เจ้าของธุรกิจไทยมักได้ยิน PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) แล้วสงสัยว่า Microsoft 365 อย่างเดียวทำให้ compliant หรือไม่ — ไม่ได้ การปฏิบัติตามคือการตั้งค่าและกำกับ tenant บวกนโยบายนอกซอฟต์แวร์ (ประกาศความเป็นส่วนตัว ความยินยอม สัญญากับ vendor) สิ่งที่ M365 ให้คือพื้นผิวควบคุมที่ใช้ได้จริง: identity การบันทึก ขีดจำกัดการแชร์ และการเก็บรักษา
คู่มือนี้ไม่ใช่คำแนะนำทางกฎหมาย จับคู่การควบคุมที่สอดคล้อง PDPA กับการดำเนินการใน admin center ที่ SME ไทยทบทวนกับทนายหรือ Data Protection Officer ข้อกำหนดแตกต่างตามอุตสาหกรรม ประเภทข้อมูล และว่าคุณประมวลผลในฐานะ controller processor หรือทั้งสอง
สิ่งที่ต้องพิสูจน์
หน่วยงานกำกับและลูกค้า enterprise มักคาดหวังมาตรการคุ้มครันที่สมเหตุสมผล สำหรับข้อมูลส่วนบุคคล บันทึกพนักงาน รายชื่อลูกค้า ข้อมูลผู้ป่วย/นักเรียน และไฟล์ KYC การเงิน สำหรับบริษัท 30–200 คน มักหมายถึง:
- รู้ว่าข้อมูลส่วนบุคคลอยู่ที่ไหน (เมล SharePoint Teams export LINE ที่เก็บที่อื่น)
- จำกัดใครเข้าถึงและแชร์ได้
- สืบสวนเหตุการณ์ได้ (audit logs)
- เก็บและลบตามกำหนด ไม่ใช่เก็บตลอดไปโดยไม่ตั้งใจ
Microsoft บันทึกความสามารถแพลตฟอร์ม — นโยบายความเป็นส่วนตัวของคุณบันทึกสิ่งที่ทำจริง
เช็กลิสต์: identity และการเข้าถึง
| การควบคุม | ที่ใน M365 | จุดเริ่ม SME |
|---|---|---|
| MFA ทุกคน | Entra ID → Security → MFA | เปิดก่อนขยายผู้ใช้ ดู คู่มือ MFA |
| แยกบัญชี admin | Entra ID → Roles | ไม่ทำงานประจำวันใน Global Administrator |
| บล็อก legacy authentication | Entra ID → Security → Conditional Access | ปิดช่อง POP/basic auth หลัง pilot MFA |
| ทบทวน guest access | Entra ID → External identities | ทบทวน B2B guest ทุกไตรมาส ดู Teams guest access |
เช็กลิสต์: การแชร์และการทำงานร่วมกัน
ข้อมูลส่วนบุคคลมักรั่วจากการแชร์เกิน ไม่ใช่แฮ็กซับซ้อน
| การควบคุม | ที่ใน M365 | จุดเริ่ม SME |
|---|---|---|
| ค่าเริ่มต้น external sharing | SharePoint admin center → Policies → Sharing | เริ่มจำกัด เปิดทีละ site พร้อม training เจ้าของ |
| ลิงก์ "Anyone" | เดียวกัน + ระดับ site | ปิดหรือหมดอายุเร็วสำหรับ HR/การเงิน |
| การตั้งค่า Teams guest | Teams admin center → Guest access | สอดคล้องสัญญา vendor และนโยบาย DPO |
| กฎ forward mailbox | Exchange admin → Remote domains / transport | บล็อก forward ไปเมลส่วนตัว เว้นแต่จำเป็น |
เจาะลึก: สิทธิ์ SharePoint
เช็กลิสต์: การบันทึกและการตรวจสอบ
การตอบสนองเหตุการณ์ PDPA ได้ประโยชน์จากหลักฐาน: ใครเข้า mailbox ใครดาวน์โหลด library ใครเปลี่ยนการแชร์
| การควบคุม | ที่ใน M365 | จุดเริ่ม SME |
|---|---|---|
| Unified audit log | Purview compliance portal → Audit | เปิด auditing ค้นหา sign-in และเหตุการณ์ไฟล์ |
| ทบทวนบทบาท admin | Entra ID → Roles and administrators | ทุกไตรมาส: ถอน Global Admin ที่ค้าง |
| Alert policies (แผนที่รองรับ) | Purview → Alert policies | ดาวน์โหลดจำนวนมาก impossible travel privilege escalation |
การเก็บ audit เริ่มต้นจำกัด — การเก็บนานขึ้นและ advanced audit มักต้อง SKU สูงกว่า ถ้าลูกค้าต้องการประวัติ forensic 90 วัน+ ยืนยันแผนบน M365 Deals
เช็กลิสต์: การเก็บรักษาและการจัดประเภท
| การควบคุม | ที่ใน M365 | จุดเริ่ม SME |
|---|---|---|
