Data Privacy กับ Digital Trust ความเป็นส่วนตัวของข้อมูลบนความเชื่อมั่นด้านความปลอดภัย
ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น
บริษัท ยิบอินซอย จำกัด
บนโลกดิจิทัล ข้อมูลคือขุมทรัพย์มูลค่ามหาศาล โดยเฉพาะข้อมูลส่วนบุคคล (Personal Data) ที่สามารถสร้างมูลค่าทางธุรกิจให้กับผู้ผลิตสินค้าและบริการ การได้มาซึ่งข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ และข้อมูลที่มีความอ่อนไหวสูง (Sensitive Data) เช่น ข้อมูลที่บ่งบอกพฤติกรรมการใช้ชีวิตและการบริโภค รสนิยม ข้อมูลสุขภาพ ซึ่งทำให้องค์กรสามารถนำข้อมูลเหล่านั้นมาวิเคราะห์เพื่อนำเสนอสินค้าและบริการใหม่ ๆ ให้กับลูกค้าได้โดยใช้เวลาน้อยลง และเกิดผลสัมฤทธิ์แบบ วิน-วิน กล่าวคือ ลูกค้าให้การยอมรับต่อการนำข้อมูลส่วนตัวไปใช้ประโยชน์อย่างเจาะจงเพื่อตอบสนองความต้องการที่ตรงจุดและโดนใจได้แม่นยำกว่าในอดีต ขณะที่การดูแลเอาใจใส่ที่ลูกค้าได้รับเป็นพิเศษจะนำมาซึ่งความจงรักภักดี (Loyalty) ที่ยั่งยืนต่อสินค้าและบริการขององค์กรได้ด้วย
ครบทุกมิติการจัดการข้อมูลความเป็นส่วนตัว - Data Privacy Management (DPM)
หน่วยงานที่ดูแลความปลอดภัยด้านไอทีมีบทบาทสำคัญโดยตรงต่อการลดความเสี่ยงและสร้างความเชื่อมั่นด้านความปลอดภัย (Digital Trust) ต่อข้อมูลความเป็นส่วนตัว โดยต้องทำให้ลูกค้าไว้วางใจได้ว่า หนึ่ง การใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับแอปพลิเคชันหรือบริการอื่นใดทั้งในองค์กร นอกองค์กร หรือเชื่อมโยงข้ามพรมแดน จะถูกเก็บรวบรวม เข้าถึง ประมวลผล และเคลื่อนย้ายถ่ายโอนอย่างเหมาะสม ปลอดภัย สอง สามารถสร้างประโยชน์แบบเฉพาะเจาะจง (Hyper-Personalization) ตรงตามสัญญาที่ให้ไว้กับเจ้าของข้อมูล และเป็นไปตามธรรมาภิบาลด้านข้อมูล (Data Governance) บนความโปร่งใส เป็นธรรม และ สาม ต้องได้รับการปฏิบัติและคุ้มครองตามกฎหมายหรือระเบียบข้อบังคับที่เกี่ยวข้องทั้งในและต่างประเทศ เช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย กฎหมายคุ้มครองข้อมูลส่วนบุคคลเขตสหภาพยุโรป (GDPR) กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) สหรัฐอเมริกา เป็นต้น อย่างไรก็ตาม การบริหารการจัดการด้าน Data Privacy ไม่ได้เป็นเรื่องของการจัดการเฉพาะข้อมูลเท่านั้น แต่ยังรวมถึง
