หลังจากเมื่อวันที่ 25 พฤษภาคม 2560 ที่ผ่านมามีกฎระเบียบคุ้มครองข้อมูลทั่วไป หรือ GDPR (General Data Protection Regulation) ออกมา และระบุว่าองค์กรธุรกิจทั่วโลกต้องเตรียมความพร้อมให้กับองค์กรของตน แต่ผลสำรวจล่าสุดกลับพบว่า ผู้บริหารระดับ ซี (Executive Level C) ยังไม่ได้ตื่นตัวเกี่ยวกับกฎระเบียบดังกล่าวอย่างจริงจัง และยังมีความมั่นใจอย่างผิดๆ ว่าจะสามารถรับมือกับกฎระเบียบนี้ได้
จีดีพีอาร์ (GDPR) หรือกฎระเบียบคุ้มครองข้อมูลทั่วไป นั้นเป็นร่างกฎหมายให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่ ที่ออกโดยคณะมนตรีแห่งสหภาพยุโรปและรัฐสภายุโรปและจะมีผลบังคับใช้แทนกฎหมายฉบับปัจจุบัน คือ EU Data Protection Directive ที่บังคับใช้โดยหน่วยงานกำกับดูแลของแต่ละประเทศสมาชิกมาตั้งแต่ปี 2538
โดยเนื้อหาใจความของกฏ จีดีพีอาร์ คือการกำหนดให้ธุรกิจต่างๆ โดยเฉพาะอย่างยิ่งธุรกิจบริการทางอินเทอร์เน็ตต้องปฏิบัติตามมาตรการโดยเพิ่มความเข้มงวดในการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค โดยธุรกิจใดๆ ที่มีกิจกรรมหลักเกี่ยวข้องกับการประมวลข้อมูลส่วนบุคคลของลูกค้า
จะต้องแต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูล” (Data Protection Officer) และต้องระบุ “เงื่อนไข” การใช้งานในด้านของสิทธิส่วนบุคคลด้วยภาษาที่ชัดเจน และเข้าใจง่าย อีกทั้งยังต้องขอรับความยินยอมจากผู้ใช้บริการ ในการจัดเก็บ และใช้งานข้อมูล โดยห้ามมิให้ธุรกิจต่างๆ สรุปเอง จากการที่ลูกค้าไม่โต้แย้งเงื่อนไข
หรือไม่ได้กรอกแบบฟอร์มยอมรับเงื่อนไขการใช้บริการว่าเป็นการให้ความยินยอมโดยลูกค้า เนื่องจากมาตรการใหม่ที่อียูจะกำหนดให้ใช้ภายใต้ร่างกฎหมายฉบับนี้ มีระบุไว้ด้วยว่า ผู้บริโภคจะถูกคุ้มครองด้วยมาตราการ “สิทธิที่จะถูกลืม” (rights to be forgotten) โดยผู้ให้บริการที่มีข้อมูลส่วนบุคคลในอินเทอร์เน็ตโดยไม่มีความเกี่ยวข้อง ล้าสมัย หรือไม่มีความสำคัญอีกต่อไป
ผู้ให้บริการจะต้องลบข้อมูลดังกล่าว ตามคำร้องของบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ และไม่สามารถนำใช้ข้อมูลของอดีตลูกค้าในการทำการตลาด หากลูกค้าไม่ให้ความยินยอมอย่างชัดเจน เช่น การส่งข้อมูลโฆษณาสินค้าหรือบริการทางอีเมล์ ไม่สามารถทำได้อีกต่อไป
เนื่องจากผู้บริโภคมีสิทธิความเป็นเจ้าของ และสามารถโยกย้ายข้อมูลส่วนบุคคลดังกล่าวไปบริษัทคู่แข่ง หรือสามารถขอให้บริษัทลบข้อมูลดังกล่าวออกจากฐานข้อมูลได้ ซึ่งหากผู้ให้บริการ ไม่ปฏิบัติตาม จะโดนปรับมากถึง 20 ล้านยูโร หรือร้อยละ 4 ของรายได้ทั้งหมดทั่วโลกของบริษัท
