www.cioworldmagazine.com

 Breaking News
  • 3 เรื่องด่วนที่ CIO ต้องจัดการ รับมือ COVID-19 การ์ทเนอร์แนะ 3 เรื่องด่วน CIO เร่งจัดการรับมือสถานการณ์ไวรัส COVID-19 ชี้ต้องมีแผนและการเตรียมตัวที่ครอบคลุมการดำเนินธุรกิจทั้งหมดและพร้อมนำมาใช้ทันที...
  • Top 10 Strategic Technology Trends for 2020 “Top 10 Strategic Technology Trends for 2020 ภายใต้การเกิดขึ้นของ People-Centric Smart Space ตัวกำหนดกลยุทธ์ด้านเทคโนโลยี ที่ส่งผลกระทบต่อลูกค้า พนักงาน คู่ค้า สังคม และการดำเนินการทั้งหมดขององค์กร”...
  • Cyber security 2020 “CIO World&Business ได้รวบรวม การคาดการณ์ด้านการรักษาความปลอดภัยที่มีโอกาสจะเกิดขึ้นในปี 2563 จาก ผู้ให้บริการระบบการรักษาความปลอดภัยหลายๆ ราย ทั้งจาก พาโล อัลโต เน็ตเวิร์กส์, ฟอร์ติเน็ต และ เทรนด์ไมโคร ที่มีประโยชน์อย่างมากต่อผู้บริหารในสายเทคโนโลยีสารสนเทศ รวมถึง C-Level ในสายงานอื่นๆ ทุกคน”...
  • CIO คือ ผู้นำองค์กรไปสู่ความสำเร็จในอนาคต “ผลการศึกษาฉบับล่าสุดชี้ให้เห็นว่าซีไอโอจะเป็นบุคคลสำคัญในการนำองค์กรไปสู่ความสำเร็จในอนาคต และความสามารถของซีไอโอในการควบคุมเทคโนโลยีที่ทันสมัยเพื่อสร้าง ขับเคลื่อน จัดการ เชื่อมต่อและปกป้อง คือ ปัจจัยสู่ความสำเร็จของธุรกิจ”...
  • ‘DES’ BIG MISSION DIGITIZING THAI ECONOMY เดินหน้าประเทศไทย สู่เศรษฐกิจและสังคมดิจิทัล วิสัยทัศน์ 15 คณะกรรมาธิการการสื่อสาร โทรคมนาคม และดิจิทัลเพื่อเศรษฐกิจและสังคม ร่วมขับเคลื่อนประเทศสู่ดิจิทัล ยกระดับคุณภาพชีวิตของประชาชน เท่าเทียม ทั่วถึง เป็นธรรม...

GDPR โอกาสในการยกระดับมาตรฐานการักษาความปลอดภัยข้อมูลองค์กร

GDPR โอกาสในการยกระดับมาตรฐานการักษาความปลอดภัยข้อมูลองค์กร
May 30
15:44 2018

“กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป หรือ GDPR จะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม ผู้ประกอบการในไทยสามารถมองได้หลายมุม ทั้งเรื่องผลกระทบการติดต่อธุรกิจกับคนในยุโรป โอกาสและความเสี่ยงต่างๆ แต่ในอีกมุมสามารถใช้เหตุการณ์นี้เป็นจุดเริ่มต้นในการสร้างความได้เปรียบ และสร้างความเชื่อมั่นให้ธุรกิจได้ด้วยมาตรการปกป้องข้อมูลให้ได้ตามหลักเกณฑ์ระดับโลก”

หลังจากที่ประเทศในกลุ่มสหภาพยุโรป กำลังตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนตัว และได้คลอดกฎหมายเกี่ยวกับด้านนี้ที่เรียกว่ากฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ซึ่งจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561 แน่นอนว่าการขยับในเรื่องกฎระเบียบระดับโลกขนาดนี้ ต้องส่งผลกระทบต่อการดำเนินธุรกิจของผู้ประกอบการไทยอย่างแน่นอน

ที่เห็นชัดเจนคือ ธุรกิจไทยที่มีลูกค้าอยู่ในสหภาพยุโรปที่ต้องอาศัยการวิเคราะห์หรือประมวลข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในยุโรปไม่ว่าจะใช้สำหรับการค้าขายสินค้าและบริการ หรือกิจกรรมทางการตลาดอื่นๆ ที่ต้องใช้การประมวลหรือจัดเก็บข้อมูลส่วนบุคคลของลูกค้า จำเป็นต้องเรียนรู้ที่จะปรับตัว เพื่อปฏิบัติตามกฎระเบียบใหม่ของสหภาพยุโรป

