การเก็บ Log พ.ร.บ. ไม่ใช่เรื่องใหม่แล้วสำหรับปี ๒๕๖๕ แต่เชื่อหรือไม่ว่าการตีความทางกฏหมายนั้นยังเป็นประเด็นที่หลายคนสับสนอยู่ วันนี้สิ่งที่เก็บนั้นเพียงพอครอบคลุมหรือยัง ดูแลพื้นที่การเก็บได้ดีแค่ไหน และเมื่อถึงเวลาเกิดเหตุไม่คาดฝันเราจะสามารถใช้ประโยชน์จากข้อมูล Log ได้จริงหรือไม่ นี่เป็นคำถามที่ท่านต้องตอบให้ได้ ซึ่งล่าสุดด้วยบริการใหม่จาก AIS Business ที่ชื่อว่า “Business-Log Management (B-Log)” ความท้าทายเหล่านี้จะง่ายขึ้นแล้วครับ

พ.ร.บ. คอมพิวเตอร์ ไม่รู้ไม่ได้!

ความผิดสำหรับบุคคล

กฏหมายระบุว่าหากผู้ที่มาใช้บริการแม้ว่าระบบของเราจะเป็นเพียงทางผ่านเพื่อกระทำสิ่งต่อไปนี้ท่านในฐานะผู้ให้บริการก็อาจถูกร้องขอข้อมูล Log ของท่านนั่นเอง

• พฤติกรรมที่สร้างความเดือดร้อนรำคาญ (สแปม) หรือปกปิดแหล่งที่มาเช่น การฝากร้านในโซเชียลมีเดีย การอีเมลขายของ หรือแม้กระทั่งการส่ง SMS ที่ผู้รับไม่ได้ยินยอม 
• พฤติกรรมการโพสต์ออนไลน์ เช่น โพสต์หมิ่นประมาท โพสต์ข้อมูลปลอมหรือบิดเบือน
• การเจาะระบบที่ทำลายระบบที่เกี่ยวข้องกับความมั่นคงของประเทศอย่างเช่นโครงสร้างสำคัญต่างๆ ไฟฟ้า ประปา เป็นต้น ซึ่งเป็นไปได้ว่าท่านอาจกลายเป็นฐานปฎิบัติการการโจมตีของผู้ไม่ประสงค์ดี
• การเผยแพร่ชุดคำสั่งที่สามารถนำไปใช้เพื่อสร้างความเสียหาย
• การเผยแพร่ข้อมูลที่ผิดกฏหมาย ลามกอนาจาร เป็นต้น

ดังนั้นการจัดเก็บข้อมูล Log เพื่อใช้อ้างอิงจึงมีความสำคัญเป็นอย่างมาก

ความผิดที่เกี่ยวข้องกับผู้ให้บริการ

กฏหมายเป็นสิ่งที่ผู้เกี่ยวข้องทุกคนต้องปฏิบัติตาม ซึ่งเป็นความรู้ที่เราไม่สามารถปฏิเสธได้เลยว่าไม่ทราบเพราะถือว่าเป็นหน้าที่ โดยหากพูดถึง พ.ร.บ. คอมพิวเตอร์เองก็ได้ถูกประกาศใช้มาตั้งแต่ปี ๒๕๕๐ แล้วถือเป็นเวลามากกว่าสิบปี จนกระทั่งปี ๒๕๖๐ จึงได้มีการปรับปรุงและแก้ไขให้กฏหมายมีความทันสมัยรองรับกับบริบททางเทคโนโลยีวิถีชีวิตที่เปลี่ยนไป ทั้งในเรื่องของโทษที่ครอบคลุม กรณีการกระทำความผิด และอำนาจของเจ้าหน้าที่ อย่างไรก็ดีสำหรับในมุมของผู้ให้บริการเองใจความสำคัญของ พ.ร.บ. ก็ไม่ได้เปลี่ยนไปมากนัก โดยเนื้อหาระบุว่า

“ผู้ให้บริการผู้ใดให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจให้มีการกระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามาตรา ๑๔”(จำคุกไม่เกิน ๕ ปี หรือ ปรับไม่เกิน ๑๐๐,๐๐๐ บาท หรือทั้งจำทั้งปรับ)  แต่ถ้าผู้ให้บริการพิสูจน์ได้ว่าตนได้ปฏิบัติตามประกาศที่ออกตามวรรคสองผู้นั้นไม่ต้องรับโทษ ซึ่งหลักฐานที่จะช่วยท่านได้ก็คือ Log นั่นเอง

อีกเรื่องคืออำนาจของเจ้าหน้าที่ภายใต้มาตราที่ ๑๘(๒) และ (๓) ระบุว่าเจ้าหน้าที่สามารถ “เรียกข้อมูลจราจรคอมพิวเตอร์จากผู้ให้บริการเกี่ยวกับการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์หรือจากบุคคลอื่นที่เกี่ยวข้อง สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา ๒๖ หรือที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการแก่เจ้าหน้าที่หรือให้เก็บข้อมูลไว้ก่อน” โดยทั้งหมดก็เพื่อประโยชน์ในการสืบสวนข้อมูล และจะต้องทำอย่างไม่ชักช้าซึ่งระบุชัดเจนว่าภายใน ๗ วันเมื่อถูกร้องขอหรือภายในระยะที่เจ้าหน้าที่กำหนดเหตุอันสมควร หากไม่ทำตามมาตรา ๒๖ มีโทษปรับไม่เกิน ๕๐๐,๐๐๐ บาท

