Knowledge Sharing ชุมชนแห่งการเรียนรู้...

Digital Transformation  119

คำสำคัญ : digital  pdpa  cyber  security  

เราอยู่ในยุคที่เทคโนโลยีเดิจิทัลเข้ามามีบทบาทสำคัญทั้งการทำงาน ชีวิตประจำวัน ดังนั้นในการนำเทคโนโลยีดิจิทัลมาเพิ่มประสิทธิภาพการทำงานต้องมีการวางแผนอย่างเป็นระบบ และต้องให้ทุกคนในองค์กรเข้ามามีส่วนร่วมในการเปลี่ยนผ่าน ซึ่งเรียกว่า Digital Transformation

มาเรียนรู้ Digital Transformation - PDPA - Cyber security ซึ่งทั้ง 3 เรื่องมีส่วนสำคัญต่อการเปลี่ยนองค์กร

เอกสารการบรรยาย

เขียนโดย : นายเอกพงศ์  มุสิกะเจริญ สอบถามข้อมูลเพิ่มเติม : ekapong@mhesi.go.th
Digital Transformation หรือการเปลี่ยนแปลงสู่ดิจิทัล คือการเปลี่ยนรูปแบบองค์การอย่างมีกลยุทธ์โดยใช้เทคโนโลยีเข้ามาช่วย เพื่อให้ทันต่อการเปลี่ยนแปลงอย่างรวดเร็วของโลกเศรษฐกิจ  ซึ่งปัจจุบันโลกได้ขับเคลื่อนเปลี่ยนแปลงสู่ดิจิทัลแบบ 100% โดยเป้าหมายของการเปลี่ยนแปลงสู่ดิจิทัลคือ เพื่อให้องค์กรหรือธุรกิจอยู่รอด ปรับปรุงประสิทธิภาพ ดึงดูดคนเก่งและพัฒนาคนในองค์กร รวมถึงตอบสนองต่อความต้องการของลูกค้าได้ดียิ่งขึ้น เนื่องจาก User/Customer Journey ได้เปลี่ยนไปแล้ว
 
PDPA หรือ Personal Data Protection Act หรือ พรบ. คุ้มครองข้อมูลส่วนบุคคล คือ กฏหมายที่ใช้ในการคุ้มครองข้อมูลส่วนบุคคล โดยห้ามมิให้ผู้อื่นนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ในด้านใดด้านหนึ่งโดยที่เจ้าของข้อมูลไม่ยินยอม ซึ่งการคุ้มครองข้อมูลส่วนบุคคลนี้จะช่วยสร้างความเชื่อมั่น ยกระดับการธรรมาภิบาลข้อมูล และยกระดับสู่มาตรฐานสากล โดยโทษของการไม่ปฏิบัติตาม PDPA มีทั้งโทษทางปกครอง (ม.82-90) โทษปรับทางแพ่ง (ม.77-78) และโทษทางอาญา (ม.79-80) แต่ PDPA ก็มีข้อยกเว้น เช่น กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำ การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน หรือการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ฯลฯ
 
