ข้อมูลส่วนบุคคล (Personal Data) บนโลกดิจิทัล ถือเป็นขุมทรัพย์มูลค่ามหาศาล ที่สามารถสร้างมูลค่าทางธุรกิจ ให้กับผู้ผลิตสินค้าและบริการ
การได้มาซึ่ง ข้อมูลส่วนบุคคลทั่วไป ในการระบุตัวตน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ และข้อมูลที่มีความอ่อนไหวสูง (Sensitive Data) เช่น ข้อมูลที่บ่งบอกพฤติกรรมการใช้ชีวิต และการบริโภค รสนิยม ข้อมูลสุขภาพ ซึ่งทำให้องค์กร สามารถนำข้อมูลเหล่านั้น มาวิเคราะห์เพื่อนำเสนอสินค้าและบริการใหม่ ๆ ให้กับลูกค้าได้ โดยใช้เวลาน้อยลง และเกิดผลสัมฤทธิ์แบบ วิน-วิน
กล่าวคือ ลูกค้าให้การยอมรับต่อการนำข้อมูลส่วนตัวไปใช้ประโยชน์อย่างเจาะจง เพื่อตอบสนองความต้องการที่ตรงจุดและโดนใจได้แม่นยำกว่าในอดีต ขณะที่การดูแลเอาใจใส่ที่ลูกค้าได้รับเป็นพิเศษ จะนำมาซึ่งความจงรักภักดี (Loyalty) ที่ยั่งยืนต่อสินค้าและบริการขององค์กรได้ด้วย
นายวรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด กล่าวว่า หน่วยงานที่ดูแลความปลอดภัยด้านไอที มีบทบาทสำคัญโดยตรง ต่อการลดความเสี่ยง และสร้างความเชื่อมั่นด้านความปลอดภัย (Digital Trust) ต่อข้อมูลความเป็นส่วนตัว
สิ่งสำคัญคือ ต้องทำให้ลูกค้าไว้วางใจใน 3 เรื่อง ดังนี้
- การใช้ข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับแอปพลิเคชัน หรือบริการอื่นใด ทั้งในองค์กร นอกองค์กร หรือเชื่อมโยงข้ามพรมแดน จะถูกเก็บรวบรวม เข้าถึง ประมวลผล และเคลื่อนย้ายถ่ายโอน อย่างเหมาะสม ปลอดภัย
- สามารถสร้างประโยชน์ แบบเฉพาะเจาะจง (Hyper-Personalization) ตรงตามสัญญา ที่ให้ไว้กับเจ้าของข้อมูล และเป็นไปตามธรรมาภิบาลด้านข้อมูล (Data Governance) บนความโปร่งใส เป็นธรรม
- ต้องได้รับการปฏิบัติ และคุ้มครองตามกฎหมาย หรือ ระเบียบข้อบังคับ ที่เกี่ยวข้อง ทั้งในและต่างประเทศ เช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย กฎหมายคุ้มครองข้อมูลส่วนบุคคลเขตสหภาพยุโรป (GDPR) กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) สหรัฐอเมริกา เป็นต้น
อย่างไรก็ตาม การบริหารการจัดการด้าน Data Privacy ไม่ได้เป็นเรื่องของการจัดการเฉพาะข้อมูลเท่านั้น แต่ยังรวมถึง การจัดตั้งบุคคล หรือกลุ่มบุคคล ที่เข้ามารับผิดชอบการบริหารจัดการ ความเป็นส่วนตัวของข้อมูล ได้แก่ คณะกรรมการกำกับดูแลข้อมูล, คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตลอดจน คณะกรรมการบริหารนิติบุคคล ที่เกี่ยวข้องกับบทปรับ บทลงโทษ และความเสียหายที่เกิดขึ้น จากกรณีที่มีการร้องเรียน เนื่องจากการนำข้อมูลไปใช้ ไม่เป็นไปตามความยินยอม ของเจ้าของข้อมูล หรือกฎระเบียบต่าง ๆ
