CDIC 2023

PDPC ร่วมกับ สวทช. ผนึกความร่วมมือ “PDPC สิงคโปร์” จัดทำคู่มือภาษาไทย พร้อมต่อยอดพัฒนา “Data Anonymization Tool” [Guest Post]

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ร่วมกับ สวทช. เดินหน้าความร่วมมือ ‘PDPC สิงคโปร์’ นำเครื่องมือแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม ‘Data Anonymization Tool’ มาเผยแพร่ และแปลคู่มือการใช้งานเป็นภาษาไทย เพื่อสนับสนุนให้เกิดการนำเครื่องมือไปใช้ได้อย่างมีประสิทธิภาพ พร้อมเตรียมต่อยอดการพัฒนาเครื่องมือให้สอดคล้องกับบริบทข้อมูลของประเทศไทย รวมทั้งจัดอบรมบุคลากรของทั้งสองหน่วยงาน ให้ตระหนักรู้ความสำคัญ และเทคนิคการจัดทำข้อมูลนิรนามก่อนนำไปสอนในองค์กรทั้งภายใน-ภายนอกต่อไป

ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยว่า บทบาทหนึ่งที่ สคส. หรือ PDPC ให้ความสำคัญ คือส่งเสริมพัฒนาเทคโนโลยีและนวัตกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดย PDPC ได้ดำเนินบทบาทดังกล่าวในหลากหลายด้าน อาทิ ร่วมกับ สวทช. เพื่อยกระดับความมั่นคงปลอดภัยสารสนเทศ รวมไปถึงการเข้าร่วมประชุมเชิงปฏิบัติการ การใช้งานเครื่องมือแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม หรือ ‘Data Anonymization Tool’ ซึ่งจัดโดยหน่วยงานผู้พัฒนาอย่าง ‘PDPC ประเทศสิงคโปร์’ พร้อมทั้งได้ต่อยอดความร่วมมือด้วยการรับสิทธิ์แปลคู่มือและเผยแพร่การใช้งานเครื่องมือในประเทศไทย เพื่อยกระดับการปกป้องข้อมูลส่วนบุคคลของคนไทยไปอีกขั้นด้วย

“ความร่วมมือระหว่างหน่วยงาน PDPC ของ 2 ประเทศ ไทยและสิงคโปร์ จะมุ่งเน้นเผยแพร่ความรู้เรื่องเทคนิคการแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนหรือข้อมูลนิรนาม (Anonymization) ซึ่งในระยะแรก เจ้าหน้าที่จาก PDPC สิงคโปร์ ที่เป็นเจ้าของเครื่องมือ ‘Data Anonymization Tool’ จะเข้ามาสนับสนุนบุคลากรไทยโดยครั้งนี้อบรมให้ความรู้ แนวทาง และวิธีการใช้งานเครื่องมือให้กับบุคลากรกลุ่มเป้าหมาย ของ PDPC และ สวทช. เพื่อนำไปสอนต่อในกลุ่มบุคลากรภายใน เจ้าหน้าที่กระทรวง DE รวมถึงหน่วยงานองค์กรระดับประเทศ

สำหรับการทำข้อมูลนิรนาม หรือ Anonymization หมายถึงกระบวนการแปลงข้อมูลส่วนบุคคล ให้เป็นข้อมูล
ที่ไม่สามารถใช้ในการระบุตัวบุคคลได้ โดยจุดประสงค์ของการทำข้อมูลนิรนามจะมีไว้เพื่อที่จะนำข้อมูลไปใช้ประโยชน์ต่อในวัตถุประสงค์อื่น ๆ เช่น นำข้อมูลลูกค้าไปวิเคราะห์พฤติกรรมเพื่อการพัฒนาผลิตภัณฑ์ หรือ การนำข้อมูลผู้ใช้บริการไปวิเคราะห์แนวโน้มการเข้าใช้บริการในพื้นที่ที่แตกต่างกัน เป็นต้น ซึ่งการทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ภายใต้กระบวนการที่ถูกต้องตามหลักวิชาการ จะทำให้สามารถนำข้อมูลดังกล่าวไปใช้งานต่อได้อย่างปลอดภัย ลดความเสี่ยงต่อการถูก Re-identification หรือการระบุตัวตนย้อนกลับได้

ดร.ชาลี วรกุลพิพัฒน์ นักวิจัยอาวุโส ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ กล่าวว่า ในทางทฤษฎี มักมีความเข้าใจกันว่าเพียงลบข้อมูลที่ระบุตัวตนโดยตรง (De-identification) อย่าง ชื่อ ที่อยู่ เลขบัตรประชาชน ก็นับเป็นการทำข้อมูลนิรนามแล้ว แต่ในทางปฏิบัติ การลบข้อมูลนี้อาจสุ่มเสี่ยงต่อการถูกระบุตัวตนย้อนกลับ หากนำชุดข้อมูลนั้นไปประกอบกับข้อมูลสาธารณะต่าง ๆ ที่เข้าถึงง่าย จึงอาจกล่าวได้ว่าขั้นตอน De-identification เป็นเพียงขั้นตอนแรก ๆ ของการทำข้อมูลนิรนามเท่านั้น

