GDPR

ช่วงนี้มีแต่ข่าวเรื่องของ ข้อมูลรั่วไหล ออกจากองค์กรใหญ่ๆ ไม่ว่าจะเป็นกรณีของ Facebook จนมาถึง True Move H ในบ้านเรา ทำให้หลายๆคนอาจเริ่มกังวลกับการเก็บข้อมูล กันเพิ่มมากขึ้น ซึ่งในกลุ่มประเทศยุโรปเองก็ตระหนัก และได้สร้างกฎการคุ้มครองข้อมูลส่วนตัว หรือ GDPR ขึ้น และจะบังคับใช้กันในเดือนเดือนพฤษภาคมปีนี้แล้ว

What is GDPR?

หลายๆท่านคงสงสัยว่า จีดีพีอาร์ นั้นคืออะไร? ทำไม่ถึงจำเป้นต้องรู้ แล้วมีผลอย่างไรต่อธุรกิจ คำตอบของคำถามในเรื่องนี้ วิชญ์ วงศ์หาญเชาว์ Business Development – Digital Transformation บริษัท ยิบอินซอย จำกัด ได้ออกเปิดเผยให้ฟังว่า เราเคยตั้งคำถามกับตัวเองว่าหรือยังว่า

เราได้เคยเปิดเผยข้อมูลส่วนตัวไปกับการทำธุรกรรมใดบ้าง อย่างเช่น ติดต่อกับธนาคาร หน่วยบริการสุขภาพ ลงทะเบียนใช้งานผ่านอินเทอร์เน็ต หรือเล่นโซเชียลเน็ตเวิร์ค และในแต่ละครั้งเราต้องเปิดเผยข้อมูลส่วนตัวไปมากแค่ไหน เป็นการให้ข้อมูลเพียงชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์

GDPR

หรือละเอียดถึงขั้นต้องให้เลขที่บัตรประชาชน เลขบัตรเครดิต หรือกระทั่งการตั้งพาสเวิร์ด ซึ่งถูกบันทึกไว้ในระบบของผู้ให้บริการ รวมถึงเราจะมั่นใจได้อย่างไรกับการที่องค์กรหรือหน่วยงานผู้ให้บริการเหล่านั้นต่างการันตีว่า ข้อมูลส่วนตัวของเราจะไม่ถูกเปิดเผยจนได้รับความเสียหาย หรือถูกนำไปใช้เพื่อประโยชน์ทางธุรกิจอื่นใด

จะเห็นว่า หลายประเทศในขณะนี้ เริ่มมีความกังวลต่อการเข้าถึงและใช้งานข้อมูลบิ๊ก ดาต้าแบบชนิดไร้พรมแดนจนเกินขีดความสามารถที่แต่ละประเทศจะกำกับดูแลให้ใช้งานได้อย่างเหมาะสมและไม่ขัดต่อการทำผิดกฎหมาย โดยเฉพาะการป้องกันไม่ให้เกิดการใช้งานที่ละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล

ซึ่งปัจจุบันมีกฎหมายหรือข้อบังคับในการกำกับดูแลการเข้าถึงข้อมูลในหลายรูปแบบ อาทิ กฎหมายปกป้องข้อมูลที่ใช้เฉพาะในแต่ละประเทศ กฎหมายกำกับการใช้ข้อมูลเป็นการเฉพาะในแต่ละอุตสาหกรรม ไปจนถึงกฎหมายคุ้มครองการรับ-ส่งข้อมูลข้ามพรมแดนในรูปแบบประเทศต่อประเทศ หรือองค์กรต่อองค์กร

GDPR
วิชญ์ วงศ์หาญเชาว์ Business Development – Digital Transformation บริษัท ยิบอินซอย จำกัด.

ทำให้วันนี้เราต้องมาคุยต่อถึง กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป (อียู) ที่เรียกว่า จีดีพีอาร์ (General Data Protection Regulation)” ซึ่งเป็นกฎข้อบังคับที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพลเมืองชาวอียูที่อาศัยกลุ่มประเทศสหภาพยุโรป รวมถึงในประเทศต่างๆ ทั่วโลก

และกำลังจะมีผลบังคับใช้ในเดือนพฤษภาคมปีนี้  เราจะเห็นว่า แม้ จีดีพีอาร์ จะเป็นกฎหมายที่ออกโดย อียู แต่ก็เป็นสิ่งที่ไม่ควรมองข้าม เพราะมีอำนาจครอบคลุมการใช้งานข้อมูลส่วนบุคคลที่กว้างขวางในระดับประเทศต่อประเทศเลยทีเดียว