CIO World&Business ได้มองถึงประเด็น GDPR กับการบริหารความเสี่ยงของข้อมูลส่วนบุคคลเพื่อแต้มต่อทางธุรกิจโดยรวบรวมข้อมูลจาก วิชญ์ วงศ์หาญเชาว์ Business Development – Digital Transformation บริษัท ยิบอินซอย จำกัด มาถ่ายทอดในมุมมองดังกล่าว

ก่อนจะไปทำความรู้จักกับ GDPR วิชญ์ อธิบายเริ่มต้นด้วยการตั้งคำถามกับตัวเองว่า “เราได้เคยเปิดเผยข้อมูลส่วนตัวไปกับการทำธุรกรรมใดบ้าง? อย่างเช่น ติดต่อกับธนาคาร หน่วยบริการสุขภาพ ลงทะเบียนใช้งานผ่านอินเทอร์เน็ต หรือเล่นโซเชียลเน็ตเวิร์ค และในแต่ละครั้งเราต้องเปิดเผยข้อมูลส่วนตัวไปมากแค่ไหน เป็นการให้ข้อมูลเพียงชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ หรือละเอียดถึงขั้นต้องให้เลขที่บัตรประชาชน เลขบัตรเครดิต หรือกระทั่งการตั้งพาสเวิร์ด ซึ่งถูกบันทึกไว้ในระบบของผู้ให้บริการ”

“เราจะมั่นใจได้อย่างไรกับการที่องค์กรหรือหน่วยงานผู้ให้บริการเหล่านั้นต่างยืนยันว่า ข้อมูลส่วนตัวของเราจะไม่ถูกเปิดเผยจนได้รับความเสียหาย หรือถูกนำไปใช้เพื่อประโยชน์ทางธุรกิจอื่นใด”

จะเห็นว่า หลายประเทศในขณะนี้ เริ่มมีความกังวลต่อการเข้าถึงและใช้งานข้อมูลบิ๊กดาต้าแบบชนิดไร้พรมแดนจนเกินขีดความสามารถที่แต่ละประเทศจะกำกับดูแลให้ใช้งานได้อย่างเหมาะสมและไม่ขัดต่อการทำผิดกฎหมาย โดยเฉพาะการป้องกันไม่ให้เกิดการใช้งานที่ละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล

ซึ่งปัจจุบันมีกฎหมายหรือข้อบังคับในการกำกับดูแลการเข้าถึงข้อมูลในหลายรูปแบบ อาทิ กฎหมายปกป้องข้อมูลที่ใช้เฉพาะในแต่ละประเทศ กฎหมายกำกับการใช้ข้อมูลเป็นการเฉพาะในแต่ละอุตสาหกรรม ไปจนถึงกฎหมายคุ้มครองการรับ-ส่งข้อมูลข้ามพรมแดนในรูปแบบประเทศต่อประเทศ หรือองค์กรต่อองค์กร

GDPR ข้อมูลที่ปลอดภัยสร้างความเชื่อมั่นให้ธุรกิจ

วิชญ์ อธิบายเรื่องของการปกป้องข้อมูลลูกค้าโดยเชื่อมโยงไปถึง “กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป (อียู) ที่เรียกว่า จีดีพีอาร์ (General Data Protection Regulation-GDPR) ซึ่งเป็นกฎข้อบังคับที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพลเมืองชาวอียูที่อาศัยกลุ่มประเทศสหภาพยุโรป รวมถึงในประเทศต่างๆ ทั่วโลก และกำลังจะมีผลบังคับใช้ในเดือนพฤษภาคมปีนี้

เราจะเห็นว่า แม้ GDPR จะเป็นกฎหมายที่ออกโดยสหภาพยุโรป แต่ก็เป็นสิ่งที่ไม่ควรมองข้าม เพราะมีอำนาจครอบคลุมการใช้งานข้อมูลส่วนบุคคลที่กว้างขวางในระดับประเทศต่อประเทศเลยทีเดียว

