Introduction to Security & Privacy - Part 2 (Suan Dusit, July 9, 2015)

1. 1
หลักการจัดความมั่นคง
ปลอดภัยของ
ระบบเทคโนโลยี
สารสนเทศ (Part 2)
นพ.นวนรรน ธีระอัมพรพันธุ์
9 ก.ค. 2558
http://www.slideshare.net/nawanan

2. 2
Outline
ตอนที่ 1 (สัปดาห์ที่แล้ว)
• ทาไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
ตอนที่ 2 (สัปดาห์นี้)
• กฎหมายด้าน Security/Privacy
• การใช้ Social Media ด้านสุขภาพ

3. 3
กฎหมายด้าน Security

4. 4
Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความ
ถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแปลงแก้ไข ทา
ให้สูญหาย ทาให้เสียหาย หรือถูก
ทาลายโดยมิชอบ
Availability
• การรักษาสภาพพร้อมใช้งาน
หลักการของ Information Security

5. 5
• พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.
2550
– กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ.
2551
– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
– รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ
อิเล็กทรอนิกส์ (electronic signature) และการรับฟัง
พยานหลักฐานที่เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e-
transactions ให้น่าเชื่อถือ
– กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และ
อานาจหน้าที่
กฎหมายด้านเทคโนโลยีสารสนเทศของไทย

6. 6
• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้
วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้
(มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน
การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ
รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล
อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

7. 7
• พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา
ความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ
พ.ศ. 2553
• กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มี
การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ.
2553
• กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มี
การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

8. 8
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทา
ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคง
ปลอดภัยของระบบสารสนเทศตามวิธีการแบบ
ปลอดภัย พ.ศ. 2555
• กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบ
ปลอดภัยแต่ละระดับ สาหรับ Critical Infrastructure
ของประเทศ
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

9. 9
• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
– “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบ
ปลอดภัยที่กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็น
วิธีการที่เชื่อถือได้
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มี
ผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ
หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของ
หน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสาคัญของ
ประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”

10. 10
ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชาระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคล
หรือทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่
เป็นข้อมูลสาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการ
สาธารณะที่ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด

11. 11
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบ
เทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็น
แนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผล
กระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case
Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจ
ได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามัย
– ต่า: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อ
ชีวิตตั้งแต่ 1 คน
ระดับผลกระทบกับวิธีการแบบปลอดภัย

12. 12
• แบ่งเป็น 11 หมวด (Domains)
– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and
maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย

13. 13
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-
Related Crimes)
ตัวอย่าง?
–อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)
• เช่น Hacking, การเปิดเผยข้อมูลที่เป็นความลับ, การดักฟังข้อมูล
–การกระทาความผิดที่มีคอมพิวเตอร์เป็นเครื่องมือ (Crimes
Using Computers as Tools)
• เช่น การเผยแพร่ภาพลามก
• การโพสต์ข้อความที่เป็นภัยต่อความมั่นคง
• การตัดต่อภาพเพื่อให้ผู้อื่นเสียหาย

14. 14
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์
• มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการ
ป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน
(Unauthorized access)
– เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น
– การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้
• มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการเข้าถึง
ระบบคอมพิวเตอร์ที่ผู้อื่นจัดทาขึ้นเป็นการเฉพาะที่ได้ล่วงรู้มา ใน
ประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น
– เช่น เปิดเผยรหัสผ่านของผู้อื่นโดยไม่ได้รับอนุญาต
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

15. 15
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกัน
การเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน (Unauthorized
access)
– เช่น การนาข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนื้อความ
• มาตรา 8 การกระทาโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้
ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์
และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้
บุคคลทั่วไปใช้ประโยชน์ได้
– เช่น การดักฟังข้อมูลผ่านเครือข่าย
• มาตรา 9 การทาให้เสียหาย ทาลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่า
ทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ
– เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย

16. 16
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 10 การกระทาโดยมิชอบ เพื่อให้การทางานของระบบคอมพิวเตอร์
ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทางาน
ตามปกติได้
– เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม
• มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคล
อื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็น
การรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข
– เช่น ส่ง spam e-mail
• มาตรา 13 การจาหน่ายหรือเผยแพร่ชุดคาสั่งเพื่อนาไปใช้เป็นเครื่องมือใน
การกระทาความผิดตาม พรบ. นี้
– เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ

17. 17
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 14
(1) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือ
ข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความ
เสียหายแก่ผู้อื่นหรือประชาชน
(2) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดย
ประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือ
ก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(3) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็น
ความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิด
เกี่ยวกับการก่อการร้าย
(4) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอัน
ลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4)

18. 18
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุน
หรือยินยอมให้มีการกระทาความผิดตามมาตรา 14 ใน
ระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน
• มาตรา 16 ผู้ใดนาเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชน
ทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพ
ของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัด
ต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือ
วิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทาให้ผู้อื่นนั้นเสีย
ชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย

19. 19
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 2 พนักงานเจ้าหน้าที่
• มาตรา 18 อานาจของพนักงานเจ้าหน้าที่
(1) มีหนังสือสอบถามหรือเรียกบุคคลมาให้ถ้อยคา ส่งคาชี้แจง หรือส่ง
หลักฐาน
(2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการ
(3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บ
(4) ทาสาเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์
(5) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูล
(6) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูล หรืออุปกรณ์ที่เป็น
หลักฐาน
(7) ถอดรหัสลับของข้อมูล หรือสั่งให้บุคคลทาการถอดรหัสลับ
(8) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จาเป็น

20. 20
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 19-21 การยื่นคาร้องต่อศาลของพนักงานเจ้าหน้าที่
เกี่ยวกับการปฏิบัติหน้าที่ตาม พรบ. นี้
• มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทาง
คอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่
ระบบคอมพิวเตอร์...
• ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จาเป็น
เพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้อง
เก็บรักษาไว้เป็นเวลาไม่น้อยกว่า 90 วัน นับตั้งแต่การใช้บริการ
สิ้นสุดลง

21. 21
กฎหมายด้าน Privacy

22. 22
หลักจริยธรรมที่เกี่ยวกับ Privacy
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

23. 23
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will keep
myself holding such things shameful to be
spoken about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath

24. 24
กฎหมายที่เกี่ยวข้องกับ Privacy
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน
บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น
เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์
ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง
เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ
ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย
อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
ของตนไม่ได้

25. 25
ประมวลกฎหมายอาญา
• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น
เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร
คนจาหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย
ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่
น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจาคุกไม่เกิน
หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย
ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น
ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ
เช่นเดียวกัน

26. 26
คาประกาศสิทธิผู้ป่วย
• เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทยสภา สภาการ
พยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ ศาสนา สังคม ลัทธิ
การเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วยสามารถเลือกตัดสินใจ
ในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จาเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจาเป็นแก่กรณี โดยไม่คานึงว่า
ผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และสถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
ตามกฎหมาย
8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถูกทดลองในการทาวิจัยของผู้ประกอบวิชาชีพด้านสุขภาพ
9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็นการละเมิดสิทธิ
ส่วนตัวของบุคคลอื่น
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถใช้สิทธิด้วยตนเอง
ได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง
จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่
จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
ตามกฎหมาย

27. 27http://www.prasong.com/สื่อสารมวลชน/แพยสภาสอบจริยธรรมหมอต/
Social Media Case Study

28. 28
ข้อความจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ
... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ
ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย
คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่าง
คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม.
บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์
ครับ"
ข้อมูลผู้ป่วย บน Social Media

29. 29
แนวทางการคุ้มครอง Privacy ของข้อมูลผู้ป่วย
• นอกเหนือจากมาตรการด้าน Security
– Informed Consent เกี่ยวกับแนวทางการเก็บบันทึกและ
เปิดเผยข้อมูลผู้ป่วย
– สร้างวัฒนธรรมที่ให้ความสาคัญกับความเป็นส่วนตัวของ
ข้อมูลผู้ป่วย
– มีกระบวนการสร้างความตระหนัก + สอนผู้ใช้งาน
– มีการกาหนดกฎระเบียบและนโยบายด้านความปลอดภัย
สารสนเทศขององค์กร และบังคับใช้ (enforce) นโยบาย
ดังกล่าว
– มีกระบวนการบริหารจัดการด้าน Privacy และ Security ที่
ต่อเนื่อง สม่าเสมอ

30. 30
เหตุผลที่ต้องสร้างความตระหนัก + สอนผู้ใช้งาน เรื่อง Security
http://c2.likes-media.com/img/c88376b3e79ac46a289879d2178e9b41.600x.jpg
http://likes.com/comedy/best-facebook-fails-ever?fb_action_ids=854715637875685&fb_action_types=og.likes&page=10

31. 31
Facebook Privacy Settings

32. 32
Facebook Privacy Settings

33. 33
• กฎหมายสาคัญที่เป็นกรอบในการกาหนดแนว
ทางการใช้เทคโนโลยีสารสนเทศ คือ พรบ.ว่าด้วย
การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.
2550
• การใช้เทคโนโลยีสารสนเทศโดยบุคลากรทาง
การแพทย์ อาจส่งผลกระทบต่อผู้ป่วยได้ และต้อง
อยู่บนพื้นฐานของหลักจริยธรรมและกฎหมาย
รวมทั้งต้องหาทางป้องกันปัญหาที่อาจเกิดต่อผู้ป่วย
จากการใช้งานระบบสารสนเทศ
สรุป

34. 34
สรุป
• Privacy และ Security เป็นสอง concepts ที่
มีความสาคัญสาหรับบุคลากรทางการแพทย์ที่
ดูแลผู้ป่วย และจาเป็นจะต้องให้ความสาคัญใน
การคุ้มครองข้อมูลผู้ป่วยอย่างเต็มที่