รายงานตัวประจำวันจันทร์ที่ 9 กุมภาพันธ์ 2569 ครับ เดินทางมาถึง ตอนที่ 45 แล้วนะครับ! เมื่อหลายวันก่อนนี้ (Ep.44) เราได้สร้าง “ประตูเชื่อม” (API Gateway) ที่ทำให้ระบบต่างๆ ในกองทัพเรือสามารถส่งข้อมูลหากันได้อย่างคล่องตัวเปรียบเสมือนการเปิดท่อส่งน้ำขนาดใหญ่ แต่ช้าก่อนครับ! ในสายน้ำแห่งข้อมูลที่ไหลเชี่ยวนั้น มีสิ่งที่มีค่าที่สุดปะปนอยู่ นั่นคือ “ข้อมูลส่วนบุคคล” ของพี่น้องทหารเรือและครอบครัว (เช่น เลขบัตรประชาชน, ประวัติการรักษา, ข้อมูลบัญชีธนาคาร) หากท่อรั่วหรือมีคนมาแอบเจาะ ข้อมูลเหล่านี้อาจหลุดไปอยู่ในมือมิจฉาชีพได้ วันนี้ AdminTee จะพาท่านมาสร้าง “เกราะป้องกัน” ตามกฎหมาย PDPA ในระบบ Odoo เพื่อให้มั่นใจว่าข้อมูลของท่านจะปลอดภัยเหมือนอยู่ในตู้นิรภัยครับ!
ส่วนที่ 6: จาก Silo Data สู่ Single Data (Data Strategy)
จุดประสงค์: การจัดการข้อมูลเพื่อความเป็นเอกภาพ และการกำกับดูแลข้อมูลให้ปลอดภัยตามกฎหมาย
ตอนที่ 45/80: การจัดการ Data Privacy (PDPA) สำหรับข้อมูลกำลังพลและครอบครัว
กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ไม่ใช่แค่เรื่องการกด “ยอมรับคุกกี้” ในเว็บไซต์นะครับ แต่เป็นเรื่องสิทธิขั้นพื้นฐานที่กองทัพเรือต้องให้ความสำคัญสูงสุด โดยเราใช้ Odoo มาจัดการเรื่องนี้อย่างเคร่งครัด ดังนี้ครับ:
1. หลักการ “รู้เท่าที่จำเป็น” (Need-to-Know Basis / Access Control)
- ปัญหา: ในระบบเดิม บางครั้งเจ้าหน้าที่ธุรการทั่วไปสามารถเข้าถึงข้อมูลเงินเดือน หรือประวัติการเจ็บป่วยของทุกคนในหน่วยได้ ซึ่งมีความเสี่ยงสูง
- ระบบใหม่ (Odoo Groups): เราแบ่งระดับการเข้าถึงข้อมูลอย่างละเอียด (Granular Permission)
- ผู้บังคับบัญชา: เห็นเฉพาะข้อมูลการทำงาน, ยศ, ตำแหน่ง ของลูกน้องในสายงาน (เพื่อการบริหาร) แต่ ไม่เห็น ข้อมูลโรคประจำตัว หรือข้อมูลบัญชีธนาคาร
- เจ้าหน้าที่การเงิน: เห็นข้อมูลบัญชีธนาคาร (เพื่อโอนเงิน) แต่ ไม่เห็น ประวัติการฝึก
- เจ้าตัว (Self-Service): เห็นข้อมูลของตัวเองทั้งหมด 100%
2. การจัดการข้อมูลอ่อนไหว (Sensitive Data Handling)
- ข้อมูลอ่อนไหว: เช่น เชื้อชาติ, ศาสนา, ประวัติอาชญากรรม, ข้อมูลสุขภาพ กฎหมายระบุว่าต้องดูแลเข้มงวดพิเศษ
- มาตรการใน Odoo:
- Encryption: ข้อมูลเหล่านี้จะถูก “เข้ารหัส” ในฐานข้อมูล แม้แต่ Admin ระบบฐานข้อมูลก็อ่านไม่ออกหากไม่มีกุญแจถอดรหัส
- Consent Form (การขอความยินยอม): หากจำเป็นต้องใช้ข้อมูลเหล่านี้ (เช่น ใช้ข้อมูลศาสนาเพื่อประกอบพิธีการ) ระบบจะมีแบบฟอร์มอิเล็กทรอนิกส์ให้เจ้าตัวกด “ยินยอม” ก่อนเสมอ
3. ร่องรอยดิจิทัล (Audit Trail: ใครทำอะไร…รู้นะ!)
- ความกังวล: “จะมีใครแอบมาดูประวัติของผมไหม?”
