หลายองค์กรยังคงใช้วิธี 1 บัญชีต่อ 1 แผนก หรือที่เรียกว่า Shared Account เช่น อีเมลกลางของแผนก บัญชีหลังบ้านเว็บไซต์ บัญชีแอดมินโซเชียลมีเดีย หรือบัญชีสำหรับเข้าระบบจัดการข้อมูลลูกค้าและไฟล์งานส่วนกลาง
แม้วิธีนี้จะดูสะดวก ประหยัด และทำงานง่าย แต่ในมุมของ ความปลอดภัยข้อมูลและกฎหมาย PDPA การใช้ Shared Account ถือเป็นหนึ่งใน ช่องโหว่ที่มีความเสี่ยงสูงและอาจทำให้องค์กรเข้าข่ายไม่ปฏิบัติตามกฎหมายโดยไม่รู้ตัว
ทำไม Shared Account ถึงเสี่ยงผิด PDPA?
หัวใจสำคัญของกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) คือการกำหนดให้ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสม ซึ่งในทางปฏิบัติ การใช้ Shared Account ก่อให้เกิดปัญหาหลัก 3 ด้านพร้อมกัน
- ไม่สามารถระบุตัวผู้ใช้งานได้ (Accountability)
เมื่อเกิดเหตุข้อมูลรั่วไหล หรือมีการแก้ไขข้อมูลสำคัญ องค์กรไม่สามารถพิสูจน์ได้ว่าใครเป็นผู้กระทำ เพราะทุกคนใช้บัญชีและรหัสเดียวกัน - ควบคุมสิทธิ์การเข้าถึงไม่ได้จริง (Access Control)
หากพนักงานลาออก แต่ยังไม่ได้เปลี่ยนรหัสบัญชีส่วนกลาง อดีตพนักงานอาจยังเข้าถึงข้อมูลลูกค้าหรือข้อมูลภายในได้ ซึ่งขัดกับหลักการรักษาความปลอดภัยอย่างชัดเจน - เพิ่มความเสี่ยงด้านความปลอดภัยโดยตรง
ยิ่งมีคนรู้รหัสผ่านมากเท่าไร โอกาสที่รหัสจะรั่ว ถูกส่งต่อ หรือถูกโจมตีก็ยิ่งสูงขึ้น
พฤติกรรมที่พบได้บ่อย เช่น
- ใช้ ID เดียวกันเข้าระบบหลายคน
- จดรหัสผ่านแปะไว้หน้าจอ
- ส่งรหัสผ่านกันทางแชตหรืออีเมล
- ไม่เปลี่ยนรหัสหลังมีพนักงานลาออก
ทั้งหมดนี้ คือความเสี่ยงที่อาจนำไปสู่เหตุข้อมูลรั่วไหลได้จริง
อ้างอิงกฎหมาย PDPA
ทำไม Shared Account เข้าข่ายไม่เหมาะสม?
แม้กฎหมาย PDPA จะไม่ได้เขียนคำว่า “ห้ามใช้ Shared Account” ไว้โดยตรง แต่กฎหมายได้กำหนด หลักการที่ชัดเจนมาก ว่าระบบต้องสามารถ
- ควบคุมการเข้าถึงข้อมูล
- พิสูจน์และยืนยันตัวตนผู้ใช้งาน
- ตรวจสอบย้อนหลังได้เมื่อเกิดเหตุผิดปกติ
ตาม มาตรา 37 (1) และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 6 (ก) ซึ่งเน้นเรื่อง Access Control, Authentication และการให้สิทธิ์เท่าที่จำเป็น (Principle of Least Privilege)
ปัญหาคือ Shared Account ทำให้หลักการเหล่านี้ทำงานไม่ได้จริง เพราะระบบไม่สามารถบอกได้ว่าใครเป็นผู้เข้าถึงหรือแก้ไขข้อมูล ณ เวลานั้น
เมื่อเกิดเหตุข้อมูลรั่วไหลองค์กรจึงอาจถูกมองว่า ขาดมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอ ซึ่งมีความเสี่ยงทั้งทางแพ่งและอาญาตาม PDPA
อ้างอิงประกาศราชกิจจานุเบกษา:
https://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0028.PDF
ไม่ใช่แค่ขัด PDPA แต่ยังขัดกับมาตรฐานสากล
ประกาศ ก.ค.ส. ของ PDPA ระบุชัดว่า มาตรการด้านความปลอดภัยต้อง สอดคล้องกับมาตรฐานสากลที่เป็นที่ยอมรับ ซึ่งมาตรฐานความปลอดภัยไซเบอร์ระดับโลก ต่างยึดหลักเดียวกันคือ 1 คน ต้องมี 1 ตัวตนในระบบ
- ISO/IEC 27001 กำหนดให้ผู้ใช้งานต้องมี Unique User ID เพื่อเชื่อมโยงการกระทำกับตัวบุคคลและตรวจสอบย้อนหลังได้
- NIST SP 800-63 เน้นว่าการยืนยันตัวตนต้องผูกกับบุคคล ไม่ใช่กลุ่มคน
นั่นหมายความว่า การใช้ Shared Account ในระบบที่เกี่ยวข้องกับข้อมูลสำคัญหรือข้อมูลส่วนบุคคล ไม่ใช่แนวปฏิบัติที่เหมาะสม ทั้งในมุมของกฎหมายไทยและมาตรฐานสากล
เปลี่ยนจาก Shared Account เป็น Secure Account
หากองค์กรต้องการลดความเสี่ยงและปฏิบัติตาม PDPA อย่างเหมาะสม ควรเริ่มจากการปรับแนวคิดเรื่องบัญชีผู้ใช้งาน
- ใช้ 1 คน 1 บัญชี เพื่อให้ตรวจสอบย้อนหลังได้ชัดเจน
- ให้พนักงานเข้าถึงเฉพาะข้อมูลที่จำเป็นต่อหน้าที่
- หากจำเป็นต้องแชร์การเข้าถึง ควรใช้ระบบ Password Manager หรือระบบจัดการสิทธิ์
ที่ไม่ต้องเปิดเผยรหัสผ่าน และมี Log การใช้งาน
ความสะดวกจากการใช้ Shared Account อาจดูประหยัดในวันนี้ แต่สามารถนำไปสู่ ความเสียหายด้านความน่าเชื่อถือ ค่าปรับ และความเสี่ยงทางกฎหมาย ในอนาคต
📌 สอบถามบริการ IT Service
Line: @techspace
Tel: 02-381-9076
E-mail: [email protected]