ทั้งนี้ เพื่อให้ครอบคลุมครบถ้วน ทั้งการได้มาซึ่งข้อมูล การจัดเก็บและนำข้อมูลไปใช้ตามความยินยอมของเจ้าของข้อมูล การระบุแหล่งที่มา การจัดกลุ่มและแสดงความเชื่อมโยงของข้อมูล การระบุความเสี่ยงเพื่อกำหนดแนวทางบริหารด้านความปลอดภัยของข้อมูล ตลอดจนกำกับการเข้าถึง แก้ไข ลบ ระงับใช้ โอนย้าย อนุญาตหรือคัดค้านการนำข้อมูลไปประมวลผล เป็นต้น
ความท้าทายในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ในอนาคต ข้อมูลส่วนบุคคล ที่องค์กรจัดเก็บ จะไม่จบแค่ข้อมูลพื้นฐานที่มีการเปลี่ยนแปลงน้อย (Static Data) เช่น ชื่อ-นามสกุล ที่อยู่ หรือ เลขบัตรประชาชนอีกต่อไป แต่ต้องเพิ่มการจัดเก็บข้อมูลที่อ่อนไหวสูง ซึ่งเคลื่อนไหวเปลี่ยนแปลงตลอดเวลา เช่น ข้อมูลใช้จ่ายผ่าน e-payment พฤติกรรมการใช้ชีวิตส่วนบุคคล
การจัดเก็บและบริหารข้อมูลจำนวนมหาศาล ย่อมมาพร้อมกับความท้าทาย ที่องค์กรทุกแห่งต้องเผชิญ ทั้งต้องปรับเปลี่ยนให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ทั้งของไทยและต่างประเทศ รวมถึงการกำกับดูแลข้อมูลบนหลักธรรมาภิบาล (Data Governance) ของแต่ละองค์กร
ดังนั้น สิ่งจำเป็นที่ต้องเปลี่ยนอย่างเร่งด่วน เพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้ถูกต้อง คือ การกำหนดปริมาณข้อมูลที่จัดเก็บ การจัดการแหล่งที่มาของข้อมูล และการเชื่อมโยงของข้อมูลตามความยินยอม (Consent) จากเจ้าของข้อมูล
อย่างไรก็ตาม ในแต่ละส่วน มีการจัดการหลายขั้นตอน ต้องอาศัยเครื่องมือหลากหลายประเภท เพื่อเสริมประสิทธิภาพ ในการตอบสนองต่อการเติบโต และการเปลี่ยนแปลงของข้อมูลตลอดเวลา โดยเฉพาะเครื่องมือจัดเก็บ และวิเคราะห์ข้อมูล ให้สามารถรับมือกับการทะลักเข้ามาของข้อมูล รวมถึงช่วยแจ้งเตือนเรื่องความเสี่ยง และความเสียหาย ที่อาจเกิดขึ้นกับองค์กร จากความผิดพลาดในการบริหารจัดการข้อมูล ตลอดจนมีความยืดหยุ่น เพื่อรองรับการเปลี่ยนแปลง ทั้งในปัจจุบัน และในอนาคต
5 เคล็ดลับเสริมการจัดการข้อมูลส่วนบุคคล
คุณสมบัติเบื้องต้น ของเครื่องมือที่เข้ามาช่วยบริหารจัดการข้อมูลส่วนบุคคล ควรครอบคลุม ลักษณะของงานบริหาร ดังนี้
1. Data Inventory and Mapping เครื่องมือในการค้นหาข้อมูล (Data Discovery Tools) ทั้งภายในและภายนอกองค์กร และนำมาแสดงเป็นภาพแผนที่ของคลังข้อมูลส่วนบุคลากร รวมถึงแสดงกิจกรรมต่าง ๆ ที่เกิดขึ้นกับข้อมูลเหล่านั้น
2. Data Subject Rights Management เครื่องมือในการบริหารจัดการสิทธิของเจ้าของข้อมูล ไม่ว่าจะเป็นเรื่องการร้องขอในเรื่องการจัดเก็บ การเข้าถึง การแก้ไข การลบ การระงับใช้ การโอนย้าย และการคัดค้านการนำข้อมูลไปประมวลผล
