เอบีม เผยแนวโน้มเติบโต การใช้งานข้อมูลส่วนบุคคล

เอบีม เผยแนวโน้มเติบโต การใช้งานข้อมูลส่วนบุคคล
มติชน
31 สิงหาคม 2563 ( 10:45 )
126
เอบีม เผยแนวโน้มเติบโต การใช้งานข้อมูลส่วนบุคคล

การระบาดของโควิด-19 ได้สร้างผลกระทบอย่างใหญ่หลวง ไม่ว่าอุตสาหกรรมใดๆ และได้สร้างการเปลี่ยนแปลงครั้งใหญ่ ไม่ว่าจะเป็นการรักษาระยะห่างทางสังคม และการปิดพรมแดน ส่งผลให้การเดินทางเพื่อติดต่อธุรกิจถูกจำกัดลง สิ่งเหล่านี้คือ “วิถีใหม่” ที่ทุกคนกำลังเผชิญ ด้านพฤติกรรมผู้บริโภคเกิดการเปลี่ยนแปลงอย่างมาก เนื่องจากความจำเป็นในเรื่องของการรักษาระยะห่างทางสังคม ทำให้เทคโนโลยีได้กลายมาเป็นสิ่งสำคัญสำหรับทุกสิ่งและทุกอย่าง ปริมาณข้อมูลมหาศาลจากการใช้งานอินเตอร์เน็ตกำลังถูกสร้างและจัดเก็บ ไม่ว่าจะเป็นข้อมูลจากการช้อปปิ้งออนไลน์ การใช้จ่ายเงินผ่านกระเป๋าเงินอิเล็กทรอนิกส์ และเวลาที่ใช้ในการท่องอินเตอร์เน็ตและโซเชียลมีเดียที่เพิ่มมากขึ้น

 

ทุกวันนี้ องค์กรต่างๆ ล้วนเก็บข้อมูลส่วนบุคคลจำนวนมากเพื่อใช้งานและเพื่อส่งต่อให้บุคคลที่สามด้วยเหตุผลที่หลากหลาย คาดการณ์ว่าแนวโน้มนี้จะเติบโตขึ้นอย่างมาก เนื่องจากการจัดการและการวิเคราะห์ข้อมูลได้กลายมาเป็นส่วนสำคัญที่มีเทคโนโลยีเข้ามาขับเคลื่อนสิ่งเหล่านี้ นำมาซึ่งคำถามที่ว่า “องค์กรต่างๆ จะรับมือกับข้อมูลส่วนบุคคลที่จัดเก็บมาใช้ และเปิดเผยข้อมูลส่วนบุคคลนี้อย่างไรให้ถูกต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA” หรือคำถามที่ว่า “ลูกค้าได้ตระหนักรู้อย่างเต็มที่แล้วใช่หรือไม่ ว่าองค์กรได้ขออนุญาตเก็บข้อมูลส่วนบุคคลเพื่อนำไปใช้สำหรับทำอะไร” รวมทั้งคำถามที่ว่า “สิทธิส่วนบุคคลของแต่ละคนอะไรบ้างที่ได้รับความคุ้มครองตามกฎหมาย” บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด แนะองค์กรควรปกป้องข้อมูลส่วนบุคคลเชิงรุก ด้วยการปรับลักษณะของการจัดการ การปรับใช้เทคโนโลยี และการปฏิรูปกฎหมายที่จำเป็น เพื่อให้มั่นใจว่าได้ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลแล้ว

 

นายอิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด บริษัทที่ปรึกษาระดับโลก ซึ่งเป็นผู้ให้บริการที่มีความเชี่ยวชาญด้านการปรับเปลี่ยนองค์กรธุรกิจในรูปแบบดิจิทัล ทรานส์ฟอร์เมชั่น ในเครือบริษัท เอบีม คอนซัลติ้ง จำกัด ประเทศญี่ปุ่น เปิดเผยว่า จากการที่เกิด “วิถีใหม่” ทำให้มีปริมาณการใช้ข้อมูลส่วนบุคคลจำนวนมากและจะมีเพิ่มขึ้นอย่างต่อเนื่อง ส่งผลให้เกิดความกังวลเกี่ยวกับความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล จากผลกระทบหลักที่อาจจะมาจากการใช้ข้อมูลส่วนบุคคลในทางที่ผิดและการละเมิดข้อมูลส่วนบุคคล อ้างถึงรายงานของ GDPR พบว่ามากกว่า 38% ของกรณีที่ละเมิด GDPR เป็นกรณีที่ใช้ข้อมูลส่วนบุคคลในทางที่ผิด โดยในเดือนพฤษภาคม 2563 มีรายงานว่า ทั่วโลกมีการละเมิดข้อมูลอยู่ประมาณ 8.8 พันล้านข้อมูล ซึ่งคิดเป็นมูลค่าความเสียหายประมาณ 3.92 ล้านเหรียญสหรัฐ โดยไม่สามารถปฏิเสธความรับผิดชอบจากเหตุการณ์ที่มีการละเมิดข้อมูลส่วนบุคคลซึ่งสร้างผลกระทบอย่างมากทางธุรกิจ ไม่ว่าจะเป็นการสูญเสียเงิน การหยุดชะงักของธุรกิจ ภาระผูกพันตามกฎหมาย และการทำให้ชื่อเสียงของแบรนด์ เกิดความเสี่ยง องค์กรจะต้องกลับมาพิจารณาอย่างจริงจังเกี่ยวกับความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลของลูกค้า และขั้นตอนในการดำเนินการเพื่อจะบรรเทาความเสี่ยงและป้องกันการเกิดการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสม

 

ทั้งนี้ แม้ว่าการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะถูกเลื่อนออกไปถึงวันที่ 31 พฤษภาคม 2564 แต่หน่วยงานภาครัฐที่ดูแลเรื่องการบังคับใช้ พ.ร.บ.ฉบับนี้ได้มีการเดินหน้าจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นที่เรียบร้อย โดยในช่วงรอยต่อของช่องว่างการบังคับใช้ พ.ร.บ.ฉบับนี้ เป็นช่วงเวลาที่ดีที่องค์กรต่างๆ จะเตรียมความพร้อมที่จำเป็นตามที่กฎหมายระบุไว้ให้พร้อม เพื่อให้มั่นใจว่าองค์กรมีความพร้อมที่จะรับมือกับการบังคับใช้กฎหมายลูกฉบับต่างๆ ของ พ.ร.บ.ฉบับนี้ ที่คาดว่าจะทยอยออกมาบังคับใช้ในอนาคตอันใกล้นี้

 

จากรายงาน IAPP-EY Annual Privacy Governance Report 2019 เปิดเผยว่า มีเพียง 45% ขององค์กรเท่านั้น ที่ปฏิบัติตาม GDPR อย่างสมบูรณ์เต็มที่ และมี 42% ที่อยู่เพียงขั้นปานกลางในการทำให้การจัดเก็บจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกรอบของกฎหมาย GDPR ประกาศใช้มา 4 ปี และมีผลบังคับใช้เต็มที่เมื่อพฤษภาคม 2561 เท่ากับว่าองค์กรต่างๆ มีเวลามากกว่า 1 ปี ในการเตรียมตัวให้พร้อมก่อนที่ GDPR จะมีผลบังคับใช้จริง แต่กระนั้นก็ตาม มีองค์กรประมาณ 54% ใช้เวลามากกว่าที่คาดการณ์ไว้ และมีหลายองค์กรที่ยอมรับว่ายังติดขัดกับการความท้าทายในการทำให้สอดคล้องกับกฎหมาย โดยเฉพาะอย่างยิ่งระบบการบริหารจัดการความยินยอมของลูกค้า (Consent Management) และระบบการขอเข้าถึงข้อมูล (Data Subject Access Requests Management)

 

ความยากอันดับต้นๆ ขององค์กรที่จะจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกฎหมาย คือ การบริหารจัดการการยินยอมของลูกค้าและมาตรฐานการดำเนินการที่มีประสิทธิภาพและหลีกเลี่ยงความเสี่ยงจากการสูญเสียข้อมูล ซึ่ง “Centralized Consent Management Platforms” สามารถเข้ามาช่วยในส่วนนี้ได้ เพียงแต่ในความเป็นจริงแล้ว 44% ขององค์กร มีระบบจัดเก็บการยินยอมของลูกค้ามากกว่า 25 ระบบ ดังนั้น มีความจำเป็นจะต้องรวบรวมระบบต่างๆ เข้าสู่แพลตฟอร์ม ซึ่งจะนำมาซึ่งการเปลี่ยนแปลงกระบวนการทำธุรกิจ และกลไกในการตรวจสอบข้อมูลตั้งแต่ต้นทางถึงปลายทาง เพื่อมั่นใจได้ว่าระบบจัดเก็บการยินยอมของลูกค้านั้นเป็นปัจจุบัน และต้องทำให้ลูกค้าสามารถทำการอนุญาตและถอนการอนุญาตได้ด้วยตัวเอง อาทิ องค์กรจะต้องตอบสนองคำขอสิทธิของเจ้าของข้อมูลภายในเวลาที่กำหนด คือ ภายใน 72 ชั่วโมง หลังจากที่มีการตรวจสอบการร้องขอจากลูกค้า