แล้วแต่ว่าจำนวนใดจะสูงกว่า โดยกฏ จีดีพีอาร์ นั้นถือเป็นกฏที่ผลผลบังคับใช้ทั่วโลก ไม่ใช่เพียงในประเทศสมาชิกอียูเท่านั้น เนื่องจากจะพิจรณาจากการที่บริษัทฯ ลูกค้าอยู่นอกอียูด้วย แม้ว่าจะมีการยกเว้นสำหรับธุรกิจขนาดกลางและขนาดย่อม (SMEs) แต่หากกิจกรรมของธุรกิจ SMEs ใช้การเก็บและประมวลข้อมูลจำนวนมาก ธุรกิจดังกล่าวจะต้องอยู่ภายใต้ข้อบังคับของ จีดีพีอาร์ ด้วย
GDPR Crisis to Corporate Business
แต่ถึงกฏดังกล่าวจะมีผลบังคบใช้มาตั้งแต่ปี 2558 หรือกว่า 2 ปีี แล้ว แต่เมื่อมีการสำรวจกับพบว่า มีหลายผู้ให้บริการที่ไม่ได้ให้ความสนใจต่อกฏ โดยเฉพาะผู้บริหารระดับ ซี มักจะหลีกเลี่ยงที่จะรับผิลชอบ หรือไม่ทราบอยู่มาก โดยจากการเปิดเผยบริษัท เทรนด์ ไมโคร อินคอร์ปอเรท ผู้นำระดับโลกด้านโซลูชั่นรักษาความปลอดภัยทางไซเบอร์ ซึ่งดำเนินการสำรวจเรื่อง จีดีพีอาร์ พบว่า
การรับรู้ในหลักการของดีพีอาร์ มาจากผู้นำองค์กรธุรกิจมากถึง 95% รับทราบว่าพวกเขาจำเป็นต้องปฏิบัติตามกฎระเบียบดังกล่าว และ 85% กำลังศึกษาข้อกำหนดของกฎระเบียบดังกล่าว นอกจากนี้ 79% ขององค์กรธุรกิจยังมั่นใจด้วยว่าข้อมูลของตนมีความปลอดภัยสูงสุด
แม้ว่าการรับรู้ดังกล่าวจะมีสัดส่วนที่สูง แต่ก็ยังคงมีความสับสนบางอย่างเกี่ยวกับเรื่องความจำเป็นในการคุ้มครองข้อมูลที่ระบุตัวบุคคลได้ (Personally Identifiable Information: PII) โดยผลการสำรวจพบว่า 64% ไม่ได้ตระหนักว่าวันเกิดของลูกค้าถือเป็น PII ขณะที่ 42% ไม่ได้จำแนกประเภทของฐานข้อมูลการตลาดทางอีเมลว่าเป็น PII
ขณะที่องค์กรธุรกิจกว่า 32% ไม่ได้สนใจ และ 21% ไม่ได้มองว่าที่อยู่อีเมลของลูกค้าเป็น PII ด้วยเช่นกัน นอกจากนี้ผลการศึกษาดังกล่าวแสดงให้เห็นว่าองค์กรธุรกิจไม่ได้เตรียมความพร้อมด้านความปลอดภัยเนื่องจากพวกเขามีความเชื่อมั่นในตัวเองเป็นอย่างสูง
ทั้งนี้ ข้อมูลดังกล่าวถือเป็นข้อมูลสำคัญที่จะช่วยให้แฮกเกอร์มีทุกสิ่งที่พวกเขาต้องการในการจารกรรมข้อมูลประจำตัว และองค์กรธุรกิจที่ไม่ได้มีแนวทางการป้องกันข้อมูลนี้อย่างเหมาะสมก็จะอาจเสี่ยงที่จะต้องเสียค่าปรับได้ c]tจากการสำรวจพบว่า 66% ไม่ได้สนใจจำนวนเงินที่อาจถูกปรับกรณีที่องค์กรไม่มีแนวทางป้องกันที่เหมาะสม
มีเพียง 33% เท่านั้นที่ตระหนักว่าอาจส่งผลกระทบต่อเงินหมุนเวียนรายปีมากถึง 4% ที่ต้องสูญเสียไป นอกจากนี้ 66% ขององค์กรธุรกิจยังเชื่อว่าการเสียชื่อเสียงและคุณค่าของแบรนด์เป็นสิ่งสำคัญสูงสุดหากเกิดการละเมิดขึ้น
