1. ผลกระทบทางจริยธรรม และประเด็นทางสังคม
ที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
นพ.นวนรรน ธีระอัมพรพันธุ์
ภาควิชาเวชศาสตร์ชุมชน คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
http://www.SlideShare.net/Nawanan nawanan.the@mahidol.ac.th
4 และ 6 มีนาคม 2557

2. เมื่อพูดถึงคําว่า “จริยธรรม”
เรามักคิดถึง...?

3. เมื่อพูดถึงคําว่า “จริยธรรม” เรามักคิดถึง...?
•
•
•
•
•
•
ความถูกต้อง
คุณธรรม
ศีลธรรม
จรรยาบรรณ
ความประพฤติที่ดีงาม เหมาะสม
การกระทําที่ถูกกฎหมาย

4. กรอบมาตรฐานของสังคม
กรอบมาตรฐานของสังคม
?
ทางเลือกที่ 1
ทางเลือกที่ 2

5. กฎหมาย ในฐานะกรอบมาตรฐานของสังคม
?
กฎหมาย (Law)
ทางเลือกที่ 1
ทางเลือกที่ 2

6. จรรยาบรรณแห่งวิชาชีพ
จรรยาบรรณแห่งวิชาชีพ (Professional Code of Ethics)
?
ทางเลือกที่ 1
ทางเลือกที่ 2

7. จริยธรรม: ความประพฤติที่สังคมเห็นว่าดีงาม
?
จริยธรรม (Ethics)
ทางเลือกที่ 1
ทางเลือกที่ 2

8. ความเป็นจริง
?
กฎหมาย
จรรยาบรรณ
ทางเลือกที่ 1
ทางเลือกที่ 2
จริยธรรม

9. หลักจริยธรรม (Ethical Principles) สําคัญด้านสุขภาพ
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทําอันตรายต่อผู้ป่วย)
• “First, Do No Harm.”
• Justice (หลักความยุติธรรม)
• หมายถึงการกระจายทรัพยากรที่มีอยู่จํากัดอย่างเหมาะสม เป็นธรรม
และเท่าเทียมกัน

10. ประเด็นทางจริยธรรม กฎหมาย และสังคม
• Ethical, Legal, and Social Issues (ELSI)
• Ethical - ในเชิงจริยธรรม
• Legal - ในทางกฎหมาย
• Social - ที่เกี่ยวกับสังคม

11. ประเด็นเกี่ยวกับ ELSI ด้านเทคโนโลยีสารสนเทศทางสุขภาพ (1)
• กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ ส่งผลกระทบต่อผู้อื่น
และสังคม

12. ประเด็นเกี่ยวกับ ELSI ด้านเทคโนโลยีสารสนเทศทางสุขภาพ (2)
• กรณีที่ 2: ผู้ให้บริการทางสุขภาพใช้เทคโนโลยีสารสนเทศ ส่งผลกระทบ
ต่อผู้ป่วยและสังคม

13. กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
กฎหมาย

14. กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ
พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
• รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ การรับส่งข้อมูล
อิเล็กทรอนิกส์ การใช้ลายมือชื่ออิเล็กทรอนิกส์ (electronic signature) และกําหนด
หลักเกณฑ์ต่างๆ ที่เกี่ยวข้องกับการทําธุรกรรมทางอิเล็กทรอนิกส์ (electronic
transaction)
• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• กําหนดมาตรการป้องกันและปราบปรามการกระทําความผิดทีเกียวข้องกับ
่ ่
คอมพิวเตอร์ ซึ่งก่อให้เกิดความเสียหาย กระทบกระเทือนต่อเศรษฐกิจ สังคม และ
ความมั่นคงของประเทศ รวมทั้งความสงบสุขและศีลธรรมอันดีของประชาชน

15. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
การกระทําความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-Related Crimes)
ตัวอย่าง?
• อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)
• เช่น Hacking, การเปิดเผยข้อมูลทีเป็นความลับ, การดักฟังข้อมูล
่
• การกระทําความผิดทีมีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using Computers as Tools)
่
• เช่น การเผยแพร่ภาพลามก
• การโพสต์ข้อความทีเป็นภัยต่อความมั่นคง
่
• การตัดต่อภาพเพื่อให้ผู้อื่นเสียหาย

16. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
มาตรา 3 (บทนิยาม)
• “ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่
เชื่อมการทํางานเข้าด้วยกัน โดยได้มีการกําหนดคําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด และ
แนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทําหน้าที่ประมวลผลข้อมูลโดย
อัตโนมัติ
• “ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด
บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้
และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทาง
อิเล็กทรอนิกส์ด้วย

17. คําถาม
สิ่งต่อไปนี้ ถือเป็น “ระบบคอมพิวเตอร์” ตาม พรบ.นี้หรือไม่?

18. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
มาตรา 3 (บทนิยาม)
• “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสาร
ของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกําเนิด ต้นทาง ปลายทาง เส้นทาง เวลา
วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการ
ติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
• “ผู้ให้บริการ” หมายความว่า
(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสูอินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการ
่
อื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือ
ในนามหรือเพื่อประโยชน์ของบุคคลอื่น
(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น

19. ผู้ให้บริการ หมายรวมถึง
1. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง
(Telecommunication and Broadcast Carriers)
2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่างๆ
(Hosting Service Provider
4. ผู้ให้บริการร้านอินเทอร์เน็ต
5. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่าน Application ต่างๆ เช่น ผู้ให้บริการ
เว็บบอร์ด, Blog, e-Commerce ฯลฯ

20. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์
• มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง
โดยเฉพาะและมาตรการนั้นมิได้มีไว้สําหรับตน (Unauthorized access)
• เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น
• การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้
• มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่
ผู้อื่นจัดทําขึ้นเป็นการเฉพาะที่ได้ล่วงรู้มา ในประการที่น่าจะเกิดความเสียหายแก่
ผู้อื่น
• เช่น เปิดเผยรหัสผ่านของผูอื่นโดยไม่ได้รับอนุญาต
้

21. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง
โดยเฉพาะและมาตรการนั้นมิได้มีไว้สําหรับตน (Unauthorized access)
• เช่น การนําข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนือความ
้
• มาตรา 8 การกระทําโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ซึ่ง
ข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และ
ข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้
ประโยชน์ได้
• เช่น การดักฟังข้อมูลผ่านเครือข่าย
• มาตรา 9 การทําให้เสียหาย ทําลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมด
หรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ
• เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย

22. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 10 การกระทําโดยมิชอบ เพื่อให้การทํางานของระบบคอมพิวเตอร์ของ
ผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทํางานตามปกติได้
• เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม
• มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดย
ปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการ
ใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข
• เช่น ส่ง spam e-mail
• มาตรา 13 การจําหน่ายหรือเผยแพร่ชุดคําสั่งเพื่อนําไปใช้เป็นเครื่องมือในการ
กระทําความผิดตาม พรบ. นี้
• เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ

23. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 14
(1) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือข้อมูลคอมพิวเตอร์อันเป็น
เท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผอื่นหรือประชาชน
ู้
(2) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิด
ความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(3) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิดเกียวกับความ
่
มั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้าย
(4) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอันลามกและ
ข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4)

24. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุนหรือยินยอมให้มีการกระทํา
ความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน
• มาตรา 16 ผู้ใดนําเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่ง
ข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการ
สร้างขึ้น ตัดต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด
ทั้งนี้ โดยประการที่น่าจะทําให้ผู้อ่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือ
ื
ได้รับความอับอาย

25. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 2 พนักงานเจ้าหน้าที่
• มาตรา 18 อํานาจของพนักงานเจ้าหน้าที่
(1) มีหนังสือสอบถามหรือเรียกบุคคลมาให้ถ้อยคํา ส่งคําชี้แจง หรือส่งหลักฐาน
(2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการ
(3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บ
(4) ทําสําเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์
(5) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูล
(6) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูล หรืออุปกรณ์ที่เป็นหลักฐาน
(7) ถอดรหัสลับของข้อมูล หรือสั่งให้บุคคลทําการถอดรหัสลับ
(8) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จําเป็น

26. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 19-21 การยื่นคําร้องต่อศาลของพนักงานเจ้าหน้าที่ เกี่ยวกับการปฏิบัติ
หน้าที่ตาม พรบ. นี้
• มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า
90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์...
• ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จําเป็นเพื่อให้สามารถระบุ
ตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่า 90
วัน นับตั้งแต่การใช้บริการสิ้นสุดลง

