…สหภาพยุโรปได้ออกกฎระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ไปเรียบร้อยแล้ว หน่วยงานราชการในเอเชียกำลังพัฒนากฎการป้องกันข้อมูลส่วนตัวให้แข็งแกร่งขึ้น…
ภูมิทัศน์ด้านการป้องกันข้อมูลในภูมิภาคเอเชียแปซิฟิกมีความก้าวหน้าเติบโตอย่างรวดเร็ว เมื่อเทียบกับเพียงไม่กี่ปีที่ผ่านมา เนื่องจากมีการบังคับใช้กฎหมายด้านความเป็นส่วนตัวและการรักษาความปลอดภัยข้อมูล (Privacy and data security law) ที่เข้มงวดมากขึ้น
ในขณะที่ภูมิภาคเอเชียแปซิฟิกเคยถูกมองว่าเป็นกลุ่มประเทศที่มีการดำเนินคดีด้านความเป็นส่วนตัวและการรักษาความปลอดภัยข้อมูลน้อยกว่าประเทศในแถบตะวันตก
แต่ภูมิภาคนี้ก็มีการเปลี่ยนแปลงเมื่อมีการใช้ระบบดิจิทัลมากขึ้นและรัฐบาลต่างให้ความสำคัญและความจำเป็นในการปกป้องข้อมูลส่วนบุคคลและข้อมูลที่เป็นความลับมากขึ้น และเอเชียตะวันออกเฉียงใต้เป็นหนึ่งในภูมิภาคที่เติบโตเร็วที่สุดสำหรับนวัตกรรมดิจิทัล อันเป็นผลจากการที่มีการเชื่อมต่ออินเทอร์เน็ตและการใช้สมาร์ทโฟนมากขึ้น
ประเทศสิงคโปร์มีวิสัยทัศน์ของสมาร์ทเนชั่น (Smart Nation Vision) มาเลเซียเป็นเขตการค้าเสรีแบบดิจิทัล (Digital Free Trade Zone) แห่งแรกของโลก ในขณะที่ประเทศไทยได้กำหนดวิสัยทัศน์ “ประเทศไทย 4.0 (Thailand 4.0)” ไว้สำหรับทุกภาคส่วนให้พัฒนาเศรษฐกิจไปในรูปแบบดิจิทัล โดยคาดว่าในปี ค.ศ. 2025 นี้ การค้าที่ใช้รูปแบบดิจิทัลใน 6 ประเทศชั้นนำของอาเซียนจะมีมูลค่าถึง 9,000 ล้านเหรียญสหรัฐฯ เพิ่มขึ้นจาก 5,000 ล้านเหรียญสหรัฐฯ ใน ค.ศ. 2015
และเนื่องจากมีการประมวลผลและวิเคราะห์ข้อมูลส่วนบุคคลที่ใช้เทคโนโลยีดิจิทัลนี้จำนวนมากขึ้น จึงคาดว่าการเก็บรวบรวมข้อมูลส่วนบุคคลของประเทศในเอเชียแปซิฟิกจะเพิ่มมากขึ้นเช่นกัน
ในขณะเดียวกัน เนื่องจากการทำธุรกรรมข้อมูลข้ามพรมแดนมีขนาดโตขึ้นจะส่งให้เกิดกระบวนการการรักษาความปลอดภัยในโลกไซเบอร์และกฎหมายเกี่ยวกับการปกป้องข้อมูลที่ชัดเจนมากขึ้นซึ่งสะท้อนถึงความต้องการของเศรษฐกิจดิจิทัลที่เกิดขึ้นใหม่นี่้ ทั้งนี้พบว่าธุรกิจในภูมิภาคเอเชียแปซิฟิกหลายแห่งยังไม่ได้ก้าวไปสู่การปฏิบัติตามกฎหมายที่มีอยู่ในปัจจุบัน และยังชะลอการลงมือปฏิบัติตามกฎหมายจนกว่าจะสามารถเข้าใจได้ว่าจะมีมาตรฐานการปฏิบัติตามกฎอะไรบ้าง
อย่างไรก็ตาม กฎนี้มีการเปลี่ยนแปลงอีกครั้งหลังจากที่สหภาพยุโรปหรืออียูประกาศใช้กฎการป้องกันข้อมูล (General Data Protection Regulations : GDPR) ของยุโรปในเดือนพฤษภาคม พ.ศ. 2561 อย่างแข็งขัน
ซึ่งส่งผลให้เกิดการกำหนดรูปแบบที่น่าจะกระตุ้นรัฐบาลในภูมิภาคเอเชียแปซิฟิกให้ความสำคัญกับการป้องกันความเป็นส่วนตัวมากยิ่งขึ้น เช่น การลงโทษทางการเงินหากองค์กรมีความผิดพลาดในข้อมูลของลูกค้า รวมถึงกฎหมายบังคับสำหรับการแจ้งเตือนการละเมิดข้อมูล
การบังคับใช้กฎระเบียบด้านการป้องกันข้อมูลทั่วภูมิภาคเอเชียแปซิฟิก
