หน้าแรกบริการผลงานบทความเกี่ยวกับเรา
เครื่องมือ
Network ToolsShop
ขอใบเสนอราคา 096-321-7414
Knowledge Base
Knowledge BasePDPA + Network Logging — เก็บอะไร นานเท่าไหร่ ตามกฎหมายไทย
intermediate

PDPA + Network Logging — เก็บอะไร นานเท่าไหร่ ตามกฎหมายไทย

ถอดรหัสข้อกฎหมายไทย 3 ฉบับให้เป็น checklist ปฏิบัติได้จริง ตั้งแต่ field ที่ต้องเก็บใน Traffic log ระยะเวลาเก็บ ไปจนถึง architecture syslog สำหรับ IT Admin ในองค์กร

A
Apinan
C9NETWORK Editor
18 พฤษภาคม 2569
11 นาที
0compliancenetwork-loggingpdparetentionsyslogthai-law

หลายองค์กรไทยยังสับสนว่า เมื่อมี PDPA แล้ว เรื่อง network log ต้องปรับอะไรเพิ่ม หรือแค่เก็บ Traffic log ตาม พ.ร.บ.คอมพิวเตอร์ เดิมก็พอ? คำตอบคือ ทั้งสองกฎหมายครอบคลุมคนละมิติ และองค์กรต้องทำให้ครบทั้งคู่ บทความนี้ไม่ได้อธิบาย PDPA ตั้งแต่ต้น แต่เจาะตรงไปที่ network logging — เก็บอะไร เก็บนานแค่ไหน ใครเข้าถึงได้ และ architecture ที่ทำได้จริงในองค์กร SME ถึงระดับ Enterprise

1. กฎหมายที่เกี่ยวข้อง 3 ฉบับ#

พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (แก้ไข 2560)#

มาตรา 26 คือหัวใจหลักสำหรับ network log โดยตรง กฎหมายระบุว่า ผู้ให้บริการ ต้องเก็บรักษา ข้อมูลจราจรทางคอมพิวเตอร์ ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบ และพนักงานเจ้าหน้าที่สามารถสั่งขยายเวลาได้เป็นกรณีพิเศษ แต่รวมแล้วไม่เกิน 2 ปี ตามประกาศ DES 2564

คำว่า ผู้ให้บริการ ในกฎหมายหมายถึงทั้ง ISP และองค์กรที่ให้บริการอินเทอร์เน็ตแก่บุคคลอื่น เช่น บริษัทที่เปิด Wi-Fi ให้พนักงาน หรือโรงแรมที่ให้แขกใช้อินเทอร์เน็ต ดังนั้นองค์กรส่วนใหญ่จึงอยู่ในขอบเขตของมาตรานี้

ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม พ.ศ. 2564#

ออกตามอำนาจมาตรา 26 วรรค 3 ประกาศฉบับนี้ลงราชกิจจานุเบกษาเล่ม 138 ตอนพิเศษ 188 ง วันที่ 13 สิงหาคม 2564 กำหนด ประเภท format และวิธีการเก็บรักษา log อย่างละเอียด รวมถึงกำหนดให้เก็บในสื่อที่รับรองความถูกต้อง (integrity) และควบคุมการเข้าถึงได้

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)#

มาตรา 40 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มี มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งรวมถึงมาตรการทางเทคนิคที่สามารถ ตรวจสอบย้อนหลัง ว่าใครเข้าถึง แก้ไข ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล PDPA ไม่ได้ระบุจำนวนวันเก็บ log ตรงๆ แต่ audit log ของการเข้าถึงข้อมูลส่วนบุคคล คือสิ่งที่จำเป็นต้องมีเพื่อพิสูจน์ว่าองค์กร comply

ℹ️ Note

PDPA และ พ.ร.บ.คอมฯ ครอบคลุมคนละมิติ: พ.ร.บ.คอมฯ เน้น network traffic log เพื่อสืบสวนอาชญากรรม ส่วน PDPA เน้น audit log การประมวลผลข้อมูลส่วนบุคคล เพื่อความรับผิดชอบขององค์กร ทั้งสองชุด log ต้องเก็บพร้อมกัน

2. Log อะไรต้องเก็บ#

ประกาศ DES 2564 และแนวปฏิบัติที่เกี่ยวข้องระบุ field สำคัญที่ต้องปรากฏใน Traffic log:

Authentication & Identity

  • user_id / username — ชื่อผู้ใช้ที่ระบุตัวตน
  • source_ip — IP Address ต้นทาง
  • mac_address — MAC ของ device (สำคัญสำหรับ DHCP log)
  • timestamp — วันที่ เวลา timezone (ต้องใช้ NTP sync กับ stratum ที่เชื่อถือได้)
  • สถานะ login สำเร็จ/ล้มเหลว

DHCP Log

  • IP ที่จ่ายออก, MAC, hostname, lease start/end
  • สำคัญมาก — ใช้ map IP กลับไปหาตัวบุคคลเมื่อเกิดเหตุ

DNS Query Log

  • domain ที่ client ร้องขอ, timestamp, client IP
  • ช่วยตรวจจับ malware C2 และ data exfiltration

Firewall / NAT Log

  • Source IP:port, Destination IP:port, protocol, action (allow/deny)
  • NAT translation table (สำคัญในองค์กรที่ใช้ private IP)

Proxy / Web Filter Log

  • URL ที่เข้าถึง, user, timestamp, bytes transferred, HTTP status

Switch Port Log (802.1X / AAA)

  • MAC ที่เชื่อมต่อ port ใด เวลาใด (สำหรับ wired access)

VPN Access Log

  • User, วันเวลา connect/disconnect, IP ที่ได้รับ, duration
⚠️ ข้อควรระวัง

หากองค์กรใช้ NAT และไม่เก็บ DHCP log ควบคู่ การระบุตัวผู้ใช้จาก IP แทบเป็นไปไม่ได้เลย การสอบสวนจะตันทันที ตรวจสอบให้แน่ใจว่า DHCP server ส่ง log ออกมาด้วย

3. เก็บนานเท่าไหร่#

ประเภท Log ระยะเวลาขั้นต่ำ ที่มา
Network Traffic log (firewall, NAT, DHCP, DNS) 90 วัน พ.ร.บ.คอมฯ มาตรา 26
Log การ authenticate เข้าระบบ 90 วัน พ.ร.บ.คอมฯ มาตรา 26
Audit log การเข้าถึงข้อมูลส่วนบุคคล แนะนำ 1 ปี PDPA มาตรา 40 (ไม่ระบุวันตรงๆ)
Log การแก้ไข/ลบ/ถ่ายโอนข้อมูลส่วนบุคคล แนะนำ 1-3 ปี PDPA มาตรา 40 + หลักความรับผิดชอบ
Log ระบบ VPN / Remote Access 90 วัน–1 ปี พ.ร.บ.คอมฯ + best practice
กรณีพิเศษ (พนักงานเจ้าหน้าที่สั่ง) สูงสุด 2 ปี ประกาศ DES 2564
Tip

PDPA ไม่ได้กำหนดตัวเลขวันเก็บ audit log ไว้ชัดเจน แนวปฏิบัติสากล (ISO/IEC 27001) แนะนำ 1 ปีสำหรับ access log และ 3 ปีสำหรับ log การเปลี่ยนแปลงข้อมูลสำคัญ ควร ตรวจสอบกับนิติกรหรือทีมกฎหมายขององค์กร เพื่อกำหนดนโยบายที่เหมาะสมกับประเภทธุรกิจ

4. Storage + Access Control#

ประกาศ DES 2564 กำหนดให้การเก็บ log ต้องมีลักษณะดังนี้:

Integrity — ห้ามแก้ไขย้อนหลัง
ใช้ write-once storage หรือ append-only log สำหรับ log ที่มีนัยสำคัญทางกฎหมาย ควรมี hash/checksum ตรวจสอบความถูกต้อง หรือใช้ฟีเจอร์ immutable index ใน Elasticsearch/OpenSearch

Encryption
Log ที่เก็บบน disk ควรเข้ารหัสด้วย AES-256 หรืออย่างน้อยเข้ารหัส volume/partition ป้องกัน unauthorized access จากระดับ OS

Access Control — Who Can See Logs

  • กำหนดสิทธิ์การอ่าน log ตาม role: SOC analyst, IT Admin, Legal/Compliance
  • ห้าม developer หรือ helpdesk สามารถลบ log ได้
  • ทุกการเข้าถึง log server เองก็ต้อง log ไว้ด้วย (meta-logging)

Availability
เก็บ log สำรองในอีก location (off-site backup หรือ cloud storage) เพื่อรับมือกรณี ransomware โจมตี log server หลัก

⚠️ ข้อควรระวัง

Log ที่ถูก encrypt หรือ delete ก่อนครบกำหนด 90 วัน มีความเสี่ยงทั้งด้านกฎหมายและการสืบสวน อย่าให้ script backup ทำ overwrite log เก่าโดยอัตโนมัติโดยไม่ตรวจสอบก่อน

5. Architecture แนะนำ#

Centralized Syslog คือจุดเริ่มต้น#

แทนที่จะให้ firewall, switch, router เก็บ log บนตัวเอง (ซึ่งพื้นที่จำกัดและหายได้เมื่อ reboot) ให้ส่งทุก log มายัง syslog server กลาง ผ่าน port 514/UDP (syslog) หรือ 6514/TCP (TLS syslog ที่ปลอดภัยกว่า)

ตัวอย่าง Stack: Graylog + OpenSearch#

[Firewall/Router] ──syslog──► [Graylog Server]
[Switch/AP]       ──syslog──►     │
[DHCP Server]     ──syslog──►     ▼ index
[VPN Gateway]     ──syslog──► [OpenSearch]
[AD/RADIUS]       ──syslog──►     │
                                  ▼ dashboard
                              [Graylog Web UI]

Graylog (open-source) เหมาะสำหรับองค์กรขนาดกลาง รองรับ syslog, GELF, Beats ใช้ OpenSearch หรือ Elasticsearch เป็น backend ค้นหา และมี retention policy ที่ตั้งค่าให้ลบ index อัตโนมัติเมื่อครบกำหนดได้