การจัดตั้งบุคคล (People) หรือกลุ่มบุคคล ที่เข้ามารับผิดชอบการบริหารจัดการความเป็นส่วนตัวของข้อมูล ได้แก่ คณะกรรมการกำกับดูแลข้อมูล (Data Governance Committee) คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee) หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) คณะกรรมการบริหารนิติบุคคลที่เกี่ยวข้องกับบทปรับ บทลงโทษ และความเสียหายที่เกิดขึ้นจากกรณีที่มีการร้องเรียนเนื่องจากการนำข้อมูลไปใช้ไม่เป็นไปตามความยินยอมของเจ้าของข้อมูลหรือกฎระเบียบต่าง ๆ
การกำกับดูแลทุกกระบวนการ (Process) ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการทำหน้าที่ของผู้เก็บและควบคุมข้อมูล (Data Controller) เช่น องค์กรธุรกิจผู้เป็นเจ้าของฐานข้อมูลลูกค้า ผู้นำข้อมูลของลูกค้าไปประมวลผล (Data Processor) เพื่อนำเสนอแอปพลิเคชันหรือบริการทางธุรกิจต่าง ๆ หรือ การเข้าถึงโดยเจ้าของข้อมูลส่วนบุคคลเอง (Data Subject) เพื่อให้ครอบคลุมครบถ้วนทั้ง การได้มาซึ่งข้อมูล การจัดเก็บและนำข้อมูลไปใช้ตามความยินยอม (Consent) ของเจ้าของข้อมูล การระบุแหล่งที่มา การจัดกลุ่มและแสดงความเชื่อมโยงของข้อมูล การระบุความเสี่ยงเพื่อกำหนดแนวทางบริหารด้านความปลอดภัยของข้อมูล ตลอดจนกำกับการเข้าถึง แก้ไข ลบ ระงับใช้ โอนย้าย อนุญาตหรือคัดค้านการนำข้อมูลไปประมวลผล เป็นต้น
ความท้าทายในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ในอนาคต ข้อมูลส่วนบุคคลที่องค์กรจัดเก็บจะไม่จบแค่ข้อมูลพื้นฐานที่มีการเปลี่ยนแปลงน้อย (Static Data) เช่น ชื่อ-นามสกุล ที่อยู่ หรือ เลขบัตรประชาชนอีกต่อไป แต่ต้องเพิ่มการจัดเก็บข้อมูลที่อ่อนไหวสูงซึ่งเคลื่อนไหวเปลี่ยนแปลงตลอดเวลา (Dynamic Data) เช่น ข้อมูลใช้จ่ายผ่าน e-payment พฤติกรรมการใช้ชีวิตส่วนบุคคล ซึ่งการจัดเก็บและบริหารข้อมูลจำนวนมหาศาลย่อมมาพร้อมกับความ ท้าทายที่องค์กรทุกแห่งต้องเผชิญ ทั้งต้องปรับเปลี่ยนให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลทั้งของไทยและต่างประเทศ รวมถึงการกำกับดูแลข้อมูลบนหลักธรรมาภิบาล (Data Governance) ของแต่ละองค์กร
ดังนั้น สิ่งจำเป็นที่ต้องเปลี่ยนอย่างเร่งด่วนเพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ถูกต้องนั้นคือ การกำหนดปริมาณข้อมูลที่จัดเก็บ การจัดการแหล่งที่มาของข้อมูล และการเชื่อมโยงของข้อมูลตามความยินยอม (Consent) จากเจ้าของข้อมูล ซึ่งในแต่ละส่วนมีการจัดการหลายขั้นตอน ต้องอาศัยเครื่องมือหลากหลายประเภทเพื่อเสริมประสิทธิภาพในการตอบสนองต่อการเติบโตและการเปลี่ยนแปลงของข้อมูลตลอดเวลา โดยเฉพาะเครื่องมือจัดเก็บและวิเคราะห์ข้อมูลให้สามารถรับมือกับการทะลักเข้ามาของข้อมูล รวมถึงช่วยแจ้งเตือนเรื่องความเสี่ยงและความเสียหายที่อาจเกิดขึ้นกับองค์กรจากความผิดพลาดในการบริหารจัดการข้อมูล ตลอดจนมีความยืดหยุ่นเพื่อรองรับการเปลี่ยนแปลงไปตามกฎข้อบังคับต่าง ๆ ที่มีในปัจจุบัน และที่จะเกิดขึ้นตามมาในอนาคต
