Ethics & Legal Issues for Health IT in Thailand's Context - Part 2

การปฏิบัติตามมาตรฐาน

การรักษาความมั่นคง

ปลอดภัยของระบบ

สารสนเทศ ของ

คณะกรรมการธุรกรรม

ทางอิเล็กทรอนิกส์

นพ.นวนรรน ธีระอัมพรพันธุ์ฝ่ายสารสนเทศ

คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี

13 กันยายน 2556

Confidentiality

• การรักษาความลับของข้อมูล

Integrity

• การรักษาความครบถ้วนและความถูกต้องของข้อมูล

• ปราศจากการเปลี่ยนแปลงแก้ไข ทําให้สูญหาย ทําให้เสียหาย หรือถูกทําลายโดยมิชอบ

Availability

• การรักษาสภาพพร้อมใช้งาน

หลักการของ Information Security

• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550– กําหนดการกระทําทีถ่ือเป็นความผิด และหน้าที่ของผู้ให้บริการ

• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544

• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์

– รับรองวิธีการส่งและรับข้อมูลอิเลก็ทรอนิกส ์การใช้ลายมือชื่ออิเล็กทรอนิกส ์(electronic signature) และการรับฟงัพยานหลักฐานที่เป็นข้อมูลอิเล็กทรอนิกส ์เพื่อส่งเสริมการทาํ e-transactions ให้น่าเชื่อถือ

– กําหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ์และอํานาจหน้าที่

กฎหมายด้านเทคโนโลยีสารสนเทศของไทย

• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ (มาตรา 7)

• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9)

• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทําตามวิธีการแบบปลอดภัยที่กําหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)

• คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชําระเงิน การประกาศ หรือการดําเนินการใดๆ ตามกฎหมายกับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทําในรูปของข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กําหนดโดย พรฎ.

• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)

ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนํากฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549

• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555

• กําหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูลอิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทนต้นฉบับได้

– เรื่อง หลักเกณฑ์และวิธีการในการจัดทาํหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส ์พ.ศ. 2553

• กําหนดหลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความที่ได้มีการจัดทําหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง

– เรื่อง แนวทางการจัดทาํแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส ์(Certificate Authority) พ.ศ. 2552

• ว่าด้วยการให้บริการออกใบรับรองอเิล็กทรอนิกส์ (Certificate)

กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง

ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553• กําหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง

อิเล็กทรอนิกส์ภาครัฐ

– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลสว่นบุคคลของหน่วยงานของรัฐ พ.ศ. 2553

• กําหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ


• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551

• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครองสําหรับผู้ประกอบธุรกิจให้บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554

• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552

• ประกาศ ธปท. ที่เกี่ยวข้อง


• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเลก็ทรอนิกส ์และหลักเกณฑ์การ

ประเมินระดับผลกระทบของธุรกรรมทางอิเลก็ทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555

• หลักเกณฑ์การประเมินเพื่อกําหนดระดับวิธีการแบบปลอดภัยขั้นต่ํา

– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555

• กําหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ


สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์• พรบ.ว่าด้วยธรุกรรมทางอิเล็กทรอนิกส์

• พรฎ.วา่ด้วยวธิกีารแบบปลอดภัยในการทํา

ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ

2 ฉบับ)

ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ

จัดทําหรือแปลงเอกสารและข้อความให้อยู่

ในรูปของข้อมูลอิเล็กทรอนิกส์

หน่วยงานของรัฐ

• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทาํธุรกรรม

ทางอิเล็กทรอนิกส์ภาครัฐ

• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ

รักษาความมัน่คงปลอดภัยด้านสารสนเทศของ

หน่วยงานของรัฐ

• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ

คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ

• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

• สํานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สํานักงานปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

• สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ.– Electronic Transactions Development Agency (Public

Organization) - ETDA

หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์– “ธุรกรรมทางอิเล็กทรอนิกสใ์ดที่ได้กระทาํตามวิธีการแบบปลอดภัยที่

กําหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการทีเ่ชื่อถือได้

• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)

– จําแนกตามประเภทของธุรกรรมทางอิเลก็ทรอนิกส ์(ธุรกรรมที่มีผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสําคญัของประเทศ หรือ Critical Infrastructure)

“วิธีการแบบปลอดภัย”

ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้

• ด้านการชําระเงินทางอิเล็กทรอนิกส์

• ด้านการเงินของธนาคารพาณิชย์

• ด้านประกันภัย

• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์

• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูลสาธารณะ

• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา

วิธีการแบบปลอดภัยในระดับเคร่งครัด

ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)

• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน– ต่ํา: ≤ 1 ล้านบาท

– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท

– สูง: > 100 ล้านบาท

ระดับผลกระทบกบัวธิีการแบบปลอดภัย


• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามัย– ต่ํา: ไม่มี

– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน

– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน



• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความเสียหายอื่นใด– ต่ํา: ≤ 10,000 คน

– ปานกลาง: 10,000 < จํานวนผู้ได้รับผลกระทบ ≤ 100,000 คน

– สูง: > 100,000 คน

• ผลกระทบด้านความมั่นคงของรัฐ– ต่ํา: ไม่มีผลกระทบต่อความมั่นคงของรัฐ

– สูง: มีผลกระทบต่อความมั่นคงของรัฐ


• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์

• พิจารณาตามระดับผลกระทบ– ถ้ามีผลประเมินทีเ่ป็นผลกระทบในระดับสงู 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย

ระดับเคร่งครัด

– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง

– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน

สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย

• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements

• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556

• ไม่มีบทกําหนดโทษ เป็นเพียงมาตรฐานสําหรับ “วิธีการที่เชื่อถือได้” ในการพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทางอิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้ําหนักการนําข้อมูลอิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการดําเนินการทางกฎหมาย

• คณะกรรมการธรุกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่รายชื่อหน่วยงานที่มีการจัดทํานโยบายและแนวปฏิบัติโดยสอดคล้องกับวิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้

ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย

• แบ่งเป็น 11 หมวด (Domains)– Security policy

– Organization of information security

– Asset management

– Human resources security

– Physical and environmental security

– Communications and operations management

– Access control

– Information systems acquisition, development and maintenance

– Information security incident management

– Business continuity management

– Regulatory compliance

มาตรฐาน Security ตามวิธีการแบบปลอดภัย

มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ

หมวด (Domain) ระดับพืน้ฐาน ระดับกลาง

(เพิ่มเติมจากระดบัพืน้ฐาน)

ระดับสงู

(เพิ่มเติมจากระดบักลาง)

Security policy 1 ข้อ 1 ข้อ -

Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ

Asset management 1 ข้อ 4 ข้อ -

Human resources security 6 ข้อ 1 ข้อ 2 ข้อ

Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ

Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ

Access control 9 ข้อ 8 ข้อ 8 ข้อ

Information systems acquisition,

development and maintenance

2 ข้อ 6 ข้อ 8 ข้อ

Information security incident management 1 ข้อ - 3 ข้อ

Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ

Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ

รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551

• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554

• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย พ.ศ. 2556

ระเบียบต่างๆ ของรามาธิบดี ด้าน Information Security

• ภัยคุกคามด้านความปลอดภัยสารสนเทศ เพิ่มขึ้นมากในปัจจุบัน

• มีการกําหนดมาตรฐานด้านความปลอดภัยขององค์กรในกฎหมาย IT ของไทย

• โรงพยาบาลต่างๆ จําเป็นจะต้องปฏิบัติตามมาตรฐานดังกล่าวและกฎหมายที่เกี่ยวข้อง โดยมีทั้งเรื่องการดําเนินการทางนโยบาย และการดําเนินการในทางปฏิบัติ

สรุป

• รับทราบและเห็นความสําคัญถึงความจําเป็นในการปฏิบัติตามมาตรฐานด้านความปลอดภัยสารสนเทศ

• ตระหนักว่า การขับเคลื่อนเรื่องมาตรฐานความปลอดภัยสารสนเทศ เป็นความรับผิดชอบของผู้บริหารและบุคลากรทุกคน

• เห็นชอบให้ CIO เป็นผู้ดําเนินการเรื่องมาตรฐานด้านความปลอดภัยสารสนเทศ โดยให้ประสานงานกับผู้บริหารและหน่วยงานที่เกี่ยวข้อง โดยขอให้ทุกหน่วยงานให้ความร่วมมือในการดําเนินการอย่างเต็มที่ เพื่อให้เป็นไปตามมาตรฐาน

ข้อเสนอเชิงนโยบายสําหรับผู้บริหารหน่วยงาน

Ethics & Legal Issues for Health IT in Thailand's Context - Part 2

Health & Medicine

Transcript of Ethics & Legal Issues for Health IT in Thailand's Context - Part 2