ปัจจุบันเกิดกิจกรรมทางดิจิทัลเพิ่มขึ้นอย่างมาก ข้อมูลสำคัญจำนวนมหาศาลก็ถูกจัดเก็บอยู่บนคลาวด์ ระบบคลาวด์จึงกลายเป็นโครงสร้างพื้นฐานที่สำคัญสำหรับองค์กรทั้งภาครัฐและเอกชน โดยเฉพาะนโยบาย “Cloud First” ของรัฐบาลไทยที่ประกาศเมื่อกันยายน 2566 ได้สร้างแรงผลักดันให้หน่วยงานภาครัฐมุ่งสู่การใช้คลาวด์เป็นทางเลือกหลักในการพัฒนาโครงสร้างพื้นฐานดิจิทัล ในขณะเดียวกัน ความท้าทายด้านความปลอดภัยของข้อมูลและการปฏิบัติตามกฎระเบียบต่าง ๆ ก็เพิ่มขึ้นตามไปด้วย ด้วยเหตุนี้ มาตรฐานความปลอดภัยระดับสากลและกรอบกฎหมายที่เกี่ยวข้องจึงมีบทบาทสำคัญในการสร้างความเชื่อมั่นให้กับการใช้คลาวด์ โดยหน่วยงานภาครัฐต่างมีนโยบาย และสร้างมาตรฐานความปลอดภัยของการจัดเก็บข้อมูลบนคลาวด์ ที่ตอบโจทย์เรื่อง Data Residency และ Data Sovereignty ที่มีความปลอดภัยและการปกป้องข้อมูลเป็นไปตามข้อกำหนดด้านการจัดเก็บข้อมูลของประเทศไทย

ในบทความนี้จะพาทุกท่านไปทำความรู้จักกับกฎหมายและมาตรฐานหลักที่กำกับดูแลความปลอดภัยของข้อมูล บนระบบคลาวด์ เพื่อให้เกิดความมั่นใจในการใช้งานให้สอดรับกับนโยบายอย่างเต็มรูปแบบ

นโยบาย Cloud First กับความก้าวหน้าในการขับเคลื่อนของภาครัฐบาลไทย

รัฐบาลไทยได้ประกาศนโยบาย “Cloud First” อย่างเป็นทางการในการแถลงนโยบายต่อรัฐสภาเมื่อวันที่ 11 กันยายน 2566 โดยมุ่งหมายให้หน่วยงานภาครัฐใช้ระบบคลาวด์เป็นทางเลือกหลักในการพัฒนาโครงสร้างพื้นฐานดิจิทัล นโยบายนี้เป็นการผลักดันให้ภาครัฐก้าวสู่การเป็นรัฐบาลดิจิทัลเต็มรูปแบบ พร้อมยกระดับบริการประชาชนและการบริหารงานภายในให้มีประสิทธิภาพมากขึ้น

โดยเมื่อวันที่ 22 ตุลาคม 2567 นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เปิดเผยหลังการประชุมคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (บอร์ดดีอี) ครั้งที่ 3/2567 ว่าได้มีความคืบหน้าในการขับเคลื่อนนโยบาย Cloud First อย่างเป็นรูปธรรม โดยเฉพาะแนวทางการดำเนินการใช้งานเอกสารอิเล็กทรอนิกส์ในระบบ e-Office ภายใต้บริการคลาวด์กลางภาครัฐ (Government Data Center and Cloud Service: GDCC) ซึ่งได้ตั้งเป้าหมายให้มีผู้ใช้งานระบบเพิ่มขึ้นเป็น 3 ล้านคนภายในปี 2570

การขับเคลื่อนนโยบายดังกล่าวมีความก้าวหน้าอย่างชัดเจน โดยคณะกรรมการเฉพาะด้านการขับเคลื่อนตามนโยบาย Cloud First Policy อีกทั้งยังได้เห็นชอบในหลักการกรอบแนวทางการบริหารจัดการระบบคลาวด์ภาครัฐอีกด้วย โดยสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ DGA ได้รับมอบหมายให้เป็นหน่วยงานหลักในการขับเคลื่อนนโยบายนี้ ซึ่งขณะนี้อยู่ระหว่างการจัดทำมาตรฐานและแนวปฏิบัติให้หน่วยงานภาครัฐนำไปดำเนินการ