“ความเข้มข้นของ GDPR คือ การไม่ยินยอมให้มีการไหลออกของข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองที่ต่ำกว่า หรือไม่ได้มาตรฐาน ซึ่งถ้าหากประเทศที่ประกอบธุรกิจ หรือเกี่ยวข้องกับอียูจะด้วยเรื่องใด เกิดตกชั้นเรื่องเกณฑ์การคุ้มครองข้อมูลตามที่ GDPR กำหนด ก็จะเสียโอกาสในการทำธุรกิจกับอียูไปโดยปริยาย”

ส่วนกฎของจีดีพีอาร์ที่ประเทศหรือองค์กรไทยที่มีการประกอบธุรกิจ หรือติดต่อกับพลเมืองของอียู ควรจะศึกษาและเตรียมความพร้อมแต่เนิ่นๆ สรุปโดยย่อ ได้แก่ การที่ประเทศหรือองค์กรนั้นๆ ต้องกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้แล้วแต่กรณี และหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม (consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้นๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง

“นอกจากนี้ องค์กรต่างๆ ต้องสร้างมาตรฐานการปกป้องข้อมูลส่วนบุคคลเพื่อกันการสูญหาย หรือถูกนำไปเปิดเผยโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล จะต้องมีระบบแจ้งเตือนเมื่อเกิดข้อมูลรั่วไหล โดยจีดีพีอาร์กำหนดให้ต้องรายงานความเสียหายที่เกิดขึ้นภายใน 72% ชั่วโมง รวมถึงการประเมินแนวนโยบายการปกป้องข้อมูล

เพื่อนิยามความเสี่ยงที่มีผลต่อข้อมูลของลูกค้า การทบทวนข้อปฏิบัติเพื่อบ่งชี้ความเสี่ยงได้อย่างแม่นยำ ซึ่งประเทศหรือองค์กรที่ไม่ปฏิบัติตามข้อบังคับของจีดีพีอาร์จะมีบทลงโทษด้วยการเสียค่าปรับตั้งแต่ 10 ถึง20 ล้านยูโรเลยทีเดียว” วิชญ์อธิบาย

มองในมุมบวก GDPR จึงไม่ต่างจากการสร้างมาตรฐานใหม่ของการปกป้องข้อมูลที่ทำให้เจ้าของข้อมูลเข้าใจถึงสิทธิความเป็นส่วนตัวของข้อมูลที่ต้องไม่ถูกละเมิด ขณะที่องค์กรหรือหน่วยงานต่างๆ สามารถใช้เป็นโอกาสในการยกระดับระบบบริหารจัดการข้อมูลเพื่อเพิ่มประสิทธิภาพการดำเนินงาน หรือการประกอบธุรกิจ และสร้างความเชื่อมั่นในสายตาลูกค้า ผ่านการนิยามข้อมูลส่วนบุคคลให้ชัดเจน และกำหนดระดับการป้องกันอย่างเข้มข้น

ทั้งนี้ กฎของจีดีพีอาร์ได้ช่วยกำหนดนิยามข้อมูลส่วนบุคคลที่ให้การคุ้มครองไว้ชัดเจนไว้แล้ว ซึ่งประกอบด้วย ข้อมูลที่ใช้ระบุตัวตนเบื้องต้น เช่น ชื่อ ที่อยู่ เลขที่บัตรประชาชน ข้อมูลที่ระบุตัวตนบนเว็บ เช่น จุดที่อยู่ (Location) ไอพีแอดเดรส ข้อมูลบันทึกการเข้าเว็บไซต์ (Cookies) ป้ายอิเล็กทรอนิกส์ที่อ่านค่าได้ด้วยคลื่นวิทยุ (RFID tag) ข้อมูลทางด้านสุขภาพและพันธุศาสตร์ ข้อมูลด้านชีววิทยา ข้อมูลด้านชาติพันธุ์หรือชนกลุ่มน้อย หรือ ข้อมูลความคิดเห็นทางการเมือง เป็นต้น

3 ขั้นตอน ยกระดับมาตรฐานความปอดลภัยข้อมูล

ส่วนการดำเนินการจะครอบคลุมใน 3 ขั้นตอน คือ ขั้นตอนการจัดเก็บข้อมูล (Data Collectors) ซึ่งเป็นการกำหนดวัตถุประสงค์และแนวปฏิบัติในการจัดเก็บข้อมูลประเภทต่างๆ เพื่อใช้ในการประมวลผลไว้ให้ชัดเจน

ขั้นตอนการประมวลผลข้อมูล (Data Processors) โดยการนำข้อมูลไปประมวลผลจะต้องทำบนความรับผิดชอบที่จะไม่ให้เกิดการรั่วไหลของข้อมูล หรือนำไปใช้งานที่ไม่ตรงตามวัตถุประสงค์หรือข้อกำหนดที่วางไว้