Cyber Security คือความมั่นคงปลอดภัยทางไซเบอร์ ที่ต้องการป้องกันและการรักษาความปลอดภัยของระบบคอมพิวเตอร์ ระบบเครือข่าย และข้อมูลที่เกี่ยวข้อง โดยจุดประสงค์ คือ เพื่อป้องกันการเข้าถึง การแก้ไข การเปลี่ยนแปลง หรือการทำลายข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต หรือบุคคลที่ต้องการเข้าถึงข้อมูลเพื่อวัตถุประสงค์ที่ไม่เหมาะสมจาก Cyber Attacks ที่มีหลากหลายรูปแบบ ได้แก่ เทคนิคการหลอกลวงออนไลน์ที่พยายามขโมยข้อมูลส่วนบุคคล (Phishing) เทคนิคการโจมตีที่ผู้โจมตีแทรกตัวเข้ามาในกระบวนการสื่อสารระหว่างผู้ใช้งานสองฝ่ายโดยไม่ให้พวกเขารู้ตัว (Man-in-the-Middle (MitM)) การโจมตีที่มุ่งหมายเพื่อพื่ทำให้บริการ, เซิร์ฟเวอร์ หรือระบบไม่สามารถใช้งานได้ โดยการทำ ให้ระบบมีการทำงานเกินขีดความสามารถ (Denial-of-Service (DoS)) การโจมตีที่ใช้การแทรกคำสั่ง SQL อันตรายลงไปในช่องกรอกข้อมูลหรือพารามิเมิตอร์ของแอปพลิเคชัน เพื่อเข้าถึงหรือจัดการฐานข้อมูลโดยไม่ได้รับอนุญาต (SQL Injection) และการโจมตีที่ใช้ช่องโหว่ในซอฟต์แวร์หรือฮาร์ดแวร์ที่ยังไม่ถูกค้นพบหรือยังไม่มีการแก้ไข (Zero-day Exploit) โดยการป้องกันก็สามารถทำได้โดยการเข้ารหัสของข้อมูล (Encryption) ซึ่งในชีวิตประจำวันที่สามารถพบการเข้ารหัสของข้อมูล เช่น ใบแจ้งยอดบัตรเครดิต หรือใบเสร็จรับเงินค่าผ่อนบ้าน ฯลฯ
เขียนโดย นายชุมพล  เยาวภา
Digital Transformation 
- การเปลี่ยนแปลงการทำงานในองค์กรด้วยการประยุกต์ใช้เทคโนโลยี ทำไมต้องเปลี่ยน ท้ายที่สุดก็เพื่อความอยู่รอดขององค์กร เพราะ user/customer journey เปลี่ยนไป
- สิ่งสำคัญทุกคนในองค์กรต้องร่วมมือกันทำ ไม่ใช่งานของฝ่าย IT ฝ่ายเดียว
- 3 step การเปลี่ยนไปสู่ Digital Transformation 1.แปลงรูปแบบจากกระดาษสู่ดิจิทัล 2.เปลี่ยนกระบววนการโดยใช้เทคโนโลยีเข้าช่วย 3.ทำให้เกิดสิ่งใหม่หรือรูปแบบธุรกิจ/บริการใหม่ที่ไม่เคยทำมาก่อน
 
PDPA 
- กฏหมายเพื่อคุ้มครองข้อมูลส่วนบุคคล ครอบคลุมทั้งที่เป็นเอกสาร อิเล็กทรอนิกส์ วาจา และภาพนิ่งภาพเคลื่อไหว 
- หน่วยงานที่เป็นผู้กำกับดูแล สำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.)
- ข้อมูลส่วนบุคคลแบ่งเป็นประเภทข้อมูลทั่วไป และข้อมูลอ่อนไหว กำหนดโทษแตกต่างกัน แต่ PDPA ก็กำหนดข้อยกเว้นการใช้งานข้อมูลส่วนบุคคลได้ ตามข้อมูลเอกสารหน้า 61
 
Cybersecurity 
- การป้องกันภัยจากการคุกคามทางไซเบอร์ หลักๆเพื่อป้องกันข้อมูลขององค์กร/บุคคล ที่จะทำให้เกิดความเสียหายขึ้น 
- การป้องกันปัญหาที่จะเกิดย่อยดีกว่าแก้ไขปัญหา ถ้าสร้างความตระหนักและการรับรู้เรื่อง security ให้กับบุคลากร จะช่วยลดความเสี่ยงที่เกิดขึ้นในอนาคต
เขียนโดย นายวิทยา  สุวรรณสุข

Digital Transformation ทำให้เห็นถึงความเสี่ยงที่เราต้องปรับตัว โดยการเปลี่ยนแปลงไม่ว่าจะเป็นปัจจัยจากภายในองค์กรหรือภายนอกองค์กรต้องอาศัยความเชื่อมโยงและร่วมมือกันทุกระบบ จากการอบรมในครั้งนี้ทำให้ทราบถึงกรอบการเปลี่ยนผ่านทางดิจิทัลได้เห็นภาพ ระดับการเปลี่ยนแปลง และองค์ประกอบฟันเฟืองแต่ละชิ้นที่จะนำไปสู่การเปลี่ยนแปลงแบบรูปแบบใหม่

