บนโลกดิจิทัลข้อมูลคือขุมทรัพย์มูลค่ามหาศาล โดยเฉพาะข้อมูลส่วนบุคคล (Personal Data) ที่สามารถสร้างมูลค่าทางธุรกิจให้แก่ผู้ผลิตสินค้าและบริการ การได้มาซึ่งข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ และข้อมูลที่มีความอ่อนไหวสูง (Sensitive Data) เช่น ข้อมูลที่บ่งบอกพฤติกรรมการใช้ชีวิตและการบริโภค รสนิยม ข้อมูลสุขภาพ ซึ่งทำให้องค์กรสามารถนำข้อมูลเหล่านั้นมาวิเคราะห์เพื่อนำเสนอสินค้าและบริการใหม่ๆ ให้แก่ลูกค้าได้โดยใช้เวลาน้อยลง และเกิดผลสัมฤทธิ์แบบ วิน-วิน กล่าวคือ ลูกค้าให้การยอมรับต่อการนำข้อมูลส่วนตัวไปใช้ประโยชน์อย่างเจาะจงเพื่อตอบสนองความต้องการที่ตรงจุดและโดนใจได้แม่นยำกว่าในอดีต ขณะที่การดูแลเอาใจใส่ที่ลูกค้าได้รับเป็นพิเศษจะนำมาซึ่งความจงรักภักดี (Loyalty) ที่ยั่งยืนต่อสินค้าและบริการขององค์กรได้ด้วย
ครบทุกมิติการจัดการข้อมูลความเป็นส่วนตัว - Data Privacy Management (DPM)
หน่วยงานที่ดูแลความปลอดภัยด้านไอทีมีบทบาทสำคัญโดยตรงต่อการลดความเสี่ยงและสร้างความเชื่อมั่นด้านความปลอดภัย (Digital Trust) ต่อข้อมูลความเป็นส่วนตัว โดยต้องทำให้ลูกค้าไว้วางใจได้ว่า หนึ่ง การใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับแอปพลิเคชัน หรือบริการอื่นใดทั้งในองค์กร นอกองค์กร หรือเชื่อมโยงข้ามพรมแดน จะถูกเก็บรวบรวม เข้าถึง ประมวลผล และเคลื่อนย้ายถ่ายโอนอย่างเหมาะสมปลอดภัยสอง สามารถสร้างประโยชน์แบบเฉพาะเจาะจง (Hyper-Personalization) ตรงตามสัญญาที่ให้ไว้กับเจ้าของข้อมูล และเป็นไปตามธรรมาภิบาลด้านข้อมูล (Data Governance) บนความโปร่งใส เป็นธรรม และสาม ต้องได้รับการปฏิบัติและคุ้มครองตามกฎหมายหรือระเบียบข้อบังคับที่เกี่ยวข้องทั้งในและต่างประเทศ เช่น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย กฎหมายคุ้มครองข้อมูลส่วนบุคคลเขตสหภาพยุโรป (GDPR) กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) สหรัฐอเมริกา เป็นต้นอย่างไรก็ตาม การบริหารการจัดการด้าน Data Privacy ไม่ได้เป็นเรื่องของการจัดการเฉพาะข้อมูลเท่านั้น แต่ยังรวมถึง
- การจัดตั้งบุคคล (People) หรือกลุ่มบุคคลที่เข้ามารับผิดชอบการบริหารจัดการความเป็นส่วนตัวของข้อมูล ได้แก่ คณะกรรมการกำกับดูแลข้อมูล (Data Governance Committee) คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO) คณะกรรมการบริหารนิติบุคคลที่เกี่ยวข้องกับบทปรับ บทลงโทษ และความเสียหายที่เกิดขึ้นจากกรณีที่มีการร้องเรียนเนื่องจากการนำข้อมูลไปใช้ไม่เป็นไปตามความยินยอมของเจ้าของข้อมูลหรือกฎระเบียบต่างๆ
- การกำกับดูแลทุกกระบวนการ (Process) ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นการทำหน้าที่ของผู้เก็บและควบคุมข้อมูล (Data Controller) เช่น องค์กรธุรกิจผู้เป็นเจ้าของฐานข้อมูลลูกค้า ผู้นำข้อมูลของลูกค้าไปประมวลผล (Data Processor) เพื่อนำเสนอแอปพลิเคชันหรือบริการทางธุรกิจต่างๆ หรือ การเข้าถึงโดยเจ้าของข้อมูลส่วนบุคคลเอง (Data Subject) เพื่อให้ครอบคลุมครบถ้วนทั้งการได้มาซึ่งข้อมูล การจัดเก็บ และนำข้อมูลไปใช้ตามความยินยอม (Consent) ของเจ้าของข้อมูลการระบุแหล่งที่มาการจัดกลุ่มและแสดงความเชื่อมโยงของข้อมูล การระบุความเสี่ยงเพื่อกำหนดแนวทางบริหารด้านความปลอดภัยของข้อมูล ตลอดจนกำกับการเข้าถึงแก้ไข ลบ ระงับใช้ โอนย้าย อนุญาตหรือคัดค้านการนำข้อมูลไปประมวลผลเป็นต้น