กฎหมายและมาตรฐานหลักที่กำกับดูแลความปลอดภัยระบบคลาวด์ภาครัฐ

การยกระดับความปลอดภัยของข้อมูลในระบบคลาวด์ภาครัฐจำเป็นต้องอาศัยกรอบกฎหมายและมาตรฐานที่ชัดเจน ประเทศไทยได้พัฒนากลไกการกำกับดูแลที่ครอบคลุมหลายมิติ ทั้งการคุ้มครองข้อมูลส่วนบุคคล การรักษาความมั่นคงปลอดภัยไซเบอร์ และแนวทางการใช้บริการคลาวด์โดยเฉพาะ เพื่อสร้างความเชื่อมั่นให้กับทั้งหน่วยงานภาครัฐและประชาชน โดยมีกฎหมายและมาตรฐานที่เกี่ยวข้องดังต่อไปนี้

1.พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กรอบกฎหมายพื้นฐานเพื่อคลาวด์ที่ปลอดภัย

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีบทบาทสำคัญในการกำหนดกรอบการจัดการข้อมูลส่วนบุคคลบนคลาวด์ โดยได้กำหนดให้หน่วยงานรัฐในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ครอบคลุมทั้งมาตรการเชิงองค์กรและเชิงเทคนิค เพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

ประเด็นสำคัญที่ภาคธุรกิจต้องตระหนักคือ PDPA ยังกำหนดความรับผิดชอบร่วมกันระหว่างผู้ควบคุมข้อมูล (หน่วยงานรัฐ) และผู้ประมวลผลข้อมูล (ผู้ให้บริการคลาวด์) ในการปกป้องข้อมูลส่วนบุคคล นอกจากนี้ ยังมีข้อจำกัดในการถ่ายโอนข้อมูลออกนอกประเทศ ซึ่งมีผลต่อการเลือกใช้ผู้ให้บริการคลาวด์ที่ต้องมีที่ตั้งของศูนย์ข้อมูลอยู่ในประเทศไทย

2.มาตรฐานคลาวด์จาก ETDA แนวทางความปลอดภัยระดับชาติสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้วางรากฐานสำคัญในการสร้างความเชื่อมั่นให้กับการใช้บริการคลาวด์ โดยได้ออก “ประกาศแนวทางการใช้บริการคลาวด์ พ.ศ. 2562” ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 12 มิถุนายน 2562 เป็นต้นมา

แม้ว่าแนวทางนี้จะมีสถานะเป็นเพียงมาตรฐานแนะนำที่ไม่มีบทลงโทษโดยตรง แต่ด้วยความครอบคลุมในมิติต่าง  ๆ ทำให้หน่วยงานภาครัฐส่วนใหญ่ได้นำไปยึดถือเป็นมาตรฐานขั้นต่ำในการพิจารณาเลือกใช้บริการคลาวด์

แนวทางดังกล่าวได้กำหนดปัจจัยสำคัญที่หน่วยงานควรพิจารณาอย่างรอบด้าน ทั้งการจัดทำนโยบายและแนวปฏิบัติภายในองค์กรเกี่ยวกับการใช้คลาวด์ การพิจารณาประสิทธิภาพและข้อตกลงระดับการให้บริการ (SLA) ที่ครอบคลุมความพร้อมใช้งาน ความรวดเร็วในการตอบสนอง และความสามารถในการขยายตัวของระบบ

นอกจากนี้ แนวทางดังกล่าวยังได้ให้ความสำคัญกับความน่าเชื่อถือของระบบ กระบวนการพิสูจน์ตัวตน การเข้ารหัสข้อมูล และการจัดการเหตุการณ์ด้านความปลอดภัย รวมถึงการตรวจสอบและบันทึกกิจกรรมในระบบ และยังครอบคลุมถึงการจัดการข้อมูลบนคลาวด์ ตั้งแต่การจัดประเภทข้อมูล การสำรองและกู้คืน การบริหารวงจรชีวิตของข้อมูล ไปจนถึงการถ่ายโอนข้อมูลอย่างปลอดภัย พร้อมกันนี้ แนวทางดังกล่าวยังเน้นย้ำถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตามหลักสากล ซึ่งเป็นการวางรากฐานสำคัญให้กับการใช้บริการคลาวด์ของหน่วยงานภาครัฐไทยอย่างมั่นคงปลอดภัยและสอดคล้องกับนโยบาย Cloud First ของรัฐบาล

3. มาตรฐานความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์ หลักประกันคุณภาพระดับชาติ

การยกระดับความปลอดภัยของข้อมูลในยุคดิจิทัลมีความสำคัญอย่างยิ่งต่อหน่วยงานภาครัฐ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. หรือ NCSA) จึงได้ประกาศ “มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์ พ.ศ. 2567” เมื่อเดือนกันยายน 2567 ซึ่งนับเป็นก้าวสำคัญในการคุ้มครองข้อมูลสำคัญของประเทศ

