ISO / GMP / อย.

PDPA Data Classification 2026: คู่มือจัดประเภทข้อมูล 4 ระดับ สำหรับ SME ไทย

AF
ADS FIT Team
·8 นาที
Share:
🛡️

# PDPA Data Classification 2026: คู่มือจัดประเภทข้อมูล 4 ระดับ สำหรับ SME ไทย

หลังจากที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้เต็มรูปแบบมาแล้ว 4 ปี ปัญหาที่พบเจอบ่อยที่สุดในธุรกิจ SME ไทย ไม่ใช่เรื่องนโยบายความเป็นส่วนตัวที่ดูเหมือนจะ "ไม่มีคนอ่าน" แต่เป็นเรื่อง ทีมงานไม่รู้ว่าข้อมูลแต่ละชนิดต้องดูแลอย่างไร ส่งผลให้พนักงานส่งไฟล์ Excel ลูกค้าผ่าน Line โดยไม่ตั้งรหัส บัญชีโต้ตอบลูกค้าใช้ Gmail ส่วนตัว และ HR เก็บสำเนาบัตรประชาชนไว้ในโฟลเดอร์ที่ใครก็เปิดได้

Data Classification คือกระบวนการ "ติดป้าย" ข้อมูลตามระดับความอ่อนไหว เพื่อให้ทุกคนในองค์กรรู้ว่าต้องปกป้องข้อมูลแต่ละประเภทระดับไหน เป็นพื้นฐานที่ทำให้นโยบาย PDPA, ISO 27001 และมาตรการรักษาความปลอดภัยอื่น ๆ ใช้ได้จริงในชีวิตประจำวัน

ในบทความนี้คุณจะได้เรียนรู้วิธีจัดประเภทข้อมูลแบบ 4 ระดับมาตรฐาน วิธีกำหนดมาตรการควบคุมที่เหมาะกับ SME ไทย และขั้นตอนนำไปใช้จริงโดยไม่ต้องลงทุนซื้อระบบราคาแพง

ทำไม Data Classification ถึงสำคัญสำหรับ SME ไทย

PDPA มาตรา 37 กำหนดให้ผู้ควบคุมข้อมูลต้อง "จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม" คำว่า "เหมาะสม" คือหัวใจของเรื่องนี้ คุณไม่ต้องเข้ารหัสรายชื่อลูกค้าทั่วไประดับเดียวกับเวชระเบียน และคุณไม่ควรปล่อยข้อมูลสุขภาพไว้ในไฟล์ Excel เปิดบน Google Drive

Data Classification ช่วย SME ไทย 3 เรื่อง:

ลดต้นทุน Compliance — แทนที่จะเหมารวมทุกข้อมูลเป็น "ความลับสูงสุด" คุณจัดสรรงบประมาณ เครื่องมือ และเวลาเฉพาะกับข้อมูลที่เสี่ยงจริง

ลดความเสี่ยงรั่วไหล — ค่าปรับสูงสุด PDPA อยู่ที่ 5 ล้านบาท บวกค่าเสียหายทางแพ่ง การจำแนกข้อมูลล่วงหน้าทำให้พนักงานรู้ว่าข้อมูลไหนห้ามแชร์ผ่านช่องทางใด

สื่อสารกับทีมง่ายขึ้น — แทนการอบรม PDPA ละเอียด 3 ชั่วโมง คุณสอนป้าย 4 สีและกฎคู่กันได้ใน 30 นาที

โครงสร้าง Data Classification 4 ระดับ

มาตรฐานที่ใช้กันอย่างแพร่หลายใน ISO 27001:2022 และ NIST SP 800-60 แบ่งข้อมูลเป็น 4 ระดับ ปรับให้เข้ากับบริบท PDPA ไทยได้ดังนี้:

| ระดับ | ชื่อ (TH/EN) | ความหมาย | ตัวอย่าง |

|------|-------------|---------|---------|

| 1 | สาธารณะ / Public | เผยแพร่ได้โดยไม่กระทบธุรกิจ | Brochure, ข่าวประชาสัมพันธ์, ราคามาตรฐาน |

