PDPC ร่วมกับ สวทช. ผนึกความร่วมมือ “PDPC สิงคโปร์” จัดทำคู่มือภาษาไทย พร้อมต่อยอดพัฒนา “Data Anonymization Tool” [Guest Post]

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ร่วมกับ สวทช. เดินหน้าความร่วมมือ ‘PDPC สิงคโปร์’ นำเครื่องมือแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม ‘Data Anonymization Tool’ มาเผยแพร่ และแปลคู่มือการใช้งานเป็นภาษาไทย เพื่อสนับสนุนให้เกิดการนำเครื่องมือไปใช้ได้อย่างมีประสิทธิภาพ พร้อมเตรียมต่อยอดการพัฒนาเครื่องมือให้สอดคล้องกับบริบทข้อมูลของประเทศไทย รวมทั้งจัดอบรมบุคลากรของทั้งสองหน่วยงาน ให้ตระหนักรู้ความสำคัญ และเทคนิคการจัดทำข้อมูลนิรนามก่อนนำไปสอนในองค์กรทั้งภายใน-ภายนอกต่อไป

ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยว่า บทบาทหนึ่งที่ สคส. หรือ PDPC ให้ความสำคัญ คือส่งเสริมพัฒนาเทคโนโลยีและนวัตกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดย PDPC ได้ดำเนินบทบาทดังกล่าวในหลากหลายด้าน อาทิ ร่วมกับ สวทช. เพื่อยกระดับความมั่นคงปลอดภัยสารสนเทศ รวมไปถึงการเข้าร่วมประชุมเชิงปฏิบัติการ การใช้งานเครื่องมือแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม หรือ ‘Data Anonymization Tool’ ซึ่งจัดโดยหน่วยงานผู้พัฒนาอย่าง ‘PDPC ประเทศสิงคโปร์’ พร้อมทั้งได้ต่อยอดความร่วมมือด้วยการรับสิทธิ์แปลคู่มือและเผยแพร่การใช้งานเครื่องมือในประเทศไทย เพื่อยกระดับการปกป้องข้อมูลส่วนบุคคลของคนไทยไปอีกขั้นด้วย

“ความร่วมมือระหว่างหน่วยงาน PDPC ของ 2 ประเทศ ไทยและสิงคโปร์ จะมุ่งเน้นเผยแพร่ความรู้เรื่องเทคนิคการแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนหรือข้อมูลนิรนาม (Anonymization) ซึ่งในระยะแรก เจ้าหน้าที่จาก PDPC สิงคโปร์ ที่เป็นเจ้าของเครื่องมือ ‘Data Anonymization Tool’ จะเข้ามาสนับสนุนบุคลากรไทยโดยครั้งนี้อบรมให้ความรู้ แนวทาง และวิธีการใช้งานเครื่องมือให้กับบุคลากรกลุ่มเป้าหมาย ของ PDPC และ สวทช. เพื่อนำไปสอนต่อในกลุ่มบุคลากรภายใน เจ้าหน้าที่กระทรวง DE รวมถึงหน่วยงานองค์กรระดับประเทศ

สำหรับการทำข้อมูลนิรนาม หรือ Anonymization หมายถึงกระบวนการแปลงข้อมูลส่วนบุคคล ให้เป็นข้อมูล
ที่ไม่สามารถใช้ในการระบุตัวบุคคลได้ โดยจุดประสงค์ของการทำข้อมูลนิรนามจะมีไว้เพื่อที่จะนำข้อมูลไปใช้ประโยชน์ต่อในวัตถุประสงค์อื่น ๆ เช่น นำข้อมูลลูกค้าไปวิเคราะห์พฤติกรรมเพื่อการพัฒนาผลิตภัณฑ์ หรือ การนำข้อมูลผู้ใช้บริการไปวิเคราะห์แนวโน้มการเข้าใช้บริการในพื้นที่ที่แตกต่างกัน เป็นต้น ซึ่งการทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ภายใต้กระบวนการที่ถูกต้องตามหลักวิชาการ จะทำให้สามารถนำข้อมูลดังกล่าวไปใช้งานต่อได้อย่างปลอดภัย ลดความเสี่ยงต่อการถูก Re-identification หรือการระบุตัวตนย้อนกลับได้

