GDPR กับการบริหารความเสี่ยงของข้อมูลส่วนบุคคล เพื่อแต้มต่อทางธุรกิจ

ก่อนจะไปทำความรู้จักกับ จีดีพีอาร์ (GDPR) ผมขอเริ่มต้น บทความนี้ด้วยการชวนผู้อ่านตั้งคำถามกับตัวเองว่า เราได้เคยเปิดเผยข้อมูลส่วนตัวไปกับการทำธุรกรรมใดบ้าง อย่างเช่น ติดต่อกับธนาคาร หน่วยบริการสุขภาพ ลงทะเบียนใช้งานผ่านอินเทอร์เน็ต หรือเล่นโซเชียลเน็ตเวิร์ก และในแต่ละครั้งเราต้องเปิดเผยข้อมูลส่วนตัวไปมากแค่ไหน เป็นการให้ข้อมูลเพียงชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล หรือละเอียดถึงขั้นต้องให้เลขที่บัตรประชาชน เลขบัตรเครดิต หรือกระทั่งการตั้งพาสเวิร์ด ซึ่งถูกบันทึกไว้ในระบบของผู้ให้บริการ รวมถึงเราจะมั่นใจได้อย่างไรกับการที่องค์กรหรือหน่วยงานผู้ให้บริการเหล่านั้นต่างการันตีว่า ข้อมูลส่วนตัวของเราจะไม่ถูกเปิดเผยจนได้รับความเสียหาย หรือถูกนำไปใช้เพื่อประโยชน์ทางธุรกิจอื่นใด

GDPR กับการบริหารความเสี่ยงของข้อมูลส่วนบุคคล เพื่อแต้มต่อทางธุรกิจ

จะเห็นว่า หลายประเทศในขณะนี้เริ่มมีความกังวลต่อการเข้าถึงและใช้งานข้อมูลบิ๊ก ดาต้าแบบชนิดไร้พรมแดนจนเกินขีดความสามารถที่แต่ละประเทศจะกำกับดูแลให้ใช้งานได้อย่างเหมาะสมและไม่ขัดต่อการทำผิดกฎหมายโดยเฉพาะการป้องกันไม่ให้เกิดการใช้งานที่ละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งปัจจุบันมีกฎหมายหรือข้อบังคับในการกำกับดูแลการเข้าถึงข้อมูลในหลายรูปแบบ อาทิ กฎหมายปกป้องข้อมูลที่ใช้เฉพาะในแต่ละประเทศ กฎหมายกำกับการใช้ข้อมูลเป็นการเฉพาะในแต่ละอุตสาหกรรม ไปจนถึงกฎหมายคุ้มครองการรับ-ส่งข้อมูลข้ามพรมแดนในรูปแบบประเทศต่อประเทศ หรือองค์กรต่อองค์กร

ถึงบรรทัดนี้ ต้องชวนคุยต่อถึง “กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป (อียู) ที่เรียกว่า จีดีพีอาร์ (General Data Protection RegulationGDPR)” ซึ่งเป็นกฎข้อบังคับที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพลเมืองชาวอียูที่อาศัยกลุ่มประเทศสหภาพยุโรป รวมถึงในประเทศต่างๆ ทั่วโลก และกำลังจะมีผลบังคับใช้ในเดือนพฤษภาคมปีนี้ เราจะเห็นว่า แม้จีดีพีอาร์จะเป็นกฎหมายที่ออกโดยอียู แต่ก็เป็นสิ่งที่ไม่ควรมองข้าม เพราะมีอำนาจครอบคลุมการใช้งานข้อมูลส่วนบุคคลที่กว้างขวางในระดับประเทศต่อประเทศเลยทีเดียว

กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป (อียู) ที่เรียกว่า จีดีพีอาร์ (General Data Protection Regulation-GDPR)

ความเข้มข้นของจีดีพีอาร์ คือ การไม่ยินยอมให้มีการไหลออกของข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองที่ต่ำกว่า หรือไม่ได้มาตรฐาน ซึ่งถ้าหากประเทศที่ ประกอบธุรกิจ หรือเกี่ยวข้องกับอียูจะด้วยเรื่องใด เกิดตกชั้นเรื่องเกณฑ์การคุ้มครองข้อมูลตามที่จีดีพีอาร์กำหนด ก็จะเสียโอกาสในการทำธุรกิจกับอียูไปโดยปริยาย

