คุ้มครองข้อมูลส่วนบุคคล ต้องเริ่มที่ “ไมนด์เซต”

ก้าวสู่ยุคที่ “ข้อมูล” เป็นเครื่องมือสำคัญและขุมทรัพย์ของธุรกิจ บนเวทีเสวนา “แชร์ และปกป้องข้อมูลอย่างมั่นใจ ทำได้จริงหรือ” ที่สมาคมเศรษฐศาสตร์ธรรมศาสตร์ได้จัดขึ้น ย้ำความสำคัญนี้อย่างชัดเจน

“ดร.วิรไท สันติประภพ” ผู้ว่าการธนาคารแห่งประเทศไทย ระบุว่า เทคโนโลยีและข้อมูลก่อให้เกิดความเปลี่ยนแปลงใน 5 มิติ ได้แก่ 1.scale ธุรกิจสามารถขยายได้เร็วและต้นทุนต่ำขณะ 2.speed ธุรกิจจะแข่งที่ความเร็ว 3.scope เส้นแบ่งธุรกิจเริ่มหายไป เช่น การเงินไม่ใช่แค่แบงก์ หนึ่งแพลตฟอร์มให้บริการได้หลายบริการ 4.sharing ธุรกิจไม่จำเป็นต้องลงทุนเองทั้งหมด เช่น แกร็บ อูเบอร์ 5.segment of one คือ ใช้ข้อมูลเพื่อวิเคราะห์ลูกค้ารายบุคคล

• เปิด 10 อันดับมหาวิทยาลัยรัฐ-ราชภัฏ-เอกชน ที่ได้รับความนิยมมากสุด
• ยูโอบี ย้ำลูกค้าบัตรเครดิตซิตี้ ยังใช้งานได้ปกติ แจงสิ่งควรรู้หลังโอนพอร์ต
• โปรดเกล้าฯ พระราชทานยศ ข้าราชการในพระองค์ฝ่ายทหาร 3 ราย

ขณะที่ “ประวิทย์ ลี่สถาพรวงศา” กรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กล่าวว่า เศรษฐกิจขับเคลื่อนด้วยข้อมูล แต่ปัญหาก็เกิดขึ้นเพราะข้อมูล ซึ่งทุกประเทศไม่ได้ห้ามใช้ข้อมูล แต่ให้ใช้ข้อมูลโดยมีความรับผิดชอบ อย่างยุโรปมีกฎหมาย GDPR ซึ่งกำหนดค่าปรับสูงถึง 4% ของรายได้ทั่วโลก และบังคับกับผู้ทำธุรกรรมกับพลเมืองยุโรปทั่วโลก ทำให้ GDPR เป็นต้นแบบให้ประเทศอื่น ๆ ซึ่งไทยยกร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมาหลายปี แต่ยังไม่สำเร็จ เพราะมุ่งที่ความมั่นคงของรัฐมากกว่าการรักษาความปลอดภัยข้อมูล และการใช้ประโยชน์

“การใช้งานดิจิทัลเยอะขึ้น ไม่ว่าจะเป็นโมบายแบงก์ พร้อมเพย์ เพราะเกิดความเชื่อมั่น ดังนั้น ธุรกิจต้องใช้ข้อมูลด้วยความรับผิดชอบ ไม่เช่นนั้นธุรกิจทั้งระบบจะไปไหนไม่ได้เลย ซึ่งถ้าทำให้ความปลอดภัยเกิด ความเชื่อมั่นและความมั่นคงก็จะตามมาเอง”

อีกทั้งการกำกับของไทยยังไม่มุ่งที่การทำงานร่วมกัน แต่แบ่งพื้นที่กำกับดูแล อาทิ กสทช.ดูมือถือ แบงก์ชาติดูธนาคาร จึงเกิดโจทย์เรื่องกฎหมายกลาง ดังนั้น ผู้ประกอบการต้อง 1.เคารพสิทธิเจ้าของข้อมูล 2.ทำตามกฎหมาย 3.ใช้เทคโนโลยีในการป้องกันข้อมูล”

