรณีผู้ใช้งานบัญชี “9near” ที่อ้างว่ามีข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านราย บนเว็บไซต์ Bleach Forums นอกเหนือจากที่เร่งหาหลักฐานและตัวคนร้ายแล้ว ได้มอบหมายให้ปลัดกระทรวงดิจิทัลฯ ประสานงานกับผู้เกี่ยวข้องเร่งหาข้อเท็จจริง ดูแลผู้เสียหายจาก 9near ตลอดจนเร่งรัดการใช้ Digital ID และยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

โดยวันที่ 3 เม.ย. ศาสตราจารย์พิเศษวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้เป็นประธานการประชุม “การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของหน่วยงานรัฐ” โดยได้เชิญหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลขนาดใหญ่ หรือมีจำนวนมากหารือ อาทิ กระทรวงมหาดไทย กระทรวงสาธารณสุข กระทรวงการคลัง กระทรวงแรงงาน กระทรวงการพัฒนาสังคมและความมั่นคงของมนุษย์ สำนักงานตำรวจแห่งชาติ และสำนักงาน กกต. เป็นต้น รวมทั้งผู้ที่เกี่ยวข้อง ได้แก่ ธนาคารแห่งประเทศไทย สำนักงาน กสทช. สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

ในการประชุมได้มีการหารือประเด็นสำคัญดังนี้

1. ระบบเทคโนโลยีสารสนเทศรวมทั้งฐานข้อมูลของหน่วยงานเป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลที่เกี่ยวข้องหรือไม่ มีการตรวจสอบเพื่อป้องกันและแก้ไขช่องโหว่ของระบบที่อาจเกิดขึ้นหรือไม่ ผลเป็นอย่างไร

...

โดยนายศิวรักษ์ ศิวโมกษธรรม เลขาธิการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้รายงานในที่ประชุมว่า จากการสุ่มตรวจของ สคส. ได้พบการเผยแพร่ข้อมูลส่วนบุคคลที่ไม่เหมาะสมของหน่วยงานของรัฐ และได้ทำการแจ้งเตือนไปแล้ว ที่ผ่านมาก็ได้รับความร่วมมือปรับปรุงตามคำแนะนำ

ทาง พลอากาศตรี อมร ชมเชย เลขาธิการสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ ให้ข้อมูลว่า THAICERT ของ สกมช. ตรวจพบว่าระบบเทคโนโลยีสารสนเทศ ของหน่วยงานรัฐหลายหน่วยงานถูกโจมตี และยังมีการหลุดรั่วของข้อมูล ซึ่งได้ประสานงานเร่งแก้ปัญหาและป้องกันปัญหาอย่างต่อเนื่อง 

2. แนวปฏิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลในหน่วยงานของรัฐ อาทิ พ.ร.บ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ.2552 และ (ฉบับที่ 2) พ.ศ.2560 พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 รวมทั้งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.2565 และ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ.2565 ทั้งนี้ หากหน่วยงานทำข้อมูลรั่ว โดยเฉพาะข้อมูลที่มีความอ่อนไหว ต้องรีบแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้เสียหาย รวมถึงควรทำการเยียวยาผู้เสียหายด้วย

3. การช่วยเหลือสนับสนุนของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ และกระทรวงดิจิทัลฯ ต่อหน่วยงานต่างๆ ในเรื่อง ระบบเทคโนโลยีสารสนเทศและการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน รวมทั้งแนวทางการทำงานร่วมกันในเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

นอกจากนี้ได้หารือถึงแนวทางเร่งรัดการใช้ Digital ID เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน ซึ่งในเรื่องนี้ กระทรวงดิจิทัลฯ ได้จัดทำ พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ.2565 (Digital ID) ประกาศในราชกิจจานุเบกษาแล้วเมื่อวันที่ 23 ธันวาคม 2565 และผลักดันการพัฒนาระบบยืนยันตัวตน National Digital ID เพื่อเป็นการยืนยันตัวตนทางระบบออนไลน์ ป้องกันการหลอกลวงประชาชนทำธุรกรรมออนไลน์

ปลัดกระทรวงดิจิทัลฯ กล่าวว่า “วันนี้ได้ประชุมเพื่อหาข้อเท็จจริงเรื่องที่อ้างว่าข้อมูลขนาดใหญ่รั่วจากหน่วยงานภาครัฐ ในขณะเดียวกันทำการซักซ้อมแนวปฏิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงขอความร่วมมือหน่วยงานช่วยผลักดันการใช้ Digital ID”.