| 2 | ภายใน / Internal | ใช้ภายในองค์กร แต่รั่วไหลผลกระทบต่ำ | คู่มือพนักงาน, รายงานการประชุมทั่วไป |

| 3 | ลับ / Confidential | ข้อมูลส่วนบุคคลทั่วไป + ข้อมูลธุรกิจสำคัญ | รายชื่อลูกค้า, สัญญา, แผนการตลาด, เงินเดือน |

| 4 | อ่อนไหว / Restricted | ข้อมูลอ่อนไหวตาม PDPA ม. 26 + Trade Secret | บัตรประชาชน, ข้อมูลสุขภาพ, ความเชื่อทางศาสนา, ข้อมูลทางการเงินลูกค้า |

จุดสำคัญที่ SME ไทยมักสับสน: "ข้อมูลส่วนบุคคล" ตาม PDPA ทั่วไป (ชื่อ-นามสกุล, เบอร์, อีเมล) จัดอยู่ระดับ 3 (Confidential) แต่ "ข้อมูลส่วนบุคคลอ่อนไหว" ตามมาตรา 26 (เชื้อชาติ, ศาสนา, สุขภาพ, พฤติกรรมทางเพศ, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ประวัติอาชญากรรม) ต้องอยู่ระดับ 4 (Restricted) ซึ่งต้องการความยินยอมโดยชัดแจ้งและมาตรการป้องกันที่เข้มกว่า

มาตรการควบคุมตามระดับ

แต่ละระดับต้องมี Control ต่างกัน ตัวอย่างชุดมาตรการที่ใช้ได้กับ SME 20-200 คน:

ระดับ 1 — สาธารณะ

  • ไม่จำกัดการเข้าถึง
  • ไม่ต้องเข้ารหัส
  • เก็บที่ใดก็ได้ รวมถึง Public Cloud, Drive แชร์สาธารณะ

    • ระดับ 2 — ภายใน

  • ต้อง Login ก่อนเข้าถึง
  • เก็บใน Google Workspace, Microsoft 365 ของบริษัทเท่านั้น
  • ห้ามแชร์ลิงก์แบบ "Anyone with the link"
  • ส่งภายนอกได้โดยไม่ต้องเข้ารหัสไฟล์

    • ระดับ 3 — ลับ

  • เข้าถึงตามหลัก Need-to-know (Role-Based Access Control)
  • เก็บในระบบที่มี Audit Log
  • ส่งภายในผ่านอีเมลบริษัทได้ ส่งภายนอกต้องเข้ารหัสไฟล์ (.zip + password) หรือใช้ลิงก์มีวันหมดอายุ
  • ห้ามเก็บในเครื่องคอมพิวเตอร์ส่วนตัว

    • ระดับ 4 — อ่อนไหว

  • ต้องมี MFA / 2FA บังคับ
  • เข้ารหัส At-rest และ In-transit
  • ห้ามส่งผ่านอีเมล/Line/Slack เด็ดขาด ใช้ระบบ Secure File Transfer หรือ Vault เท่านั้น
  • เก็บ Audit Log ทุกการเข้าถึง อย่างน้อย 1 ปี
  • เก็บไม่เกินระยะเวลาที่จำเป็น (Data Retention Policy)
  • หากต้องประมวลผลในต่างประเทศ ต้องตรวจสอบ Adequacy Decision หรือ Standard Contractual Clauses

    • ขั้นตอนนำไปใช้จริง 6 สเต็ป

    นี่คือลำดับที่ใช้ได้กับ SME ที่ยังไม่เคยทำ Data Classification มาก่อน:

    ขั้นที่ 1 — ทำ Data Inventory: ลิสต์ "ที่เก็บข้อมูล" ทุกที่ในองค์กร เช่น Google Drive, ระบบ ERP, Mailchimp, Excel ในเครื่อง HR, Line OA แล้วเขียนรายชื่อ "ประเภทข้อมูล" ที่อยู่ในนั้น แต่ละจุด