27. กรณีที่ 1 (พิเศษ): บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
• บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ แล้วเกิดปัญหาทางสุขภาพ
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับ
คอมพิวเตอร์

28. ประเด็นปัญหาทางสุขภาพที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
• การยศาสตร์ (Ergonomics)
• ปัญหาทางสายตา
• ปัญหาทางจิตเวช
• การติดเกม ติดอินเทอร์เน็ต ติด Social Media
• อันตรายจากพฤติกรรมเสี่ยงที่ไม่ปลอดภัย
• ฯลฯ

29. การยศาสตร์ (Ergonomics) กับการใช้คอมพิวเตอร์
http://www.safety.uwa.
edu.au/healthwellbeing/physical/
ergonomics/workstation

30. บทบาทของพยาบาลต่อปัญหาทางสุขภาพที่เกี่ยวข้องกับ IT
• ให้ความรู้ + คําแนะนําเพื่อป้องกันปัญหาสุขภาพ
• ให้กับบุคคลทัวไป
่
• ในกลุ่มเสียง
่
•
•
•
•
คัดกรอง ประเมินปัญหา ในผู้ป่วยที่มารับบริการ
ให้คําแนะนําเพื่อแก้ไขปัญหา
เป็นส่วนหนึ่งของทีมในการให้การรักษา
ให้ความรู้ + สร้างความตระหนัก ให้กับสังคม

31. กรณีที่ 2: ผู้ให้บริการทางสุขภาพใช้เทคโนโลยีสารสนเทศ
กรอบทางสังคม (กฎหมาย, จริยธรรม)

32. พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?
•
•
•
•
•
•
เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ป่วยเท่าที่ควร
ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล
ระบบล่ม ไม่ทราบประวัติ ให้การดูแลผู้ป่วยไม่ได้
บันทึกข้อมูลผิดพลาด เช่น ผิดคน ผิดตัวยา ผิดด้าน ฯลฯ เกิดอันตรายต่อผู้ป่วย
โปรแกรมคอมพิวเตอร์มีปัญหาโดยพยาบาลไม่ทราบ เช่น คํานวณ dose ยาผิด
มีระบบให้ใช้ แต่ผู้ใช้งาน (user) ไม่ยอมใช้ ใช้ผิดวัตถุประสงค์ หรือใช้วิธีลัด

33. พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?
• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ป่วยเท่าที่ควร
• สาเหตุ
•
•
•
•
•
ระบบออกแบบมาไม่ดี
ระบบทํางานช้าเกินไป
ข้อมูลที่ต้องบันทึก เยอะเกินไป
ให้ความสําคัญกับการบันทึกมากกว่าการดูแลผูป่วย
้
ติดคอมพ์? เล่นเน็ต?
• วิธีป้องกัน
• มีส่วนร่วมในการออกแบบระบบแต่แรก สื่อสารปัญหาให้ฝ่าย IT ทราบ
• ให้ความสําคัญกับการดูแลผูป่วย มากกว่าการบันทึกข้อมูลผู้ป่วย
้

34. พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?
• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล
• สาเหตุ
• ผู้ใช้งานไม่ให้ความสําคัญกับความเป็นส่วนตัวของข้อมูลผู้ป่วย
• ขาดความรู้เกี่ยวกับวิธีการใช้งานระบบอย่างปลอดภัย
• จุดอ่อนของระบบสารสนเทศเอง
• วิธีป้องกัน
• ฝ่าย IT พัฒนาระบบให้ปลอดภัย, มีกระบวนการบริหารจัดการด้านความปลอดภัย
สารสนเทศทังระบบ
้
• มีการให้ความรู้เกี่ยวกับการรักษาความปลอดภัยสารสนเทศ และการคุ้มครอง
ความเป็นส่วนตัวของข้อมูลผู้ป่วย

35. Privacy & Security ของข้อมูลผู้ป่วย
• ความเป็นส่วนตัว (Privacy) คือ ความสามารถของบุคคลในการคุ้มครองและ
ปกปิดตนเองและข้อมูลเกี่ยวกับตนเอง และเลือกที่จะเปิดเผยเท่าที่ตนประสงค์จะ
เปิดเผย
• ความปลอดภัยสารสนเทศ (Information Security) คือ การคุ้มครองข้อมูล
สารสนเทศ (information) และระบบสารสนเทศ (information systems) ด้วย
มาตรการต่างๆ เพื่อป้องกันการรั่วไหล การสูญหาย เปลี่ยนแปลง หรือความ
เสียหายอื่นๆ