และ ขั้นตอนการปกป้องข้อมูล (Data Protection) คือ การจัดให้มีเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Officer-DPO) ที่มีหน่วยงานการกำกับควบคุมโดยตรง (Supervisory Authorities) เพื่อติดตามดำเนินการให้เป็นไปตามกลยุทธ์ด้านความปลอดภัยของข้อมูลตามข้อบังคับของจีดีพีอาร์หรือจะลงรายละเอียดถึงระดับของการประเมินความเสี่ยง (Risk Assessment) หรือประเมินผลกระทบต่อความเป็นส่วนตัว (Privacy Impact Assessment – PIA) ก็ไม่ว่ากัน เพราะนั่นจะยิ่งเป็นการการันตีว่า เรามีความตั้งใจปฏิบัติตามกฎการคุ้มครองข้อมูลส่วนบุคคล และพยายามลดความเสี่ยงทุกรูปแบบในสายตาของนานาประเทศเมื่อติดต่อกับองค์กรของเรา

หลายสำนักวิจัยชี้ลูกค้าให้ความสำคัญข้อมูลส่วนตัวสูง

เมื่อไม่นานมานี้ อาร์เอสเอ ซีเคียวริตี้ อิงค์ (RSA Security Inc.) บริษัทซึ่งให้บริการเทคโนโลยีด้านความปลอดภัยบนระบบเครือข่ายและการพิสูจน์ตัวตนได้ออกมาเปิดเผยรายงานเรื่อง “ความปลอดภัยและความเป็นส่วนตัวของข้อมูล” ที่บริษัทได้ทำการสำรวจลูกค้ากว่า 7,500 ราย ในประเทศฝรั่งเศสเยอรมัน อิตาลี อังกฤษ และสหรัฐอเมริกา พบว่า 80% ของผู้เป็นเจ้าของข้อมูลกังวลกับการสูญหายของข้อมูลทางการเงินการธนาคารเป็นอันดับต้น

76% กังวลถึงข้อมูลที่ใช้เพื่อสร้างความปลอดภัย เช่น พาสเวิร์ด และข้อมูลที่ระบุตัวตน เช่น พาสปอร์ต ใบอนุญาตขับขี่รถว่าจะสูญหายหรือโดนแฮค 62% เลือกที่จะตำหนิบริษัทเมื่อข้อมูลสูญหายแทนการกล่าวโทษแฮคเกอร์ 41% จึงตั้งใจให้ข้อมูลเท็จเมื่อมีการลงชื่อเข้าใช้บริการออนไลน์ต่างๆ ขณะเดียวกัน 72% จะยกเลิกการทำธุรกรรม (Boycott) บริษัทที่เพิกเฉยต่อการปกป้องข้อมูลของพวกเขา และ 50% เลือกที่จะซื้อของกับบริษัทที่พิสูจน์ตัวเองได้ว่า ให้ความสำคัญอย่างมากกับการปกป้องข้อมูล

รายงานฉบับดังกล่าวได้สรุปส่งท้ายว่า ธุรกิจจะเดินสู่การเปลี่ยนถ่ายข้อมูลยุคดิจิทัล โดยการใช้ประโยชน์จากบริการสินทรัพย์ข้อมูลดิจิทัลและบิ๊กดาต้า อย่างต่อเนื่องได้นั้น จะต้องแม่นยำในการสอดส่องและปกป้องข้อมูลที่เกิดขึ้นในแต่ละวัน

ส่วน ไพร้ซวอเตอร์เฮาส์คูเปอร์ส (PWC) ซึ่งสำรวจบริษัทสัญชาติอเมริกัน พบว่า 92% มีการพิจารณาถึงข้อบังคับของจีดีพีอาร์และเห็นว่า มีความสำคัญเป็นอันดับต้นในการปกป้องข้อมูล

สร้างโอกาสทางธุรกิจท่ามกลางความกังวลของลูกค้า

วิชญ์ ตั้งคำถามสำคัญในลำดับต่อไป คือ แล้วเราจะสร้างหรือรักษาโอกาสทางธุรกิจท่ามกลางความกังวลของลูกค้าเหล่านี้ได้อย่างไร?