    ขั้นที่ 2 — กำหนด Owner: แต่ละประเภทข้อมูลต้องมีผู้รับผิดชอบ (Data Owner) เพียงคนเดียว ปกติจะเป็นหัวหน้าฝ่ายที่ใช้ข้อมูลนั้นมากที่สุด เช่น HR เป็นเจ้าของข้อมูลพนักงาน, การตลาดเป็นเจ้าของข้อมูลลูกค้า

    ขั้นที่ 3 — จัดระดับ: ใช้ตาราง 4 ระดับด้านบนติดป้ายข้อมูลแต่ละประเภท หากข้อมูลเดียวกันมีทั้งระดับ 3 และ 4 (เช่น ใบสมัครงานที่มีข้อมูลสุขภาพ) ให้ติดระดับสูงสุด

    ขั้นที่ 4 — เขียน Policy สั้น 1 หน้า: ระบุชื่อระดับ ความหมาย ตัวอย่าง 3-5 รายการ และมาตรการควบคุม 5-7 ข้อต่อระดับ ทำเป็นโปสเตอร์ติดผนังหรือ PDF แชร์ในทีม

    ขั้นที่ 5 — ปรับเครื่องมือ: ใช้ Label ใน Google Drive / Microsoft Information Protection ทำเครื่องหมายไฟล์ตั้งแต่ต้น สำหรับ SME ที่งบจำกัด ใช้แค่ "ตั้งชื่อไฟล์ขึ้นต้นด้วย [L1] [L2] [L3] [L4]" ก็ได้ผลพอใช้

    ขั้นที่ 6 — ทบทวนทุก 6 เดือน: ข้อมูลใหม่เกิดขึ้นเสมอ ตั้ง Calendar เตือนทบทวนทุกครึ่งปี และทุกครั้งที่มีระบบใหม่

    เปรียบเทียบโมเดล Classification

    | แนวทาง | ระดับ | เหมาะกับ | ข้อดี | ข้อเสีย |

    |--------|------|---------|------|---------|

    | 4 ระดับ (บทความนี้) | Public / Internal / Confidential / Restricted | SME 20-500 คน | สมดุลระหว่างความง่ายกับความครอบคลุม | ต้องอบรมทีม |

    | 3 ระดับ | Public / Internal / Confidential | Startup, ทีม 10-30 คน | จดจำง่าย ใช้ได้เลย | ไม่แยกข้อมูลอ่อนไหว PDPA ม. 26 ออกชัด |

    | 5 ระดับ | + Top Secret | องค์กร, สถาบันการเงิน | ละเอียดเพียงพอสำหรับ Audit | เกินกว่าที่ SME ต้องการ |

    สรุปและขั้นตอนถัดไป

    Data Classification คือการลงทุนเล็ก ๆ ที่คืนผลตอบแทนใหญ่: ทีมงานทำงานปลอดภัยขึ้นโดยไม่ต้องตัดสินใจเอง ลดความเสี่ยงรั่วไหล และทำให้การ Audit PDPA / ISO 27001 ในอนาคตง่ายขึ้นหลายเท่า

    ขั้นตอนเริ่มต้นที่ทำได้สัปดาห์นี้:

    ทำ Data Inventory ของ 5 ระบบหลักที่ทีมใช้บ่อยที่สุด ติดป้าย 4 ระดับให้ข้อมูลแต่ละประเภท เขียน Policy 1 หน้าและแชร์ใน Slack/Line OA ของทีม จากนั้นนัดอบรม 30 นาทีในการประชุมทีมรอบหน้า

    ต้องการคำปรึกษา PDPA Compliance, จัดทำ Data Mapping หรือวาง Policy ให้สอดคล้องกับ ISO 27001:2022? ติดต่อทีมที่ปรึกษา ADS FIT ได้ที่ [adsfit.co.th/contact](https://www.adsfit.co.th/contact) หรืออ่านบทความที่เกี่ยวข้องในหมวด ISO/GMP/อย. เพื่อต่อยอด Compliance Program ของคุณให้แข็งแรงยิ่งขึ้น

    Tags

    #PDPA#Data Classification#ความเป็นส่วนตัว#ISO 27001#Compliance#SME

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที