Presented at the Bureau of Nursing, Office of the Permanent Secretary, Ministry of Public Health meeting in Surat Thani on August 26, 2016

1. 1
กฎหมาย IT
สาหรับ
พยาบาล
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์
โรงพยาบาลรามาธิบดี
26 สิงหาคม 2559 www.SlideShare.net/Nawanan

2. 2
2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
อาจารย์ ภาควิชาเวชศาสตร์ชุมชน
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
ความสนใจ: Health IT, Social Media, Security & Privacy
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะนำตัว

3. 3
Outlines
 ภาพรวมกฎหมาย IT ด้านสุขภาพ
 Case Studies

4. 4
ภำพรวมกฎหมำย
IT ด้ำนสุขภำพ

5. 5
กฎหมำยที่เกี่ยวข้องกับ IT ด้ำนสุขภำพ
 กฎหมาย ICT
 กฎหมายทรัพย์สินทางปัญญา
 กฎหมายเกี่ยวกับข้อมูลข่าวสาร
 กฎหมายสุขภาพ/กฎหมายการแพทย์

6. 6
 Computer Crimes
 Electronic Transactions & Electronic Signatures
 E-commerce, Cyber Law
 Privacy/Data Protection Law (Generic)
กฎหมำย ICT

7. 7
 พรบ.การกระทาความผิดเกี่ยวกับคอมพิวเตอร์
 กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้
ให้บริการ (เช่น การบันทึกข้อมูลจราจรทางคอมพิวเตอร์)
กฎหมำย ICT

8. 8
 พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ
พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
 รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ การรับส่งข้อมูล
อิเล็กทรอนิกส์ การใช้ลายมือชื่ออิเล็กทรอนิกส์ (electronic signature)
และกาหนดหลักเกณฑ์ต่างๆ ที่เกี่ยวข้องกับการทาธุรกรรมทาง
อิเล็กทรอนิกส์ (electronic transaction)
กฎหมำย ICT

9. 9
 กฎหมายลิขสิทธิ์
 กฎหมายสิทธิบัตร
 กฎหมายเครื่องหมายการค้า
 กฎหมายความลับทางการค้า
 etc.
กฎหมำยทรัพย์สินทำงปัญญำ

10. 10
Examples
 Freedom of Information Act (U.S.)
 พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 (Thailand)
กฎหมำยเกี่ยวกับข้อมูลข่ำวสำร

11. 11
 กฎหมายเกี่ยวกับสถานพยาบาล
 กฎหมายเกี่ยวกับผู้ประกอบวิชาชีพด้านสุขภาพ
 กฎหมายอื่นๆ ที่เกี่ยวข้องกับสุขภาพ
กฎหมายเกี่ยวกับอาหาร ยา และเครื่องมือแพทย์
กฎหมายเกี่ยวกับระบบสุขภาพ และหลักประกันสุขภาพ
กฎหมายเกี่ยวกับการแพทย์ฉุกเฉิน
กฎหมำยสุขภำพ/กฎหมำยกำรแพทย์

12. 12
 พรบ.สถานพยาบาล พ.ศ. 2541 และ (ฉบับที่ 2) พ.ศ. 2547
 พรบ.วิชาชีพเวชกรรม พ.ศ. 2525
 พรบ.วิชาชีพการพยาบาลและการผดุงครรภ์ พ.ศ. 2528 และฉบับที่ 2)
พ.ศ. 2540
 พรบ.ของวิชาชีพอื่นๆ ด้านสุขภาพ
 พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545
 พรบ.สุขภาพแห่งชาติ พ.ศ. 2550 และ (ฉบับที่ 2) พ.ศ. 2553
 พรบ.การแพทย์ฉุกเฉิน พ.ศ. 2551
 พรบ.เครื่องมือแพทย์ พ.ศ. 2551
กฎหมำยสุขภำพ/กฎหมำยกำรแพทย์ของไทย

13. 13
Case Studies

14. 14
Malware
Case #1: ภัยคุกคำมด้ำน Security

15. 15
 Confidentiality (ข้อมูลความลับ)
 Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ)
 Availability (ระบบล่ม ใช้การไม่ได้)
สิ่งที่เป็นเป้ำหมำยกำรโจมตี: CIA Triad

