มาตรา 26 e-Signature
ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ (ตามมาตรา 26) หรือ มาตรา 26 e-Signature ในการทำธุรกรรมทางอิเล็กทรอนิกส์นั้น จำเป็นต้องมีการลงลายชื่ออิเล็กทรอนิกส์ เพื่อแสดงเจตนาตกลงยอมรับเกี่ยวกับข้อความในข้อมูลอิเล็กทรอนิกส์ อันจะนำมาซึ่งผูกพันทางกฎหมายระหว่างกัน การเลือกใช้ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ และเหมาะสมกับวัตถุประสงค์ของการสร้าง หรือ ส่งข้อมูลอิเล็กทรอนิกส์ จะช่วยจัดการความเสี่ยง หรือ ผลกระทบที่อาจเกิดขึ้นได้จากการที่ลายมือชื่ออิเล็กทรอนิกส์ จะไม่เป็นที่ยอมรับ เช่น การปฏิเสธความรับผิด หรือข้อมูลไม่มีความครบถ้วน เป็นต้น
“ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้” หมายถึง ลายมือชื่ออิเล็กทรอนิกส์ที่มีลักษณะตามที่กำหนดในมาตรา 26 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 โดยมีลักษณะ ดังนี้
- ข้อมูลที่ใช้สร้างลายมือชื่ออิเล็กทรอนิกส์เชื่อมโยงไปยังเจ้าของลายมือชื่อโดยไม่เชื่อมโยงไปยังบุคคลอื่น
- ข้อมูลที่ใช้สร้างลายมือชื่ออิเล็กทรอนิกส์ อยู่ภายใต้การควบคุมของเจ้าของลายมือชื่อโดยไม่มีการควบคุมของบุคคลอื่น
- สามารถจะตรวจพบการเปลี่ยนแปลงใด ๆ ที่เกิดแก่ลายมือชื่ออิเล็กทรอนิกส์ นับแต่เวลาที่ได้สร้างขึ้นได้ และ
- ในกรณีที่กฎหมายกำหนดให้การลงลายมือชื่อเป็นไปเพื่อรับรองความครบถ้วน และไม่มีการเปลี่ยนแปลงของข้อความ สามารถจะตรวจพบการเปลี่ยนแปลงของข้อความได้ นับแต่เวลาที่ลงลายมือชื่ออิเล็กทรอนิกส์
ตัวอย่างของรูปแบบของลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ เช่น ลายมือชื่อดิจิทัลที่อาศัยโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure: PKI)ซึ่ง “ลายมือชื่อดิจิทัล” (Digital Signature) นั้น เป็นลายมือชื่ออิเล็กทรอนิกส์ที่ได้จากกระบวนการเข้ารหัสลับข้อมูลอิเล็กทรอนิกส์ ซึ่งช่วยให้สามารถยืนยันตัวเจ้าของลายมือชื่อและตรวจพบการเปลี่ยนแปลงของข้อความและลายมือชื่ออิเล็กทรอนิกส์ได้ รวมถึงการทำให้เจ้าของลายมือชื่อไม่สามารถปฏิเสธความรับผิดจากข้อความที่ตนเองลงลายมือชื่อได้
องค์ประกอบของลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ มีดังต่อไปนี้
1. การพิสูจน์และยืนยันตัวตน
ลายมือชื่ออิเล็กทรอนิกส์นำมาใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์เพื่อแสดงความสัมพันธ์ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์ โดยสามารถระบุตัวบุคคลผู้เป็นเจ้าของลายมือชื่อที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น ดังนั้น ความน่าเชื่อถือของลายมือชื่ออิเล็กทรอนิกส์จึงเชื่อมโยงกับความน่าเชื่อถือของการพิสูจน์ และยืนยันตัวตนของบุคคล โดยพิจารณาจากระดับความน่าเชื่อถือของการพิสูจน์และยืนยันตัวตน ทั้งนี้ ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ จะต้องอาศัยการยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication) ตามข้อกำหนดของการยืนยันตัวตนที่ระดับ AAL2 ขึ้นไป และจะต้องมีสิ่งที่ใช้ยืนยันตัวตนปัจจัยหนึ่งเป็นกุญแจเข้ารหัส (cryptographic key) ซึ่งได้แก่ ซอฟต์แวร์เข้ารหัสลับ(cryptographic software) หรือ อุปกรณ์เข้ารหัสลับ (cryptographic device) เนื่องจากกุญแจเข้ารหัสดังกล่าวจะเป็นข้อมูลสำหรับใช้สร้างลายมือชื่อดิจิทัล
2. เจตนาในการลงลายมือชื่อ