โดยข้อมูลจราจรทางคอมพิวเตอร์ที่ผู้ให้บริการต้องปฏิบัติตามได้ถูกระบุระยะเวลาจัดเก็บไว้ตามาตราที่ ๒๖ ดังนี้ “ผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า๙๐ วันนับแต่วันที่ข้อมูลเข้าสู่ระบบ แต่กรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้เกิน ๙๐ วันแต่ไม่เกิน ๒ ปีเป็นกรณีพิเศษเฉพาะราย หรือเฉพาะคราวก็ได้”

เมื่อทราบอย่างนี้แล้ว สิ่งที่ผู้ให้บริการจะทำได้ก็มีเพียงเตรียมตัวให้พร้อมกับข้อมูลเมื่อเจ้าหน้าที่ร้องขอ ซึ่งดูเผินๆเหมือนไม่ยากนัก หากพิจารณาตาม พ.ร.บ. ๒๕๕๐ มาตรา ๓ ในเรื่องนิยามความหมายต่างๆ แต่เอาเข้าจริงแล้วเราต้องตีความสองส่วนคือ ใครคือผู้ให้บริการและในแต่ละผู้ให้บริการมีระบบไหนที่เกี่ยวข้องบ้าง นี่คือสิ่งสำคัญในการปฏิตนที่ AIS B-Log จะเข้ามาช่วยท่านได้ครับ

AIS Business Log Management โดย AIS Cyber Secure

ใจความสำคัญของการพัฒนาระบบเก็บ Log ก็คือเรื่องการตีความทางกฏหมายให้เข้ากับบริบทของท่านเอง ซึ่งด้วยประสบการณ์จากทีมงานของ AIS Cyber Secure จะช่วยให้ท่านประเมินได้ว่าอยู่ในเกณฑ์ใดและมีระบบอะไรที่ใช้อยู่บ้าง โดยหากพิจารณาตามเนื้อความของประกาศจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม(DE) ในปี ๒๕๖๔ ที่ขยายความเรื่องความหมายให้นำไปปฏิบัติได้จริง จะเห็นได้ว่าผู้ให้บริการแต่ละรายมีความเกี่ยวข้องกับ Log ต่างกันออกไป โดยแบ่งผู้ให้บริการเป็น 2 ประเภทหลักๆคือ

1.) ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ตหรือให้สามารถติดต่อถึงกันโดยประการอื่นไม่ว่าจะเป็นในนามของตนเองหรือบุคคลอื่น

• ผู้ประกอบกิจการโทรคมนาคมและกระจายภาพและเสียง เช่น AIS
• ผู้ให้บริการการเข้าถึงเครือข่ายคอมพิวเตอร์ เช่น โรงแรม ห้องพัก ร้านอาหาร องค์กร หน่วยงานราชการ สถาบันการศึกษา
• ผู้ให้บริการเช่าระบบคอมพิวเตอร์ เช่น Web Server/Hosting, File Server/Sharing, Email Service และ Internet Data Center 
• ผู้ให้บริการร้านอินเทอร์เน็ต
• ผู้ให้บริการโปรแกรมคอมพิวเตอร์ ปัญญาประดิษฐ์ แอปพลิเคชัน เช่น App Store, Google Play, Clubhouse หรือผู้ให้บริการอื่นที่มีให้บริการลักษณะทำนองนี้
• ผู้ให้บริการสื่อสังคมออนไลน์ เช่น Facebook, IG, YouTube, Line และผู้ให้บริการอื่นที่มีให้บริการลักษณะทำนองนี้

2.) ผู้ให้บริการในการเก็บรักษาข้อมูลเพื่อประโยชน์ของบุคคล

• ผู้ให้บริการข้อมูลผ่านแอปพลิเคชัน เช่น เว็บบอร์ด บล็อค ธุรกรรมทางอินเทอร์เน็ต เว็บเซอร์วิส อีคอมเมิรช์หรือธุรกรรมอิเล็กทรอนิกส์
• ผู้ให้บริการเก็บพักข้อมูลโดยมีระบบจัดการข้อมูลในอินเทอร์เน็ตหรือคลาว์ ซึ่งให้บริการตรงกับผู้ใช้ เช่น IaaS, PaaS, SaaS และ CDN
• ผู้ให้บริการดิจิทัลที่ใช้เครือข่ายคอมพิวเตอร์เป็นส่วนหนึ่งในการให้บริการเช่น ผู้ให้บริการทางการเงิน สุขภาพ ไลฟ์สไตล์ อสังหาริมทรัพย์ อาหารและการเกษตร ท่องเที่ยว อุตสาหรรม ประกันภัย การศึกษา เพลงศิลปะและสันทนาการ และบริการอื่นๆที่ใช้ระบบคอมพิวเตอร์ให้บริการทั้ง B2B B2C C2C G2C และอื่นๆ