มาตรฐานใหม่นี้ถูกออกแบบเพื่อลดความเสี่ยงจากภัยคุกคามไซเบอร์ที่มีต่อการใช้บริการคลาวด์สาธารณะ (Public Cloud) ในหน่วยงานรัฐ หน่วยงานกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญ โดยวางอยู่บนหลักความรับผิดชอบร่วมกัน (Shared Responsibility) ระหว่างผู้ให้บริการคลาวด์ (CSP) และผู้ใช้บริการคลาวด์ (CSC) ซึ่งมีข้อกำหนดหลักที่สำคัญ ที่จะช่วยสร้างความมั่นใจในความปลอดภัยของข้อมูล คือ

• ศูนย์ข้อมูลต้องอยู่ในประเทศไทย (Data Localization) ผู้ให้บริการคลาวด์ต้องมีศูนย์ข้อมูลหลักในประเทศไทย เพื่อให้มั่นใจว่าข้อมูลสำคัญจะถูกรักษาและอยู่ภายใต้การคุ้มครองดูแลของรัฐบาล
• ศูนย์ข้อมูลสำรองในพื้นที่ใกล้เคียง ต้องมีศูนย์ข้อมูลสำรองในประเทศไทยหรือในภูมิภาคเอเชียตะวันออกเฉียงใต้ที่ใกล้กับการใช้งานหลัก เพื่อรองรับการกู้คืนระบบในกรณีฉุกเฉิน
• มาตรการด้าน Cloud Security Governance กำหนดให้มีนโยบายและโครงสร้างองค์กรด้านความปลอดภัยที่ชัดเจน
• มาตรการด้าน Cloud Infrastructure Security & Operation ครอบคลุมการควบคุมด้านบุคลากร สินทรัพย์ การบริหารสิทธิ์เข้าถึง การเข้ารหัสข้อมูล ความปลอดภัยทางกายภาพ และการดำเนินงานด้านเครือข่าย

มาตรฐานนี้ยังได้แบ่งระดับความเข้มข้นของการรักษาความปลอดภัยตามระดับความเสี่ยงออกเป็น 3 ระดับ (ต่ำ กลาง และสูง) พร้อมกำหนดกรอบการตรวจรับรองที่เหมาะสมสำหรับแต่ละระดับ ตั้งแต่การประเมินตนเอง การตรวจรับรองโดยหน่วยงานกำกับดูแล ไปจนถึงการรับรองโดย Certify Body ที่ได้มาตรฐาน เช่น ISO IEC เป็นต้น

โอกาสและการปรับตัวสำหรับองค์กรในยุคใหม่

มาตรฐานและระเบียบด้านความปลอดภัยคลาวด์ที่กล่าวมาข้างต้นไม่เพียงสร้างกรอบการทำงานที่ชัดเจนให้กับหน่วยงานภาครัฐ แต่ยังเปิดโอกาสให้ภาคธุรกิจได้ยกระดับการจัดการข้อมูลดิจิทัลอย่างเป็นระบบ การทำความเข้าใจและปรับตัวให้ทันกับมาตรฐานเหล่านี้จะช่วยเสริมความแข็งแกร่งและสร้างความได้เปรียบให้กับองค์กรในยุคดิจิทัล ดังนี้

1. การเตรียมความพร้อมสำหรับการทำธุรกิจกับภาครัฐ องค์กรที่ต้องการเป็นคู่ค้ากับหน่วยงานรัฐหรือเชื่อมโยงข้อมูลกับภาครัฐจำเป็นต้องปรับกระบวนการภายในให้สอดคล้องกับมาตรฐานความปลอดภัยใหม่ เช่น การปรับปรุงนโยบายความปลอดภัยข้อมูล การจัดเก็บข้อมูลในประเทศ และการตรวจสอบคุณสมบัติของผู้ให้บริการคลาวด์ที่ใช้อยู่ในปัจจุบัน
2. การลงทุนอย่างชาญฉลาด มาตรฐานใหม่นี้อาจส่งผลให้ต้นทุนด้านการบริหารคลาวด์เพิ่มสูงขึ้น อย่างไรก็ตาม การลงทุนดังกล่าวถือเป็นการลงทุนระยะยาวเพื่อสร้างความแข็งแกร่งและน่าเชื่อถือให้องค์กร ทั้งนี้เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการละเมิดข้อมูลที่สามารถส่งผลกระทบทางการเงินและชื่อเสียงที่มากกว่าหลายเท่า
3. การจัดระดับความสำคัญของข้อมูลเพื่อให้ได้รับการปกป้องที่เหมาะสม องค์กรต้องเรียนรู้เกณฑ์การจัดระดับความสำคัญของข้อมูลตามมาตรฐานใหม่ และกำหนดมาตรการป้องกันที่เหมาะสมกับแต่ละระดับ ซึ่งอาจรวมถึงการวิเคราะห์และจัดประเภทข้อมูลที่มีอยู่ การกำหนดนโยบายการเข้าถึง และการพัฒนาแผนเผชิญเหตุละเมิดข้อมูลในรูปแบบต่าง  ๆ
4. การสร้างความเชื่อมั่นและความได้เปรียบทางธุรกิจ มาตรฐานที่เข้มงวดขึ้นเปิดโอกาสให้องค์กรได้ทบทวนและปรับปรุงระบบการจัดการข้อมูลและความปลอดภัยไซเบอร์ให้แข็งแกร่งขึ้น ซึ่งไม่เพียงช่วยในการปฏิบัติตามกฎระเบียบ แต่ยังเพิ่มความน่าเชื่อถือในสายตาของลูกค้า พันธมิตร และผู้มีส่วนได้ส่วนเสียอีกด้วย