ความเข้มข้นของ จีดีพีอาร์ คือ การไม่ยินยอมให้มีการไหลออกของข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองที่ต่ำกว่า หรือไม่ได้มาตรฐาน ซึ่งถ้าหากประเทศที่ประกอบธุรกิจ หรือเกี่ยวข้องกับอียูจะด้วยเรื่องใด เกิดตกชั้นเรื่องเกณฑ์การคุ้มครองข้อมูลตามที่ จีดีพีอาร์ กำหนด ก็จะเสียโอกาสในการทำธุรกิจกับอียูไปโดยปริยาย

ส่วนกฎของ จีดีพีอาร์ ที่ประเทศหรือองค์กรไทยที่มีการประกอบธุรกิจ หรือติดต่อกับพลเมืองของอียู ควรจะศึกษาและเตรียมความพร้อมแต่เนิ่น ๆ สรุปโดยย่อ ได้แก่ การที่ประเทศหรือองค์กรนั้น ๆ ต้องกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้แล้วแต่กรณี

ซึ่งหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม (consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้น ๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง

นอกจากนี้ องค์กรต่าง ๆ ต้องสร้างมาตรฐานการปกป้องข้อมูลส่วนบุคคลเพื่อกันการสูญหาย หรือถูกนำไปเปิดเผยโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล จะต้องมีระบบแจ้งเตือนเมื่อเกิดข้อมูลรั่วไหล โดย จีดีพีอาร์ กำหนดให้ต้องรายงานความเสียหายที่เกิดขึ้นภายใน 72% ชั่วโมง

GDPR

รวมถึงการประเมินแนวนโยบายการปกป้องข้อมูล เพื่อนิยามความเสี่ยงที่มีผลต่อข้อมูลของลูกค้า การทบทวนข้อปฏิบัติเพื่อบ่งชี้ความเสี่ยงได้อย่างแม่นยำ ซึ่งประเทศหรือองค์กรที่ไม่ปฏิบัติตามข้อบังคับของ จีดีพีอาร์ จะมีบทลงโทษด้วยการเสียค่าปรับตั้งแต่สิบถึงยี่สิบล้านยูโรเลยทีเดียว

มองในมุมบวก จีดีพีอาร์ จึงไม่ต่างจากการสร้างมาตรฐานใหม่ของการปกป้องข้อมูลที่ทำให้เจ้าของข้อมูลเข้าใจถึงสิทธิความเป็นส่วนตัวของข้อมูลที่ต้องไม่ถูกละเมิด ขณะที่องค์กรหรือหน่วยงานต่าง ๆ สามารถใช้เป็นโอกาสในการยกระดับระบบบริหารจัดการข้อมูลเพื่อเพิ่มประสิทธิภาพการดำเนินงาน

หรือการประกอบธุรกิจ และสร้างความเชื่อมั่นในสายตาลูกค้า ผ่านการนิยามข้อมูลส่วนบุคคลให้ชัดเจน และกำหนดระดับการป้องกันอย่างเข้มข้น ทั้งนี้ กฎของ จีดีพีอาร์ ได้ช่วยกำหนดนิยามข้อมูลส่วนบุคคลที่ให้การคุ้มครองไว้ชัดเจนไว้แล้ว ซึ่งประกอบด้วย ข้อมูลที่ใช้ระบุตัวตนเบื้องต้น

เช่น ชื่อ ที่อยู่ เลขที่บัตรประชาชน ข้อมูลที่ระบุตัวตนบนเว็บ เช่น จุดที่อยู่ (Location) ไอพีแอดเดรส ข้อมูลบันทึกการเข้าเว็บไซต์ (Cookies) ป้ายอิเล็กทรอนิกส์ที่อ่านค่าได้ด้วยคลื่นวิทยุ (RFID tag) ข้อมูลทางด้านสุขภาพและพันธุศาสตร์ ข้อมูลด้านชีววิทยา ข้อมูลด้านชาติพันธุ์หรือชนกลุ่มน้อย หรือ ข้อมูลความคิดเห็นทางการเมือง เป็นต้น