ส่วนกฎของจีดีพีอาร์ที่ประเทศหรือองค์กรไทยที่มีการประกอบธุรกิจหรือติดต่อกับพลเมืองของอียูควรจะศึกษาและเตรียมความพร้อมแต่เนิ่นๆ สรุปโดยย่อ ได้แก่ การที่ประเทศหรือองค์กรนั้นๆ ต้องกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้แล้วแต่กรณี และหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม (Consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้นๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง

นอกจากนี้ องค์กรต่างๆ ต้องสร้างมาตรฐานการปกป้องข้อมูลส่วนบุคคลเพื่อกันการสูญหาย หรือถูกนำไปเปิดเผยโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล จะต้องมีระบบแจ้งเตือนเมื่อเกิดข้อมูลรั่วไหล โดยจีดีพีอาร์กำหนดให้ต้องรายงานความเสียหายที่เกิดขึ้นภายใน 72% ชั่วโมง รวมถึงการประเมินแนวนโยบายการปกป้องข้อมูล เพื่อนิยามความเสี่ยงที่มีผลต่อข้อมูลของลูกค้า การทบทวนข้อปฏิบัติเพื่อบ่งชี้ความเสี่ยงได้อย่างแม่นยำ ซึ่งประเทศหรือองค์กรที่ไม่ปฏิบัติตามข้อบังคับของจีดีพีอาร์จะมีบทลงโทษด้วยการเสียค่าปรับตั้งแต่ 10 ถึง 20 ล้านยูโร เลยทีเดียว

GDPR กับการบริหารความเสี่ยงของข้อมูลส่วนบุคคล เพื่อแต้มต่อทางธุรกิจ

มองในมุมบวก จีดีพีอาร์จึงไม่ต่างจากการสร้างมาตรฐานใหม่ของการปกป้องข้อมูลที่ทำาให้เจ้าของข้อมูลเข้าใจถึงสิทธิความเป็นส่วนตัวของข้อมูลที่ต้องไม่ถูกละเมิด ขณะที่องค์กรหรือหน่วยงานต่างๆ สามารถใช้เป็นโอกาสในการยกระดับระบบบริหารจัดการข้อมูลเพื่อเพิ่มประสิทธิภาพการดำาเนินงาน หรือการประกอบธุรกิจ และสร้างความเชื่อมั่นในสายตาลูกค้า ผ่านการนิยามข้อมูลส่วนบุคคลให้ชัดเจน และกำหนดระดับการป้องกันอย่างเข้มข้น

ทั้งนี้ กฎของจีดีพีอาร์ได้ช่วยกำหนดนิยามข้อมูลส่วนบุคคลที่ให้การคุ้มครองไว้ชัดเจนแล้ว ซึ่งประกอบด้วย ข้อมูลที่ใช้ระบุตัวตนเบื้องต้น เช่น ชื่อ ที่อยู่ เลขที่บัตรประชาชน ข้อมูลที่ระบุตัวตนบนเว็บ เช่น จุดที่อยู่ (Location) ไอพีแอดเดรส ข้อมูลบันทึกการเข้าเว็บไซต์ (Cookies) ป้ายอิเล็กทรอนิกส์ที่อ่านค่าได้ด้วยคลื่นวิทยุ (RFID tag) ข้อมูลทางด้านสุขภาพและพันธุศาสตร์ ข้อมูลด้านชีววิทยา ข้อมูลด้านชาติพันธุ์หรือชนกลุ่มน้อย หรือข้อมูลความคิดเห็นทางการเมือง เป็นต้น