16. 16
ผลกระทบ/ควำมเสียหำย
• ความลับถูกเปิดเผย
• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และ
การงานของบุคคล
• ระบบล่ม การให้บริการมีปัญหา
• ภาพลักษณ์ขององค์กรเสียหาย

17. 17
แหล่งที่มำของกำรโจมตี
• Hackers
• Viruses & Malware
• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่
• Insiders (บุคลากรที่มีเจตนาร้าย)
• การขาดความตระหนักของบุคลากร
• ภัยพิบัติ

18. 18
กฎหมำย IT Security

19. 19
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-Related Crimes)
ตัวอย่าง?
–อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)
• เช่น Hacking, การเปิดเผยข้อมูลที่เป็นความลับ, การดักฟัง
ข้อมูล
–การกระทาความผิดที่มีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using
Computers as Tools)
• เช่น การเผยแพร่ภาพลามก
• การโพสต์ข้อความที่เป็นภัยต่อความมั่นคง
• การตัดต่อภาพเพื่อให้ผู้อื่นเสียหาย

20. 20
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
มาตรา 3 (บทนิยาม)
• “ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของ
คอมพิวเตอร์ที่เชื่อมการทางานเข้าด้วยกัน โดยได้มีการกาหนด
คาสั่ง ชุดคาสั่ง หรือสิ่งอื่นใด และแนวทางปฏิบัติงานให้อุปกรณ์
หรือชุดอุปกรณ์ทาหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ
• “ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คาสั่ง
ชุดคาสั่ง หรือสิ่งอื่นใดบรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพ
ที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึง
ข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทาง
อิเล็กทรอนิกส์ด้วย

21. 21
คำถำม
สิ่งต่อไปนี้ ถือเป็น “ระบบคอมพิวเตอร์” ตาม
พรบ.นี้หรือไม่?

22. 22
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
มาตรา 3 (บทนิยาม)
• “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับ
การติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกาเนิด
ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิด
ของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบ
คอมพิวเตอร์นั้น
• “ผู้ให้บริการ” หมายความว่า
(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อ
ถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะ
เป็นการให้บริการในนามของตนเอง หรือในนามหรือเพื่อประโยชน์
ของบุคคลอื่น
(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น

23. 23
ผู้ให้บริกำร หมำยรวมถึง
1. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและ
เสียง (Telecommunication and Broadcast Carriers)
2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access
Service Provider)
3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรม
ประยุกต์ต่างๆ (Hosting Service Provider
4. ผู้ให้บริการร้านอินเทอร์เน็ต
5. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่าน Application ต่างๆ เช่น ผู้
ให้บริการเว็บบอร์ด, Blog, e-Commerce ฯลฯ

24. 24
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์
• มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มี
มาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้น
มิได้มีไว้สาหรับตน (Unauthorized access)
– เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น
– การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้
• มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการ
เข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทาขึ้นเป็นการเฉพาะที่
ได้ล่วงรู้มา ในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น
– เช่น เปิดเผยรหัสผ่านของผู้อื่นโดยไม่ได้รับอนุญาต

25. 25
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกัน
การเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน
(Unauthorized access)
– เช่น การนาข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนื้อความ
• มาตรา 8 การกระทาโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับ
ไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบ
คอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะ
หรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้
– เช่น การดักฟังข้อมูลผ่านเครือข่าย
• มาตรา 9 การทาให้เสียหาย ทาลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่
ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ
– เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย

26. 26
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 10 การกระทาโดยมิชอบ เพื่อให้การทางานของระบบ
คอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่
สามารถทางานตามปกติได้
– เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม
• มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์
แก่บุคคลอื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่ง
ข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของ
บุคคลอื่นโดยปกติสุข
– เช่น ส่ง spam e-mail
• มาตรา 13 การจาหน่ายหรือเผยแพร่ชุดคาสั่งเพื่อนาไปใช้เป็น
เครื่องมือในการกระทาความผิดตาม พรบ. นี้
– เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ

27. 27
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 14
(1) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือ
ข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความ
เสียหายแก่ผู้อื่นหรือประชาชน
(2) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดย
ประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือ
ก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(3) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็น
ความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิด
เกี่ยวกับการก่อการร้าย
(4) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอัน
ลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4)