 

ความท้าทายเหล่านี้สัมพันธ์กับความซับซ้อนในการบริหารจัดการระบบที่เกี่ยวข้องทั้งหมดภายในระยะเวลาที่กำหนด จากสถิติ พบว่าประมาณ 36% ขององค์กร ใช้เวลามากกว่า 3 สัปดาห์ ในการตอบสนองคำขอสิทธิของเจ้าของข้อมูล (DSR) ขณะที่ 58% มีพนักงานเพียง 26 คน ในการบริหารจัดการคำขอสิทธิของเจ้าของข้อมูลที่มีเข้ามา ค่าเฉลี่ยอยู่ที่ 50 คนในการตอบสนองคำขอสิทธิของเจ้าของข้อมูล ซึ่งคิดเป็นเงินลงทุนประมาณ 70,000 เหรียญต่อเดือน หรือคิดเป็นต้นทุน ประมาณ 1,400 เหรียญต่อหนึ่งคำขอสิทธิของเจ้าของข้อมูล

 

เอบีมแนะใช้เครื่องมืออัตโนมัติในการทำให้การบริหารจัดการคำขอและแพลตฟอร์มการคำขอสิทธิของเจ้าของข้อมูล ทำงานร่วมกันอย่างไร้รอยต่อ แบ่งออกได้เป็น 2 เฟส คือ

 

เฟส 1 : การเตรียมความพร้อมพื้นฐานสำหรับ PDPA มี 4 การเตรียมความพร้อมพื้นฐานสำหรับ PDPA ที่ให้ความสำคัญกับบุคลากร กระบวนการ และเทคโนโลยี คือ การจัดการ การกำกับดูแลข้อมูล (Data Governance) กระบวนการธุรกิจ (Business Process) การเปลี่ยนผ่านแอพพลิเคชั่น (Application Transformation) และการบริหารจัดการการเปลี่ยนแปลง (Change Management) สิ่งเหล่านี้ จะช่วยให้องค์กรสามารถปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้ และสามารถที่จะบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลได้อย่างยั่งยืนในระยะยาว

 

เฟส 2 : การลงมือทำ มีข้อแนะนำสำหรับการทำระบบการจัดเก็บและบริหารจัดการข้อมูลให้สำเร็จโดยเร็วโดยที่ยังสามารถทำให้สอดคล้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยที่ธุรกิจก็ไม่ต้องหยุดชะงัก นั่นคือการจัดลำดับความสำคัญของระบบต่างๆ ได้แก่ Data Subject Journey, Consent Management Platform, Data Subject Rights Execution, Data Privacy Impact Assessment (DPIA) & Privacy by Design, Business Change Management, Business Partner Due-Diligence, Breach Management และ Storage Limitation แนะองค์กรควรเริ่มจากกระบวนการทำธุรกิจ โครงสร้างพื้นฐานทางเทคโนโลยี สภาพแวดล้อม และการใช้ข้อมูลส่วนบุคคลในปัจจุบันที่มีการใช้ข้ามองค์กรสำหรับการวินิจฉัยประเด็นที่เหมาะสม

 

อย่างไรก็ตาม กระบวนการทั้งหมดที่เกี่ยวกับการปกป้องข้อมูลส่วนบุคคล รวมถึงกระบวนการในการคุ้มครองข้อมูลส่วนบุคคลที่จะเกิดขึ้นในอนาคต ทั้งหมดจะต้องเปิดเผย โปร่งใส ที่สำคัญที่สุด องค์กรต่างๆ ควรทำงานร่วมกับผู้เชี่ยวชาญที่มีประสบการณ์ ทั้งในเรื่องเทคโนโลยีและโซลูชั่นสำหรับ PDPA ในแต่ละอุตสาหกรรมที่มีโซลูชั่นครบวงจรตั้งแต่ต้นน้ำถึงปลายน้ำ เพื่อให้องค์กรสามารถติดตั้งและดำเนินการระบบได้อย่างรวดเร็วและประสบความสำเร็จในการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

 

ข่าวที่เกี่ยวข้อง