- ระบบใหม่: ทุกการกระทำในระบบ Odoo จะถูกบันทึกไว้หมดครับ
- ตัวอย่าง: หาก “น.ต. สมชาย” เข้าไปดูประวัติเงินเดือนของ “จ.อ. มานะ” ระบบจะบันทึก Log ไว้ทันทีว่า
[User: น.ต.สมชาย] [Action: View Salary] [Target: จ.อ.มานะ] [Time: 10:45 น.] - ประโยชน์: หากมีข้อมูลรั่วไหล เราสามารถตรวจสอบย้อนหลังได้ทันทีว่าใครเป็นคนทำ (Accountability)
- ตัวอย่าง: หาก “น.ต. สมชาย” เข้าไปดูประวัติเงินเดือนของ “จ.อ. มานะ” ระบบจะบันทึก Log ไว้ทันทีว่า
ข้อจำกัดและอุปสรรค (The Constraints)
- ความขัดแย้งของกฎหมาย: บางครั้งสิทธิในการ “ขอให้ลบข้อมูล” (Right to be forgotten) ตาม PDPA อาจขัดแย้งกับระเบียบราชการที่ต้องเก็บรักษาประวัติไว้ตลอดไป (เราต้องหาจุดสมดุล เช่น การ “เก็บถาวรแบบปิดตาย” (Archiving) แทนการลบ)
- พฤติกรรมผู้ใช้ (User Behavior): ความเสี่ยงสูงสุดคือตัวบุคคล เช่น การจดรหัสผ่านแปะไว้หน้าคอมฯ หรือการล็อกอินค้างไว้แล้วเดินไปเข้าห้องน้ำ
ข้อแนะนำและข้อเสนอแนะ (Recommendations)
- บังคับใช้ 2FA (Two-Factor Authentication): สำหรับผู้ที่เข้าถึงข้อมูลส่วนบุคคลจำนวนมาก (เช่น จนท. กพ./การเงิน) ต้องบังคับให้ใช้การยืนยันตัวตน 2 ขั้นตอน (รหัสผ่าน + รหัส OTP จากมือถือ) ก่อนเข้าระบบ Odoo เสมอ
- PDPA Training: จัดอบรมให้ความรู้เรื่อง PDPA แก่กำลังพลทุกระดับชั้น ให้ตระหนักว่า “การส่งต่อข้อมูลเพื่อนโดยไม่ได้รับอนุญาต” อาจมีความผิดตามกฎหมาย
บทสรุป
การปฏิบัติตาม PDPA ไม่ใช่การสร้างภาระครับ แต่เป็นการสร้าง “ความไว้วางใจ” (Trust)
เมื่อพี่น้องทหารเรือมั่นใจว่าข้อมูลส่วนตัวและข้อมูลครอบครัวของท่าน ถูกจัดเก็บอยู่ในระบบ Odoo ที่มีมาตรฐานความปลอดภัยสูง ท่านก็จะสามารถปฏิบัติหน้าที่ฟันฝ่าคลื่นลมได้อย่างสบายใจ ไม่ต้องพะวงหลัง เพราะกองทัพเรือให้ความสำคัญกับการปกป้องดูแล “คน” เป็นอันดับแรกเสมอครับ
(อ้างอิง: พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ มาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์)
คำถามชวนคิด (เพื่อการมีส่วนร่วม)
- ท่านรู้สึกสบายใจไหมครับ หากรู้ว่าเพื่อนร่วมงานสามารถเปิดดู “สลิปเงินเดือน” ของท่านได้ง่ายๆ? (ระบบใหม่ป้องกันเรื่องนี้ครับ)
- ท่านเคยเผลอแชร์ไฟล์ที่มีรายชื่อและเบอร์โทรของคนทั้งหน่วยลงในกลุ่ม Line บ้างหรือไม่? (นั่นอาจผิด PDPA นะครับ)
- ท่านพร้อมที่จะใช้ระบบล็อกอิน 2 ชั้น (2FA) ที่ยุ่งยากขึ้นเล็กน้อย แลกกับความปลอดภัยของข้อมูลที่เพิ่มขึ้นมหาศาลหรือไม่?
ติดตามตอนต่อไป
เมื่อเรามีเกราะป้องกันข้อมูลส่วนบุคคล (PDPA) แล้ว… แต่ในโลกของทหารยังมีข้อมูลอีกประเภทที่สำคัญยิ่งกว่าชีวิต นั่นคือ “ความลับทางราชการ” ครับ!
ในตอนหน้า Ep.46/80 “Data Classification: การจัดชั้นความลับข้อมูลบนระบบ Open ERP” เราจะมาดูกันว่า Odoo จะช่วยเราจัดระเบียบข้อมูล “ลับที่สุด – ลับมาก – ลับ” ให้ปลอดภัยและถูกต้องตามระเบียบสำนักนายกรัฐมนตรีว่าด้วยการรักษาความปลอดภัยแห่งชาติได้อย่างไร? ห้ามพลาดครับ!
Talk is cheap. Show me the code.