“สุรพล โอภาสเสถียร” ผู้จัดการใหญ่ บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด เปิดเผยว่า เครดิตบูโรมีบัญชีสินเชื่อกว่า 100 ล้านบัญชี การจะเช็กข้อมูลหรือนำข้อมูลไปใช้ต้องได้รับการอนุญาตจากเจ้าของข้อมูลด้วย ซึ่งมีข้อมูลแบ่งเป็น 2 ชุด ได้แก่ ข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการก่อหนี้ที่แยกออกมาจากชุดแรก แต่ลบการยืนยันตัวตนออก ซึ่งจะใช้ได้ต้องเป็นภาครัฐ สถาบันวิจัย สถาบันการศึกษา สมาชิกเครดิตบูโร

“ความเป็นส่วนตัวไม่ใช่ความลับ แต่เป็นการบริหารจัดการ อีกอันที่เป็นปัญหาคือ ผู้นำองค์กรไม่ค่อยชอบฟัง และคิดว่ารู้แล้ว สิ่งสำคัญที่สุดคือ ไมนด์เซต ถ้ายอมฟังคนอายุน้อย ๆ ก็จะพัฒนาได้”

ด้าน “ปริญญา หอมเอนก” ประธานและผู้ก่อตั้งบริษัท ACIS Professional Center จำกัด ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ กล่าวว่า ดิจิทัลดิสรัปชั่นคือ SMCI ได้แก่ S โซเชียล M โมบาย C คลาวด์ ซึ่งจะมีอิทธิพลต่อการใช้ชีวิตและเป็นประตูสู่ข้อมูลหรือ I information

“ทุกอย่างเหมือนใช้ฟรีแต่จ่ายด้วยไพรเวซี่ และทั้ง 4 ส่วนนี้จะเกิดไม่ได้ ถ้าไม่มีไซเบอร์ซีเคียวริตี้ ดังนั้น ทุกบริษัทต้องคิดเผื่อไว้ในกรณีที่โดนโจมตี เมื่อพูดถึงไพรเวซี่ ต้องทำซีเคียวริตี้ก่อน เพราะถ้าข้อมูลรั่วเสียชื่อแน่นอน ซึ่งที่ผ่านมาปัญหาดิจิทัลทรานส์ฟอร์ม ไม่ใช่ด้านเทคโนโลยี แต่เป็นไมนด์เซตที่ต้องเปลี่ยน เช่นเดียวกับไซเบอร์ซีเคียวริตี้ เพราะถ้าไม่เคยโดนโจมตีจะไม่มีทางรู้”

“อนุสรณ์ อูปคำ” Senior Consultant, RSA Dell Technologies กล่าวว่า ดาต้าไพรเวซี่ คือ นโยบายการกำกับดูแลข้อมูลสำคัญหรือข้อมูลส่วนตัว ต้องมีวิธีเก็บ และต้องตรวจสอบได้ว่าเอาไปเมื่อไหร่ เอาไปทำอะไร ส่วนดาต้าซีเคียวริตี้ เป็นส่วนย่อยของเดต้าไพรเวซี่ เช่น การเข้ารหัส เอ็นคริปชั่น การกำหนดสิทธิ์ในการเข้าถึงไฟล์ข้อมูล ที่ไม่ใช่แค่รหัสผ่าน แต่ต้องมีวันไทม์พาสเวิร์ด, ไบโอเมทริกซ์ ที่สำคัญต้องมีการแบ็กอัพข้อมูล และกระบวนการทำลายข้อมูลที่ถูกวิธีป้องกันการรั่วไหล ซึ่งสามารถนำปัญญาประดิษฐ์ AI มาใช้วิเคราะห์และออกแบบระบบได้

“จะทำซีเคียว เริ่มไมนด์เซต อย่าคิดว่าง่าย เพราะมันซับซ้อนมาก ตอนนี้พนักงานใหม่จะเป็นจุดอ่อน ดังนั้น ซีเคียวไม่ได้แค่พึ่งเครื่องมืออย่างเดียว แต่ต้องเริ่มคิดตั้งแต่ก่อนจะออกผลิตภัณฑ์หรือแคมเปญใหม่ ว่าจะทำอย่างไรให้ข้อมูลปลอดภัยโปร่งใส”