36. ความปลอดภัยสารสนเทศ (Information Security)
• Confidentiality
• Integrity
• Availability
ความลับของข้อมูล
ความถูกต้องของข้อมูล ไม่ถูกแก้ไข ลบ หรือสูญหายโดยมิชอบ
ความสามารถใช้งานได้ (เช่น ระบบไม่ล่ม)

37. มาตรการเพื่อความปลอดภัยของข้อมูลผู้ป่วย
• Physical Security
ความปลอดภัยทางกายภาพ
• ล็อคห้องที่มีระบบสารสนเทศ ให้เข้าถึงยาก
• System Security
ความปลอดภัยของ Server
• อุดช่องโหว่ -> Update patches ของ Windows หรือโปรแกรมต่างๆ บ่อยๆ
• Antivirus, Firewall, Intrusion Detection/Prevention System, Log files
•
•
•
•
Software Security
Network Security
Database Security
User Security
• Encryption
ความปลอดภัยของตัวซอฟต์แวร์เอง
ความปลอดภัยของระบบเครือข่าย
ความปลอดภัยในการเข้าถึงระบบฐานข้อมูล
รหัสผ่าน, การกําหนดสิทธิในระบบ, การตรวจสอบตัวตน,
ระวัง Phishing/Social Engineering “หลอกเอาข้อมูล”
การเข้ารหัสข้อมูลที่สาคัญ
ํ

38. แนวทางการคุ้มครอง Privacy ของข้อมูลผู้ป่วย
• นอกเหนือจากมาตรการด้าน Security
•
•
•
•
Informed Consent เกี่ยวกับแนวทางการเก็บบันทึกและเปิดเผยข้อมูลผูป่วย
้
สร้างวัฒนธรรมที่ให้ความสําคัญกับความเป็นส่วนตัวของข้อมูลผู้ป่วย
มีกระบวนการสร้างความตระหนัก + สอนผู้ใช้งาน
มีการกําหนดกฎระเบียบและนโยบายด้านความปลอดภัยสารสนเทศขององค์กร
และบังคับใช้ (enforce) นโยบายดังกล่าว
• มีกระบวนการบริหารจัดการด้าน Privacy และ Security ที่ต่อเนื่อง สม่ําเสมอ
Image: http://www.nurseweek.com/news/images/privacy.jpg

39. Social Media กับความเสี่ยงใหม่ๆ
ข้อความจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา
ฉายรังสีต่อที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณ
อาจารย์อีกครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้า
พร้อมจะไป Follow-up กับอาจารย์ครับ"

40. กฎหมายที่เกี่ยวข้องกับข้อมูลสุขภาพ
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใด
จะนําไปเปิดเผยในประการที่น่าจะทําให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่
การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมี
กฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะ
อาศัยอํานาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือ
กฎหมายอื่นเพื่อขอเอกสารเกียวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
่
ของตนไม่ได้
• อนาคตอาจมี พรบ.คุ้มครองข้อมูลส่วนบุคคล
(ปัจจุบันยังไม่ผ่านสภาฯ)

41. คําประกาศสิทธิผู้ป่วย
•
เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทย
สภา สภาการพยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของ
ผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ
ศาสนา สังคม ลัทธิการเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วย
สามารถเลือกตัดสินใจในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จําเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่
กรณี โดยไม่คํานึงว่าผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และ
สถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รบความยินยอมจากผู้ป่วย
ั
หรือการปฏิบัติหน้าที่ตามกฎหมาย
8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพ
ู
ด้านสุขภาพ
9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็น
การละเมิดสิทธิส่วนตัวของบุคคลอื่น
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถ
ใช้สิทธิด้วยตนเองได้

42. คําประกาศสิทธิผู้ป่วย
•
เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทย
สภา สภาการพยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของ
ผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ
ศาสนา สังคม ลัทธิการเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วย
สามารถเลือกตัดสินใจในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จําเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่
กรณี โดยไม่คํานึงว่าผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และ
สถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รบความยินยอมจากผู้ป่วย
ั
หรือการปฏิบัติหน้าที่ตามกฎหมาย
8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพ
ู
ด้านสุขภาพ
9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็น
การละเมิดสิทธิส่วนตัวของบุคคลอื่น
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถ
ใช้สิทธิด้วยตนเองได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง
จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่
จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
ตามกฎหมาย

43. คําถาม
• การคุ้มครองความเป็นส่วนตัว (Privacy) และความปลอดภัย (Security)
ของข้อมูลผู้ป่วย เข้าได้กับหลักจริยธรรมใด
•
•
•
•
Autonomy?
Beneficence?
Non-Maleficence?
Justice?

