กมธ.ดีอีเอส สภาฯ ห่วงระบบไอที สธ.อ่อนแอ หวั่นปชช.ถูกละเมิดสิทธิ ด้าน สธ.ยอมรับจุดอ่อน ด้านการดูแลข้อมูล เผยข้อมูลคนไข้โควิด-19 ยังไร้คนดูแล หวั่งเลิก พ.ร.ก.ฉุกเฉิน ไม่มีหน่วยงานรับช่วงต่อ
เมื่อวันที่ 16 กันยายน คณะกรรมาธิการการสื่อสารโทรคมนาคมและดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) สภาผู้แทนราษฎร ที่มี น.ส.กัลยา รุ่งวิจิตรชัย ส.ส. สระบุรี พรรคพลังประชารัฐ เป็นประธานกมธ.ฯ ได้นัดประชุมเพื่อพิจารณา เรื่อง กรณีภัยคุกตามทางไซเบอร์ โดยการละเมิดข้อมูลส่วนบุคคลของโรงพยาบาลในระบบสาธารณสุข โดยเชิญตัวแทนของหน่วยงานที่เกี่ยวข้องเข้าชี้แจง
โดยนายอนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศ และการสื่อสาร กระทรวงสาธารณสุข ชี้แจง โดยยอมรับว่าการกำกับและดูแลจะมีกฎหมายเพื่อกำกับดูแลโรงพยาบาลเอกชน อย่างไรก็ดียังมีความกังวล ต่อกรณีดิจิตอล เฮลท์ ที่ไม่มีกฎหมายกำกับ ดังนั้นแนวทางดูแลเบื้องต้นคือ ให้หน่วยงานที่เกี่ยวข้องดูแล หรือให้กลุ่มเฮลท์แทคขึ้นทะเบียน ทั้งนี้ระบบข้อมูลเกี่ยวกับการรักษาโควิด ไม่มีกฎหมายรองรับ และในสถานการณ์โควิด-19 ทำให้มีระบบข้อมูลที่อยู่นอกสถานพยาบาล หากยกเลิกการประกาศใช้ พระราชกำหนด (พ.ร.ก.) บริหารราชการในสถานการณ์ฉุกเฉิน อาจทำให้ไม่มีหน่วยงานใดรับผิดชอบ ทั้งนี้หน่วยงานของสาธารณสุขไม่มีหน่วยงานใดรองรับเรื่องดังกล่าวเช่นกัน
“ยอมรับว่ากระทรวงสาธารณสุขไม่มีงบประมาณเพื่อพัฒนาระบบข้อมูลให้มีความทันสมัย ซึ่งระบบบิ๊กดาต้าที่มีอยู่เป็นระบบที่มาจากมรดกตกทอด ทั้งนี้กระทรวงได้กำหนดนโยบาย ให้มีการเปลี่ยนผ่านระบบ โดยเริ่มจากหน่วยงานภายในระบบสาธารณสุขก่อน การทำสิ่งเหล่านี้ได้ต้องใช้งบประมาณมากถึง 2.2หมื่นล้านบาท โดยโรงพยาบาลดูแลเองตามเกณฑ์มาตรฐาน หากใช้ระบบคลาวด์ จะใช้งบ 1.1หมื่นล้านบาท” นายอนันต์ กล่าว
ขณะที่นาภุชพงค์ โนดไธสง รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ฐานะเลขาธิการคุ้มครองข้อมูลส่วนบุคคล ชี้แจงด้วยว่า ตนเชื่อว่าข้อมูลของผู้ป่วยโควิด-19 แม้อนาคตจะยกเลิก ศบค. แล้ว จะทำให้กลับมาใช้ฐานกฎหมาย เช่น พ.ร.บ.ควบคุมโรค หรือกฎหมายที่เกี่วข้อง รวมถึงหน่วยงานสามารถออกแบบประกาศให้หน่วยงานสามารถออกแบบการจัดเก็บหรือมีอำนาจการจัดเก็บได้
ส่วน พ.ต.อ.ณัทกฤช พรหมจันทร์ เจ้าหน้าที่สำนักงานคระกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ยอมรับว่าข้อมูลที่ถูกดึงออกไปจากระบบ ซึ่งเป็นข้อมูลคนไข้ แต่ไม่ใช่ข้อมูลการรักษาผู้ป่วย ซึ่งโรงพยาบาลทำขึ้นเพื่ออำนวยความสะดวกภายใน แต่ยอมรับว่าสร้างผลกระทบ อย่างไรก็ดีระบบของโรงพยาบาลต่างๆ ยังมีความอ่อนแอ โดย สกมช.เตรียมเข้าไปช่วยเหลือ โดยตรวจสอบระบบที่อ่อนแอ เป็นจุดอ่อนและหาทางป้องกัน
“กับข้อมูลที่ถูกดึงออกไป สกมช. พยายามติดต่อคนร้ายเพื่อล่อซื้อมีข้อมูล แต่ขณะนี้ไม่สามารถตรวจสอบได้ว่าใครเป็นเจ้าของระบบ และอนาคตอาจมีกรณีที่ควบคุมไมไ่ด้ เพราะประชาชนหรือเพจต่างๆ สามารถเข้าถึงได้ด้วยตนเอง หรือ ระดมเป็นนักสืบเพื่อหาข้อทูลและอาจถูกโจมตีเป็นประเด็นได้เรื่อย” พ.ต.อ.ณัทกฤช กล่าว
ผู้สื่อข่าวรายงานว่าในการตั้งคำถามและเสนอแนวทางต่อเจ้าหน้าที่ ได้สะท้อนความกังวลว่า การแฮกข้อมูลอาจจะเกิดขึ้นซ้ำอีก เพราะระบบป้องกันของแต่ละโรงพยาบาลยังมีจุดอ่อน หากไม่สามารถสร้างกลไกปกป้องได้ อีกทั้งการตรวจสอบเพื่อหาบุคคลที่ขโมยข้อมูลของโรงพยาบาล ที่ไม่สามารถชี้ชัดได้ว่าเป็นบุคคลภายนอก หรือบุคคลภายในที่ดึงข้อมูลของโรงพยาบาลออกมา จึงกังวลต่อการสร้างความปลอดภัยในระบบสารสนเทศให้กับประชาชน ที่อาจถูกหลอกหลวงจากกลุ่มมิจฉาชีพ โดยอ้างตัวตนว่าเป็นบุคลากรของโรงพยาบาลได้ แม้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแต่เชื่อว่าอาจไม่ได้รับความคุ้มครองทั่วถึงต่อความเสียหาย ที่เกิดขึ้นกับประชาชน และการถูกละเมิดสิทธิได้
โดย พ.อ.เศรษฐพงค์ มะลิสุวรรณ รองประธานกมธ. ดีอีเอส ให้ความเห็นด้วยว่า เรื่องนี้ยังไม่จบ และยังต้องพัฒนาตามวงรอบ สำหรับประเทศไทยให้ความสำคัญกับการสร้างระบบป้องกันน้อยมา ทั้งนี้การวางระบบไอที ควรทำระบบป้องกันและความปลอดภัยไซเบอร์ ด้วย โดยเฉพาะข้อมูลด้านระบบสาธารณสุข เพราะมีข้อมูลที่ละเอียดอ่อน นอกจากนั้นแล้ว ฝ่ายนิติบัญญัติต้องคำนึงถึงการจัดงบประมาณต่อการสร้างระบบป้องกันข้อมูล ไม่ใช่แค่สร้างระบบแล้วจบ โดยขาดการป้องกันที่ดี.