“โดยพื้นฐานแล้ว การทำข้อมูลนิรนามจะเริ่มจากการจำแนกชุดข้อมูล เพื่อแยกข้อมูลที่ระบุตัวตนได้โดยตรง, โดยอ้อม และข้อมูลคุณลักษณะที่ละเอียดอ่อนออกจากกัน จากนั้นจึงเป็นขั้นของการลบข้อมูลที่ระบุตัวตนได้โดยตรงออก (De-identification) และจึงจะนำชุดข้อมูลที่ได้มาทำ Anonymization ด้วยวิธีการต่าง ๆ ที่เหมาะสม ไม่ว่าจะเป็น การทำ Masking โดยใช้สัญลักษณ์ที่สอดคล้องกันมาเปลี่ยนจำนวนอักขระคงที่ เช่น รหัสไปรษณีย์ 10100 เป็น 10xxx, Pseudonymization ใช้นามแฝงแทนข้อมูลที่ระบุตัวตน เช่น เปลี่ยนชื่อจาก นาย ก. เป็น 2345, นาย ข. เป็น 6789 เป็นต้น, Generalization ลดความแม่นยำของข้อมูลโดยเจตนา เช่น การแปลงอายุเป็นช่วงอายุจาก อายุ 22 ปี เป็น 21-30 ปี รวมถึงวิธีการทำข้อมูลนิรนามอื่น ๆ เช่น Swapping จัดเรียงชุดข้อมูลใหม่โดยค่าคุณลักษณะยังคงแสดงในชุดข้อมูล, Perturbation แก้ไขค่าชุดข้อมูลดั้งเดิมให้ต่างออกไปเล็กน้อย, Aggregation แปลงชุดข้อมูลจากรายการเป็นค่าสรุป” ดร.ชาลี ให้ข้อมูล

ทั้งนี้ การทำข้อมูลนิรนามยังมีประโยชน์ในแง่มุมของการแลกเปลี่ยนข้อมูลที่ทำได้อย่างปลอดภัย ภายใต้การกำกับของหน่วยงานเจ้าของข้อมูล ที่ต้องกำหนดวัตถุประสงค์การนำข้อมูลไปใช้งานให้ชัดเจน แล้วจึงใช้กระบวนการ Anonymization ทำให้เป็นข้อมูลเป็นนิรนามตั้งแต่ต้นทาง เพื่อส่งต่อให้หน่วยงานอื่นใช้ประโยชน์ตามวัตถุประสงค์ต่อไป นอกจากนี้ ในการแลกเปลี่ยนข้อมูลนิรนามยังควรมีการกำหนดมาตรการที่รัดกุมเพิ่มเติม อาทิ ข้อกำหนดในการห้ามนำข้อมูลไปใช้นอกเหนือวัตถุประสงค์ จำกัดการเข้าถึงข้อมูลเฉพาะบุคคลที่เกี่ยวข้อง รวมถึงมาตรการควบคุม ติดตาม และคอยตรวจสอบข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันไม่ให้ข้อมูลเกิดการรั่วไหลอย่างมีประสิทธิภาพ

“หัวใจสำคัญในการร่วมมือกับ PDPC สิงคโปร์ คือมุ่งหวังให้บุคลากรไทยตระหนักรู้เกี่ยวกับข้อมูลนิรนามส่วนของตัวเครื่องมือถือเป็นประโยชน์รอง เพราะถ้าเราไม่มีความตระหนักหรือหลักการ ก็เหมือนเรามีเครื่องคิดเลขในมือแต่คิดคำนวณเองไม่เป็น เช่นเดียวกับขั้นตอนของ Anonymization ที่ถ้าทำน้อยไปก็จะระบุตัวตนย้อนกลับได้ ถ้าทำมากไปข้อมูลนั้นก็ไม่สามารถนำไปใช้ประโยชน์อะไรอื่นได้อย่างสูญเปล่า” ดร.ศิวรักษ์ ทิ้งท้าย

สำหรับเครื่องมือ Data Anonymization Tool สามารถดาวน์โหลดได้โดยไม่เสียค่าใช้จ่าย ผ่านเว็บไซต์ PDPC สิงคโปร์: https://www.pdpc.gov.sg/help-and-resources/2018/01/basic-anonymisation และดาวน์โหลดคู่มือการใช้งานภาษาไทยโดย สวทช. และ PDPC ได้ที่ https://www.nstda.or.th/nstdaxpdpc/privacytools/

ติดตามข่าวสารเกี่ยวกับการคุ้มครองและดูแลข้อมูลส่วนบุคคลได้ทาง Facebook : PDPC Thailand


About chanphen

Check Also

วางระบบ SOC ตรวจจับภัยคุกคาม เสริมมาตรฐานความมั่นคงปลอดภัยในองค์กร ด้วย IBM Security QRadar จาก Ruth Victor

Security Operations Center หรือ SOC นั้นได้กลายเป็นส่วนสำคัญของธุรกิจองค์กรในเวลานี้ เพื่อใช้ในการรวบรวมข้อมูลด้าน Cybersecurity จากระบบ IT ที่มีความสำคัญในองค์กร มาทำการวิเคราะห์ ตรวจสอบ และค้นหาภัยคุกคามที่อาจแฝงเร้นมาในวิธีการที่ซับซ้อนเกินกว่าที่ระบบรักษาความมั่นคงปลอดภัยทั่วไปจะตรวจจับได้ อย่างไรก็ดี …

ขอเชิญร่วมงานสัมมนาออนไลน์ Elevating Security with Akamai พบกับโซลูชันด้านความมั่นคงปลอดภัยที่ล้ำสมัยจาก Akamai Technologies [อังคารที่ 19 ธันวาคม 23] เวลา14.00 น.

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็วอย่างที่ไม่เคยเกิดขึ้นมาก่อน ธุรกิจต่างๆ ต้องการโซลูชันความปลอดภัยที่แข็งแกร่งและครอบคลุมเพื่อปกป้องสินทรัพย์ดิจิทัลของบริษัท ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์สุดพิเศษนี้ โดยท่านจะได้พบกับเทคโนโลยีการรักษาความปลอดภัยที่ล้ำสมัยจาก Akamai Technologies โดยมุ่งเน้นไปที่ความปลอดภัยของ API การปกป้องฝั่งไคลเอ็นต์ และตัวป้องกันบัญชี