GDPR

ซึ่งการดำเนินการจะครอบคลุมใน 3 ขั้นตอน คือ

  • ขั้นตอนการจัดเก็บข้อมูล (Data Collectors) ซึ่งเป็นการกำหนดวัตถุประสงค์และแนวปฏิบัติในการจัดเก็บข้อมูลประเภทต่าง ๆ เพื่อใช้ในการประมวลผลไว้ให้ชัดเจน
  • ขั้นตอนการประมวลผลข้อมูล (Data Processors)  โดยการนำข้อมูลไปประมวลผลจะต้องทำบนความรับผิดชอบที่จะไม่ให้เกิดการรั่วไหลของข้อมูล หรือนำไปใช้งานที่ไม่ตรงตามวัตถุประสงค์หรือข้อกำหนดที่วางไว้
  • ขั้นตอนการปกป้องข้อมูล (Data Protection) คือ การจัดให้มีเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Officer-DPO) ที่มีหน่วยงานการกำกับควบคุมโดยตรง (Supervisory Authorities) เพื่อติดตามดำเนินการให้เป็นไปตามกลยุทธ์ด้านความปลอดภัยของข้อมูลตามข้อบังคับของ จีดีพีอาร์ หรือจะลงรายละเอียดถึงระดับของการประเมินความเสี่ยง (Risk Assessment)หรือประเมินผลกระทบต่อความเป็นส่วนตัว (Privacy Impact Assessment – PIA) ก็ไม่ว่ากัน เพราะนั่นจะยิ่งเป็นการการันตีว่า เรามีความตั้งใจปฏิบัติตามกฎการคุ้มครองข้อมูลส่วนบุคคล และพยายามลดความเสี่ยงทุกรูปแบบในสายตาของนานาประเทศเมื่อติดต่อกับองค์กรของเรา

GDPR

โดยเมื่อไม่นานมานี้ อาร์เอสเอ ซีเคียวริตี้ อิงค์ (RSA Security Inc.) บริษัทซึ่งให้บริการเทคโนโลยีด้านความปลอดภัยบนระบบเครือข่ายและการพิสูจน์ตัวตนได้ออกมาเปิดเผยรายงานเรื่อง “ความปลอดภัยและความเป็นส่วนตัวของข้อมูล” ที่บริษัทได้ทำการสำรวจลูกค้ากว่า 7,500 ราย ในประเทศฝรั่งเศส เยอรมัน อิตาลี อังกฤษ

และสหรัฐอเมริกา พบว่า 80% ของผู้เป็นเจ้าของข้อมูลกังวลกับการสูญหายของข้อมูลทางการเงินการธนาคารเป็นอันดับต้น 76% กังวลถึงข้อมูลที่ใช้เพื่อสร้างความปลอดภัย เช่น พาสเวิร์ด และข้อมูลที่ระบุตัวตน เช่น พาสปอร์ต ใบอนุญาตขับขี่รถว่าจะสูญหาย หรือโดนแฮค 62% เลือกที่จะตำหนิบริษัท

เมื่อข้อมูลสูญหายแทนการกล่าวโทษแฮคเกอร์ 41% จึงตั้งใจให้ข้อมูลเท็จเมื่อมีการลงชื่อเข้าใข้บริการออนไลน์ต่าง ๆ ขณะเดียวกัน 72% จะบอยคอทบริษัทที่เพิกเฉยต่อการปกป้องข้อมูลของพวกเขา และ 50% เลือกที่จะซื้อของกับบริษัทที่พิสูจน์ตัวเองได้ว่า ให้ความสำคัญอย่างมากกับการปกป้องข้อมูล

รายงานฉบับดังกล่าวได้สรุปส่งท้ายว่า ธุรกิจจะเดินสู่การเปลี่ยนถ่ายข้อมูลยุคดิจิทัล โดยการใช้ประโยชน์จากบริการสินทรัพย์ข้อมูลดิจิทัล และบิ๊ก ดาต้า อย่างต่อเนื่องได้นั้น จะต้องแม่นยำในการสอดส่องและปกป้องข้อมูลที่เกิดขึ้นในแต่ละวัน

ส่วน ไพร้ซวอเตอร์เฮาส์คูเปอร์ส (PWC) ซึ่งสำรวจบริษัทสัญชาติอเมริกัน พบว่า 92% มีการพิจารณาถึงข้อบังคับของ จีดีพีอาร์ และเห็นว่า มีความสำคัญเป็นอันดับต้นในการปกป้องข้อมูล

GDPR

แล้วเราจะสร้างหรือรักษาโอกาสทางธุรกิจท่ามกลางความกังวลของลูกค้าเหล่านี้ได้อย่างไร…

การศึกษาที่มาที่ไป และประเภทของข้อมูลที่มีหรือใช้อยู่ในองค์กร การศึกษาถึงการไหลของข้อมูลซึ่ง ณ เวลานี้ อาจต้องเน้นข้อมูลที่เกี่ยวข้องกับ อียู ว่ามีผลกระทบต่อธุรกิจอย่างไร ข้อมูลได้ถูกจัดเก็บและมีการประมวลผล ณ ที่ใด และหากข้อมูลนั้นถูกจัดเก็บ