ความท้าทายในการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ในอนาคต ข้อมูลส่วนบุคคลที่องค์กรจัดเก็บจะไม่จบแค่ข้อมูลพื้นฐานที่มีการเปลี่ยนแปลงน้อย (Static Data) เช่น ชื่อ-นามสกุล ที่อยู่ หรือเลขบัตรประชาชนอีกต่อไป แต่ต้องเพิ่มการจัดเก็บข้อมูลที่อ่อนไหวสูงซึ่งเคลื่อนไหวเปลี่ยนแปลงตลอดเวลา (Dynamic Data) เช่น ข้อมูลใช้จ่ายผ่าน e-payment พฤติกรรมการใช้ชีวิตส่วนบุคคล ซึ่งการจัดเก็บและบริหารข้อมูลจำนวนมหาศาลย่อมมาพร้อมกับความท้าทายที่องค์กรทุกแห่งต้องเผชิญทั้งต้องปรับเปลี่ยนให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทั้งของไทยและต่างประเทศรวมถึงการกำกับดูแลข้อมูลบนหลักธรรมาภิบาล (Data Governance) ของแต่ละองค์กร
ดังนั้น สิ่งจำเป็นที่ต้องเปลี่ยนอย่างเร่งด่วนเพื่อปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้ถูกต้องนั้นคือ การกำหนดปริมาณข้อมูลที่จัดเก็บ การจัดการแหล่งที่มาของข้อมูล และการเชื่อมโยงของข้อมูลตามความยินยอม (Consent) จากเจ้าของข้อมูล ซึ่งในแต่ละส่วนมีการจัดการหลายขั้นตอน ต้องอาศัยเครื่องมือหลากหลายประเภทเพื่อเสริมประสิทธิภาพในการตอบสนองต่อการเติบโตและการเปลี่ยนแปลงของข้อมูลตลอดเวลาโดยเฉพาะเครื่องมือจัดเก็บและวิเคราะห์ข้อมูลให้สามารถรับมือกับการทะลักเข้ามาของข้อมูล รวมถึงช่วยแจ้งเตือนเรื่องความเสี่ยงและความเสียหายที่อาจเกิดขึ้นกับองค์กรจากความผิดพลาดในการบริหารจัดการข้อมูล ตลอดจนมีความยืดหยุ่นเพื่อรองรับการเปลี่ยนแปลงไปตามกฎข้อบังคับต่างๆ ที่มีในปัจจุบัน และที่จะเกิดขึ้นตามมาในอนาคต
5 เคล็ดลับเสริมการจัดการข้อมูลส่วนบุคคล
คุณสมบัติเบื้องต้นของเครื่องมือที่เข้ามาช่วยบริหารจัดการข้อมูลส่วนบุคคล ควรครอบคลุม “ลักษณะของงานบริหาร” ดังนี้
1.Data Inventory and Mapping - เครื่องมือในการค้นหาข้อมูล (Data Discovery Tools) ทั้งภายในและภายนอกองค์กร และนำมาแสดงเป็นภาพแผนที่ของคลังข้อมูลส่วนบุคลากร รวมถึงแสดงกิจกรรมต่างๆ ที่เกิดขึ้นกับข้อมูลเหล่านั้น
2.DataSubject Rights Management - เครื่องมือในการบริหารจัดการสิทธิของเจ้าของข้อมูล ไม่ว่าจะเป็นเรื่องการร้องขอในเรื่องการจัดเก็บ การเข้าถึง การแก้ไข การลบ การระงับใช้ การโอนย้าย และการคัดค้านการนำข้อมูลไปประมวลผล โดยเครื่องมือจะต้องสามารถสร้างขั้นตอนการร้องขอและเชื่อมต่อกับระบบภายนอก เช่น การรับเรื่องการร้องขอสิทธิผ่านทาง Web หรือ Mobile Portal หรือ Email เพื่อส่งต่อให้กับ Ticket System และสามารถสร้าง Workflow แสดงหน้ารายงานการร้องขอทั้งหมด รวมถึงแสดงผู้รับผิดชอบและสถานะร้องขอในแต่ละรายการเพื่อให้ง่ายต่อการติดตามงานและปฏิบัติตามกฎหมายได้อย่างถูกต้อง ทันเวลา
3.Preference and Consent Management - เครื่องมือที่ใช้ในการรวบรวม Consent Touchpoint หรือคือจุดบริการที่เกิดการให้ Consent ซึ่งสามารถปรับเปลี่ยน Preference ของ Data Subject ตามการร้องขอ
4.Cookie Consent Management - เครื่องมือที่ใช้เป็นส่วนกลางในการรวบรวม Cookie Consent ที่ได้จาก Web Page และใช้ในการบริหารจัดการ Cookie Banner