28. 28
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุนหรือ
ยินยอมให้มีการกระทาความผิดตามมาตรา 14 ในระบบ
คอมพิวเตอร์ที่อยู่ในความควบคุมของตน
• มาตรา 16 ผู้ใดนาเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจ
เข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และ
ภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือดัดแปลง
ด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการ
ที่น่าจะทาให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือ
ได้รับความอับอาย

29. 29
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 2 พนักงานเจ้าหน้าที่
• มาตรา 18 อานาจของพนักงานเจ้าหน้าที่
(1) มีหนังสือสอบถามหรือเรียกบุคคลมาให้ถ้อยคา ส่งคาชี้แจง หรือส่ง
หลักฐาน
(2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการ
(3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บ
(4) ทาสาเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์
(5) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูล
(6) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูล หรืออุปกรณ์ที่เป็น
หลักฐาน
(7) ถอดรหัสลับของข้อมูล หรือสั่งให้บุคคลทาการถอดรหัสลับ
(8) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จาเป็น

30. 30
พรบ.ว่ำด้วยกำรกระทำควำมผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 19-21 การยื่นคาร้องต่อศาลของพนักงานเจ้าหน้าที่
เกี่ยวกับการปฏิบัติหน้าที่ตาม พรบ. นี้
• มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทาง
คอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่
ระบบคอมพิวเตอร์...
• ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จาเป็น
เพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้อง
เก็บรักษาไว้เป็นเวลาไม่น้อยกว่า 90 วัน นับตั้งแต่การใช้บริการ
สิ้นสุดลง

31. 31
กฎหมำยว่ำด้วย
ธุรกรรมทำงอิเล็กทรอนิกส์

32. 32
• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้
วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้
(มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน
การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ
รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล
อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

33. 33
• พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนา
กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
• กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล
อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน
ต้นฉบับได้
– เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความให้
อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553
• กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่ได้มี
การจัดทาหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
– เรื่อง แนวทางการจัดทาแนวนโยบาย (Certificate Policy) และแนว
ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก
ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552
• ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate)
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

34. 34
• พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา
ความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ
พ.ศ. 2553
• กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มี
การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ.
2553
• กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มี
การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

35. 35
• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชาระเงิน
ทางอิเล็กทรอนิกส์ พ.ศ. 2551
• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทาง
ปกครองสาหรับผู้ประกอบธุรกิจให้บริการการชาระเงิน
ทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการ
ประกอบธุรกิจบริการการชาระเงินทางอิเล็กทรอนิกส์
พ.ศ. 2552
• ประกาศ ธปท. ที่เกี่ยวข้อง
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

36. 36
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์
และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรม
ทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555
• หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบ
ปลอดภัยขั้นต่า
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัย
ของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ.
2555
• กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่
ละระดับ
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

37. 37
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
• สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
สานักงานปลัดกระทรวง กระทรวงเทคโนโลยี
สารสนเทศและการสื่อสาร
• สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การ
มหาชน) หรือ สพธอ.
– Electronic Transactions Development Agency
(Public Organization) - ETDA
หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

38. 38
• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
– “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบ
ปลอดภัยที่กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็น
วิธีการที่เชื่อถือได้
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มี
ผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ
หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของ
หน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสาคัญของ
ประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”

39. 39
ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชาระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของ
บุคคลหรือทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสาร
มหาชนหรือที่เป็นข้อมูลสาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการ
สาธารณะที่ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด

40. 40
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบ
เทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็น
แนวทางในการประเมินระดับผลกระทบ ซึ่งต้อง
ประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน
– ต่า: ≤ 1 ล้านบาท
– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
– สูง: > 100 ล้านบาท
ระดับผลกระทบกับวิธีการแบบปลอดภัย

41. 41
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบ
เทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็น
แนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผล
กระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case
Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจ
ได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามัย
– ต่า: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อ
ชีวิตตั้งแต่ 1 คน
ระดับผลกระทบกับวิธีการแบบปลอดภัย

42. 42
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการ
ประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้
ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับ
ความเสียหายอื่นใด
– ต่า: ≤ 10,000 คน
– ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
– สูง: > 100,000 คน
• ผลกระทบด้านความมั่นคงของรัฐ
– ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ
– สูง: มีผลกระทบต่อความมั่นคงของรัฐ
ระดับผลกระทบกับวิธีการแบบปลอดภัย

