Posts Tagged "กฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป"

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 12

GRC ในมุมมองของ Governance

Governance ในที่นี้จะหมายถึง Enterprise Governance ที่ผสมผสานกับ IT Governance และ Information Security Governance / Cyber Security Governance ดังนั้น คำว่า การกำกับดูแล หรือ Governance จึงต้องพิจารณาทั้ง 3 องค์ประกอบนี้เป็นสำคัญ และขอให้เข้าใจตรงกันว่า Governance หรือ การสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมในทุกองค์ประกอบที่เกี่ยวข้องอย่างเป็นบูรณาการตามที่กล่าวแล้ว หากขาดในเรื่อง Risk Management และ Compliance ก็ไม่อาจก่อให้เกิดการกำกับดูแลที่สามารถสร้างคุณค่าเพิ่มได้เลย

ในมิติของตัว R หรือ Risk Management หรือการบริหารความเสี่ยงนั้น ก็จะมีองค์ประกอบ 3 อย่างที่เกี่ยวข้องซึ่งกันและกัน นั่นคือ Enterprise Risk Management และ IT Risk Management รวมทั้ง Information Security / Cyber Security Risk Management ทั้ง 3 องค์ประกอบของ Risk Management นี้จะเกี่ยวพันซึ่งกันและกัน ดังนั้น กระบวนการบริหารความเสี่ยง จึงต้องพิจารณาทั้ง 3 องค์ประกอบและความสำคัญขององค์ประกอบทั้ง 3 นี้ ในขณะเดียวกัน การปฏิบัติตามกฎระเบียบ ที่เรียกว่า Compliance (C) ก็จะประกอบด้วย องค์ประกอบ 3 อย่าง คือ Law and Regal Requirements และ Rules, Regulations, Agreements และ Policies, Standards, Internal Controls ซึ่งเป็นองค์ประกอบของ Compliance ที่จะเชื่อมโยงไปกับ Risk Management ทั้ง 3 องค์ประกอบ และเชื่อมโยงต่อไปยัง Governance ทั้ง 3 องค์ประกอบ ตามที่แสดงไว้ในแผนภาพ

Strategic IT-GRC Integration Concepts มีความเชื่อมโยงและมีความสัมพันธ์กันอย่างแยกกันไม่ได้ ในมิติของ IT และในมิติของธุรกิจ ดังนั้น เมื่อองค์กรใดจะมีนโยบายทางด้าน Digital Governance ควรเข้าใจในเรื่อง Strategic IT-GRC Integration Concepts ข้างต้น เพราะหากเข้าใจคลาดเคลื่อนจากหลักการดังกล่าว ก็จะก่อให้เกิดความเสี่ยงที่สร้างความเสียหายให้กับองค์กร และในระดับประเทศได้อย่างขาดไม่ถึง

ก่อนที่ผมจะชวนคุยในเรื่องนี้ต่อไป ผมขอยกตัวอย่างที่เป็นข้อสรุปในเรื่อง Cyber Security – Cyber Resilience ที่ธนาคารแห่งประเทศไทยจัดให้มีการเสวนาให้กับคณะกรรมการ และผู้บริหารระดับสูงของสถาบันการเงินต่างๆ ในวันที่ 23 พฤศจิกายน 2560 เพื่อสร้างความตระหนักถึงภัยที่มองไม่เห็น และพัฒนารูปแบบการโจมตีที่หลากหลายรูปแบบ ซึ่งอาจทำลายสเถียรภาพขององค์กรและระบบการเงินของประเทศได้

ผมจึงขออนุญาตนำเอกสารที่เผยแพร่โดยธนาคารแห่งประเทศไทยในเรื่องดังกล่าวมาเผยแพร่ต่อ เพื่อให้ท่านผู้อ่านได้เห็นภาพที่เกี่ยวข้องกับการบริหารความเสี่ยง ในมิติของ Information / Cyber Security Risk Management ซึ่งเป็นส่วนหนึ่งขององค์ประกอบที่เกี่ยวกับ IT Risk Management และมีผลกระทบเชื่อมโยงไปยัง Enterprise Risk Management ซึ่งสามารถเข้าใจได้ค่อนข้างง่ายจากภาพที่ปรากฎข้างต้น ที่เป็นแก่นและแกนกลางของ Risk-based Standards and Best Practices ในมุมมองของ GRC Integration ที่เกี่ยวข้องกับ Compliance และผูกกันไว้กับ Governance ในทุกองค์ประกอบที่เกี่ยวข้องตามที่อธิบายไว้ในแผนภาพ

ข้อมูลต่อไปนี้ เป็นข้อมูลที่ได้มาจาก ธนาคารแห่งประเทศไทย ตามที่ผมได้อ้างถึงข้างต้นครับ