ส่วนการดำเนินการจะครอบคลุมใน 3 ขั้นตอน คือ ขั้นตอนการจัดเก็บข้อมูล (Data Collectors) ซึ่งเป็นการกำหนดวัตถุประสงค์และแนวปฏิบัติในการจัดเก็บข้อมูลประเภทต่างๆ เพื่อใช้ในการประมวลผลไว้ให้ชัดเจน ขั้นตอนการประมวลผลข้อมูล (Data Processors) โดยการนำข้อมูลไปประมวลผลจะต้องทำบนความรับผิดชอบที่จะไม่ให้เกิดการรั่วไหลของข้อมูล หรือนำไปใช้งานที่ไม่ตรงตามวัตถุประสงค์หรือข้อกำาหนดที่วางไว้และ ขั้นตอนการปกป้องข้อมูล (Data Protection) คือ การจัดให้มีเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Offi cer – DPO) ที่มีหน่วยงานการกำกับควบคุมโดยตรง (Supervisory Authorities) เพื่อติดตามดำเนินการให้เป็นไปตามกลยุทธ์ด้านความปลอดภัยของข้อมูลตามข้อบังคับของจีดีพีอาร์ หรือจะลงรายละเอียดถึงระดับของการประเมินความเสี่ยง (Risk Assessment) หรือประเมินผลกระทบต่อความเป็นส่วนตัว (Privacy Impact Assessment – PIA) ก็ไม่ว่ากัน เพราะนั่นจะยิ่งเป็นการการันตีว่า เรามีความตั้งใจปฏิบัติตามกฎการคุ้มครองข้อมูลส่วนบุคคล และพยายามลดความเสี่ยงทุกรูปแบบในสายตาของนานาประเทศเมื่อติดต่อกับองค์กรของเรา

GDPR กับการบริหารความเสี่ยงของข้อมูลส่วนบุคคล เพื่อแต้มต่อทางธุรกิจ

เมื่อไม่นานมานี้ อาร์เอสเอ ซีเคียวริตี้ อิงค์ (RSA Security Inc.) บริษัทซึ่งให้บริการเทคโนโลยีด้านความปลอดภัยบนระบบเครือข่ายและการพิสูจน์ตัวตนได้ออกมาเปิดเผยรายงานเรื่อง “ความปลอดภัยและความเป็นส่วนตัวของข้อมูล” ที่บริษัทได้ได้ทำการสำรวจลูกค้ากว่า 7,500 ราย ในประเทศฝรั่งเศส เยอรมนี อิตาลี อังกฤษ และสหรัฐอเมริกา พบว่า 80% ของผู้เป็นเจ้าของข้อมูลกังวลกับการสูญหายของข้อมูลทางการเงินการธนาคารเป็นอันดับต้น 76% กังวลถึงข้อมูลที่ใช้เพื่อสร้างความปลอดภัย เช่นพาสเวิร์ด และข้อมูลที่ระบุตัวตน เช่น พาสปอร์ต ใบอนุญาตขับขี่รถ ว่าจะสูญหายหรือโดนแฮค 62% เลือกที่จะตำหนิบริษัทเมื่อข้อมูลสูญหายแทนการกล่าวโทษแฮคเกอร์ 41% จึงตั้งใจให้ข้อมูลเท็จเมื่อมีการลงชื่อเข้าใช้บริการออนไลน์ต่างๆ ขณะเดียวกัน 72% จะบอยคอทบริษัทที่เพิกเฉยต่อการปกป้องข้อมูลของพวกเขา และ 50% เลือกที่จะซื้อของกับบริษัทที่พิสูจน์ตัวเองได้ว่า ให้ความสำคัญอย่างมากกับการปกป้องข้อมูล

รายงานฉบับดังกล่าวได้สรุปส่งท้ายว่า ธุรกิจจะเดินสู่การเปลี่ยนถ่ายข้อมูลยุคดิจิทัล โดยการใช้ประโยชน์จากบริการสินทรัพย์ข้อมูลดิจิทัล และบิ๊ก ดาต้า อย่างต่อเนื่องได้นั้น จะต้องแม่นยำในการสอดส่องและปกป้องข้อมูลที่เกิดขึ้นในแต่ละวัน

ส่วน ไพร้ซวอเตอร์เฮาส์คูเปอร์ส (PWC) ซึ่งสำรวจบริษัทสัญชาติอเมริกัน พบว่า 92% มีการพิจารณาถึงข้อบังคับของ จีดีพีอาร์ และเห็นว่า มีความสำคัญเป็นอันดับต้นในการปกป้องข้อมูล

คำถามต่อไป คือ แล้วเราจะสร้างหรือรักษาโอกาสทางธุรกิจท่ามกลางความกังวลของลูกค้าเหล่านี้ได้อย่างไร