ผู้ให้บริการเหล่านี้ต้องมีการเก็บข้อมูล Log ในจุดต่างๆกันเช่น USER ID, IP Address, Email Address ต้นทางปลายทาง วันเวลา เลขสายที่เข้ามา อย่างในกรณีของร้านอินเทอร์เน็ตต้องสามารถระบุตัวบุคคลที่เข้ามาใช้ เวลาในการเข้าและออก เลขไอพีได้เป็นต้น ซึ่งสิ่งเหล่านี้เป็นเรื่องที่ทุกธุรกิจต้องเข้าใจและประยุกต์ใช้อย่างเหมาะสม หากเป็นกรณีองค์กรขนาดใหญ่อาจมีการวางแผนไว้แล้วแต่องค์กรขนาดเล็กท่านสามารถเข้ามาปรึกษากับทีม AIS Cyber Secure เพื่อขอรับคำปรึกษาได้ครับว่าควรเก็บ Log จากที่ใดบ้าง

อีกเรื่องหนึ่งที่ AIS ให้ความสำคัญไม่แพ้กันก็คือประเด็นในเรื่องของข้อมูล Log ควรต้องเป็นประโยชน์ใช้สืบค้นหลักฐานได้จริงเมื่อเกิดเหตุ โดยกลไกภายใต้บริการนี้ก็คือโซลูชันจาก Blendata ที่จะช่วยให้ผู้ใช้งานสามารถค้นหาข้อมูล Log ได้อย่างรวดเร็ว ตรงตามความต้องการ ลืมไปได้เลยกับประสบการณ์แย่ๆที่การค้นหาข้อมูลช้าเสียจนท่านต้องล้มเลิกความตั้งใจ

AIS Business-Log Management ยังมีข้อดีอีกมากมายดังนี้

• การให้บริการเป็นรูปแบบจ่ายตามจริง ตามขนาดพื้นที่จัดเก็บ หรือปริมาณนำเข้าข้อมูล
• ค่าบริการสามารถจ่ายได้แบบรายเดือน นั่นหมายความว่าท่านสามารถทดลองใช้หรือวางแผนค่าใช้จ่ายได้ง่ายกว่าการลงทุนของตัวเอง ซึ่งมีราคาสูงทำให้ธุรกิจขนาดเล็กและกลางเข้าถึงยาก
• Log สามารถขยายตัวได้ง่ายเพราะโครงสร้างพื้นฐานอยู่บน AIS Cloud ดังนั้นจึงได้ข้อดีของคลาวด์มาเต็มๆ
• รองรับข้อมูล Log ที่เก็บจากทุกอุปกรณ์
• คอมไพล์กับ พ.ร.บ. คอมพิวเตอร์ซึ่งได้กำหนดให้ข้อมูล Log ที่เก็บต้องมีความน่าเชื่อถือ ป้องกันการถูกแก้ไขเปลี่ยนแปลงแม้แต่ผู้ดูแลระบบ ยกเว้นแค่ผู้เกี่ยวข้องเช่น เจ้าหน้าที่หรือผู้ตรวจสอบระบบสารสนเทศขององค์กร รวมถึงต้องมีมาตรการรักษาความมั่นคงปลอดภัยในการบริการจัดการ เทคนิคและ กายภาพ 
• รวมศูนย์การบริหารจัดการโดยท่านสามารถเข้าถึงข้อมูล Log ของท่านได้ผ่าน Self Service Portal เพื่อดูสรุปข้อมูลจาก Dashboard ถึงภาพรวมและสถานะของ Log รวมถึงค้นหาข้อมูลและนำข้อมูลออกในรูปแบบ CSV พร้อมทั้งสร้างรายงานสำหรับผู้บริหาร

สุดท้ายนี้ AIS Business Contact Center ยังช่วยให้ท่านสามารถอุ่นใจพร้อมรับเรื่องตลอดแบบ 24×7 เพื่อคำปรึกษากรณีความกังวลใจหรือจากปัญหาต่างๆ ไม่เพียงเท่านั้นทีมงานของ AIS ยังติดตามปัญหาที่เกิดขึ้นแบบ Proactive หากพบปัญหาที่เกี่ยวกับ Log ของท่านเช่น ไม่มีข้อมูลส่งเข้ามาในระบบ ซึ่งเรื่องเหล่านี้มักเกิดขึ้นได้จากหลายสาเหตุแต่หากไม่ได้ติดตามหลายท่านก็อาจพลาดไปได้

ติดต่อรับคำปรึกษาและบริการมืออาชีพในโซลูชัน Business Log Management และโซลูชันด้านความมั่นคงปลอดภัย ติดต่อทีมงาน AIS Business ได้ทันที

วันที่เผยแพร่ 28 พฤศจิกายน 2565