ธุรกิจควรรู้ และเตรียมตัวรับมือ ในยุคที่ข้อมูลกลายเป็นสินทรัพย์ที่มีมูลค่ามหาศาล โดยข้อมูลส่วนใหญ่ที่ถูกจัดเก็บไว้ เป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนของเจ้าของ (Data Subject) ทั้งทางตรงและทางอ้อม ไม่ว่าข้อมูลจะถูกจัดเก็บไว้ในระบบออนไลน์หรือออฟไลน์ก็ตาม เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย เป็นต้น รวมไปถึง “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม หรือข้อมูลสุขภาพ ซึ่งข้อมูลเหล่านี้มีความสำคัญต่อการวางแผนกลยุทธ์ธุรกิจในอนาคต และในวันที่ 1 มิถุนายน 2564 นี้ ประเทศไทย จะมีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA องค์กรต้องปรับตัวให้สมดุลระหว่างความปลอดภัยข้อมูลส่วนบุคคลกับความสามารถในการแข่งขัน
ในยุคที่ธุรกิจถูกขับเคลื่อนด้วยข้อมูล (Data-Driven) องค์กรต้องมีการจัดเก็บข้อมูลจากกิจกรรมทางธุรกิจต่าง ๆ และสามารถนำมาวิเคราะห์เพื่อค้นหาข้อมูลเชิงลึก (Insights) เพื่อตอบสนองต่อการเปลี่ยนแปลงของตลาดได้ทันท่วงที ขณะเดียวกันก็สามารถช่วยเพิ่มประสิทธิภาพและประสิทธิผลของการปฏิบัติงานเพื่อให้ธุรกิจคงความได้เปรียบในการแข่งขัน
อย่างไรก็ตาม ข้อมูลข้างต้นมีผลเกี่ยวเนื่องตามบทบัญญัติที่ระบุไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดเงื่อนไขเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลไว้หลายประเด็น ซึ่งรวมถึง
- มาตรา 24 การมีฐานการประมวลผลที่เหมาะสม (Lawful Basis)
- มาตรา 33 สิทธิของเจ้าของข้อมูลส่วนบุคคลในการลบข้อมูล (Right to Erasure)
- มาตรา 37(1) มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการ เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง 2
- มาตรา 37(3) ประกอบ มาตรา 33 วรรค 5 หน้าที่ลบและทำลายข้อมูลเมื่อพ้นระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล
- มาตรา 37(4) แจ้งเหตุแก่ผู้กำกับดูแลหรือเจ้าของข้อมูลเมื่อข้อมูลส่วนบุคคลรั่วไหล
ดังจะเห็นได้ว่าการนำข้อมูลส่วนบุคคลมาประมวลผลนั้นมีข้อพึงปฏิบัติตามกฏหมายหลายประการ ทำให้เกิดข้อจำกัดในการนำข้อมูลดังกล่าวมาวิเคราะห์ (Data Analytics) อย่างไรก็ตาม การวิเคราะห์ข้อมูลอาจไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูลเสมอไป พิจารณาจากกรณีศึกษาดังต่อไปนี้
แผนกการตลาดของธุรกิจค้าปลีกขนาดใหญ่แห่งหนึ่ง ต้องการวิเคราะห์สถิติรายไตรมาสเพื่อศึกษาว่าสินค้าชิ้นไหนขายดีที่สุดและสินค้าตัวไหนขายได้น้อยที่สุด เพื่อนำข้อมูลไปใช้ในการวางแผนงบประมาณด้านการตลาด ในกิจกรรมนี้แผนก IT จะทำหน้าที่ดึงข้อมูลจากฐานข้อมูลยอดซื้อของลูกค้าผ่านระบบ Point of sale (POS) ไปยังฐานข้อมูลของแผนกการตลาด
ก่อนหน้าที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ แผนกการตลาดจะได้รับข้อมูลทั้งหมดจากฐานข้อมูลยอดซื้อของลูกค้า ซึ่งรวมถึง ที่อยู่ และเบอร์โทรศัพท์ของลูกค้าซึ่งเชื่อมกับ คำสั่งซื้อแต่ละรายการ ซึ่งแน่นอนว่าข้อมูลเหล่านี้สามารถนำมาวิเคราะห์เพื่อ“ย้อนรอย”หาเจ้าของข้อมูลได้ ดังนั้นการประมวลผลของแผนกการตลาดนี้จึงนับเป็นการประมวลผลข้อมูลส่วนบุคคล ซึ่งได้รับการคุ้มครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
จากกรณีตัวอย่าง แผนกการตลาดสามารถวิเคราะห์สถิติรายไตรมาสโดยไม่ต้องใช้ข้อมูลส่วนบุคคล เนื่องจากการวิเคราะห์ดังกล่าวต้องการข้อมูลเฉพาะเพียงข้อมูลด้านภาพรวมและวันที่ในการซื้อสินค้าเท่านั้น
นายอิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด บริษัทที่ปรึกษาระดับโลก ซึ่งเป็นผู้ให้บริการที่มีความเชี่ยวชาญด้านการปรับเปลี่ยนองค์กรธุรกิจในรูปแบบดิจิทัล ทรานส์ฟอร์เมชั่น ในเครือบริษัท เอบีม คอนซัลติ้ง จำกัด ประเทศญี่ปุ่น ได้แนะนำว่า “ในจุดนี้ การทำข้อมูลให้เป็นนิรนาม (Anonymization) ซึ่งหมายถึง “การทำให้ข้อมูลนั้นอยู่ในรูปแบบที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้อีกต่อไป” ถือเป็นตัวแปรสำคัญและมีบทบาทมากต่อธุรกิจในอนาคต เพราะการใช้ประโยชน์จากข้อมูลนั้นไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูล ดังนั้นการทำข้อมูลให้เป็นนิรนามจะช่วยให้ข้อมูลที่มีอยู่ไม่สามารถนำไประบุตัวบุคคลได้ ทั้งนี้ เพื่อรักษาประโยชน์ของข้อมูลในการวิเคราะห์ และข้อมูลส่วนบุคคลที่ทำให้เป็นนิรนามแล้ว ย่อมไม่ถือว่าเป็นข้อมูลส่วนบุคคลตาม มาตรา 33 จึงเปิดโอกาสให้ธุรกิจสามารถใช้ข้อมูลดังกล่าวได้โดยไม่อยู่ในกรอบพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ดังนั้นการทำข้อมูลให้เป็นนิรนามด้วยเทคนิคที่เหมาะสมจะช่วยให้แผนก IT สามารถแปลงข้อมูล ที่อยู่ และเบอร์โทรศัพท์ ให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้อีก และส่งข้อมูลนั้นไปยังฐานข้อมูลของแผนกการตลาด เพื่อทำการวิเคราะห์ข้อมูลดังกล่าว โดยไม่ขัดต่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อีกต่อไป
“ในอีกไม่ถึง 2 เดือนข้างหน้านี้ พ.ร.บ.ฯ จะมีผลบังคับใช้ หากองค์กรธุรกิจมีการจัดการข้อมูลไม่ดี อาจขัดต่อกฏหมายโดยไม่รู้ตัว ขณะเดียวกันหากธุรกิจไม่นำข้อมูลมาวิเคราะห์ต่อยอดก็จะสูญเสียโอกาสในการแข่งขัน ดังนั้นองค์กรธุรกิจต้องตระหนักให้มาก และพิจารณาให้รอบคอบถึงประเด็น PDPA” นายฮาระ กล่าว
หนึ่งในหลักคิดสำคัญเมื่อต้องออกแบบการประมวลผลข้อมูล คือการพิจารณาใช้ข้อมูลให้น้อยที่สุดเท่าที่จะทำให้กระบวนการนั้นสำเร็จได้ (Data Minimization) ทั้งนี้ หากข้อมูลส่วนบุคคลใดไม่จำเป็นต้องใช้ในการวิเคระห์ สามารถปรับให้เป็นข้อมูลนิรนามได้ทันทีเพื่อลดข้อมูลที่เกี่ยวข้องให้เหลือน้อยที่สุด นายฮาระ กล่าวทิ้งท้าย
เกี่ยวกับบริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด
บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด เป็นบริษัทในเครือบริษัท เอบีม คอนซัลติ้ง จำกัด โดยมีสำนักงานใหญ่ตั้งอยู่ที่กรุงโตเกียว ประเทศญี่ปุ่น มีทีมงานกว่า 6,600 คน ที่ให้บริการลูกค้ากว่า 1,100 รายทั่วภูมิภาคเอเชีย อเมริกา และยุโรป นับตั้งแต่เปิดให้บริการที่ปรึกษาในประเทศไทยเมื่อปี 2548 เอบีม คอนซัลติ้ง (ประเทศไทย) มีทีมงานผู้เชี่ยวชาญกว่า 400 คน ที่ให้บริการลูกค้ามากกว่า 200 ราย ในประเทศไทย ด้วยความเชี่ยวชาญในบริการด้านด้านดิจิทัล ทรานสฟอร์เมชั่น เพื่อช่วยสร้างความได้เปรียบเชิงกลยุทธ์ การปรับปรุงกระบวนการทางธุรกิจ ใช้ประโยชน์จากนวัตกรรมเทคโนโลยี และยกระดับผลการดำเนินงานขององค์กรด้วย ERP และโซลูชั่นอื่น ๆ ทั้งหมด รวมถึงการให้คำปรึกษาด้านการจัดการ Digital BPI การวิเคราะห์ข้อมูลการจัดการโครงการด้านไอที และเอาท์ซอร์สสำหรับบริษัทชั้นนำต่าง ๆ ในประเทศไทย นอกจากนี้ บริษัท เอบีมฯ ยังเป็นพันธมิตรที่ดีกับ SAP โดยให้บริการด้วยทีมที่ปรึกษาที่ได้รับใบรับรองจาก SAP เพื่อความสำเร็จในการทรานสฟอร์มของเอบีมร่วมมือกับลูกค้าในการวินิจฉัยและแก้ไขความท้าทายที่แท้จริงด้วยโซลูชั่นที่รวมการปฏิบัติที่ดีที่สุดและการดำเนินงานเข้ากับความเชี่ยวชาญทางเทคนิคในอุตสาหกรรม โดยเน้นใช้วิธีการปฏิบัติได้จริง (Pragmatic Approach) เพื่อมั่นใจว่าลูกค้าจะได้รับผลลัพธ์ที่รวดเร็ว คุ้มค่า และวัดผลได้ เอบีมมีปรัชญาการบริหารจัดการคือ “Real Partner” ด้วยการให้บริการที่ปรึกษาด้วยบุคลากรที่มีทักษะ มีความรู้ มีความเชี่ยวชาญ พร้อมโซลูชั่นที่แก้ปัญหาได้จริง และให้ผลลัพธ์ที่เป็นความสำเร็จของลูกค้าอย่างแท้จริง ข้อมูลเพิ่มเติม https://www.abeam.com/th/en