เครื่องมือดังกล่าว จะต้องสามารถสร้างขั้นตอนการร้องขอ และเชื่อมต่อกับระบบภายนอก เช่น การรับเรื่องการร้องขอสิทธิ์ผ่านทาง Web หรือ Mobile Portal หรือ Email เพื่อส่งต่อให้กับ Ticket System และสามารถสร้าง Workflow แสดงหน้ารายงานการร้องขอทั้งหมด รวมถึงแสดงผู้รับผิดชอบและสถานะร้องขอในแต่ละรายการ เพื่อให้ง่ายต่อการติดตามงาน และปฏิบัติตามกฎหมายได้อย่างถูกต้อง ทันเวลา
3. Preference and Consent Management เครื่องมือที่ใช้ในการรวบรวมจุดบริการ ซึ่งสามารถปรับเปลี่ยน Preference ของ Data Subject ตามการร้องขอ
4. Cookie Consent Management เครื่องมือที่ใช้เป็นส่วนกลาง ในการรวบรวม Cookie Consent ที่ได้จาก Web Page และใช้ในการบริหารจัดการ Cookie Banner
5. Breach Management เครื่องมือการจัดการการละเมิดข้อมูลส่วนบุคคล และการรั่วไหลของข้อมูล เพื่อจัดหาแนวทางการป้องกันเหตุการณ์ไม่คาดฝันได้อย่างทันท่วงทีและลดความเสี่ยง
ความเข้าใจในวงจรชีวิตของข้อมูล (Data Lifecycle) นับเป็นอีกหนทางหนึ่ง ที่ช่วยให้องค์กรสามารถ “จัดระเบียบเทคโนโลยี” เพื่อสร้างระบบความปลอดภัยพื้นฐานต่อตัวข้อมูลโดยตรง (Data Security) และเป็นขั้นเป็นตอนมากขึ้น
เริ่มจากความปลอดภัยของการรับ และเก็บข้อมูล ที่มาจากเครื่อง Endpoint ทั้งในและนอกองค์กร การเข้าถึงข้อมูล ทั้งโดยผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูล หรือด้วยแอปพลิเคชันหรือบริการ ที่ต้องดึงข้อมูลไปใช้ ลักษณะการใช้งานข้อมูล เช่น นำไปวิเคราะห์ทางสถิติ เสนอการขาย หรือส่งเสริมกิจกรรมการตลาด การจัดเก็บข้อมูล ว่ามีการจัดเก็บแบบใด มีลำดับชั้นการป้องกันแยกย่อยในแต่ละหน่วยจัดเก็บข้อมูลอย่างไร การเคลื่อนย้ายถ่ายโอนข้อมูล ข้ามเน็ตเวิร์คระหว่าง การใช้งานแอปพลิเคชันต่าง ๆ และการลบข้อมูล เป็นต้น
การบริหารจัดการข้อมูลที่มีประสิทธิภาพ ตรงตามพันธสัญญา และไม่ละเมิดต่อกฎหมาย จึงขึ้นอยู่กับการวางนโยบายและแนวปฏิบัติที่ “ใช่” ในการเก็บและใช้ข้อมูล โดยไม่ก้าวล่วงความเป็นส่วนตัว และปฏิบัติให้ตรงตามวัตถุประสงค์ ที่ให้ไว้กับเจ้าของข้อมูลส่วนบุคคล หรือผู้ได้รับสิทธิถือครองข้อมูลส่วนบุคคลนั้น ซึ่งจะทำให้องค์กรสามารถบรรลุเป้าหมาย ในการสร้างความไว้วางใจต่อธุรกิจ ผลิตภัณฑ์และบริการที่มัดใจลูกค้าไปตลอดกาล
อ่านข่าวเพิ่มเติม
- ดีอีเอส คลอด มาตรฐานความปลอดภัย ‘ข้อมูลส่วนบุคคล’
- สหรัฐจี้ ‘ทวิตเตอร์’ ยกเครื่องความปลอดภัยไซเบอร์
- ระบบคุ้มครองข้อมูลส่วนบุคคล เรื่องจำเป็นที่ต้องรู้ ‘ยุคดิจิทัล’ อ่านที่นี่!