และประมวลผลอยู่ภายนอกองค์กรจะเป็นอย่างไร น่าจะเป็นจุดเริ่มต้นที่ดีในการตอบรับกฎของ จีดีพีอาร์ ขั้นตอนต่อไป คือ การประเมินระบบความปลอดภัยด้านข้อมูล เพื่อดูว่าส่วนใดที่เป็นไปตามกฎของ จีดีพีอาร์ แล้ว ส่วนใดที่ต้องตรวจสอบและปรับปรุงต่อเนื่องต่อไป

ซึ่งหากไม่มีแผนตอบรับความเสี่ยงต่อการรั่วไหลของข้อมูลก็ให้ดำเนินการเสีย หรือถ้ามีอยู่แล้วก็ต้องทดสอบแผนว่า สามารถบรรเทาความเสียหายได้ภายใน 72 ชั่วโมงหรือไม่ เพราะการปรับปรุงแผนให้สอดรับกับกฎของ จีดีพีอาร์ จะเป็นหนทางหนึ่งในการการันตีความได้เปรียบทางการแข่งขันทางธุรกิจหรือบริการกับกลุ่มประเทศในกลุ่มอียูได้อย่างแน่นอน

สำหรับองค์กรที่ทำงานร่วมกับผู้ให้บริการด้านไอที เช่น ผู้ให้บริการด้านคลาวด์ เวนเดอร์ในการให้บริการซอฟต์แวร์ (SaaS) อยู่แล้ว หรืออยู่ระหว่างพิจารณาคัดเลือกผู้ให้บริการระบบความปลอดภัยเพิ่มเติม จะต้องแน่ใจว่า ผู้ให้บริการหรือเวนเดอร์นั้น ๆ จะต้องเข้าใจ

และให้ความสำคัญกับการแสวงหามุมมองใหม่ ๆ ด้านเทคโนโลยีเพื่อพัฒนาระบบความปลอดภัยด้านสารสนเทศ ทั้งมีความพร้อมที่ขับเคลื่อนไปข้างหน้าด้วยกันในฐานะภาคีทางธุรกิจ โดยเฉพาะงานด้านความปลอดภัยในการประมวลผลข้อมูลตามกฎของ จีดีพีอาร์

GDPR

ซึ่งเป็นงานเร่งด่วนในขณะนี้ รวมถึงเป็นการเตรียมรับมือต่อกฎด้านความปลอดภัยอื่นใดที่จะเกิดขึ้นต่อไปในอนาคต เพราะเมื่อโลกของข้อมูลนั้นไร้พรมแดน และเต็มไปด้วยบรรดาอาชญากรคอมพิวเตอร์ที่ยังคงท้าทายกฎหมายด้วยการสร้างเว็บไซต์ปลอม หรือ ฟิชชิ่ง สแกม (Phishing Scam) แฮคเกอร์ที่ยังคงใช้เทคโนโลยีที่ก้าวหน้า

เพื่อล้วงลึกข้อมูลเพื่อหาประโยชน์อันมิควรได้ การนำข้อมูลส่วนบุคคลที่ถูกนำไปใช้ประโยชน์ทางการค้า หรือถูกเปิดเผยโดยไม่ได้รับอนุญาตบนโลกโซเชียลและสร้างความเสียหายให้เจ้าของข้อมูลจะโดยความตั้งใจหรือไม่ก็ตาม จะยิ่งทำให้การสร้างกฎเกณฑ์และข้อบังคับเพื่ออุดรอยรั่วต่างๆ เหล่านี้ก็จะยิ่งเข้มข้นมากขึ้น

จึงขึ้นอยู่กับว่า องค์กรจะสามารถบริหารดุลยภาพระหว่างกฎเกณฑ์ที่เข้มงวดกับแนวปฏิบัติภายในองค์กรได้อย่างเหมาะสม และแปรเปลี่ยนให้เป็นอาวุธที่สร้างมูลค่าทางธุรกิจได้หรือไม่นั่นเอง

ส่วนขยาย

* บทความนี้เรียบเรียงขึ้นเพื่อวิเคราะห์ในแง่มุมที่น่าสนใจ ไม่มีวัตถุมุ่งเพื่อโจมตี หน่วยงานใดหน่วยงานหนึ่ง 
** Compose : ชลัมพ์ ศุภวาที (Editors and Reporters)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com

สามารถกดติดตาม ข่าวสาร และบทความทางด้านเทคโนโลยี ของเราได้ที่