{{c.name}} {{moment(c.created_at,"YYYY-MM-DD HH:mm:ss").toNow()}}
{{c.value}}
สคส. หรือ PDPC ได้ติดตามตรวจสอบกรณี มีผู้บุกรุกทางไซเบอร์เข้าระบบสารสนเทศของบริษัท ไอซอฟเทล (ประเทศไทย) จำกัด ซึ่งเป็นผู้ให้บริการเซอร์วิส Mobile PBX ให้แก่ลูกค้านิติบุคคลของ AWN ซึ่งอาจทำให้มีข้อมูลส่วนบุคคลรั่วไหล
ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยถึงกรณีกรณี มีผู้บุกรุกทางไซเบอร์เข้าระบบสารสนเทศของบริษัท ไอซอฟเทล (ประเทศไทย) จำกัด ซึ่งเป็นผู้ให้บริการเซอร์วิส Mobile PBX ระบบที่ทำให้โทรศัพท์มือถือทำหน้าที่เสมือนโทรศัพท์สำนักงาน ให้แก่ลูกค้านิติบุคคลของบริษัท แอดวานซ์ ไวร์เลส เน็ทเวอร์ค จำกัด หรือ เอดับบลิวเอ็น (AWN) ซึ่งอาจทำให้มีข้อมูลส่วนบุคคลรั่วไหลว่า สำนักงานฯ ได้ติดตามสถานการณ์ที่เกิดขึ้นอย่างใกล้ชิด จึงเชิญทั้งสองบริษัทมาชี้แจงให้ข้อมูลเพิ่มเติมเมื่อวันที่ 11 กันยายน 2566 พบว่า เกิดจากบริการเซอร์วิส Mobile PBX ซึ่งเป็นระบบที่ทำให้โทรศัพท์มือถือทำหน้าที่เสมือนโทรศัพท์สำนักงาน และ AWN ให้บริการดังกล่าวแก่ลูกค้าประเภทองค์กร โดยใช้ระบบของไอซอฟเทล ต่อมา
ไอซอฟเทลพบว่าระบบสารสนเทศที่ให้บริการเซอร์วิส Mobile PBX ถูกบุกรุกทางไซเบอร์และอาจมีข้อมูลส่วนบุคคลรั่วไหล จึงรายงานหน่วยงานที่เกี่ยวข้องถึงปัญหาดังกล่าว”
สำนักงานฯ จึงได้กำชับให้ทั้งสองบริษัทตรวจสอบและแก้ไขปัญหาที่เกิดขึ้นอย่างละเอียด รอบคอบ และ
ให้ปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด บริษัทที่เกี่ยวข้องทั้งหมดต้องเข้าใจบทบาทและหน้าที่ของตน
ตามกฎหมาย ซึ่งตามประกาศฯ หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนดให้บริษัทที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่บริษัทที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง จากนั้น บริษัทผู้ควบคุมข้อมูลส่วนบุคคลเมื่อได้รับแจ้งเหตุแล้ว ต้องรีบแก้ไขหรือป้องกันเหตุการณ์ที่เกิดขึ้นไม่ให้ลุกลามสร้างความเสียหายหรือเกิดผลกระทบเพิ่มเติมและต้องประเมินความเสี่ยงว่าเหตุการณ์ที่เกิดขึ้นจะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลเพียงใด โดยพิจารณาจากลักษณะของเหตุการณ์ ปริมาณข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงความเสียหายที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล
บริษัทผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุมายัง สคส. โดยระบุลักษณะของการละเมิดและผลกระทบที่อาจเกิดขึ้นมายังสำนักงานฯ ภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ แต่หากมีเหตุจำเป็นที่ไม่สามารถแจ้งได้ภายในระยะเวลาดังกล่าว ก็ให้แจ้งโดยเร็วแต่ไม่เกิน 15 วัน และบริษัทผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเจ้าของข้อมูลส่วนบุคคลพร้อมกับแนวทางการเยียวยา หากการละเมิดมีความเสี่ยงกระทบต่อสิทธิของบุคคลสูง
นอกจากนี้ บริษัทต้องป้องกันและทบทวนมาตรการรักษาความมั่นคงปลอดภัยระบบสารสนเทศและข้อมูลส่วนบุคคลให้แข็งแกร่ง ไม่ให้เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลอีกในอนาคต ซึ่งตามกฎหมาย PDPA ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการป้องกันการเข้าถึง หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ และต้องกำหนดเรื่องมาตรการรักษาความมั่นคงปลอดภัยไว้ในข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลด้วย
COMMENTS
{{ errors.name }}
{{ errors.value }}
{{c.name}} {{moment(c.created_at,"YYYY-MM-DD HH:mm:ss").toNow()}}
{{c.value}}
RELATED TOPICS