43. 43
• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
• พิจารณาตามระดับผลกระทบ
– ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้
ใช้วิธีการแบบปลอดภัยระดับเคร่งครัด
– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัย
ระดับกลาง
– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน
สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย

44. 44
• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -
Security techniques - Information security management
systems - Requirements
• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19
ธ.ค. 2555) คือ 14 ธ.ค. 2556
• ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ใน
การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง
อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้าหนักการนาข้อมูล
อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ
ดาเนินการทางกฎหมาย
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่
รายชื่อหน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับ
วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย

45. 45
• แบ่งเป็น 11 หมวด (Domains)
– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and
maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย

46. 46
มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพื้นฐาน ระดับกลาง
(เพิ่มเติมจากระดับพื้นฐาน)
ระดับสูง
(เพิ่มเติมจากระดับกลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

47. 47
Case #2: Privacy

48. 48
Privacy
http://news.sanook.com/1262964/

49. 49
ภัย Privacy กับโรงพยำบำล
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

50. 50
Privacy
http://pantip.com/topic/35330409/

51. 51
ข้อความจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ
... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ
ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย
คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่าง
คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม.
บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์
ครับ"
ข้อมูลผู้ป่วย บน Social Media

52. 52
Security/Privacy
กับข้อมูลผู้ป่วย

53. 53
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

54. 54http://www.aclu.org/ordering-pizza
Privacy ของข้อมูลส่วนบุคคล

55. 55
หลักจริยธรรมที่เกี่ยวกับ Privacy
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

56. 56
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will keep
myself holding such things shameful to be
spoken about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath

57. 57
กฎหมำยที่เกี่ยวข้องกับ Privacy
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน
บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น
เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์
ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง
เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ
ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย
อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
ของตนไม่ได้

58. 58
ประมวลกฎหมำยอำญำ
• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น
เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร
คนจาหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย
ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่
น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจาคุกไม่เกิน
หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย
ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น
ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ
เช่นเดียวกัน

59. 59
คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย

60. 60
แนวทำงกำรคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
 Enforcement
 Ongoing privacy & security assessments,
monitoring, and protection

61. 61
Uniform Enforcement:
เรื่องเล่ำเกี่ยวกับ
ควำมน่ำรัก น่ำศรัทธำของผู้บริหำร
(ท่ำน ศ. นพ.รัชตะ รัชตะนำวิน)

62. 62
Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?
• ข้อมูลใน Line group มีคนเห็นหลายคน
• ข้อมูลถูก capture หรือ forward ไป share ต่อได้
• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้)
• ข้อมูลที่เก็บใน server ของ Line ทางบริษัทเข้าถึงได้ และ
อาจถูก hack ได้
• มีคนเดา Password ได้

63. 63
ทางออกสาหรับการ Consult Case ผู้ป่วย
• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม
• หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ
ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image)
• ใช้ app ที่ปลอดภัยกว่า
• Limit คนที่เข้าถึง
(เช่น ไม่คุยผ่าน Line group)
• ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว,
เช็ค malware ฯลฯ)

64. 64
ร่ำงกฎหมำยที่ควรจับตำดู:
ร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล

65. 65
Case #3: Hoax
PR Nightmare
เหตุกำรณ์ไม่จริง ที่สร้ำงควำม
เสียหำย กลำยเป็น viral

66. 66
Case #3: Hoax
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อันตราย! ไม่ควรเข้าเว็บนี้)
ข่ำวนี้ไม่เป็นควำมจริง

67. 67
Case #3: Hoax

68. 68
รำมำธิบดี กับ
Security/Privacy

69. 69
http://intranet.mahidol/op/orla/law/index.php
/announcement/146-2556/770-social-network
นโยบายด้าน Social Media ของมหาวิทยาลัยมหิดล

70. 70
• ข้อความบน Social Network สามารถเข้าถึงได้โดยสาธารณะ
ผู้เผยแพร่ต้องรับผิดชอบ ทั้งทางสังคมและกฎหมาย และอาจ
ส่งผลกระทบต่อชื่อเสียง การทางาน และวิชาชีพของตน
MU Social Media Policy