PDPA ทำให้เข้าใจเชื่อมโยงกันของผู้ที่เกี่ยวข้อง PDPA ว่ามีบุคคลใดบ้างที่เกี่ยวข้องไม่ว่าจะเป็น เจ้าของข้อมูล ผู้ประมวลผลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล และ สคส. PDPC และส่วนสำคัญหน่วยงานจัดให้มี DPO ผู้ให้คำแนะนำของ ผู้ควบคุมข้อมูลส่วนบุคคล เพื่อตรวจสอบการดำเนินงานเกี่ยวกับการใช้ข้อมูล

Cyber security ทำให้เรียนรู้ถึงการป้องกัน การโจมตีทางไซเบอร์Cyberattacksจากการตรวจสอบ URL ,การตรวจสอบการยืนยันตัวตนแบบ 2FAและการติดตั้งซอฟว์ความปลอดภัย VPN ไฟร์วอลล์

เขียนโดย นางสาวเจนจิรา  ภาประเวช

- Digital Transformation  การที่องค์กรเริ่มนำเทคโนโลยีแบบดิจิทัลเข้ามาเป็นส่วนหนึ่งในการปฏิบัติงานซึ่งก่อให้เกิดการเปลี่ยนแปลงตั้งแต่รากฐานภายในองค์กร และทำให้องค์กรเกิดการเปลี่ยนแปลงอย่างมีกลยุทธ์ เพื่อให้ทันต่อการเปลี่ยนแปลงอย่างรวดเร็วของโลก โดยจะมี 3 ระดับการเปลี่ยนแปลง คือ การเปลี่ยนแปลงจากรูปแบบกระดาษสู่ดิจิทัล ปรับเปลี่ยนรูปแบบขบวนการต่างๆ ให้เป็นอัตโนมัติด้วยเทคโนโลยีและปรับเปลี่ยนรูปแบบธุรกิจโดยทำในสิ่งที่รูปแบบเดิมไม่เคยมีมาก่อน

- PDPA  เกี่ยวกับกับข้อมูลส่วนบุคคลในยุคสังคมดิจิทัล ซึ่งกฎหมาย PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลถูกสร้างขึ้นมาเพื่อคุ้มครองสิทธิ์ของผู้ให้ข้อมูลส่วนบุคคล และจัดระเบียบองค์กรไทยให้สามารถใช้ข้อมูลส่วนบุคคลได้อย่างถูกต้อง โดยหลักการที่สำคัญ คือ มีความชอบธรรมในการประมวลผลข้อมูล ทำข้อมูลให้ถูกต้องและเป็นปัจจุบัน มีระยะในการเก็บข้อมูลที่แน่นอน รักษาความมั่นคงปลอดภัยที่เหมาะสม และเคารพสิทธิของ Data Subject

- Cybersecurity อาจเรียกว่าความมั่นคงปลอดภัยทางไซเบอร์ คือเทคโนโลยี, กระบวนการและวิธีปฏิบัติที่ถูกออกแบบมาเพื่อปกป้องเครือข่าย, อุปกรณ์, โปรแกรมและข้อมูลจากการโจมตี, ความเสียหายหรือการเข้าถึงจากบุคคลที่สามโดยไม่ได้รับอนุญาต ทราบและเข้าใจถึงความสำคัญของ Cyber Security
 

