วันพุธที่ 3 มกราคม พ.ศ. 2561

กรอบการกำกับดูแลการเข้ารหัสของสหราชอาณาจักร

กฎหมายการคุ้มครองข้อมูล ปี ค.ศ. 1998 (Data Protection Act 1998) กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่จัดให้มีมาตรการทางเทคนิคและองค์กรที่เหมาะสมในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและประกันให้การพัฒนาทางเทคโนโลยีและต้นทุนในการดำเนินการตามมาตรการ มาตรการนั้นต้องประกันระดับของความมั่นคงปลอดภัยที่เหมาะสมกับ (ก) อันตรายที่อาจมาจากการประมวลผลที่ไม่ชอบด้วยกฎหมายหรือไม่ได้รับอนุญาตหรือการสูญเสียโดยอุบัติเหตุ การทำลายหรือเสียหายตามหลักเกณฑ์ที่กฎหมายกำหนดไว้ และ (ข) ลักษณะของข้อมูลที่ได้รับความคุ้มครอง

กฎดังกล่าวได้สร้างพันธกรณีในการเข้ารหัสว่าเทคโนโลยีการเข้ารหัสอยู่ภายใต้สถานะการพัฒนาทางเทคโนโลยีและดังนั้นควรดำเนินการให้เหมาะสมกับสถานการณ์ กฎหมายคุ้มครองข้อมูลอยู่ภายใต้การกำกับดูแลของสำนักงานคณะกรรมการข้อมูลข่าวสารที่มีการประกาศแนวทางดำเนินการเพื่อส่งเสริมให้เกิดแนวปฏิบัติที่ดีและนโยบายการบังคับใช้กฎหมาย หน้าที่หลักของสำนักงานคณะกรรมการข้อมูลข่าวสารประการหนึ่งคือการใช้เทคโนโลยีการเข้ารหัส โดยสำนักงานฯได้ตีพิมพ์แนวทางเฉพาะสำหรับการเข้ารหัสในเดือนพฤศจิกายน 2007 และแนวทางปฏิบัติสำหรับความปลอดภัยทางเทคโนโลยีสารสนเทศปนเดือนเทษายน 2012 การเข้ารหัสกลายเป็นเรื่องสำคัญในฐานะที่เป็นวิธีการประกันว่าข้อมูลสามารถเข้าถึงโดยผู้ใช้ที่ได้รับอนุญาตเท่านั้น ปัจจุบันนี้ สำนักงานฯได้ประกาศแนวทางนโยบายการใช้อุปกรณ์ตนเองในที่ทำงาน (Bring Your Onw Device หรือ BYOD) เพื่อให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีที่สนับสนุนความจำเป็นในการเข้ารหัสและประกาศว่าการเข้ารหัสเป็นสิ่งจำเป็นเบื้องต้นว่าธุรกิจต้องพิจารณาให้ความสำคัญกับการประเมินกระบวนการประมวลผลข้อมูลของตนเอง อนึ่งอนวปฏิบัติที่ออกประกาศโดยสำนักงานฯ มีผลทางกฎหมายและมีผลบังคับใช้ในทางปกครองกับผู้ควบคุมข้อมูล

ที่ผ่านมา การบังคับใช้แนวปฏิบัติดังกล่าวได้รับความร่วมมือจากผู้ควบคุมข้อมูลโดยเฉพาะการเข้ารหัสข้อมูลตามแนวปฏิบัติ ต่อมาการกำกับดูแลหันมาให้ความสำคัญกับคอมพิวเตอร์และอุปกรณ์ที่พกพาได้ง่ายและไม่มีการเข้ารหัส รวมทั้งเมมโมรี่สติ๊ก และจากนั้นกฌให้ความสำคัญกับการเข้ารหัสอีเมลล์และการสื่อสารอิเล็กทรอนิกส์อื่นๆ รวมทั้งการเข้รหัสเซิร์ฟเวอร์และฐานข้อมูล ดังนั้น จึงกล่าวได้ว่ากฎหมายคุ้มครองข้อมูลได้สร้างบรรยากาศสภาพแวดล้อมในการเข้ารหัสของข้อมูลส่วนบุคคลในสหราชอาณาจักรและถือว่าประสบความสำเร็จตามเปา้หมาย

อย่างไรก็ตาม ผู้ควบคุมข้อมูลในบริการทางการเงินที่ให้บริการในภาคการเงินในสหราชอาณาจักรถูกกำกับดูแลแยกต่างหาก โดยองค์กรกำกับพฤติกรรมทางการเงิน (Financial Conduct Authpority หรือ FCA) ที่มีอำนาจตามกฎหมายบริการทางการเงินและตลาดการเงินปี ค.ศ. 2000 (Financial Services and Markets Act 2000 หรือ FSMA) ภายใต้กรอบการกำกับดูแลดังกล่าว บริการที่ให้บริการทางการเงินต้องคำนึงถึงความเสี่ยงในการดำเนินการและลดความเสี่ยงที่อาจเกิดจากอาชญากรรมทางการเงิน พันธกรณีดังกล่าวได้กำหนดพันธกรณีในการเข้ารหัสไว้ แต่ไม่เหมือนกับกฎหมายคุ้มครองข้อมูล กฎหมายบริการทางการเงินและตลาดทางการเงินไม่มีขอบเขตจำกัดอยู่เฉพาะข้อมูลส่วนบุคคล ในเดือนกุมภาพันธฺ 2007 ประเด็นการเข้ารหัสในบริการทางการเงินได้รุดหน้าเมื่อมีการปรับสมาคมก่อสร้างเป้นจำนวน 980,000 ปอนด์ในกรณีที่ทำให้ข้อมูลลูกค้าที่อยู่ในคอมพิวเตอร์พกพาสูญหา ในเดือนเมษายน 2008 องค์กรกำกับพฤติกรรมทางการเงินได่้ประกาศรายงานอาชญากรรมทางการเงินและความมั่นคงปลอดภัยของข้อมูลทางการเงิน พร้อมกำหนดความคาดหวังว่าบริษัทที่ให้บริการทางการเงินต้องมีหน้าที่เข้ารหัสในอุปกรณ์ที่พกพาได้และสื่อที่เกี่ยวข้อง ในปี ค.ศ. 2010 บริษัทประกันภัยถูกปรับเป็นจำนวน 2,275,000 ปอนด์ในกรณีที่ทำให้เทปเก็บข้อมูลสำรองที่ไม่มีการเข้ารหัสสูญหายไปในระหว่างเดินทาง ค่าปรับดังกล่าวแสดงให้เห็นว่าภาคการเงินในสหราชอาณาจักรได้พยายามยกระดับความสำคัญของการเข้ารหัสข้อมูลส่วนบุคคล

ไม่มีความคิดเห็น:

แสดงความคิดเห็น