ในช่วงสัปดาห์ที่ผ่านมา หนึ่งในประเด็นร้อนแรงที่กำลังได้รับความสนใจอย่างมากคือการหลุดรั่วของข้อมูลลูกค้าผู้ซื้อสมาร์ทโฟนพร้อมเบอร์ของทรูมูฟ เอช ผ่านช่องทางไอทรูมาร์ทถึง 11,400 ชุด (ตามการรายงานของตัวแทนจากทรูที่เข้าชี้แจงกับ กสทช. เมื่อวันที่ 17 เมษายน 2561) ซึ่งแม้จะมีหลายฝ่ายออกมาระบุว่า ยังไม่ใช่เรื่องน่าเป็นห่วงนักและน่าจะสามารถจัดการได้ แต่ปฏิเสธไม่ได้ว่า ในมุมของบุคลากรสายไอที-โทรคมนาคมกันแล้ว หลายคนแสดงออกอย่างชัดเจนว่ามีความหนักใจกันไม่น้อยกับการรั่วไหลของข้อมูลครั้งนี้
โดยในการชี้แจงนั้น ตัวแทนจากทรูกล่าวอย่างชัดเจนว่าโฟลเดอร์ที่เก็บรักษาข้อมูลนั้นมีระบบรักษาความปลอดภัยอยู่ก่อนแล้ว ดังนั้น ผู้กระทำจึงต้องมีเจตนาแฮค (Hack) ข้อมูล ที่บุคคลทั่วไปไม่สามารถทำได้เนื่องจากมีการใช้เครื่องมือพิเศษที่เพิ่งพัฒนาขึ้นใหม่ล่าสุดถึง 3 ตัวเจาะเข้ามาในโฟลเดอร์ที่เก็บข้อมูลดังกล่าว ซึ่งหลังจากที่ไอทรูมาร์ท ผู้ดูแลข้อมูลทราบเรื่องเมื่อวันที่ 11 เมษายน ก็ได้ทำการแก้ไขและไม่มีใครสามารถเข้ามาได้อีกแล้วเมื่อวันที่ 12 เมษายน เวลาประมาณ 19.00 น.
ดราม่าที่ตามมาหลังจากการชี้แจงของทรูคือการที่ไนอัลล์ เมอริแกน (Niall Merrigan) ผู้เชี่ยวชาญด้านซีเคียวริตี้ และเป็นบุคคลที่ค้นพบไฟล์ดังกล่าวจนนำไปสู่การเปิดเผยในวงกว้างได้ออกมาตอบว่า เขาไม่ได้ “เจาะระบบ” ของทรูแต่อย่างใด โฟลเดอร์เหล่านี้เปิดเป็นสาธารณะ และเขาเพียงใช้เครื่องมือชื่อ s3-ncdu ในการตรวจสอบ จนทำให้พบโฟลเดอร์น่าสงสัย และเปิดเข้าไปเจอแจ็กพ็อตดังกล่าว
การชี้แจงที่ไม่ตรงกันของทรู และไนอัลล์ เมอริแกนนี้ นำไปสู่การถกเถียงอย่างกว้างขวางบนโลกอินเทอร์เน็ต ซึ่งในแง่หนึ่งเป็นเรื่องที่ดีมาก เพราะเป็นการแสดงให้เห็นว่า ประชาชนส่วนหนึ่งมีความตระหนักต่อความอ่อนไหวเรื่องข้อมูลส่วนบุคคลนี้มากขึ้น
มากไปกว่านั้น เราคงต้องยอมรับว่า ประเด็นเรื่องความเป็นส่วนตัวของข้อมูลยังเป็นสิ่งที่ประชากรในประเทศต่าง ๆ มีความตระหนัก “ไม่เท่ากัน” โดยเราจะเห็นได้ว่า ในหลายประเทศ การทำข้อมูลส่วนตัวของลูกค้ารั่วไหลนั้นถือเป็นสิ่งที่ร้ายแรงมาก และบริษัทที่พลั้งเผลอจะต้องได้รับบทลงโทษอย่างหนัก ทั้งจากสังคมและหน่วยงานภาครัฐ ขณะที่หลายประเทศก็อาจไม่ถือเป็นประเด็นสำคัญ และมีมาตรการลงโทษในลักษณะของค่าปรับหลักหมื่นบาท
ด้วยเหตุนี้ เราจึงขอหยิบยกกรณีศึกษาของประเทศที่มีความรัดกุมต่อประเด็นด้านความเป็นส่วนตัวของลูกค้าอย่างเคร่งครัด นั่นก็คือประเทศ “ญี่ปุ่น” โดยทีมงาน The Bangkok Insight ได้มีโอกาสสัมภาษณ์ “ธีนิดา กิจจาวิจิตร” ผู้เชี่ยวชาญด้านโทรคมนาคม และอดีตผู้จัดการของบริษัทด้านโทรคมนาคมแห่งหนึ่งของญี่ปุ่นที่ได้บอกเล่าประสบการณ์ในประเทศดังกล่าวว่า โดยทั่วไป การซื้อโทรศัพท์สักเครื่องในแดนอาทิตย์อุทัยนั้น นอกจากจะต้องผ่านกระบวนการตรวจสอบมากมายกว่าจะได้มาครอบครองแล้ว เอกสารต่าง ๆ จะต้องถูกทำลายต่อหน้าลูกค้าด้วย