Sizing โดยประมาณ#

ขนาดองค์กร Log/วัน Storage 90 วัน (compressed)
50 users ~2 GB ~60 GB
200 users ~8 GB ~240 GB
500 users ~20 GB ~600 GB
1,000 users ~40 GB ~1.2 TB

สูตรคร่าวๆ: [GB/วัน] × 90 × 1.2 (factor 1.2 สำหรับ index overhead)

Tip

Graylog รองรับการส่ง log ออกไปยัง S3-compatible object storage (เช่น Cloudflare R2 หรือ AWS S3) สำหรับ cold archive อัตโนมัติ เมื่อ log อายุเกิน 90 วัน ช่วยประหยัด disk บน log server ได้มาก

ตัวเลือกเพิ่มเติม#

  • rsyslog + Loki + Grafana — lightweight สำหรับองค์กรเล็ก ไม่ต้องการ full-text search
  • Splunk Free — จำกัด 500 MB/วัน เหมาะ pilot หรือองค์กรขนาดเล็กมาก
  • FortiAnalyzer / Cisco Secure Analytics — สำหรับองค์กรที่ใช้ Fortinet หรือ Cisco เป็นหลัก มี compliance report สำเร็จรูป

6. Sample Policy Template#

นำ checklist นี้ไปปรับในเอกสาร Log Management Policy ขององค์กร:

ขอบเขตและวัตถุประสงค์

  • ระบุ asset ทั้งหมดที่ต้องส่ง log (firewall, switch, AP, server, VPN)
  • ระบุวัตถุประสงค์การเก็บ log (compliance, security incident, forensics)

ประเภทและ Field ที่ต้องมี

  • DHCP log มี MAC, IP, timestamp ครบ
  • Firewall log มี src/dst IP:port, action, timestamp
  • Auth log มี user_id, result, timestamp, source IP
  • DNS query log เปิดใช้งานบน DNS server ทุกตัว

ระยะเวลาและการจัดเก็บ

  • Network traffic log เก็บไม่น้อยกว่า 90 วัน
  • Audit log ข้อมูลส่วนบุคคลเก็บไม่น้อยกว่า 1 ปี
  • มี backup log ในที่แยกต่างหากจาก production

Access Control

  • กำหนด role ผู้เข้าถึง log server (read-only / admin)
  • ไม่มีสิทธิ์ลบ log ก่อนครบกำหนด ยกเว้น authorized admin
  • การเข้าถึง log server ถูก log ไว้ด้วย (meta-log)

Integrity & Security

  • Log ถูก hash/checksum หรือใช้ append-only storage
  • Disk encryption เปิดใช้งานบน log server
  • NTP sync ทุก device กับ time source เดียวกัน (ห้ามเวลาคลาดเคลื่อน)

Review และ Audit

  • ทบทวน retention policy ทุก 12 เดือน
  • มีการทดสอบ restore log จาก backup ปีละ 1 ครั้ง
  • เตรียมขั้นตอน legal hold เมื่อได้รับคำสั่งจากเจ้าหน้าที่

7. สรุป + Action Priority#

กฎหมายไทยวางกรอบไว้ชัดเจน: 90 วัน คือขั้นต่ำสำหรับ network traffic log ตาม พ.ร.บ.คอมฯ มาตรา 26 และ audit log การเข้าถึงข้อมูลส่วนบุคคล ต้องมีไว้รองรับ PDPA มาตรา 40 ทั้งสองชุดต้องเก็บแยกกัน มี access control ชัดเจน และห้ามแก้ไขย้อนหลัง

ลำดับความสำคัญ (ทำก่อน-หลัง)

  1. ทันที — เปิด syslog บน firewall และ DHCP server ส่งออกมา centralized syslog
  2. สัปดาห์แรก — ติดตั้ง Graylog หรือ rsyslog server พร้อม retention policy 90 วัน
  3. เดือนแรก — เปิด DNS query log, auth log (AD/RADIUS), VPN log
  4. ไตรมาสแรก — เขียน Log Management Policy และกำหนด role-based access
  5. ต่อเนื่อง — ทบทวน policy ทุกปี และทดสอบ restore จาก backup
ℹ️ Note

บทความนี้นำเสนอข้อมูลเพื่อการศึกษาและแนวปฏิบัติเบื้องต้น การตีความกฎหมายและการออกแบบนโยบายจริงในองค์กร ควร ตรวจสอบกับนิติกรหรือทีมกฎหมาย ที่เชี่ยวชาญด้าน PDPA และกฎหมายคอมพิวเตอร์ไทยโดยเฉพาะ

C9NETWORK รับออกแบบและติดตั้ง Centralized Syslog System พร้อม retention policy ให้ครบตามกฎหมายไทย ตั้งแต่ Graylog, rsyslog ไปจนถึง SIEM ระดับ Enterprise — ทีมงานมีประสบการณ์วางระบบ network compliance ให้องค์กรหลากหลายอุตสาหกรรมทั่วประเทศ ติดต่อขอคำปรึกษา

← กลับไปรายการบทความ
โดย Apinan