5 เคล็ดลับเสริมการจัดการข้อมูลส่วนบุคคล
คุณสมบัติเบื้องต้นของเครื่องมือที่เข้ามาช่วยบริหารจัดการข้อมูลส่วนบุคคล ควรครอบคลุม “ลักษณะของงานบริหาร” ดังนี้
1. Data Inventory and Mapping – เครื่องมือในการค้นหาข้อมูล (Data Discovery Tools) ทั้งภายในและภายนอกองค์กร และนำมาแสดงเป็นภาพแผนที่ของคลังข้อมูลส่วนบุคลากร รวมถึงแสดงกิจกรรมต่าง ๆ ที่เกิดขึ้นกับข้อมูลเหล่านั้น
2. Data Subject Rights Management – เครื่องมือในการบริหารจัดการสิทธิของเจ้าของข้อมูล ไม่ว่าจะเป็นเรื่องการร้องขอในเรื่องการจัดเก็บ การเข้าถึง การแก้ไข การลบ การระงับใช้ การโอนย้าย และการคัดค้านการนำข้อมูลไปประมวลผล โดยเครื่องมือจะต้องสามารถสร้างขั้นตอนการร้องขอและเชื่อมต่อกับระบบภายนอก เช่น การรับเรื่องการร้องขอสิทธิ์ผ่านทาง Web หรือ Mobile Portal หรือ Email เพื่อส่งต่อให้กับ Ticket System และสามารถสร้าง Workflow แสดงหน้ารายงานการร้องขอทั้งหมด รวมถึงแสดงผู้รับผิดชอบและสถานะร้องขอในแต่ละรายการเพื่อให้ง่ายต่อการติดตามงานและปฏิบัติตามกฎหมายได้อย่างถูกต้อง ทันเวลา
3. Preference and Consent Management – เครื่องมือที่ใช้ในการรวบรวม Consent Touchpoint หรือคือจุดบริการที่เกิดการให้ Consent ซึ่งสามารถปรับเปลี่ยน Preference ของ Data Subject ตามการร้องขอ
4. Cookie Consent Management – เครื่องมือที่ใช้เป็นส่วนกลางในการรวบรวม Cookie Consent ที่ได้จาก Web Page และใช้ในการบริหารจัดการ Cookie Banner
5. Breach Management – เครื่องมือการจัดการการละเมิดข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูล เพื่อจัดหาแนวทางการป้องกันเหตุการณ์ไม่คาดฝันได้อย่างทันท่วงทีและลดความเสี่ยง
เติมแต้มต่อไอทีเพิ่มความปลอดภัยของข้อมูล
ความเข้าใจในวงจรชีวิตของข้อมูล (Data Lifecycle) นับเป็นอีกหนทางหนึ่งที่ช่วยให้องค์กรสามารถ “จัดระเบียบเทคโนโลยี” เพื่อสร้างระบบความปลอดภัยพื้นฐานต่อตัวข้อมูลโดยตรง (Data Security) และเป็นขั้นเป็นตอนมากขึ้น เริ่มจากความปลอดภัยของการรับและเก็บข้อมูลที่มาจากเครื่อง Endpoint ทั้งในและนอกองค์กร การเข้าถึงข้อมูล (Access) ทั้งโดยผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูล หรือด้วยแอปพลิเคชันหรือบริการที่ต้องดึงข้อมูลไปใช้ ลักษณะการใช้งานข้อมูล (Usage) เช่น นำไปวิเคราะห์ทางสถิติ เสนอการขาย หรือส่งเสริมกิจกรรมการตลาด การจัดเก็บข้อมูล (Storage) ว่ามีการจัดเก็บแบบใด มีลำดับชั้นการป้องกันแยกย่อยในแต่ละหน่วยจัดเก็บข้อมูลอย่างไร การเคลื่อนย้ายถ่ายโอนข้อมูล (Transfer) ข้ามเน็ตเวิร์คระหว่างการใช้งานแอปพลิเคชันต่าง ๆ และการลบข้อมูล (Delete) ทั้งการแก้ปัญหาการลบโดยไม่ตั้งใจ หรือตั้งใจลบเพื่อป้องกันข้อมูลไม่ให้รั่วไหล เป็นต้น
ตัวอย่างเช่น VMware ซึ่งได้พัฒนาแพลตฟอร์มความปลอดภัยครอบคลุมทุกการเคลื่อนไหวของวงจรชีวิตข้อมูลควบคู่กับแอปพลิเคชันที่ใช้งาน เริ่มจาก เทคโนโลยีการเข้ารหัสข้อมูล (Data Encryption) ซึ่งมีความสำคัญสูงต่อการปกป้องข้อมูล ตามมาด้วยโซลูชัน VMware Workspace ONE เพื่อดูแลการเข้าถึงข้อมูลระดับ Endpoint เช่น พีซีเดสก์ท็อป แล็ปท็อป อุปกรณ์โมไบล์ต่าง ๆ VMware Horizon ที่เน้นกำกับการใช้งานข้อมูลและแอปพลิเคชันสำหรับการทำงานแบบเวอร์ชวลไลเซชัน หรือทำงานผ่านคลาวด์ VMware vSAN ช่วยเพิ่มความเข้มข้นให้กับนโยบายและขั้นตอนการจัดเก็บข้อมูล หรือ VMware NSX สำหรับการดูแลความปลอดภัยให้กับทุกการเชื่อมต่อทั้งเน็ตเวิร์คใน-นอกองค์กร หรือข้ามพรมแดน ทั้งหมดก็เพื่อให้องค์กรมองเห็นภาพใหญ่ของการพัฒนาระบบความปลอดภัยเชิงรุกในศูนย์ Data Center และเตรียมพร้อมต่อแพลตฟอร์มการทำงานใหม่ ๆ เช่น คลาวด์ เวอร์ชวลแมชชีน คอนเทนเนอร์ ไมโครเซอร์วิส เป็นต้น หรือจะเป็นการเตรียมรับมือกับภัยคุกคามอย่าง Ransomware ซึ่งสร้างผลกระทบรุนแรงและรวดเร็ว ด้วย VMware Carbon Black เป็นต้น นอกจากนี้ องค์กรสามารถเสริมด้วยโซลูชัน Data Privacy Manager เพื่อเน้นการจัดการความปลอดภัยแบบเจาะจงต่อข้อมูลส่วนบุคคลของลูกค้า พนักงาน ผู้บริหาร หรือผู้มีส่วนได้ส่วนเสียทางธุรกิจ ซึ่งจะทำให้การพัฒนาปรับปรุงระบบความปลอดภัยของข้อมูลสอดคล้องกับหลักการ PDPA ไปในคราวเดียวกัน
การบริหารจัดการข้อมูลที่มีประสิทธิภาพ ตรงตามพันธสัญญา และไม่ละเมิดต่อกฎหมาย จึงขึ้นอยู่กับการวางนโยบายและแนวปฏิบัติที่ “ใช่” ในการเก็บและใช้ข้อมูลโดยไม่ก้าวล่วงความเป็นส่วนตัว และปฏิบัติให้ตรงตามวัตถุประสงค์ที่ให้ไว้กับเจ้าของข้อมูลส่วนบุคคล หรือผู้ได้รับสิทธิถือครองข้อมูลส่วนบุคคลนั้น ซึ่งจะทำให้องค์กรสามารถบรรลุเป้าหมายในการสร้างความไว้วางใจต่อธุรกิจ ผลิตภัณฑ์และบริการที่มัดใจลูกค้าไปตลอดกาล