การเลือกพันธมิตรคลาวด์ที่เหมาะสมกับยุคมาตรฐานใหม่

ในสภาพแวดล้อมที่มีข้อกำหนดและมาตรฐานที่ซับซ้อนเช่นนี้ การเลือกพันธมิตรผู้ให้บริการคลาวด์ที่เหมาะสม ตระหนักถึงความสำคัญของการก้าวให้ทันต่อนโยบาย และมาตรฐานใหม่เหล่านี้ จะเป็นกุญแจสำคัญสู่ความสำเร็จ ผู้ให้บริการคลาวด์ที่มีวิสัยทัศน์ที่กว้างไกล และมีความเชี่ยวชาญในการรับมือกับภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอจะช่วยลดความซับซ้อนให้องค์กร การที่ผู้ให้บริการคลาวด์มีศูนย์ข้อมูลที่ได้มาตรฐานระดับโลกซึ่งตั้งอยู่ในประเทศไทย จะช่วยตอบโจทย์ข้อกำหนดด้านการจัดเก็บข้อมูลในประเทศอย่างเต็มรูปแบบ เพื่อให้มั่นใจว่าบริการคลาวด์จะยังคงล้ำหน้าและสอดคล้องกับข้อกำหนดในประเทศ

สรุป

จากการประกาศนโยบาย Cloud First พร้อมมาตรฐานความปลอดภัยใหม่ของภาครัฐไทยเป็นจุดเปลี่ยนสำคัญในวงการคลาวด์ของประเทศ แม้จะสร้างความท้าทายให้กับทุกภาคส่วน แต่ในระยะยาวจะช่วยยกระดับการดำเนินงานทั้งภาครัฐและเอกชน เป็นพลังขับเคลื่อนประเทศไทยในการ “เติบโต” ในโลกดิจิทัลอย่างยั่งยืน บนรากฐานแนวคิด “อธิปไตยทางดิจิทัล”

วันที่เผยแพร่ 25 มิถุนายน 2568

แหล่งอ้างอิง

• Cloud first policy เดินหน้าต่อเนื่อง มอบ DGA เป็นผู้บริหารจัดการการบริการคลาวด์ภาครัฐผลักดันหน่วยงานรัฐเดินหน้าใช้งาน Cloud เต็มรูปแบบ, From: https://www.dga.or.th/document-sharing/dga-news/113585/
• บอร์ดดีอี' รับทราบขับเคลื่อนนโยบาย Cloud First Policy ยกระดับความมั่นคงปลอดภัยข้อมูลคนไทย เดินหน้า 'รัฐบาลดิจิทัล', From: https://voicetv.co.th/read/QDxVfSEf2
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565, From: https://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0028.PDF
• ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567, From: https://ratchakitcha.soc.go.th/documents/43184.pdf
• Dhiraphol Suwanprateep. Thailand: New Cloud Guideline, From: https://www.globalcompliancenews.com/author/dhiraphol-suwanprateep/
• ราชกิจจาฯ ประกาศมาตรฐานด้านความมั่นคงปลอดภัยด้าน ‘Cloud’ พ.ศ. 2567 ออกแล้ว!, From: https://www.techtalkthai.com/ratchakitcha-cloud-cybersec-standard-for-thailand-2567-released/
• ร่างมาตรฐานสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)13 ว่าด้วยแนวทางการใช้คลาวด์ตามนโยบายการใช้คลาวด์เป็นหลัก, From: https://standard.dga.or.th/wp-content/uploads/2025/02/Draft_PRD_Government-Cloud-Usage-Guidelines-v.01.pdf