5.Breach Management - เครื่องมือการจัดการการละเมิดข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูล เพื่อจัดหาแนวทางการป้องกันเหตุการณ์ไม่คาดฝันได้อย่างทันท่วงทีและลดความเสี่ยง
เติมแต้มต่อไอทีเพิ่มความปลอดภัยของข้อมูล
ความเข้าใจในวงจรชีวิตของข้อมูล (Data Lifecycle) นับเป็นอีกหนทางหนึ่งที่ช่วยให้องค์กรสามารถ “จัดระเบียบเทคโนโลยี” เพื่อสร้างระบบความปลอดภัยพื้นฐานต่อตัวข้อมูลโดยตรง (Data Security) และเป็นขั้นเป็นตอนมากขึ้นเริ่มจากความปลอดภัยของการรับและเก็บข้อมูลที่มาจากเครื่อง Endpoint ทั้งในและนอกองค์กร การเข้าถึงข้อมูล (Access) ทั้งโดยผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูล หรือด้วยแอปพลิเคชันหรือบริการที่ต้องดึงข้อมูลไปใช้ลักษณะการใช้งานข้อมูล (Usage) เช่น นำไปวิเคราะห์ทางสถิติ เสนอการขายหรือส่งเสริมกิจกรรมการตลาดการจัดเก็บข้อมูล (Storage) ว่ามีการจัดเก็บแบบใด มีลำดับชั้นการป้องกันแยกย่อยในแต่ละหน่วยจัดเก็บข้อมูลอย่างไร การเคลื่อนย้ายถ่ายโอนข้อมูล (Transfer) ข้ามเน็ตเวิร์กระหว่างการใช้งานแอปพลิเคชันต่างๆ และการลบข้อมูล (Delete) ทั้งการแก้ปัญหาการลบโดยไม่ตั้งใจ หรือตั้งใจลบเพื่อป้องกันข้อมูลไม่ให้รั่วไหลเป็นต้น
ตัวอย่างเช่น VMware ซึ่งได้พัฒนาแพลตฟอร์มความปลอดภัยครอบคลุมทุกการเคลื่อนไหวของวงจรชีวิตข้อมูลควบคู่กับแอปพลิเคชันที่ใช้งานเริ่มจากเทคโนโลยีการเข้ารหัสข้อมูล (Data Encryption) ซึ่งมีความสำคัญสูงต่อการปกป้องข้อมูลตามมาด้วยโซลูชัน VMware Workspace ONE เพื่อดูแลการเข้าถึงข้อมูลระดับ Endpoint เช่น พีซีเดสก์ท็อป แล็ปท็อป อุปกรณ์โมบายต่างๆ VMwareHorizon ที่เน้นกำกับการใช้งานข้อมูลและแอปพลิเคชันสำหรับการทำงานแบบเวอร์ชวลไลเซชัน หรือทำงานผ่านคลาวด์ VMware vSAN ช่วยเพิ่มความเข้มข้นให้แก่นโยบายและขั้นตอนการจัดเก็บข้อมูล หรือ VMware NSX สำหรับการดูแลความปลอดภัยให้แก่ทุกการเชื่อมต่อทั้งเน็ตเวิร์กใน-นอกองค์กร หรือข้ามพรมแดน ทั้งหมดก็เพื่อให้องค์กรมองเห็นภาพใหญ่ของการพัฒนาระบบความปลอดภัยเชิงรุกในศูนย์ Data Center และเตรียมพร้อมต่อแพลตฟอร์มการทำงานใหม่ๆ เช่น คลาวด์ เวอร์ชวลแมชชีน คอนเทนเนอร์ ไมโครเซอร์วิส เป็นต้น หรือจะเป็นการเตรียมรับมือกับภัยคุกคามอย่าง Ransomware ซึ่งสร้างผลกระทบรุนแรงและรวดเร็วด้วย VMware Carbon Black เป็นต้น นอกจากนี้ องค์กรสามารถเสริมด้วยโซลูชัน Data Privacy Manager เพื่อเน้นการจัดการความปลอดภัยแบบเจาะจงต่อข้อมูลส่วนบุคคลของลูกค้า พนักงาน ผู้บริหาร หรือผู้มีส่วนได้ส่วนเสียทางธุรกิจซึ่งจะทำให้การพัฒนาปรับปรุงระบบความปลอดภัยของข้อมูลสอดคล้องกับหลักการ PDPA ไปในคราวเดียวกัน
การบริหารจัดการข้อมูลที่มีประสิทธิภาพ ตรงตามพันธสัญญา และไม่ละเมิดต่อกฎหมาย จึงขึ้นอยู่กับการวางนโยบายและแนวปฏิบัติที่ “ใช่” ในการเก็บและใช้ข้อมูลโดยไม่ก้าวล่วงความเป็นส่วนตัวและปฏิบัติให้ตรงตามวัตถุประสงค์ที่ให้ไว้กับเจ้าของข้อมูลส่วนบุคคล หรือผู้ได้รับสิทธิถือครองข้อมูลส่วนบุคคลนั้น ซึ่งจะทำให้องค์กรสามารถบรรลุเป้าหมายในการสร้างความไว้วางใจต่อธุรกิจ ผลิตภัณฑ์และบริการที่มัดใจลูกค้าไปตลอดกาล