เขียนโดย นางสาวเพ็ญพิชชา  คงแทน

Digital Transformation

- เป็นการเปลี่ยนแปลงระดับองค์กร นำเทคโนโลยีมาใช้ ซึ่งไม่ใช่แค่การปรับเปลี่ยนกระบวนการ แต่ต้องเปลี่ยนทั้งกลยุทธ วัฒนธรรม พัฒนาบุคลากร กระบวนการ นวัตกรรม เทคโนโลยี รูปแบบการใช้ข้อมูลและการวิเคราะห์ข้อมูล ซึ่งทุกฝ่ายในองค์กรต้องทำร่วมกัน
- การเปลี่ยนแปลงมี 3 ระดับ ได้แก่ Digitization (Data) เปลี่ยนจากกระดาษสู่ดิจิทัล > Digitalization (Process) เปลี่ยนกระบวนการ > Digital Transformation (New Business Model) ปรับเปลี่ยนรูปแบบธุรกิจให้เป็นแบบไม่เคยมีมาก่อน
- การทำ Digital Transformationต้องคำนึงถึง 4 สิ่ง คือ เป้าหมายคืออะไร ความเป็นจริงในปัจจุบัน ทางเลือกมีอะไรบ้าง ควรจะทำอย่างไร
ถึงแม้ว่าการเปลี่ยนแปลงดิจิทัลจะมีข้อดีมากมาย แต่ก็มีความท้าทายที่ต้องเผชิญ เช่น งบประมาณที่จำกัด ความต้านทานจากการทำงานที่เป็นแบบดั้งเดิม และความกังวลเกี่ยวกับความปลอดภัยของข้อมูล อย่างไรก็ตาม หากองค์กรภาครัฐสามารถจัดการกับความท้าทายเหล่านี้ได้ การเปลี่ยนแปลงดิจิทัลจะนำไปสู่การพัฒนาและเสริมสร้างประสิทธิภาพในการบริการประชาชนอย่างยั่งยืน

PDPA
- เป็นกฏหมายที่ใช้คุ้มครอบข้อมูลส่วนบุคคล เพื่อควบคุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยมุ่งหวังเพื่อปกป้องสิทธิของเจ้าของข้อมูลและสร้างความเชื่อมั่นในการจัดการข้อมูลในยุคดิจิทัล องค์กรที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมายนี้อย่างเคร่งครัด
- หน่วยงานกำกับดูแล รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
- ทุกองค์กรจะต้องแต่งตั้ง DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) คือบุคคลที่ทำหน้าที่ในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร ไม่ว่าจะเป็นข้อมูลภายในหรือภายนอกองค์กรก็ตาม โดยเจ้าหน้าที่ DPO นั้นจะทำหน้าที่ให้คำปรึกษา ตรวจสอบ กำกับดูแลการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล 
- หลักการสำคัญของ PDPA คือ การได้มาซึ่งความยินยอม ต้องได้รับความยินยอมจากบุคคลก่อนที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ความโปร่งใส จะนำข้อมูลไปใช้ทำอะไรบ้าง และมีมาตรการรักษาความปลอดภัยอย่างไร ความถูกต้อง ข้อมูลต้องถูกต้อง ครบถ้วนและเป็นปัจจุบัน การจำกัดวัตถุประสงค์ ต้องมีวัตถุประสงค์ที่ชัดเจนและถูกต้องตามกฎหมาย การเก็บรักษา มีระยะเวลาที่เหมาะสมและปลอดภัย ความปลอดภัย ต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม

Cybersecurity
หมายถึง การป้องกันระบบคอมพิวเตอร์ เครือข่ายข้อมูล และข้อมูลดิจิทัลต่างๆ จากการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นได้ ไม่ว่าจะเป็นการเจาะระบบ การขโมยข้อมูล หรือการทำลายระบบ ซึ่งภัยคุกคามเหล่านี้สามารถส่งผลกระทบต่อบุคคล องค์กร และประเทศชาติได้อย่างรุนแรง
- ในยุคดิจิทัลที่ทุกอย่างเชื่อมต่อกันผ่านอินเทอร์เน็ต ข้อมูลส่วนบุคคลและข้อมูลธุรกิจมีความสำคัญอย่างยิ่ง การรักษาความปลอดภัยไซเบอร์จึงเป็นสิ่งจำเป็น
- ความปลอดภัยไซเบอร์เป็นเรื่องสำคัญที่ทุกคนควรให้ความสนใจ ในยุคดิจิทัลที่ภัยคุกคามทางไซเบอร์มีรูปแบบที่ซับซ้อนและหลากหลาย องค์กรของรัฐต้องเห็นความสำคัญของเรื่องนี้ และมีมาตรการป้องกันที่เหมาะสม