44. MU Social Network Policy
http://intranet.mahidol/op/orla/law/index.php/announce
ment/146-2556/770-social-network

45. MU Social Network Policy

46. MU Social Network Policy

47. MU Social Network Policy

48. MU Social Network Policy

49. MU Social Network Policy

50. MU Social Network Policy

51. MU Social Network Policy
• ข้อความบน Social Network สามารถเข้าถึงได้โดย
สาธารณะ ผู้เผยแพร่ต้องรับผิดชอบ ทั้งทางสังคมและ
กฎหมาย และอาจส่งผลกระทบต่อชื่อเสียง การทํางาน
และวิชาชีพของตน
• ระมัดระวังอย่างยิง ในการเผยแพร่ประเด็นที่
่
Controversial เช่น การเมือง ศาสนา
• ไม่ได้ห้าม แต่ให้ระวัง เพราะอาจส่งผลลบต่อตนหรือ
องค์กรได้

52. MU Social Network Policy
• ความรับผิดชอบทางกฎหมาย
• ประมวลกฎหมายอาญา ความผิดฐานหมิ่นประมาท
• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์
• ข้อบังคับมหาวิทยาลัยมหิดล ว่าด้วยจรรยาบรรณของ
บุคลากรและนักศึกษามหาวิทยาลัยมหิดล
• ข้อบังคับมหาวิทยาลัยมหิดล ว่าด้วยวินัยนักศึกษา

53. MU Social Network Policy
• ไม่ละเมิดทรัพย์สินทางปัญญาของผู้อื่น อ้างถึงแหล่งที่มาเสมอ
(Plagiarism = การนําผลงานของคนอื่นมานําเสนอเสมือนหนึ่งเป็น
ผลงานของตนเอง)
• แบ่งแยกเรื่องส่วนตัวกับหน้าที่การงาน/การเรียน
• แยก Account ของหน่วยงาน/องค์กร ออกจาก Account บุคคล
• Facebook Profile (ส่วนตัว) vs. Facebook Page (องค์กร/
หน่วยงาน)
• ในการโพสต์ที่อาจเข้าใจผิดได้ว่าเป็นความเห็นจากมหาวิทยาลัย/
หน่วยงาน ให้ระบุ Disclaimer เสมอว่าเป็นความเห็นส่วนตัว

54. MU Social Network Policy
• ห้ามเผยแพร่ข้อมูล sensitive ที่ใช้ภายในมหาวิทยาลัยก่อนได้รับอนุญาต
• บุคลากรทางการแพทย์หรือผู้ให้บริการสุขภาพ
• ระวังการใช้ Social Network ในการปฏิสัมพันธ์กับผู้ป่วย (ความลับผู้ป่วย
และการแยกแยะเรื่องส่วนตัวจากหน้าที่การงาน)
• ปฏิบัติตามจริยธรรมของวิชาชีพ
• ระวังเรื่องความเป็นส่วนตัว (Privacy) และความลับของข้อมูลผู้ป่วย
• การเผยแพร่ข้อมูล/ภาพผู้ป่วย เพื่อการศึกษา ต้องขออนุญาตผู้ป่วยก่อน
เสมอ และลบข้อมูลที่เป็น identifiers ทั้งหมด (เช่น ชื่อ, HN, ภาพใบหน้า
หรือ ID อื่นๆ) ยกเว้นผู้ป่วยอนุญาต (รวมถึงกรณีการโพสต์ใน closed
groups ด้วย)
• ตั้งค่า Privacy Settings ให้เหมาะสม

55. Facebook Privacy Settings

56. Facebook Privacy Settings

57. Social Network Case Studies
Source: Drama-addict.com
Disclaimer (นพ.นวนรรน):
นําเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทําให้ผู้ใด
เสียหาย โปรดใช้วิจารณญาณในการ
อ่านเนื้อหา