| Retention labels / policies | Purview → Data lifecycle management | สัญญา HR 7 ปี รายชื่อการตลาดสั้นกว่า — กฎหมายกำหนดระยะเวลา |
| Sensitivity labels | Purview → Information protection | ติดแท็กสัญญาและสำเนาบัตร auto-label บน Premium/E3+ |
| Recycle bins & litigation hold | SharePoint / Exchange | รู้ความต่างระหว่างลบและ legal hold |
อย่าสร้างระยะเก็บจากบทความนี้ — บันทึกในตารางเก็บเอกสารภายในที่ที่ปรึกษาอนุมัติ
เช็กลิสต์: องค์กร (ไม่ใช่ปุ่มใน M365)
ซอฟต์แวร์แทนองค์ประกอบโปรแกรม PDPA เหล่านี้ไม่ได้:
- ประกาศความเป็นส่วนตัว (ภาษาไทยเมื่อลูกค้าคาดหวัง) อธิบายสิ่งที่เก็บและเหตุผล
- ความยินยอมหรือฐานทางกฎหมาย สำหรับ SMS การตลาด LINE broadcast และการประมวลผล HR
- สัญญาผู้ประมวลผล เมื่อ vendor แตะข้อมูลส่วนบุคคลในนามคุณ
- กระบวนการคำขอเจ้าของข้อมูล: ใครรับคำขอเข้าถึง/ลบ และภายในกี่วัน
- DPO หรือผู้รับผิดชอบ ที่เจ้าของข้อมูลติดต่อได้ (เมื่อกฎหมายกำหนด)
เก็บบันทึกคำขอใน SharePoint library หรือระบบ ticket ที่ควบคุม ไม่ใช่แชท LINE ส่วนตัว
แผนที่: ธีม PDPA → การดำเนินการ M365
| ธีม | คันโยก M365 ที่ใช้ได้จริง |
|---|---|
| ความปลอดภัยของข้อมูลส่วนบุคคล | MFA Defender อุปกรณ์ที่จัดการ (Intune บน Premium) |
| การจำกัดการเข้าถึง | Site แบบ groups ไม่มีลิงก์ "Everyone" กว้างๆ |
| ความรับผิดชอบ | Audit logs ทบทวนการเปลี่ยนแปลง บทบาท admin ที่บันทึก |
| การจำกัดการเก็บ | Retention policies + ทำความสะอาด site เป็นระยะ |
| การโอนข้ามพรมแดน | เข้าใจ region ของ tenant ทบทวน DPA และ sub-processor ของ Microsoft ดูส่วนตำแหน่งข้อมูลใน security FAQ |
สิ่งที่มักต้อง Business Premium ขึ้นไป
| ความต้องการ | หมายเหตุ SKU ทั่วไป |
|---|---|
| นโยบายอุปกรณ์ Intune | Business Premium หรือ Enterprise |
| Advanced DLP | มัก E3/E5 หรือ add-on |
| Extended audit | Tier สูงกว่าหรือ add-on |
| eDiscovery cases | Enterprise compliance SKU |
บริษัทบน Business Basic ยังทำ MFA คุมการแชร์ และ audit พื้นฐานได้ แล้วอัปเกรดเมื่อลูกค้าหรือกฎ sector ต้องการมากขึ้น
ลำดับ rollout 30 วันสำหรับเจ้าของที่ยุ่ง
1. สัปดาห์ 1: MFA + แยกบัญชี admin ดู security baseline
2. สัปดาห์ 2: ค่าเริ่มต้น external sharing + ทบทวน guest
3. สัปดาห์ 3: เปิดการค้นหา audit มอบหมายคนรีวิวตัวอย่างรายเดือน
4. สัปดาห์ 4: ร่างระยะเก็บกับกฎหมาย เผยแพร่กฎหนึ่งหน้า "ไฟล์ HR ไปที่ไหน"
รัน ตรวจสอบไลเซนส์ คู่ขนาน — zombie accounts เป็นทั้งต้นทุนและความเสี่ยงข้อมูล
เมื่อไหร่ควรเรียกพาร์ทเนอร์
ติดต่อ Microsoft CSP เมื่อต้องการ:
- อัปเกรด Premium/E5 พร้อม scope เป็นลายลักษณ์อักษร (DLP Intune extended audit)
- ประเมิน tenant ก่อนแบบสอบถามความปลอดภัยของลูกค้า
- Migration ออกจากนิสัย LINE/USB ส่วนตัวเข้า library ที่กำกับ — ทับซ้อน LINE vs Teams
M365 Deals ใบเสนอราคาอัปเกรดแผนและ workshop hardening นำผลเช็กลิสต์ไปในการโทรครั้งแรก
วาระทบทวนสำหรับผู้นำ + กฎหมาย (คัดลอกได้)
- Library ไหนเก็บสำเนาบัตร เงินเดือน หรือข้อมูลสุขภาพ?
- นโยบาย MFA และ guest บันทึกแล้วหรือยัง?
- ใครรันตรวจ audit รายเดือน?
- คำขอเจ้าของข้อมูลไปที่ไหน?
- การเก็บรักษากำหนดตามประเภทข้อมูล ไม่ใช่ "เก็บทุกอย่าง"?
การลงนามเป็นของ DPO หรือที่ปรึกษากฎหมาย — คู่มือนี้แค่รายการการควบคุมที่ควรพูดคุย
