ไปรษณีย์ไทยชี้แจงกรณีพบมีผู้ละเมิดข้อมูลผู้ใช้บริการโดยไม่มีข้อมูลเกี่ยวกับธุรกรรมการเงิน
ไปรษณีย์ไทยออกมายอมรับว่าข้อมูลรั่วไหล หลังจากแฮกเกอร์ประกาศขายข้อมูลบน BreachForum เมื่อวันเสาร์ 29 มีนาคมที่ผ่านมา
ข้อมูลที่คนร้ายประกาศขาย มีทั้งหมด 19 ล้านรายการ น่าจะเป็นข้อมูลระบบ CRM โดยระบุ ชื่อ, นามสกุล, อีเมล, วันเกิด, ข้อมูลติดต่อ, สาขาที่ใช้บริการบ่อย, คะแนนสะสม, ข้อมูลการใช้บริการ
ทางไปรษณีย์ไทยระบุว่าได้ปิดช่องทางเข้าถึงข้อมูลนี้ จากนั้นแจ้งสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการข้อมูลส่วนบุคคล (สคส.) ตลอดจนดำเนินการทางด้านกฎหมายแล้ว
บริษัท ไปรษณีย์ไทย จำกัด โพสต์ได้ระบุว่า
“บริษัท ไปรษณีย์ ไทย จำกัด ตรวจพบการเข้าถึงข้อมูลของผู้ใช้บริการ ประกอบด้วย ชื่อ – นามสกุล ที่อยู่ หมายเลขโทรศัพท์ อีเมล โดยไม่มีข้อมูลเกี่ยวกับธุรกรรมการเงินใดๆ และนำไปเผยแพร่อยู่บน Dark Web ทั้งนี้ จากเหตุการณ์ดังกล่าวไปรษณีย์ไทยขออภัยและได้ดำเนินการ ปิดช่องทางการเข้าถึงข้อมูลทันที พร้อมคุมเข้มยกระดับมาตรการการเก็บรักษาข้อมูลส่วนตัวของผู้ใช้บริการ รวมถึงได้ประสานความร่วมมือกับสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการข้อมูลส่วนบุคคล (สคส.) เพื่อรายงานและร่วมดำเนินมาตรการป้องกันอย่างรัดกุม พร้อมทั้งมีการดำเนินการทางด้านกฎหมายเป็นที่เรียบร้อยแล้ว
ไปรษณีย์ไทยให้ความสำคัญสูงสุดกับมาตรฐานความปลอดภัยของข้อมูลผู้ใช้บริการ โดยจะทำการตรวจสอบระบบความปลอดภัยของฐานข้อมูลผู้ใช้บริการอย่างเข้มงวด ครอบคลุมและต่อเนื่อง เพื่อป้องกันไม่ให้เกิดเหตุการณ์ลักษณะนี้อีกในอนาคต ทั้งนี้ หากผู้ใช้บริการพบปัญหาหรือมีข้อสงสัยสามารถ ติดต่อได้ที่ THP Contact Center 1545”
โดยเบื้องต้นมีการค้นพบการขายข้อมูลที่หลุดจาก ไปรษณีย์ไทย ที่ BreachForums ซึ่งเป็น dark web บริการและขายข้อมูล ใน Hidden Service
กฎหมาย PDPA ระบุผู้บริโภคมีสิทธิ์ฟ้องได้
ตามกฎหมายแล้ว เมื่อมีข้อมูลรั่วไหล กระทบสิทธิเสรีภาพ ต้องแจ้งให้ #ผู้บริโภค ทราบภายใน 72 ชั่วโมง และหากเกิดความเสียหาย ผู้บริโภคต้องได้รับการเยียวยา | ใครที่ได้รับผลกระทบจากกรณีข้อมูลรั่วไหล ร้องเรียนได้ที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือปรึกษา – ร้องเรียนมาที่ สภาองค์กรของผู้บริโภค
อย่าอ้างว่า…โดนแฮ็ก ข้อมูลส่วนบุคคลรั่วไหล องค์กรที่ทำข้อมูลหลุดต้องแสดงความรับผิดชอบ กฎหมาย PDPA ต้องบังคับใช้จริง
ทางด้าน ดร. อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand กล่าวว่า “ฟ้องได้เลยตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถไปที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคศ.) แต่กฎหมายยังมีอุปสรรคว่ายังเปิดให้ร้องเรียนเป็นรายบุคคลไป การร้องเรียนแบบกลุ่มยังไม่มี แต่นอกจากช่องทางนี้ ยังสามารถฟ้องอาญาได้ และฟ้องแพ่งเป็นคดีผู้บริโภค ซึ่งฟ้องแบบกลุ่มได้”
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล และเมื่อเทคโนโลยีมีการเปลี่ยนแปลงก็ต้องมีการปรับปรุงให้อุปกรณ์หรือเจ้าหน้าที่ด้านเทคนิคต่างๆ อยู่เสมอ และแน่นอนว่าหากไม่มีการจัดการใดๆ ในด้านนี้ แล้วเกิดการละเมิด คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก็อาจพิจารณาว่า ‘ไม่มีความปลอดภัยเพียงพอ’
- ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่แหล่งอื่น ต้องมีการจัดดำเนินการเพื่อป้องกันไม่ให้มีการเปิดเผยข้อมูลส่วนบุคคลโดยที่เจ้าของข้อมูลไม่ยินยอม
- มีระบบการตรวจสอบเพื่อลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาการจัดเก็บ หรือมองว่าไม่มีความจำเป็นอีกต่อไป หรือปฏิบัติตามคำร้องของเจ้าของข้อมูลส่วนบุคคล
- หากเกิดการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องแจ้งเหตุแก่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชม. นับตั้งแต่ทราบเหตุ แต่หากมองว่าเป็นความเสียหาย ‘ร้ายแรง’ อาจจะต้องมีแผนสำหรับการ ‘เยียวยา’ ความเสียหายที่เกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคลอย่างไม่ล่าช้า”