71. 71
• บุคลากรทางการแพทย์หรือผู้ให้บริการสุขภาพ
– ระวังการใช้ Social Network ในการปฏิสัมพันธ์กับผู้ป่วย
– ปฏิบัติตามจริยธรรมของวิชาชีพ
– ระวังเรื่องความเป็นส่วนตัว (Privacy) และความลับของข้อมูล
ผู้ป่วย
– การเผยแพร่ข้อมูล/ภาพผู้ป่วย เพื่อการศึกษา ต้องขออนุญาตผู้ป่วย
ก่อนเสมอ และลบข้อมูลที่เป็น identifiers ทั้งหมด (เช่น ชื่อ, HN,
ภาพใบหน้า หรือ ID อื่นๆ) ยกเว้นผู้ป่วยอนุญาต (รวมถึงกรณีการ
โพสต์ใน closed groups ด้วย)
• ตั้งค่า Privacy Settings ให้เหมาะสม
MU Social Media Policy

72. 72
• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้
เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสาเนาเวชระเบียนผู้ป่วย
พ.ศ. 2556
• ประกาศคณะฯ เรื่อง ข้อกาหนดการใช้สื่อสังคมออนไลน์ ของ
คณะฯ พ.ศ. 2556
• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียง
ในโรงพยาบาลสังกัดของคณะฯ พ.ศ. 2557
ระเบียบต่างๆ ของคณะฯ ด้าน Information Security

73. 73
Social Media Case Studies

74. 74
Social Media Case Study #1: พฤติกรรมไม่เหมาะสม
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา

75. 75
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
Social Media Case Study #1: พฤติกรรมไม่เหมาะสม

76. 76http://news.mthai.com/hot-news/world-news/453842.html
Social Media Case Study #2: Selfie มีประเด็น

77. 77
http://pantip.com/topic/33678081
https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558
6.90794.100000897364762&type=1&theater
Social Media Case Study #3: Selfie มีประเด็น

78. 78http://www.matichon.co.th/news_detail.php?newsid=1429341430
Social Media Case Study #4: ดูหมิ่นผู้ป่วย

79. 79
Social Media Case Study #5: ละเมิดผู้รับบริการ
Disclaimer (นพ.นวนรรน): นาเสนอเป็น
กรณีศึกษาเพื่อการเรียนรู้เรื่อง Social Media
เท่านั้น ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใด
เสียหาย และไม่มีเจตนาสร้างประเด็นทาง
การเมือง
ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคล
หรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อม
เพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่
การใส่ความว่าผู้นั้นกระทาการใด อันจะทาให้
ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง
โปรดใช้วิจารณญาณในการอ่านเนื้อหา

80. 80
http://manager.co.th/Entertainment/Vie
wNews.aspx?NewsID=9580000076405
Social Media Case Study #6: ละเมิดผู้รับบริการ

81. 81
Social Media Case Study #7: ไม่แยก Account

82. 82
Facebook Profile vs. Page vs. Group
• ใช้ Profile สาหรับ user แต่ละคน (แยกคนกัน)
• ใช้ Page สาหรับการ PR องค์กร/หน่วยงาน/ทีม/
กลุ่ม (สามารถตั้ง user คนละคน เป็น admin ได้
โดยแยก account กัน)
• ใช้ Group สาหรับการสื่อสารกันภายในกลุ่ม
(ตั้งระดับ privacy ที่เหมาะสมได้)

83. 83
Social Media Case Study #8: ไม่ตรวจสอบข้อมูล
Disclaimer (นพ.นวนรรน): นาเสนอเป็น
กรณีศึกษาเพื่อการเรียนรู้เรื่อง Social Media
เท่านั้น ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใด
เสียหาย
ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคล
หรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อม
เพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่
การใส่ความว่าผู้นั้นกระทาการใด อันจะทาให้
ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง
โปรดใช้วิจารณญาณในการอ่านเนื้อหา

84. 84
Social Media Case Study #9: ไม่ตรวจสอบข้อมูล
Source: Facebook Page โหดสัส V2 อ้างอิงภาพจากหน้า 7 นสพ.ไทยรัฐ วันที่ 6 พ.ค. 2557 และ
http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016

85. 85
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg

86. 86
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg

87. 87
กฎหมาย IT
สาหรับ
พยาบาล
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์
โรงพยาบาลรามาธิบดี
26 สิงหาคม 2559 www.SlideShare.net/Nawanan