...
Shared Account เสี่ยงผิด PDPA ช่องโหว่ความปลอดภัยที่หลายองค์กรอาจมองข้าม

รู้หรือไม่? Shared Account เสี่ยงผิด PDPA

หลายองค์กรยังคงใช้วิธี 1 บัญชีต่อ 1 แผนก หรือที่เรียกว่า Shared Account เช่น อีเมลกลางของแผนก บัญชีหลังบ้านเว็บไซต์ บัญชีแอดมินโซเชียลมีเดีย หรือบัญชีสำหรับเข้าระบบจัดการข้อมูลลูกค้าและไฟล์งานส่วนกลาง

แม้วิธีนี้จะดูสะดวก ประหยัด และทำงานง่าย แต่ในมุมของ ความปลอดภัยข้อมูลและกฎหมาย PDPA การใช้ Shared Account ถือเป็นหนึ่งใน ช่องโหว่ที่มีความเสี่ยงสูงและอาจทำให้องค์กรเข้าข่ายไม่ปฏิบัติตามกฎหมายโดยไม่รู้ตัว

ทำไม Shared Account ถึงเสี่ยงผิด PDPA?

หัวใจสำคัญของกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) คือการกำหนดให้ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสม ซึ่งในทางปฏิบัติ การใช้ Shared Account ก่อให้เกิดปัญหาหลัก 3 ด้านพร้อมกัน

  1. ไม่สามารถระบุตัวผู้ใช้งานได้ (Accountability)
    เมื่อเกิดเหตุข้อมูลรั่วไหล หรือมีการแก้ไขข้อมูลสำคัญ องค์กรไม่สามารถพิสูจน์ได้ว่าใครเป็นผู้กระทำ เพราะทุกคนใช้บัญชีและรหัสเดียวกัน
  2. ควบคุมสิทธิ์การเข้าถึงไม่ได้จริง (Access Control)
    หากพนักงานลาออก แต่ยังไม่ได้เปลี่ยนรหัสบัญชีส่วนกลาง อดีตพนักงานอาจยังเข้าถึงข้อมูลลูกค้าหรือข้อมูลภายในได้ ซึ่งขัดกับหลักการรักษาความปลอดภัยอย่างชัดเจน
  3.  เพิ่มความเสี่ยงด้านความปลอดภัยโดยตรง
    ยิ่งมีคนรู้รหัสผ่านมากเท่าไร โอกาสที่รหัสจะรั่ว ถูกส่งต่อ หรือถูกโจมตีก็ยิ่งสูงขึ้น

 

พฤติกรรมที่พบได้บ่อย เช่น

  • ใช้ ID เดียวกันเข้าระบบหลายคน
  • จดรหัสผ่านแปะไว้หน้าจอ
  • ส่งรหัสผ่านกันทางแชตหรืออีเมล
  • ไม่เปลี่ยนรหัสหลังมีพนักงานลาออก

ทั้งหมดนี้ คือความเสี่ยงที่อาจนำไปสู่เหตุข้อมูลรั่วไหลได้จริง

อ้างอิงกฎหมาย PDPA
ทำไม Shared Account เข้าข่ายไม่เหมาะสม?

แม้กฎหมาย PDPA จะไม่ได้เขียนคำว่า “ห้ามใช้ Shared Account” ไว้โดยตรง แต่กฎหมายได้กำหนด หลักการที่ชัดเจนมาก ว่าระบบต้องสามารถ

  • ควบคุมการเข้าถึงข้อมูล
  • พิสูจน์และยืนยันตัวตนผู้ใช้งาน
  • ตรวจสอบย้อนหลังได้เมื่อเกิดเหตุผิดปกติ

 

ตาม มาตรา 37 (1) และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 6 (ก) ซึ่งเน้นเรื่อง Access Control, Authentication และการให้สิทธิ์เท่าที่จำเป็น (Principle of Least Privilege)

ปัญหาคือ Shared Account ทำให้หลักการเหล่านี้ทำงานไม่ได้จริง เพราะระบบไม่สามารถบอกได้ว่าใครเป็นผู้เข้าถึงหรือแก้ไขข้อมูล ณ เวลานั้น

เมื่อเกิดเหตุข้อมูลรั่วไหลองค์กรจึงอาจถูกมองว่า ขาดมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอ ซึ่งมีความเสี่ยงทั้งทางแพ่งและอาญาตาม PDPA

อ้างอิงประกาศราชกิจจานุเบกษา:
https://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0028.PDF

ไม่ใช่แค่ขัด PDPA แต่ยังขัดกับมาตรฐานสากล

ประกาศ ก.ค.ส. ของ PDPA ระบุชัดว่า มาตรการด้านความปลอดภัยต้อง สอดคล้องกับมาตรฐานสากลที่เป็นที่ยอมรับ ซึ่งมาตรฐานความปลอดภัยไซเบอร์ระดับโลก ต่างยึดหลักเดียวกันคือ 1 คน ต้องมี 1 ตัวตนในระบบ

  • ISO/IEC 27001 กำหนดให้ผู้ใช้งานต้องมี Unique User ID เพื่อเชื่อมโยงการกระทำกับตัวบุคคลและตรวจสอบย้อนหลังได้
  • NIST SP 800-63 เน้นว่าการยืนยันตัวตนต้องผูกกับบุคคล ไม่ใช่กลุ่มคน

นั่นหมายความว่า การใช้ Shared Account ในระบบที่เกี่ยวข้องกับข้อมูลสำคัญหรือข้อมูลส่วนบุคคล ไม่ใช่แนวปฏิบัติที่เหมาะสม ทั้งในมุมของกฎหมายไทยและมาตรฐานสากล

เปลี่ยนจาก Shared Account เป็น Secure Account

หากองค์กรต้องการลดความเสี่ยงและปฏิบัติตาม PDPA อย่างเหมาะสม ควรเริ่มจากการปรับแนวคิดเรื่องบัญชีผู้ใช้งาน

  • ใช้ 1 คน 1 บัญชี เพื่อให้ตรวจสอบย้อนหลังได้ชัดเจน
  • ให้พนักงานเข้าถึงเฉพาะข้อมูลที่จำเป็นต่อหน้าที่
  • หากจำเป็นต้องแชร์การเข้าถึง ควรใช้ระบบ Password Manager หรือระบบจัดการสิทธิ์
    ที่ไม่ต้องเปิดเผยรหัสผ่าน และมี Log การใช้งาน

 

ความสะดวกจากการใช้ Shared Account อาจดูประหยัดในวันนี้ แต่สามารถนำไปสู่ ความเสียหายด้านความน่าเชื่อถือ ค่าปรับ และความเสี่ยงทางกฎหมาย ในอนาคต

📌 สอบถามบริการ IT Service
Line: @techspace
Tel: 02-381-9076
E-mail: [email protected]

Related Article

Seraphinite AcceleratorOptimized by Seraphinite Accelerator
Turns on site high speed to be attractive for people and search engines.