ประเทศจีน สิงคโปร์ เกาหลีใต้ ญี่ปุ่น ออสเตรเลีย มาเลเซียและฟิลิปปินส์ ได้อัปเดทกฎการปฏิบัติตามข้อกำหนดการป้องกันข้อมูลของตนไปเมื่อไม่นานมานี้ และจะประกาศกฎหมายด้านความเป็นส่วนตัวและความปลอดภัยไซเบอร์ใหม่เร็วๆ นี้
ซึ่งประเทศจีนเป็นประเทศที่ได้แนะนำกฎระเบียบด้านการปกป้องข้อมูลที่ครอบคลุมมากที่สุด ทั้งนี้ ได้บังคับใช้กฎหมายด้านความปลอดภัยระบบเครือข่ายใหม่ในเดือนมิถุนายน พ.ศ. 2560 โดยมอบความรับผิดชอบให้กับองค์กรที่ดำเนินธุรกิจในประเทศจีน โดยไม่คำนึงถึงว่าพวกเขามีสถานะทางกายภาพในประเทศหรือไม่ ให้ทบทวนนโยบายการปกป้องข้อมูลและปฏิบัติตามข้อกำหนดดังกล่าว ซึ่งตั้งแต่ พ.ศ. 2557 ถึงกันยายน พ.ศ. 2560 ได้มีการพิจารณาคดีละเมิดข้อมูลส่วนบุคคลจำนวน 1,529 คดีในศาลทั่วประเทศจีน
ในอีกไม่กี่เดือนข้างหน้า จีนจะแนะนำกฎหมายอีคอมเมิร์ซเพื่อครอบคลุมกิจกรรมต่างๆ มากขึ้น เช่น ข้อมูลที่ไม่ระบุชื่อ ข้อมูลขนาดใหญ่ การถ่ายโอนข้อมูลในต่างประเทศ และการรักษาความปลอดภัยข้อมูล ซึ่งหากองค์กรที่ไม่ปฏิบัติตามกฎหมายจะต้องเผชิญกับการลงโทษทางการเงินที่รุนแรง อาจรวมถึงการสูญเสียสิทธิในการดำเนินธุรกิจของตน
ในสิงคโปร์นั้น มีการเปลี่ยนแปลงพระราชบัญญัติการปกป้องข้อมูลส่วนบุคคลซึ่งมีแง่มุมคล้ายกับ GDPR ของยุโรป โดยเฉพาะอย่างยิ่งมาตรการในการแจ้งการฝ่าฝืนข้อบังคับและการแต่งตั้งเจ้าหน้าที่ที่ทำหน้าที่คุ้มครองข้อมูล
ทั้งนี้ ในช่วง 5 เดือนแรกของ พ.ศ. 2561 องค์กรด้านการเงินและการประกันภัยหลายแห่ง รวมทั้ง AIG Aventis Aviva และ Actxa ถูกปรับเนื่องจากไม่ได้จัดเตรียมความปลอดภัยอย่างเพียงพอในการปกป้องข้อมูลส่วนบุคคลหรือละเมิดกฎระเบียบเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ซึ่งคาดว่าจะมีการประกาศพระราชบัญญัติด้านการรักษาความปลอดภัยในโลกไซเบอร์ในช่วงปลายปีนี้ที่สิงคโปร์
ในประเทศฟิลิปปินส์นั้น มีการปรับปรุงพระราชบัญญัติข้อมูลส่วนบุคคลใน พ.ศ. 2562 ซึ่งทำให้เกิดการบังคับใช้มาตรการความปลอดภัยของข้อมูลส่วนบุคคลที่เข้มงวดมากขึ้น รวมทั้งจำเป็นต้องแจ้งข้อมูลละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายในเวลา 72 ชั่วโมง
ในประเทศออสเตรเลียมีมาตรการป้องกันข้อมูลที่คล้ายคลึงกัน โดยในเดือนกุมภาพันธ์ปีนี้ ได้มีการประกาศใช้รูปแบบการแจ้งข้อมูลการละเมิดข้อมูลที่จำเป็นต้องแจ้งในกรณีที่องค์กรทราบถึงการละเมิดข้อมูลซึ่งมีความเสี่ยงที่เป็นอันตรายต่อบุคคลอย่างร้ายแรงซึ่งหากองค์กรใดไม่ปฏิบัติตามอาจนำไปสู่การปรับถึง 2 ล้านเหรียญสหรัฐฯ ได้
นอกจากนี้ พบว่าประเทศญี่ปุ่นได้มีการแก้ไขเพิ่มเติมพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลใน พ.ศ. 2560 ประเทศมาเลเซียได้มีการประกาศใช้พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลใน พ.ศ. 2556 และประเทศเกาหลีใต้ปรับปรุงพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลใน พ.ศ. 2562