การศึกษาที่มาที่ไป และประเภทของข้อมูลที่มีหรือใช้อยู่ในองค์กร การศึกษาถึงการไหลของข้อมูลซึ่ง ณ เวลานี้ อาจต้องเน้นข้อมูลที่เกี่ยวข้องกับสหภาพยุโรป ว่ามีผลกระทบต่อธุรกิจอย่างไร ข้อมูลได้ถูกจัดเก็บและมีการประมวลผล ณ ที่ใด และหากข้อมูลนั้นถูกจัดเก็บและประมวลผลอยู่ภายนอกองค์กรจะเป็นอย่างไร น่าจะเป็นจุดเริ่มต้นที่ดีในการตอบรับกฎของจีดีพีอาร์

ขั้นตอนต่อไป คือ การประเมินระบบความปลอดภัยด้านข้อมูล เพื่อดูว่าส่วนใดที่เป็นไปตามกฎของจีดีพีอาร์แล้ว ส่วนใดที่ต้องตรวจสอบและปรับปรุงต่อเนื่องต่อไป หากไม่มีแผนตอบรับความเสี่ยงต่อการรั่วไหลของข้อมูลก็ให้ดำเนินการเสีย หรือถ้ามีอยู่แล้วก็ต้องทดสอบแผนว่า สามารถบรรเทาความเสียหายได้ภายใน 72 ชั่วโมงหรือไม่ เพราะการปรับปรุงแผนให้สอดรับกับกฎของจีดีพีอาร์ จะเป็นหนทางหนึ่งในการการันตีความได้เปรียบทางการแข่งขันทางธุรกิจหรือบริการกับกลุ่มประเทศหรือพลเมืองชาวอียูได้อย่างแน่นอน

“สำหรับองค์กรที่ทำงานร่วมกับผู้ให้บริการด้านไอที เช่น ผู้ให้บริการด้านคลาวด์ เวนเดอร์ในการให้บริการซอฟต์แวร์ (SaaS) อยู่แล้ว หรืออยู่ระหว่างพิจารณาคัดเลือกผู้ให้บริการระบบความปลอดภัยเพิ่มเติม จะต้องแน่ใจว่า ผู้ให้บริการหรือเวนเดอร์นั้นๆจะต้องเข้าใจ และให้ความสำคัญกับการแสวงหามุมมองใหม่ๆ ด้านเทคโนโลยีเพื่อพัฒนาระบบความปลอดภัยด้านสารสนเทศ”

“ทั้งมีความพร้อมที่ขับเคลื่อนไปข้างหน้าด้วยกันในฐานะภาคีทางธุรกิจ โดยเฉพาะงานด้านความปลอดภัยในการประมวลผลข้อมูลตามกฎของ จีดีพีอาร์ ซึ่งเป็นงานเร่งด่วนในขณะนี้ รวมถึงเป็นการเตรียมรับมือต่อกฎด้านความปลอดภัยอื่นใดที่จะเกิดขึ้นต่อไปในอนาคต” วิชญ์ กล่าว

เมื่อโลกของข้อมูลนั้นไร้พรมแดน และเต็มไปด้วยบรรดาอาชญากรคอมพิวเตอร์ที่ยังคงท้าทายกฎหมายด้วยการสร้างเว็บไซต์ปลอม หรือ ฟิชชิ่งสแกม (Phishing Scam) แฮคเกอร์ที่ยังคงใช้เทคโนโลยีที่ก้าวหน้าเพื่อล้วงลึกข้อมูลเพื่อหาประโยชน์อันมิควรได้ การนำข้อมูลส่วนบุคคลที่ถูกนำไปใช้ประโยชน์ทางการค้า หรือถูกเปิดเผยโดยไม่ได้รับอนุญาตบนโลกโซเชียลและสร้างความเสียหายให้เจ้าของข้อมูลจะโดยความตั้งใจหรือไม่ก็ตาม จะยิ่งทำให้การสร้างกฎเกณฑ์และข้อบังคับเพื่ออุดรอยรั่วต่างๆ เหล่านี้ก็จะยิ่งเข้มข้นมากขึ้น

จึงขึ้นอยู่กับว่า องค์กรจะสามารถบริหารดุลยภาพระหว่างกฎเกณฑ์ที่เข้มงวดกับแนวปฏิบัติภายในองค์กรได้อย่างเหมาะสม และแปรเปลี่ยนให้เป็นอาวุธที่สร้างมูลค่าทางธุรกิจได้หรือไม่นั่นเอง

Tags

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Like Us On Facebook

Facebook Pagelike Widget
communication

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com