Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
1
หลักการจัดความมั่นคง
ปลอดภัยของ
ระบบเทคโนโลยี
สารสนเทศ (Part 2)
นพ.นวนรรน ธีระอัมพรพันธุ์
9 ก.ค. 2558
http://www.slidesh...
2
Outline
ตอนที่ 1 (สัปดาห์ที่แล้ว)
• ทาไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวป...
3
กฎหมายด้าน Security
4
Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความ
ถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแป...
5
• พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.
2550
– กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ
• ...
6
• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล...
7
• พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในก...
8
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทา
ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคง
ปลอดภ...
9
• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
– “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบ
ปลอดภัยที่กาหนด...
10
ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชาระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภั...
11
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบ
เทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็น
แนวทางในการประเมิ...
12
• แบ่งเป็น 11 หมวด (Domains)
– Security policy
– Organization of information security
– Asset management
– Human resour...
13
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-
Related Crimes)...
14
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์
• มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการ
ป้องกันการเข้าถึงโดยเฉพา...
15
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป...
16
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 10 การกระทาโดยมิชอบ เพื่อให้การทางานของระบบคอมพิวเตอร์...
17
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 14
(1) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปล...
18
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุน
หรือยินยอมให...
19
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 2 พนักงานเจ้าหน้าที่
• มาตรา 18 อานาจของพนักงานเจ้าหน้าที...
20
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 19-21 การยื่นคาร้องต่อศาลของพนักงานเจ้าหน้าที่
เกี่ยวก...
21
กฎหมายด้าน Privacy
22
หลักจริยธรรมที่เกี่ยวกับ Privacy
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์...
23
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to th...
24
กฎหมายที่เกี่ยวข้องกับ Privacy
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน
บุคคล ...
25
ประมวลกฎหมายอาญา
• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น
เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที...
26
คาประกาศสิทธิผู้ป่วย
• เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอั...
27http://www.prasong.com/สื่อสารมวลชน/แพยสภาสอบจริยธรรมหมอต/
Social Media Case Study
28
ข้อความจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ
... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ
ที่... ตอนนี้ ...
29
แนวทางการคุ้มครอง Privacy ของข้อมูลผู้ป่วย
• นอกเหนือจากมาตรการด้าน Security
– Informed Consent เกี่ยวกับแนวทางการเก็บบ...
30
เหตุผลที่ต้องสร้างความตระหนัก + สอนผู้ใช้งาน เรื่อง Security
http://c2.likes-media.com/img/c88376b3e79ac46a289879d2178e...
31
Facebook Privacy Settings
32
Facebook Privacy Settings
33
• กฎหมายสาคัญที่เป็นกรอบในการกาหนดแนว
ทางการใช้เทคโนโลยีสารสนเทศ คือ พรบ.ว่าด้วย
การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ....
34
สรุป
• Privacy และ Security เป็นสอง concepts ที่
มีความสาคัญสาหรับบุคลากรทางการแพทย์ที่
ดูแลผู้ป่วย และจาเป็นจะต้องให้ค...
Prochain SlideShare
Chargement dans…5
×

Introduction to Security & Privacy - Part 2 (Suan Dusit, July 9, 2015)

373 vues

Publié le

Introduction to Security & Privacy - Part 2 (Suan Dusit, July 9, 2015)

Publié dans : Droit
  • Soyez le premier à commenter

Introduction to Security & Privacy - Part 2 (Suan Dusit, July 9, 2015)