“ค่าบริการโทรศัพท์รายเดือนในญี่ปุ่นจะค่อนข้างสูง ขั้นต่ำอยู่ที่ 2,000 – 3,000 บาท โดยจำหน่ายในลักษณะซื้อเครื่องพร้อมเครือข่าย และผูกสัญญาตามระยะเวลาที่บริษัทกำหนด สำหรับเอกสารประกอบการสมัครมักใช้ใบขับขี่ และเอกสารด้านสุขภาพร่วมด้วย รวมถึงต้องมีบัญชีธนาคารมายืนยัน ซึ่งข้อมูลเหล่านี้ เมื่อมีการใช้งาน หรือถูกปรินท์ออกมาเป็นกระดาษ พนักงานที่ช็อปจะต้องชี้แจงให้ลูกค้าได้รับทราบอย่างชัดเจนว่ามีการใช้ข้อมูลใดไปบ้าง และเมื่อให้บริการเรียบร้อยแล้ว พนักงานจะต้องนำเอกสารเหล่านั้นใส่ลงในเครื่องทำลายเอกสารให้ลูกค้าเห็นอย่างชัดเจนจึงจะถือว่าเสร็จสิ้นการให้บริการ”
นอกจากนั้น การเข้าถึงข้อมูลของลูกค้าแต่ละรายจะมีระบบในการยืนยันตัวตนหลายชั้น โดยมีทั้งการใช้พาสเวิร์ดส่วนตัว ร่วมกับการยืนยันด้วยข้อมูลไบโอเมทริกซ์ เพื่อให้มั่นใจว่า บุคคลดังกล่าวคือพนักงานที่ได้รับสิทธิอย่างแท้จริง
ธีนิดายังเผยถึงอีกหนึ่งลักษณะนิสัยของคนญี่ปุ่นว่าจะเข้มงวดมากเรื่องเบอร์โทรศัพท์ และจะไม่ให้เบอร์โทรศัพท์กับใครพร่ำเพรื่อ เพราะมันสามารถเชื่อมโยงกับข้อมูลอื่น ๆ ได้มากมาย เช่น บัตรเครดิต ค่าน้ำค่าไฟ ฯลฯ ซึ่งแสดงให้เห็นว่า สถานะของ “หมายเลขโทรศัพท์” ในญี่ปุ่น คือข้อมูลสำคัญในการเชื่อมโยงตัวตนบนโลกดิจิทัล และการทำธุรกรรมต่าง ๆ และหากเปรียบกับประเทศไทย “หมายเลขบัตรประจำตัวประชาชน” ของคนไทยกว่า 60 ล้านคนก็คงอยู่ในตำแหน่งเดียวกัน
อันตรายจากการปล่อยให้ข้อมูลบัตรประจำตัวประชาชนหลุดรั่วออกไปบนอินเทอร์เน็ต 11,400 ชุดตามที่ทรูกล่าวอ้างนั้น ทางแก้สำหรับประเทศไทยจึงอาจมีเพียงทางเดียวคือ “ประชาชน” ต้องพัฒนาตัวเอง และเร่งสร้างความตระหนักโดยด่วนในประเด็นด้านความเป็นส่วนตัวของข้อมูล เพราะเมื่อไรที่ประชาชนมีความรู้ความเข้าใจที่มากขึ้น ความคาดหวังต่อการให้บริการของโอเปอเรเตอร์ต่าง ๆ รวมถึงมาตรฐานการจัดการของภาครัฐก็จะเพิ่มมากขึ้นไปด้วย และจะเป็นการกดดันโดยตรงให้บริษัทผู้ให้บริการ – หน่วยงานภาครัฐที่เกี่ยวข้อง เพิ่มศักยภาพในการคิดหาทางดูแลความปลอดภัยให้เข้มงวด และมีมาตรฐานมากกว่าที่เป็นอยู่
ส่วนธุรกิจที่ดูแลความปลอดภัยในจุดนี้ไม่ได้ หากภาคประชาชนพัฒนาตัวเองจนมีความรู้ความเข้าใจมากพอ ก็เชื่อว่าจะเกิดมาตรการทางสังคมเพื่อกดดันกับธุรกิจเหล่านั้นด้วยตัวเอง โดยที่ไม่จำเป็นว่าโอเปอเรเตอร์ที่ทำข้อมูลหลุดรั่วจะมีการส่ง SMS แจ้งเตือนว่ามีการทำข้อมูลรั่วไปแล้ว, หรือมีการตั้งคอลล์เซนเตอร์ไว้รองรับหรือไม่ ส่วนจะเกิดภาพเหล่านี้ได้เมื่อไรนั้น ประชาชนในประเทศไทยคือคนที่จะตอบได้ดีที่สุด
อ่านเพิ่มเติมได้ที่ ทรูรับข้อมูลรั่วจริง 11,400 ราย