ซึ่งทั้งหมดนี้ทำให้เกิดกฎระเบียบที่เข้มงวดในการป้องกันข้อมูลที่เกี่ยวกับเครือข่ายระบบไอที และการใช้ข้อมูลเครดิต องค์กรจำเป็นต้องดำเนินการปกป้องข้อมูลของพวกเขาและตัวเอง แล้วความจำเป็นที่ต้องปฏิบัติตามข้อกำหนดมีผลกระทบอย่างมากต่อองค์กรที่ต้องคิดถึงการจัดการข้อมูลส่วนบุคคลและจัดการกระบวนการทางธุรกิจของตนอย่างไร ซึ่งความปลอดภัยและความจำเป็นในการปกป้องข้อมูลที่สำคัญและเป็นความลับจึงกลายเป็นส่วนสำคัญของการดำเนินธุรกิจ
แน่นอนที่สุดว่าทุกธุรกิจจำเป็นต้องตระหนักถึงกฎหมายข้อมูลส่วนบุคคลที่เกิดขึ้นในระดับภูมิภาคที่สำคัญเหล่านี้ ซึ่งองค์กรจำเป็นต้องหันมาประเมินสภาพแวดล้อมของพวกเขาเองและมั่นใจว่าพวกเขาสามารถปฏิบัติตามหลักเกณฑ์การปฏิบัติตามข้อกำหนดในปัจจุบันหรือที่กำลังจะมาถึงได้
การไม่ปฏิบัติตามข้อกำหนดอาจนำไปสู่การโดนปรับและความเสียหายร้ายแรงต่อชื่อเสียงขององค์กรตนเอง ทั้งนี้ หากองค์กรยังไม่ได้พิจารณากฎระเบียบที่เข้มงวดเรื่องข้อมูล ตอนนี้จะเป็นช่วงที่ดีในการเริ่มต้นตรวจสอบข้อมูลเพื่อรู้จักสถานการณ์ของตนเอง
ประเด็นสำคัญที่ต้องถามตนเองคือตนเองมีโครงสร้างพื้นฐานด้านกระบวนการจัดการข้อมูลและเทคโนโลยีด้านไอทีและเทคโนโลยีความปลอดภัยไซเบอร์ที่จะช่วยในการปกป้องสภาพแวดล้อมทางธุรกิจของตนเองหรือไม่?
พวกเขามีกรอบการปกป้องข้อมูลที่มีประสิทธิภาพซึ่งสามารถตรวจจับและบรรเทาการละเมิดข้อมูลได้อย่างรวดเร็วและมีประสิทธิภาพหรือไม่?
พวกเขามีศักยภาพในการมองเห็นลึกเข้าไปในโครงสร้างพื้นฐานของพวกเขาและสามารถทราบโดยทันทีว่าข้อมูลของพวกเขาอยู่ที่ไหน รวมทั้งใครและมีสิ่งอะไรที่กำลังเข้ามาไหม?
ความปลอดภัยของระบบรักษาความปลอดภัยไซเบอร์เป็นหัวใจหลักในการปฏิบัติตามข้อกำหนดด้านการป้องกันข้อมูล ซึ่งองค์กรต้องมั่นใจว่าตนเองมีความสามารถในการป้องกันการบุกรุกในเครือข่ายและสามารถลดความเสี่ยงจากการละเมิดที่ร้ายแรง โดยการลดเวลาในการตรวจหาภัยคุกคามใหม่ๆ ให้น้อยลงที่สุด นอกจากนี้ องค์กรยังต้องมีการตอบสนองภายหลังการบุกรุกที่มีประสิทธิภาพและผ่านการทดสอบให้มั่นใจในระดับนานาชาติ
สร้างโอกาสที่จะชนะใจและสร้างความไว้วางใจจากลูกค้า
เนื่องจากองค์กรมีภาระที่จะต้องปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูลที่เพิ่มขึ้นในภูมิภาคเอเชียแปซิฟิก จึงทำให้มีโอกาสที่องค์กรจะไม่สามารถปฏิบัติตามข้อกำหนดและเกิดความเสี่ยงจากการไม่ปฏิบัติตามนั้นเพิ่มขึ้นมาอย่างมาก
แต่ถ้าหากองค์กรถือโอกาสนี้เร่งสร้างเกราะป้องกันข้อมูลสำคัญและลดความเสี่ยงให้กับลูกค้าของตนได้โดยเร็วจะเป็นโอกาสที่จะสร้างความแตกต่างในการแข่งขันและเป็นหนทางสร้างความเชื่อมั่นและความไว้วางใจของลูกค้าให้กับแบรนด์ของตนเองมากขึ้น