การศึกษาที่มาที่ไป และประเภทของข้อมูลที่มีหรือใช้อยู่ในองค์กร การศึกษาถึงการไหลของข้อมูล ซึ่ง ณ เวลานี้อาจต้องเน้นข้อมูลที่เกี่ยวข้องกับอียู ว่ามีผลกระทบต่อธุรกิจอย่างไร ข้อมูลได้ถูกจัดเก็บและมีการประมวลผล ณ ที่ใด และหากข้อมูลนั้นถูกจัดเก็บและประมวลผลอยู่ภายนอกองค์กรจะเป็นอย่างไร น่าจะเป็นจุดเริ่มต้นที่ดีในการตอบรับกฎของจีดีพีอาร์

ขั้นตอนต่อไป คือ การประเมินระบบความปลอดภัยด้านข้อมูล เพื่อดูว่าส่วนใดที่เป็นไปตามกฎของจีดีพีอาร์ แล้วส่วนใดที่ต้องตรวจสอบและปรับปรุงต่อเนื่องต่อไป หากไม่มีแผนตอบรับความเสี่ยงต่อการรั่วไหลของข้อมูลก็ให้ดำเนินการเสีย หรือถ้ามีอยู่แล้วก็ต้องทดสอบแผนว่า สามารถบรรเทาความเสียหายได้ภายใน 72 ชั่วโมงหรือไม่ เพราะการปรับปรุงแผนให้สอดรับกับกฎของจีดีพีอาร์ จะเป็นหนทางหนึ่งในการการันตีความได้เปรียบทางการแข่งขันทางธุรกิจหรือบริการกับกลุ่มประเทศหรือพลเมืองชาวอียูได้อย่างแน่นอน

มาตราการการรักษาความปลอดภัยของข้อมูลในยุคโลกไร้พรมแดน

สำหรับองค์กรที่ทำงานร่วมกับผู้ให้บริการด้านไอที เช่น ผู้ให้บริการด้านคลาวด์ เวนเดอร์ในการให้บริการซอฟต์แวร์ (SaaS) อยู่แล้ว หรืออยู่ระหว่างพิจารณาคัดเลือกผู้ให้บริการระบบความปลอดภัยเพิ่มเติม จะต้องแน่ใจว่า ผู้ให้บริการหรือเวนเดอร์นั้นๆ จะต้องเข้าใจ และให้ความสำคัญกับการแสวงหามุมมองใหม่ๆ ด้านเทคโนโลยีเพื่อพัฒนาระบบความปลอดภัยด้านสารสนเทศ ทั้งมีความพร้อมที่ขับเคลื่อนไปข้างหน้าด้วยกันในฐานะภาคี ทางธุรกิจ โดยเฉพาะงานด้านความปลอดภัยในการประมวลผล ข้อมูลตามกฎของจีดีพีอาร์ ซึ่งเป็นงานเร่งด่วนในขณะนี้ รวมถึงเป็นการเตรียมรับมือต่อกฎด้านความปลอดภัยอื่นใดที่จะเกิดขึ้นต่อไปในอนาคต

เมื่อโลกของข้อมูลนั้นไร้พรมแดน และเต็มไปด้วยบรรดาอาชญากรคอมพิวเตอร์ที่ยังคงท้าทายกฎหมายด้วยการสร้างเว็บไซต์ปลอม หรือฟิชชิ่ง สแกม (Phishing Scam) แฮคเกอร์ที่ยังคงใช้เทคโนโลยีที่ก้าวหน้าเพื่อล้วงลึกข้อมูลเพื่อหาประโยชน์อันมิควรได้ การนำข้อมูลส่วนบุคคลที่ถูกนำไปใช้ประโยชน์ทาง การค้า หรือถูกเปิดเผยโดยไม่ได้รับอนุญาตบนโลกโซเชียลและสร้างความเสียหายให้เจ้าของข้อมูลจะโดยความตั้งใจหรือไม่ก็ตาม จะยิ่งทำให้การสร้างกฎเกณฑ์และข้อบังคับเพื่ออุดรอยรั่วต่างๆ เหล่านี้ก็จะยิ่งเข้มข้นมากขึ้น จึงขึ้นอยู่กับว่า องค์กรจะสามารถบริหารดุลยภาพระหว่างกฎเกณฑ์ที่เข้มงวดกับแนวปฏิบัติภายในองค์กรได้อย่างเหมาะสม และแปรเปลี่ยนให้เป็นอาวุธที่สร้างมูลค่าทางธุรกิจได้หรือไม่นั่นเอง