ความเสี่ยงไม่มีวันเป็นศูนย์ โอกาสที่จะเกิดการละเมิดข้อมูลส่วนบุคคลในองค์กร เกิดขึ้นได้ตลอดเวลา ทางเลือกหนึ่งของการลดความเสี่ยงคือความคุ้มครองของประกันภัยไซเบอร์ (Cyber Insurance) ลองมาดูว่าประกันภัยไซเบอร์คุ้มครองอะไรบ้าง . . . โดยทั่วไปประกันภัยไซเบอร์จะให้ความคุ้มครองหลัก 2 ส่วน ดังนี้ . 1.ค่าใช้จ่ายของผู้เอาประกันภัยหรือองค์กรที่ทำประกันภัยไซเบอร์ . - ความเสียหายจากเครือข่ายหยุดชะงัก (Business Interruption) - ค่าใช้จ่ายในการจ้างผู้เชี่ยวชาญทางด้านระบบ (IT Forensic) - ค่าไถ่จากการขู่ทำลายข้อมูลทางไซเบอร์ (Ransomware) - ค่าใช้จ่ายที่เกิดขึ้นจากการถูกสืบสวนสอบสวนจากหน่วยงานภาครัฐ - ค่าปรับจากหน่วยงานภาครัฐ - ค่าใช้จ่ายในการกอบกู้ชื่อเสียง - ค่าใช้จ่ายในการแจ้งเตือนผู้ได้รับผลกระทบ - ค่าใช้จ่ายในการกู้ข้อมูลทางอิเล็คทรอนิคส์ . 2.ความรับผิดต่อบุคคลภายนอกหรือลูกค้าขององค์กรที่ทำประกันภัยไซเบอร์ . - ความเสียหายต่อบุคคลภายนอกอันเกิดจากการกระทำ ความผิดพลาด การแสดงข้อความผิดพลาด ข้อความที่ชักนำให้เกิดการเข้าใจผิด ที่เกี่ยวข้องกับการเผยแพร่โดยหรือในนามผู้เอาประกันภัย - ความรับผิดต่อข้อมูลส่วนบุคคล หรือ ต่อความปลอดภัยของข้อมูล - ค่าใช้จ่ายในการต่อสู้คดี . หากเปรียบเทียบกับความรับผิดใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 แล้ว ประกันภัยไซเบอร์จะคุ้มครองความรับผิดดังต่อไปนี้ . 1.คุ้มครองความรับผิดทางแพ่ง ครอบคลุมทั้งค่าเสียหายที่แท้จริงและค่าเสียหายเชิงลงโทษ รวมถึงค่าจ้างทนาย/ที่ปรึกษากฎหมาย ในการต่อสู้คดี ค่าเสียหายจากการละเมิดข้อมูลของเจ้าของข้อมูล 2.ไม่คุ้มครองความรับผิดทางอาญา 3.คุ้มครองค่าปรับจากความรับผิดทางปกครอง 4.การดำเนินคดีแบบกลุ่ม ซึ่งเป็นรูปแบบ/ วิธีการดำเนินคดีแบบหนึ่ง เช่น ฟ้องคดีแพ่ง โดยวิธีดำเนินคดีแบบกลุ่ม - คุ้มครองตามความรับผิดทางแพ่งได้ . ตัวอย่างความคุ้มครองกรมธรรม์ประกันภัยไซเบอร์ . องค์กรโดนแฮกเกอร์ปล่อยไวรัสเจาะระบบขององค์กร และเรียกค่าไถ่ (Ransomware) ซึ่งถ้าองค์กรไม่ยินยอมจ่ายค่าไถ่ ก็จะไม่สามารถใช้คอมพิวเตอร์ หรือเข้าถึงระบบข้อมูลของตนเองได้ . - องค์กรต้องจ้างผู้เชี่ยวชาญด้าน IT มาตรวจสอบ และจำกัดความเสียหาย - องค์กรสูญเสียกำไรจากการถูกปิดระบบ - ค่าไถ่ที่ทางองค์กรตกลงจ่ายให้กับแฮกเกอร์ โดยได้รับความยินยอมจากผู้รับประกันภัยก่อน - หน่วยงานภาครัฐสั่งปรับ - องค์กรถูกฟ้องร้องจากการที่ข้อมูลส่วนบุคคลของลูกค้ารั่วไหล . แฮกเกอร์โจมตีเครื่องคอมพิวเตอร์ขององค์กร หรือระบบขององค์กรบนอินเตอร์เน็ต ทำให้ระบบขององค์กรปฎิเสธหรือหยุดการให้บริการ (DDoS) . - องค์กรต้องจ้างผู้เชี่ยวชาญด้าน IT มาตรวจสอบ และจำกัดความเสียหาย - องค์กรสูญเสียกำไรจากการที่ระบบองค์กรไม่สามารถใช้งานได้ - องค์กรถูกฟ้องร้องจากการที่ลูกค้าเกิดความเสียหายเนื่องจากระบบองค์กรไม่สามารถใช้งานได้ . แฮกเกอร์เจาะเข้าระบบเว็บไซต์ขององค์กร และเผยแพร่ข้อความ ภาพ และ/หรือ เสียง ซึ่งต่อต้านรัฐบาลหรือละเมิดสิทธิส่วนบุคคล . - องค์กรต้องจ้างผู้เชี่ยวชาญด้าน IT มาตรวจสอบ และจำกัดความเสียหาย - หน่วยงานภาครัฐสั่งปรับ - องค์กรถูกฟ้องร้องจากการละเมิดข้อมูลข่าวสารโดยผ่านสื่อทางคอมพิวเตอร์
PrivacyNote ให้คำปรึกษาและฝึกอบรมด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA โดยที่ปรึกษามืออาชีพ
Line : https://lin.ee/NHIYt0k 081-714-6016