  1. 1. 1 หลักการจัดความมั่นคง ปลอดภัยของ ระบบเทคโนโลยี สารสนเทศ (Part 2) นพ.นวนรรน ธีระอัมพรพันธุ์ 9 ก.ค. 2558 http://www.slideshare.net/nawanan
  2. 2. 2 Outline ตอนที่ 1 (สัปดาห์ที่แล้ว) • ทาไมเราต้องแคร์เรื่อง Security & Privacy? • Security/Privacy กับข้อมูลผู้ป่วย • แนวปฏิบัติด้าน Security ของระบบ ตอนที่ 2 (สัปดาห์นี้) • กฎหมายด้าน Security/Privacy • การใช้ Social Media ด้านสุขภาพ
  3. 3. 3 กฎหมายด้าน Security
  4. 4. 4 Confidentiality • การรักษาความลับของข้อมูล Integrity • การรักษาความครบถ้วนและความ ถูกต้องของข้อมูล • ปราศจากการเปลี่ยนแปลงแก้ไข ทา ให้สูญหาย ทาให้เสียหาย หรือถูก ทาลายโดยมิชอบ Availability • การรักษาสภาพพร้อมใช้งาน หลักการของ Information Security
  5. 5. 5 • พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 – รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ – รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ อิเล็กทรอนิกส์ (electronic signature) และการรับฟัง พยานหลักฐานที่เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e- transactions ให้น่าเชื่อถือ – กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และ อานาจหน้าที่ กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
  6. 6. 6 • ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล อิเล็กทรอนิกส์ (มาตรา 7) • ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้ วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9) • ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่ กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25) • คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ. • ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35) ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  7. 7. 7 • พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม ทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา ความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 • กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มี การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 • กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มี การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  8. 8. 8 • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทา ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 – ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคง ปลอดภัยของระบบสารสนเทศตามวิธีการแบบ ปลอดภัย พ.ศ. 2555 • กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบ ปลอดภัยแต่ละระดับ สาหรับ Critical Infrastructure ของประเทศ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  9. 9. 9 • มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ – “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบ ปลอดภัยที่กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็น วิธีการที่เชื่อถือได้ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด) – จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มี ผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของ หน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสาคัญของ ประเทศ หรือ Critical Infrastructure) “วิธีการแบบปลอดภัย”
  10. 10. 10 ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้ • ด้านการชาระเงินทางอิเล็กทรอนิกส์ • ด้านการเงินของธนาคารพาณิชย์ • ด้านประกันภัย • ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ • ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคล หรือทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่ เป็นข้อมูลสาธารณะ • ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการ สาธารณะที่ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา วิธีการแบบปลอดภัยในระดับเคร่งครัด
  11. 11. 11 ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบ เทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็น แนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผล กระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจ ได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามัย – ต่า: ไม่มี – ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน – สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อ ชีวิตตั้งแต่ 1 คน ระดับผลกระทบกับวิธีการแบบปลอดภัย
  12. 12. 12 • แบ่งเป็น 11 หมวด (Domains) – Security policy – Organization of information security – Asset management – Human resources security – Physical and environmental security – Communications and operations management – Access control – Information systems acquisition, development and maintenance – Information security incident management – Business continuity management – Regulatory compliance มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  13. 13. 13 พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (Computer- Related Crimes) ตัวอย่าง? –อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes) • เช่น Hacking, การเปิดเผยข้อมูลที่เป็นความลับ, การดักฟังข้อมูล –การกระทาความผิดที่มีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using Computers as Tools) • เช่น การเผยแพร่ภาพลามก • การโพสต์ข้อความที่เป็นภัยต่อความมั่นคง • การตัดต่อภาพเพื่อให้ผู้อื่นเสียหาย
  14. 14. 14 หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์ • มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการ ป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน (Unauthorized access) – เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น – การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้ • มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการเข้าถึง ระบบคอมพิวเตอร์ที่ผู้อื่นจัดทาขึ้นเป็นการเฉพาะที่ได้ล่วงรู้มา ใน ประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น – เช่น เปิดเผยรหัสผ่านของผู้อื่นโดยไม่ได้รับอนุญาต พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
  15. 15. 15 พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 • มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกัน การเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน (Unauthorized access) – เช่น การนาข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนื้อความ • มาตรา 8 การกระทาโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้ บุคคลทั่วไปใช้ประโยชน์ได้ – เช่น การดักฟังข้อมูลผ่านเครือข่าย • มาตรา 9 การทาให้เสียหาย ทาลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่า ทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ – เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย
  16. 16. 16 พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 • มาตรา 10 การกระทาโดยมิชอบ เพื่อให้การทางานของระบบคอมพิวเตอร์ ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทางาน ตามปกติได้ – เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม • มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคล อื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็น การรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข – เช่น ส่ง spam e-mail • มาตรา 13 การจาหน่ายหรือเผยแพร่ชุดคาสั่งเพื่อนาไปใช้เป็นเครื่องมือใน การกระทาความผิดตาม พรบ. นี้ – เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ
  17. 17. 17 พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 • มาตรา 14 (1) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือ ข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความ เสียหายแก่ผู้อื่นหรือประชาชน (2) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดย ประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือ ก่อให้เกิดความตื่นตระหนกแก่ประชาชน (3) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็น ความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิด เกี่ยวกับการก่อการร้าย (4) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอัน ลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้ (5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4)
  18. 18. 18 พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 • มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุน หรือยินยอมให้มีการกระทาความผิดตามมาตรา 14 ใน ระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน • มาตรา 16 ผู้ใดนาเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชน ทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพ ของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัด ต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือ วิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทาให้ผู้อื่นนั้นเสีย ชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย
  19. 19. 19 พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 หมวด 2 พนักงานเจ้าหน้าที่ • มาตรา 18 อานาจของพนักงานเจ้าหน้าที่ (1) มีหนังสือสอบถามหรือเรียกบุคคลมาให้ถ้อยคา ส่งคาชี้แจง หรือส่ง หลักฐาน (2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการ (3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บ (4) ทาสาเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ (5) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูล (6) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูล หรืออุปกรณ์ที่เป็น หลักฐาน (7) ถอดรหัสลับของข้อมูล หรือสั่งให้บุคคลทาการถอดรหัสลับ (8) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จาเป็น
  20. 20. 20 พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 • มาตรา 19-21 การยื่นคาร้องต่อศาลของพนักงานเจ้าหน้าที่ เกี่ยวกับการปฏิบัติหน้าที่ตาม พรบ. นี้ • มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทาง คอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ ระบบคอมพิวเตอร์... • ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จาเป็น เพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้อง เก็บรักษาไว้เป็นเวลาไม่น้อยกว่า 90 วัน นับตั้งแต่การใช้บริการ สิ้นสุดลง
  21. 21. 21 กฎหมายด้าน Privacy
  22. 22. 22 หลักจริยธรรมที่เกี่ยวกับ Privacy • Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย) • Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย) • Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย) “First, Do No Harm.”
  23. 23. 23 Hippocratic Oath ... What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about. ... http://en.wikipedia.org/wiki/Hippocratic_Oath
  24. 24. 24 กฎหมายที่เกี่ยวข้องกับ Privacy • พรบ.สุขภาพแห่งชาติ พ.ศ. 2550 • มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ ของตนไม่ได้
  25. 25. 25 ประมวลกฎหมายอาญา • มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่ น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจาคุกไม่เกิน หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ • ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ เช่นเดียวกัน
  26. 26. 26 คาประกาศสิทธิผู้ป่วย • เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทยสภา สภาการ พยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของผู้ป่วยไว ้ดังต่อไปนี้ 1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ 2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ ศาสนา สังคม ลัทธิ การเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย 3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วยสามารถเลือกตัดสินใจ ในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จาเป็น 4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจาเป็นแก่กรณี โดยไม่คานึงว่า ผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่ 5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน 6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และสถานบริการได้ 7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่ ตามกฎหมาย 8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถูกทดลองในการทาวิจัยของผู้ประกอบวิชาชีพด้านสุขภาพ 9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็นการละเมิดสิทธิ ส่วนตัวของบุคคลอื่น 10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถใช้สิทธิด้วยตนเอง ได้ 7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่ จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่ ตามกฎหมาย
  27. 27. 27http://www.prasong.com/สื่อสารมวลชน/แพยสภาสอบจริยธรรมหมอต/ Social Media Case Study
  28. 28. 28 ข้อความจริง บน • "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ ... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่าง คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์ ครับ" ข้อมูลผู้ป่วย บน Social Media
  29. 29. 29 แนวทางการคุ้มครอง Privacy ของข้อมูลผู้ป่วย • นอกเหนือจากมาตรการด้าน Security – Informed Consent เกี่ยวกับแนวทางการเก็บบันทึกและ เปิดเผยข้อมูลผู้ป่วย – สร้างวัฒนธรรมที่ให้ความสาคัญกับความเป็นส่วนตัวของ ข้อมูลผู้ป่วย – มีกระบวนการสร้างความตระหนัก + สอนผู้ใช้งาน – มีการกาหนดกฎระเบียบและนโยบายด้านความปลอดภัย สารสนเทศขององค์กร และบังคับใช้ (enforce) นโยบาย ดังกล่าว – มีกระบวนการบริหารจัดการด้าน Privacy และ Security ที่ ต่อเนื่อง สม่าเสมอ
  30. 30. 30 เหตุผลที่ต้องสร้างความตระหนัก + สอนผู้ใช้งาน เรื่อง Security http://c2.likes-media.com/img/c88376b3e79ac46a289879d2178e9b41.600x.jpg http://likes.com/comedy/best-facebook-fails-ever?fb_action_ids=854715637875685&fb_action_types=og.likes&page=10
  31. 31. 31 Facebook Privacy Settings
  32. 32. 32 Facebook Privacy Settings
  33. 33. 33 • กฎหมายสาคัญที่เป็นกรอบในการกาหนดแนว ทางการใช้เทคโนโลยีสารสนเทศ คือ พรบ.ว่าด้วย การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 • การใช้เทคโนโลยีสารสนเทศโดยบุคลากรทาง การแพทย์ อาจส่งผลกระทบต่อผู้ป่วยได้ และต้อง อยู่บนพื้นฐานของหลักจริยธรรมและกฎหมาย รวมทั้งต้องหาทางป้องกันปัญหาที่อาจเกิดต่อผู้ป่วย จากการใช้งานระบบสารสนเทศ สรุป
  34. 34. 34 สรุป • Privacy และ Security เป็นสอง concepts ที่ มีความสาคัญสาหรับบุคลากรทางการแพทย์ที่ ดูแลผู้ป่วย และจาเป็นจะต้องให้ความสาคัญใน การคุ้มครองข้อมูลผู้ป่วยอย่างเต็มที่

×