แชร์

เมื่อข้อมูลลูกค้ารั่ว (Customer Data Security Breach)

อัพเดทล่าสุด: 24 ก.พ. 2025

53 ผู้เข้าชม

ในยุคดิจิทัลที่ข้อมูลกลายเป็นสิ่งมีค่ามหาศาล การรั่วไหลของข้อมูล โดยเฉพาะอย่างยิ่งข้อมูลบัตรเครดิตถือเป็นฝันร้ายของทั้งบริษัทและลูกค้า เหตุการณ์เหล่านี้ไม่เพียงแต่สร้างความเสียหายทางการเงิน แต่ยังบั่นทอนความเชื่อมั่นและชื่อเสียงขององค์กรอย่างรุนแรง

หนึ่งในคดีความที่โด่งดังที่สุดและส่งผลกระทบต่อวงการธุรกิจอย่างกว้างขวางคือ คดี Target Corporation Data Security Breach ในปี 2013 Target ซึ่งเป็นบริษัทค้าปลีกรายใหญ่ของสหรัฐอเมริกา ถูกแฮ็กเกอร์โจมตีจนทำให้ข้อมูลบัตรเครดิตและเดบิตของลูกค้ากว่า 40 ล้านคนรั่วไหล เหตุการณ์นี้ส่งผลให้ Target ถูกฟ้องร้องดำเนินคดีแบบกลุ่ม(Class Action) ในข้อหาละเลยและไม่ปฏิบัติตามมาตรฐานความปลอดภัย ส่งผลให้ Target ต้องจ่ายเงินชดเชยกว่า 100 ล้านดอลลาร์เพื่อครอบคลุมค่าใช้จ่ายในการตรวจสอบเครดิต ค่าธรรมเนียมทางกฎหมาย และการชดเชยความเสียหายอื่นๆ

คดีที่คล้ายคลึงกันนี้เกิดขึ้นกับ Home Depot ในปี 2014 ซึ่งข้อมูลบัตรเครดิตของลูกค้ากว่า 56 ล้านคนถูกขโมยไป Home Depot ถูกฟ้องร้องในข้อหาละเลยเช่นเดียวกับ Target และต้องจ่ายเงิน 179 ล้านดอลลาร์เป็นค่าชดเชยและค่าใช้จ่ายในการต่อสู้คดี และค่าปรับปรุงระบบให้เป็นไปตามมาตรฐาน

นอกจากนี้ ยังมีคดี Equifax Inc. Customer Data Security Breach ในปี 2017 ซึ่งเป็นหนึ่งในคดีละเมิดข้อมูลครั้งใหญ่ที่สุดในประวัติศาสตร์ Equifax ซึ่งเป็นบริษัทจัดเก็บข้อมูลเครดิต ถูกแฮ็กข้อมูลส่วนบุคคล รวมถึงข้อมูลบัตรเครดิตของผู้คนเกือบ 147 ล้านคน คดีนี้เน้นย้ำถึงความล้มเหลวของบริษัทในการใช้มาตรการรักษาความปลอดภัยที่เพียงพอ และการแจ้งเตือนการละเมิดล่าช้า Equifax ต้องจ่ายเงินชดเชยกว่า 700 ล้านดอลลาร์ ซึ่งรวมถึงเงินทุนสำหรับการตรวจสอบเครดิต การป้องกันการโจรกรรมข้อมูลประจำตัวและการชดเชยสำหรับผู้ได้รับผลกระทบ

นอกจากคดีความที่เกิดจากการฟ้องร้องของผู้เสียหายแล้ว หน่วยงานกำกับดูแลยังมีบทบาทสำคัญในการบังคับใช้กฎหมายและมาตรฐานความปลอดภัย ตัวอย่างเช่น คดี Wyndham Worldwide Corporation Data Breach Litigation ซึ่ง Federal Trade Commission (FTC) ของสหรัฐอเมริกา ฟ้องร้อง Wyndham Hotels and Resorts ในข้อหาละเมิดมาตรฐานความปลอดภัยข้อมูล FTC ระบุว่า Wyndham ไม่ได้ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมในการปกป้องข้อมูลบัตรเครดิตของลูกค้า อันที่จริงบริษัทต้องปฏิบัติตามมาตรฐานความปลอดภัยที่เกี่ยวข้อง เช่น Payment Card Industry Data Security Standard (PCI DSS) อยู่แล้ว แต่มาตรฐานที่ว่านี้เป็นเพียงมาตรฐานขั้นต่ำซึ่งไม่ได้แปลว่า หากปฏิบัติตามมาตรฐานแล้วทุกบริษัทจะมีความมั่นคงปลอดภัยทางใซเบอร์ร้อยเปอร์เซนต์

ปัญหาที่เกิดขึ้นส่วนหนึ่งมาจากคอมพิวเตอร์ของลูกค้าที่ติดต่อกับคอมพิวเตอร์ของบริษัท ขณะเดียวกัน บริษัทก็บกพร่องในการตรวจตราและวิธีปฏิบัติ(compliance)เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่ดีพอ

คดีความเหล่านี้สะท้อนให้เห็นถึงความรับผิดชอบที่เพิ่มขึ้นของบริษัทต่าง ๆ ในการปกป้องข้อมูลลูกค้า บริษัทไม่สามารถเพิกเฉยต่อภัยคุกคามทางไซเบอร์ได้อีกต่อไป

https://www.bangkokbiznews.com/tech/gadget/1155693
หนังสือพิมพ์กรุงเทพธุรกิจ คอลัมน์ Tech, Law and Security วันที่ 29 พฤศจิกายน 2567

พิเศษ เสตเสถียร

Tags :

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

PDPA

datasecurity