โดย 46% ของผู้ตอบแบบสอบถามเชื่อว่าสิ่งนี้สามารถสร้างผลกระทบสูงสุดให้กับฐานลูกค้าที่มีอยู่ได้ ทัศนคติดังกล่าวนี้กำลังเป็นสัญญาณเตือนแจ้งให้ทราบว่าองค์กรธุรกิจอาจถูกปิดกิจการชั่วคราวในกรณีที่เกิดการละเมิดขึ้น ขณะที่องค์กรธุรกิจส่วนหนึ่งมีความไม่แน่ใจเกี่ยวกับผู้ที่มีหน้าที่รับผิดชอบต่อกรณีที่ข้อมูลของสหภาพยุโรป (EU) เกิดความสูญหายภายใต้การดูแลของผู้ให้บริการในสหรัฐอเมริกา
โดยมีเพียง 14% ที่สามารถระบุได้อย่างถูกต้องว่ากรณีข้อมูลสูญหายนั้นเป็นความรับผิดชอบของทั้งสองฝ่ายร่วมกัน ซึ่ง 51% เชื่อว่าค่าปรับจะต้องตกเป็นความรับผิดชอบของเจ้าของข้อมูลใน EU ขณะที่ 24% คิดว่าผู้ให้บริการในสหรัฐอเมริกาจะต้องเป็นผู้รับผิดชอบทั้งหมด
นอกจากนี้ องค์กรธุรกิจยังไม่แน่ใจว่าใครจะควรเป็นผู้ดูแลด้านการปฏิบัติตามกฎระเบียบดังกล่าวด้วย จากการสำรวจพบว่า 31% เชื่อว่าประธานเจ้าหน้าที่ฝ่ายบริหาร หรือ ซีอีโอ มีหน้าที่รับผิดชอบในการเป็นผู้นำด้านการปฏิบัติตามกฎระเบียบ จีดีพีอาร์ ขณะที่ 27% คิดว่าประธานเจ้าหน้าที่ฝ่ายระบบสารสนเทศ หรือ ซีไอเอสโอ และทีมดูแลความปลอดภัยควรเป็นผู้นำ
อย่างไรก็ตาม มีองค์กรธุรกิจเพียง 21% เท่านั้นที่มีผู้บริหารระดับสูงเข้ามาเกี่ยวข้องในกระบวนการ จีดีพีอาร์ ขณะที่ 65% มีฝ่ายไอทีเป็นผู้นำ และมีเพียง 22% ที่มีสมาชิกในทีมบริหารเข้ามาเกี่ยวข้องกับเรื่องนี้ ในสถานการณ์ที่ภัยคุกคามกำลังขยายตัวอย่างต่อเนื่องยากที่จะจัดการได้อย่างครอบคลุม
ซึ่งองค์กรธุรกิจต้องเผชิญคือขาดผู้เชี่ยวชาญในการรับมือกับสถานการณ์ดังกล่าว และจำเป็นต้องใช้เทคโนโลยีป้องกันข้อมูลแบบระดับชั้น โดยกฎระเบียบ จีดีพีอาร์ กำหนดให้องค์กรธุรกิจต้องนำเทคโนโลยีที่ทันสมัยมาปรับใช้ในองค์กรเพื่อรับมือกับความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นได้
แต่มีองค์กรธุรกิจเพียง 34% เท่านั้นที่มีความสามารถขั้นสูงในการระบุตัวผู้บุกรุก ขณะที่ 33% ได้ลงทุนในเทคโนโลยีการป้องกันข้อมูลรั่วไหล และ 31% ได้นำเทคโนโลยีการเข้ารหัสเข้ามาใช้ในองค์กรแล้ว ซึ่งในส่วนที่ไม่มีการป้องกันย่อมหมายถึงความเสี่ยงที่เพิ่มขึ้นจากการถูกโจมตีทาง Cyber Attack
ขอขอบคุณข้อมูลบางส่วนจาก : บริษัท เทรนด์ ไมโคร อินคอร์ปอเรท ส่วนขยาย *PII : Personally Identifiable Information **ระยะเวลาดำเนินการสำรวจ 22 พฤษภาคม - 28 มิถุนายน 2560
สามารถกดติดตาม ข่าวสาร และบทความทางด้านเทคโนโลยี ของเราได้ที่