เขียนโดย น.ส.กมลวรรณ  สุนทรเกตุ
Digital Tranformation การเปลี่ยนแปลงในยุคดิจิทัล เป็นการเปลี่ยนแปลงที่ทุกคนต้องปรับตัว โดยเฉพาะการทำงานร่วมกันในองค์กร ที่สุดท้ายแล้วเพื่อความอยู่รอดในองค์กร เราจำเป็นต้องปรับตัวให้เข้ากับนโยบายในการทำงานด้าน Digital ที่เปลี่ยนแปลงอย่างรวดเร็ว ก่อให้เกิดรูปแบบการทำงานใหม่ ๆ การบริการประชาชนที่รวดเร็ว
การเปลี่ยนแปลงมี 3 ระดับ ได้แก่ Digitization (Data) เปลี่ยนจากกระดาษสู่ดิจิทัล > Digitalization (Process) เปลี่ยนกระบวนการ > Digital Transformation (New Business Model) ปรับเปลี่ยนรูปแบบธุรกิจให้เป็นแบบไม่เคยมีมาก่อน ซึ่งการเปลี่ยนแปลงจะประสบความสำเร็จได้ ปัจจัยสำคัญที่มีผลคือ "นโยบายและการผลักดันของผู้บริหาร"
 
PDPA เป็นกฏหมายที่ใช้คุ้มครองข้อมูลส่วนบุคคล ที่ควบคุมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล เพื่อปกป้องสิทธิของเจ้าของข้อมูล และสร้างความเชื่อมั่นในการจัดการข้อมูลสำหรับยุคดิจิทัล
- ข้อมูลส่วนบุคคล แบ่งเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคลทั่วไป [เช่น ชื่อ-นามสกุล, เพศ, อายุ วันเดือนปีเกิด, สถานภาพการสมรส, IP address, อีเมล์ส่วนตัว, หมายเลขโทรศัพท์ เป็นต้น] และ ข้อมูลส่วนบุคคลอ่อนไหว [เช่น เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ/ศาสนา/ปรัชญา, พฤติกรรมทางเพศ, ข้อมูลสุขภาพ, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลความพิการ, ข้อมูลสหภาพแรงงาน, ข้อมูลประวัติอาชญากรรม เป็นต้น]
- ผู้ที่เกี่ยวข้องใน PDPA
(1) Data Protection Authority หน่วยงานกำกับดูแล รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
(2) Data Controller ผู้ควบคุมข้อมูลส่วนบุคคล มีอำนาจ “ตัดสนใจ” เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งข้อมูลของลูกค้า บุคลากร และผู้มีส่วนได้ส่วนเสียอื่น ๆ
(3) Data Processor ผู้ประมวลผลข้อมูลส่วนบุคคล ดำเนินการตามคำสั่งของ Data Controller ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล
(4) Data Subject เจ้าของข้อมูลส่วนบุคคล
ทุกองค์กรที่มีการดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล โดยเฉพาะหน่วยงานของรัฐทุกหน่วยต้องมีการแต่งตั้ง DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อทำหน้าที่ในการให้คำแนะนำ Data Controller ตรวจสอบการดำเนินงานของ Data Processor ประสานงานกับ Data Protection Authority รวมทั้งการรักษาความลับของข้อมูล Data Subject ที่ได้ล่วงรู้ หรือได้มาจากการปฏิบัติงานตามกฏหมาย
 
Cybersecurity ความมั่นคงปลอดภัยทางไซเบอร์ คือ เทคโนโลยี, กระบวนการและวิธีปฏิบัติที่ถูกออกแบบมาเพื่อปกป้องเครือข่าย, อุปกรณ์, โปรแกรมและข้อมูลจากการโจมตี, ความเสียหายหรือการเข้าถึงจากบุคคลที่สามโดยไม่ได้รับอนุญาต
แนวทางการปฏิบัติที่ดีสำหรับ Cybersecurity
- ใช้พาสเวิร์ดที่คาดเดายาก หรือใช้ multi-factor authentication
- ใช้ software ที่เป็นปัจจุบันอยู่เสมอ
- Back up ข้อมูลอยู่เป็นประจำ
- ให้ความรู้กับผู้ปฏิบัติงานเกี่ยวกับการหลอกลวงทางอินเทอร์เน็ต
- ใช้งานระบบ firewalls และ antivirus
- เลือกใช้งาน wifi ที่มีความปลอดภัย
เขียนโดย สุชานุช  ชนะชาญมงคล