58. Social Network Case Studies
Disclaimer (นพ.นวนรรน):
นําเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาดูหมิ่น หรือทําให้ผู้ใดเสียหาย
และไม่มีเจตนาสร้างประเด็นทาง
การเมือง
ชื่อ สัญลักษณ์ หรือเครื่องหมายของ
บุคคลหรือองค์กรใด เป็นเพียงการให้
ข้อมูลแวดล้อมเพื่อการทําความเข้าใจ
กรณีศึกษาเท่านั้น ไม่ใช่การใส่ความว่า
ผู้นั้นกระทําการใด อันจะทําให้ผู้นั้น
เสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียด
ชัง โปรดใช้วิจารณญาณในการอ่าน
เนื้อหา

59. บทเรียนจากกรณีศึกษา (Lessons Learned)
• องค์กรไม่มีทางห้ามพนักงานไม่ให้โพสต์ข้อมูลได้
• ช่องทางการโพสต์มีมากมาย ไม่มีทางห้ามได้ 100%
• นโยบายที่เหมาะสม คือการกําหนดกรอบไว้ให้พนักงานโพสต์ได้ตามความเหมาะสม
ภายในกรอบที่กําหนด
• พนักงานย่อมสวมหมวกขององค์กรอยู่เสมอ (แม้จะโพสต์เป็นการส่วนตัว แต่องค์กร
ก็เสียหายได้)
• คิดก่อนโพสต์, สร้างวัฒนธรรมภายในองค์กร
• การรักษาความลับขององค์กรและข้อมูลส่วนบุคคลของลูกค้า
• มีนโยบายให้ระบุตัวตนและตําแหน่งให้ชัดเจน
• องค์กรควรยอมรับปัญหาอย่างตรงไปตรงมาและทันท่วงที
http://www.siamintelligence.com/social-media-policy-cathay-pacific-case/

60. คําถาม
• การแสดงความเห็นเกี่ยวกับเรื่องการเมือง
ของบุคลากรทางการแพทย์ ตาม social
media, สื่อมวลชน, ในสถานที่ทํางาน, ในที่
ชุมนุม หรือที่สาธารณะ ผิดหรือถูก?

61. สรุป
• จริยธรรม จรรยาบรรณแห่งวิชาชีพ กฎหมาย คือกรอบของสังคม
ที่กําหนดว่าสิ่งใดควรทํา หรือไม่ควรทํา
• การใช้เทคโนโลยีสารสนเทศ ไม่ว่าโดยบุคคลทั่วไปหรือบุคลากร
ทางการแพทย์ ย่อมมีประเด็นด้านจริยธรรม กฎหมาย และ
ผลกระทบต่อสังคม เสมอ
• กฎหมายสําคัญที่เป็นกรอบในการกําหนดแนวทางการใช้
เทคโนโลยีสารสนเทศของบุคคลทั่วไป คือ พรบ.ว่าด้วยการกระทํา
ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

62. สรุป
• การใช้เทคโนโลยีสารสนเทศโดยพยาบาลหรือบุคลากรทาง
การแพทย์ อาจส่งผลกระทบต่อผู้ป่วยได้ และต้องอยู่บนพื้นฐาน
ของหลักจริยธรรมและกฎหมาย รวมทั้งต้องหาทางป้องกันปัญหา
ที่อาจเกิดต่อผู้ป่วยจากการใช้งานระบบสารสนเทศ
• Privacy และ Security เป็นสอง concepts ที่มีความสําคัญ
สําหรับบุคลากรทางการแพทย์ที่ดูแลผู้ป่วย และจําเป็นจะต้องให้
ความสําคัญในการคุ้มครองข้อมูลผู้ป่วยอย่างเต็มที่

63. สรุป
• ระมัดระวังเรื่องการใช้ social media อย่างเหมาะสมและ
รับผิดชอบต่อตนเองและสังคม
• ใช้ระบบสารสนเทศทางการพยาบาลอย่างมีจริยธรรม คํานึงถึง
กฎหมายที่เกี่ยวข้อง และมุ่งประโยชน์สูงสุดต่อผู้ป่วย และการ
ไม่ทําอันตรายต่อผู้ป่วย