สำนักงาน กสทช. มีหนังสือแจ้งทรูให้รับผิดชอบและเยียวยาความเสียหายที่เกิดขึ้นต่อผู้ใช้บริการทั้งทางแพ่งและอาญา กรณีข้อมูลบัตรประชาชนลูกค้าหลุด พร้อมกำชับโอเปอเรเตอร์รายอื่นต้องจัดให้มีมาตรการป้องและรักษาความปลอดภัยของข้อมูลผู้ใช้บริการ
ฐากร ตัณฑสิทธิ์
นายฐากร ตัณฑสิทธิ์ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (เลขาธิการ กสทช.) เปิดเผยว่า สืบเนื่องจากที่สำนักงาน กสทช. ได้เชิญผู้ที่เกี่ยวข้องกับกรณีที่ปรากฏข่าวผ่านสื่อสารมวลชนว่า ทรูมูฟ เอช ทำข้อมูลบัตรประชาชนลูกค้าหลุดเป็นจำนวนมาก มาชี้แจงข้อเท็จจริง ณ สำนักงาน กสทช. เมื่อวันที่ 17 เม.ย. ที่ผ่านมา สำนักงาน กสทช. มีหนังสือถึงบริษัท เรียล มูฟ จำกัด
เรื่อง ให้ปฏิบัติตามประกาศคณะกรรมการกิจการโทรคมนาคมแห่งชาติ เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคล สิทธิในความเป็นส่วนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม โดยอาศัยอำนาจตามมาตรา 64 แห่ง พ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544 มีคำสั่งให้ บริษัทฯ ระงับการกระทำที่ฝ่าฝืน แก้ไขปรับปรุง และปฏิบัติให้ถูกต้องเหมาะสม ในเรื่องดังต่อไปนี้
1.จัดให้มีมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลทั้งทางด้านเทคนิคและการจัดการภายในองค์กรในรูปแบบที่เหมาะสมกับบริการโทรศัพท์เคลื่อนที่ โดยอย่างน้อยต้องปรับระดับรักษาความปลอดภัยให้เหมาะสมกับความเสี่ยงที่เกิดขึ้นตามการพัฒนาทางเทคโนโลยี และให้มีการตรวจสอบระบบการรักษาความปลอดภัยจากผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล
2.จัดให้มีช่องทางการตรวจสอบจากประชาชนที่อาจได้รับผลกระทบ โดยไม่คิดค่าใช้จ่าย
3.ให้ บจ. เรียล มูฟฯ รับผิดชอบและเยียวยาความเสียหายที่เกิดขึ้นต่อผู้ใช้บริการที่ได้รับผลกระทบ ทั้งความเสียหายที่เกิดขึ้นในทางแพ่งและทางอาญา
4.ให้รายงานผลการดำเนินการตามคำสั่งตามข้อ 1. 2. และ 3. มายังสำนักงาน กสทช. ภายใน 7 วัน นับแต่วันที่ได้รับหนังสือฉบับนี้ และรายงานความคืบหน้าในการดำเนินการตามคำสั่งนี้เป็นระยะๆ ทุก 15 วัน
หากบจ. เรียล มูฟฯ ไม่ดำเนินการตามคำสั่งนี้ เลขาธิการ กสทช. จะใช้มาตรการบังคับทางปกครองกำหนดค่าปรับทางปกครองตามกฎหมายไม่ต่ำกว่าสองหมื่นบาทต่อวัน ตามมาตรา 66 แห่งพ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544 ทั้งนี้ บจ. เรียล มูฟฯ มีสิทธิโต้แย้งคำสั่ง ดังกล่าวได้โดยยื่นอุทธรณ์ต่อ กสทช. ภายในระยะเวลา 15 วัน นับแต่วันที่ได้รับหนังสือฉบับนี้ ตามมาตรา 65 แห่งพ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544