ลายมือชื่ออิเล็กทรอนิกส์ต้องสามารถแสดงเจตนาของเจ้าของลายมือชื่อเกี่ยวกับข้อความที่ตนเองลงลายมือชื่อได้ วิธีการลงลายมือชื่อต้องมีกระบวนการ หรือ หลักฐานที่แสดงได้ว่าบุคคลได้ยอมรับการแสดงเจตนาที่ตนได้ลงลายมือชื่ออย่างชัดเจน หรือ ใช้ลายมือชื่อดิจิทัลในการลงลายมือชื่อต่อข้อความที่ตนแสดงเจตนา นอกจากนี้ วิธีการลงลายมือชื่อควรมีการออกแบบให้บุคคลเข้าใจอย่างชัดเจนว่ากำลังลงลายมือชื่อกับข้อมูลอิเล็กทรอนิกส์ และมีการบ่งบอกวัตถุประสงค์หรือเหตุผลของการลงลายมือชื่อในรูปแบบ หรือ ข้อความ
ที่เข้าถึงได้ง่าย และเข้าใจได้ว่า ลายมือชื่อนำมาใช้เพื่อวัตถุประสงค์ใด เช่น อนุมัติ ยอมรับ รับรองหรือยืนยันความถูกต้อง ตอบแจ้งการรับข้อความ เป็นพยาน หรือเพื่อวัตถุประสงค์ อื่น ๆ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เข้าใจผิดในวัตถุประสงค์ดังกล่าว
3. การรักษาความครบถ้วนของข้อมูล
ข้อมูลที่ลงลายมือชื่ออิเล็กทรอนิกส์ และข้อมูลอื่น ๆ ที่เกี่ยวข้องจะต้องมีการเก็บรักษาข้อมูลให้มีความครบถ้วน และไม่มีการเปลี่ยนแปลงของข้อมูลตลอดระยะเวลาทั้งหมดของการเก็บรักษา ซึ่งการรักษาความครบถ้วนของข้อมูลจะต้องมีหลักฐานแสดงได้ว่าไม่มีการเปลี่ยนแปลงความหมายของข้อความที่ลงลายมือชื่อ ซึ่งลายมือชื่อดิจิทัลมีคุณสมบัติด้านความมั่นคงปลอดภัยที่ช่วยให้สามารถตรวจพบการเปลี่ยนแปลงของข้อความ และลายมือชื่ออิเล็กทรอนิกส์ได้
E-SIGNATURE กับการใช้งานใน MICROSOFT365 สำหรับป้องกันการแก้ไขเอกสาร
Microsoft 365 สามารถปฏิบัติตามข้อกำหนดต่าง ๆ ในกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งในรูปแบบของ Structured และ Unstructured ได้อย่างสมบูรณ์แบบ โดยครอบคลุมการปฏิบัติตาม พ.ร.บ. 3 ด้าน ได้แก่
- การระบุตัวตน และกำหนดสิทธิ์การเข้าถึงข้อมูล (Identity and Access Management)
- การปกป้องและคุ้มครองข้อมูล (Information Protection)
- การป้องกันการถูกโจมตีจากภัยคุกคามทางไซเบอร์ (Threat Protection)
การใช้งาน E-Signature ร่วมกับ Microsoft 365 (ชื่อเดิม Office 365) อย่าง Power Apps และ Power Automate
- จะช่วยปกป้องอีเมลจากการเข้าถึงที่ไม่ได้รับอนุญาต โดยตัวเลือก AIP
- มีการเพิ่มความปลอดภัยของ Library SharePoint ของคุณ โดยใช้ AIP ในการตั้งค่าสิทธิ์ที่เหมาะสม
- จะช่วยรักษาข้อมูลของคุณให้ปลอดภัยทั้งแบบออนไลน์ และออฟไลน์ ไฟล์ของคุณจะได้รับการปกป้อง ไม่ว่าคุณจะดูไฟล์โดยใช้ Office Online หรือ ดาวน์โหลดไฟล์ลงในคอมพิวเตอร์หรืออุปกรณ์ต่างๆ ของคุณ
- มีการผนวกรวมเข้ากับเอกสาร Office ได้อย่างราบรื่น จะช่วยปกป้องทรัพย์สินทางปัญญาขององค์กรของคุณ
- มีการนำเทมเพลตแบบกำหนดเองไปใช้ ตามความต้องการทางธุรกิจของคุณ นอกเหนือจากการใช้เทมเพลตการป้องกันเริ่มต้น
สรุป คือ เครื่องมือ Azure Information Protection (AIP) ใช้เพื่อตั้งรหัสการเข้าถึงข้อมูล รวมถึงเครื่องมือ Cloud App Security ใช้เพื่อตรวจสอบ ติดตาม และปกป้องข้อมูลที่อยู่ในระบบ Cloud ให้มีความปลอดภัยขั้นสูงมากยิ่งขึ้นนั่นเอง
REFERENCE
https://www.krisdika.go.th/librarian/get?sysid=570721&ext=pdf
https://standard.etda.or.th/wp-content/uploads/2019/02/20171204-ER-DigitalID-Overview-V08-30F.pdf
https://standard.etda.or.th/wp-content/uploads/2020/06/20200529-ER-E-Signature-Guideline-V08-36F.pdf
https://standard.etda.or.th/wp-content/uploads/2020/07/20200708-e-Signature-V05.pdf