จากข้อมูลที่ธนาคารแห่งประเทศไทยสรุปให้กับผู้มาร่วมเสวนา และจากข้อมูลของ ดร. รอม หิรัญพฤกษ์ ที่สรุปจากการเสวนาในวันที่ 23 พฤศจิกายน 2560 นี้นั้น ขอให้ท่านผู้อ่านทำความเข้าใจกับข้อมูลที่สรุปโดยย่อตามที่กล่าวข้างต้น ในมุมมองของ Risk-based Standards and Best Practices for Strategic IT-GRC Management ที่โยงใยไปยังการกำกับดูแล (Governance) จากการเชื่อมโยงและบูรณาการที่แยกกันไม่ได้ตามหลักการของ GRC Integration เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสีย (Stakeholders) จากผลกระทบที่คณะกรรมการของทุกองค์กร รวมทั้งผู้บริหารระดับประเทศ พึงตระหนักถึงความเสี่ยงภัย และการบริหารความเสี่ยง ที่ต้องปฏิบัติตามหลักการ GRC Integration ที่เชื่อมโยงไปยัง Compliance และ Governance ตามตัวอย่างที่ผมหยิบยกมาจาก การเผยแพร่ของธนาคารแห่งประเทศไทยในเรื่อง “Cyber Resilience Leadership”

นอกจากนี้ สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA – Thailand Information Security Association) ได้จัดเสวนาในหัวข้อ “นับถอยหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR EU) เมื่อวันที่ 29 พฤศจิกายน 2560 ณ ศูนย์ศึกษาวิภาวดี มหาวิทยาลัยรังสิต อาคารทีเอสที ทาวเวอร์ ซึ่งมีผู้ร่วมเสวนาที่สำคัญคือ วรรณวิทย์ อาขุบุตร ที่ปรึกษากระทรวงดิจิตอลฯ, อาจารย์ปริญญา หอมเอนก กรรมการ และเลขาธิการสมาคมความมั้่นคงปลอดภัยระบบสารสนเทศ, อาจารย์นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล กรรมการและรองเลขาธิการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ และ นพ. สุธี ทุวิรัตน์ กรรมการบริหารสมาคมเวชสารสนเทศไทย โดยมี นพ. สุธี ทุวิรัตน์ เป็นผู้สรุป ซึ่งทุกท่านเป็นกรรมการของ TISA โดยมีหัวข้อที่น่าสนใจดังนี้

  • กฏหมายคุ้มครองส่วนบุคคลสหภาพยโรป หรือ GDPR EU คืออะไร ธุรกิจจะอยู่รอดหรือหายไป
  • ค่าปรับมหาศาล ใครจะรับไหว คุ้มการลงทุนในการปฏิบัติตามหรือไม่
  • ใครในองค์กรที่เกี่ยวข้องบ้าง จะปรับตัวอย่างไร

ทั้งนี้ การอภิปรายมีความน่าสนใจเป็นอย่างยิ่ง และผู้ร่วมเสวนาได้มีโอกาสแลกเปลี่ยนกันอย่างกว้างขวางถึงปัญหาที่จะเกิดขึ้นในอนาคต โดยเฉพาะอย่างยิ่ง ในธุรกิจที่เกี่ยวข้องกับชาวยุโรปทุกคนที่จะมาใช้บริการในประเทศไทย และประเทศอื่นๆ ซึ่งผู้ให้บริการของทุกองค์กรในประเทศนั้นๆ จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR EU / General Data Protection Regulation – EU) ทั้งนี้มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561

ผมขออนุญาตที่จะไม่เอ่ย องค์กรและสถาบันที่จะมีผลกระทบต่อกฎหมาย GDPR EU นี้ เพราะเป็นเรื่องอ่อนไหวอย่างมากที่ไม่สามารถระบุองค์กรที่จะได้รับความเสียหาย รวมทั้งความเสียหายระดับประเทศอย่างมีนัยสำคัญด้วย ทั้งนี้ องค์กรหรือภาคธุรกิจที่เก็บข้อมูลส่วนบุคคลไม่ว่าในรูปแบบใด เช่น ผู้ให้บริการเกี่ยวกับการประกันฯ ธุรกิจโรงแรม ท่องเที่ยว สายการบิน รถเช่า ฯลฯ ซึ่งมีการเก็บข้อมูลชื่อบุคคลจากประเทศในกลุ่มยุโรปที่มาใช้บริการ ที่อยู่ เบอร์โทรศัพท์ บัตรเครดิต ใบขับขี่ ฯลฯ ก็ต้องปฏิบัติตามกฎระเบียบนี้ด้วย

ท่านผู้อ่านครับ ขอให้ท่านย้อนไปดูสิ่งที่ผมเล่าสู่กันฟังในเรื่อง Digital Governance Policy and Digital Governance Framework ในตอนที่ 10 ซึ่งเป็นกรอบการกำกับดูแล การบริหารการจัดการ IT ระดับองค์กรส่วนหนึ่ง ที่เกี่ยวข้องกับ GRC Integration ตามที่ผมได้เล่าสู่กันฟังข้างต้นนะครับ