นายฐากร กล่าวว่า พร้อมกันนี้ สำนักงาน กสทช. ได้มีหนังสือถึงผู้ให้บริการโทรศัพท์เคลื่อนที่รายอื่นๆ ว่า ต้องจัดให้มีมาตรการป้องกันและและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลทั้งทางด้านเทคนิคและการจัดการภายในองค์กรในรูปแบบที่เหมาะสมกับแต่ละบริการโทรคมนาคม และหากเกิดกรณีที่ไม่เป็นไปตามที่ประกาศกำหนด ผู้รับใบอนุญาตต้องควบคุมดูแลให้ระงับการกระทำที่ฝ่าฝืน หรือแก้ไขปรับปรุงหรือปฏิบัติตามให้ถูกต้องเหมาะสม และผู้รับใบอนุญาตต้องผูกพันในการดำเนินการใด ๆ ของบุคคลดังกล่าวเสมือนว่าผู้รับใบอนุญาตเป็นผู้ดำเนินการด้วยตนเอง
แหล่งข่าวจากวงการโทรคมนาคม แจ้งว่าจากกรณีบริษัท ไอทรูสมาร์ท เปิดให้เข้าถึงข้อมูลที่สำคัญของผู้ใช้งานเครือข่ายที่เก็บไว้บน Amazon S3 ซึ่งเป็นบริการฝากข้อมูลบนระบบคลาวด์ โดยไม่มีการเข้ารหัสป้องกัน ทำให้ข้อมูลลูกค้าผู้ใช้บริการนับหมื่นรายที่ลงทะเบียนตั้งแต่ปี 2557-2561 หลุดออกมาสู่สาธารณะ และล่าสุดชี้แจงในเรื่องดังกล่าวนั้น กสทช.เร่งเข้ามาตรวจสอบให้เกิดความกระจ่างและมองว่า การดึงบริษัท ไอทรูมาร์ท( itruemart)ที่เป็นบริษัทลูกเข้ามารับผิดชอบนั้นก็เนื่องจากไม่ได้เป็นผู้รับใบอนุญาตจาก กสทช. ทำให้เป็นเรื่องยากที่ กสทช. จะลงโทษบริษัทโดยตรงทำได้แค่การแจ้งเตือนไปยังเรียลมูฟในฐานะผู้รับใบอนุญาตเท่านั้น
แหล่งข่าวกล่าวว่า หากตรวจสอบกระบวนการจัดเก็บข้อมูลส่วนบุคคลจะพบว่า ข้อมูลที่หลุดออกมานั้นได้พ้นขั้นตอนการซื้อเครื่องและลงทะเบียนซิมการ์ดไปแล้ว และถือเป็นขั้นตอนของการจัดเก็บข้อมูลหลังบ้านที่อยู่ในความรับผิดชอบของ บริษัทเรียลมูฟหรือทรูมูฟ เอช โดยตรง โดยกระบวนการจัดเก็บข้อมูลตามประกาศ กสทช.ที่ได้พัฒนาโปรแกรม 2 แชะ เพื่อให้ผู้รับใบอนุญาตหรือตัวแทนจำหน่ายนำเข้าข้อมูลในอดีตก่อนจะพัฒนามาเป็น”2 แชะอัตลักษณ์”
ในส่วนของผู้รับใบอนุญาตแต่ละรายมักจะพัฒนาโปรแกรมที่จะใช้กับตัวแทนจำหน่ายโดยตรง เพื่อความสะดวกในการใช้งานแต่จะต้องสอดคล้องกับประกาศของ กสทช. ซึ่งเมื่อตัวแทนจำหน่ายได้ขายเครื่องและทำการลงทะเบียนซิมไปแล้ว ข้อมูลลูกค้าเหล่านี้จะถูกส่งผ่านไปยังบริษัทผู้ได้รับใบอนุญาตเพื่อจัดเก็บไว้ตามประกาศ กสทช.
นอกจากนี้ การที่บริษัทนำข้อมูลส่วนบุคคลไปจัดเก็บไว้กับระบบคลาวน์ในต่างประเทศนั้น อาจจะผิดหลักเกณฑ์ตามประกาศ กสทช.อีกด้วย เพราะตามประกาศ กสทช.นั้น กำหนดให้ผู้ใช้บริการต้องจัดส่งข้อมูลดังกล่าวให้สำนักงาน กสทช.ก่อน และให้จัดเก็บข้อมูลที่เป็นดาต้าเหล่านี้ไว้ในประเทศ หากจะนำส่งข้อมูลออกไปต่างประเทศ ต้องได้รับอนุญาตจาก กสทช.ก่อน