ดร.ชาลี วรกุลพิพัฒน์ นักวิจัยอาวุโส ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ กล่าวว่า ในทางทฤษฎี มักมีความเข้าใจกันว่าเพียงลบข้อมูลที่ระบุตัวตนโดยตรง (De-identification) อย่าง ชื่อ ที่อยู่ เลขบัตรประชาชน ก็นับเป็นการทำข้อมูลนิรนามแล้ว แต่ในทางปฏิบัติ การลบข้อมูลนี้อาจสุ่มเสี่ยงต่อการถูกระบุตัวตนย้อนกลับ หากนำชุดข้อมูลนั้นไปประกอบกับข้อมูลสาธารณะต่าง ๆ ที่เข้าถึงง่าย จึงอาจกล่าวได้ว่าขั้นตอน De-identification เป็นเพียงขั้นตอนแรก ๆ ของการทำข้อมูลนิรนามเท่านั้น

“โดยพื้นฐานแล้ว การทำข้อมูลนิรนามจะเริ่มจากการจำแนกชุดข้อมูล เพื่อแยกข้อมูลที่ระบุตัวตนได้โดยตรง, โดยอ้อม และข้อมูลคุณลักษณะที่ละเอียดอ่อนออกจากกัน จากนั้นจึงเป็นขั้นของการลบข้อมูลที่ระบุตัวตนได้โดยตรงออก (De-identification) และจึงจะนำชุดข้อมูลที่ได้มาทำ Anonymization ด้วยวิธีการต่าง ๆ ที่เหมาะสม ไม่ว่าจะเป็น การทำ Masking โดยใช้สัญลักษณ์ที่สอดคล้องกันมาเปลี่ยนจำนวนอักขระคงที่ เช่น รหัสไปรษณีย์ 10100 เป็น 10xxx, Pseudonymization ใช้นามแฝงแทนข้อมูลที่ระบุตัวตน เช่น เปลี่ยนชื่อจาก นาย ก. เป็น 2345, นาย ข. เป็น 6789 เป็นต้น, Generalization ลดความแม่นยำของข้อมูลโดยเจตนา เช่น การแปลงอายุเป็นช่วงอายุจาก อายุ 22 ปี เป็น 21-30 ปี รวมถึงวิธีการทำข้อมูลนิรนามอื่น ๆ เช่น Swapping จัดเรียงชุดข้อมูลใหม่โดยค่าคุณลักษณะยังคงแสดงในชุดข้อมูล, Perturbation แก้ไขค่าชุดข้อมูลดั้งเดิมให้ต่างออกไปเล็กน้อย, Aggregation แปลงชุดข้อมูลจากรายการเป็นค่าสรุป” ดร.ชาลี ให้ข้อมูล

ทั้งนี้ การทำข้อมูลนิรนามยังมีประโยชน์ในแง่มุมของการแลกเปลี่ยนข้อมูลที่ทำได้อย่างปลอดภัย ภายใต้การกำกับของหน่วยงานเจ้าของข้อมูล ที่ต้องกำหนดวัตถุประสงค์การนำข้อมูลไปใช้งานให้ชัดเจน แล้วจึงใช้กระบวนการ Anonymization ทำให้เป็นข้อมูลเป็นนิรนามตั้งแต่ต้นทาง เพื่อส่งต่อให้หน่วยงานอื่นใช้ประโยชน์ตามวัตถุประสงค์ต่อไป นอกจากนี้ ในการแลกเปลี่ยนข้อมูลนิรนามยังควรมีการกำหนดมาตรการที่รัดกุมเพิ่มเติม อาทิ ข้อกำหนดในการห้ามนำข้อมูลไปใช้นอกเหนือวัตถุประสงค์ จำกัดการเข้าถึงข้อมูลเฉพาะบุคคลที่เกี่ยวข้อง รวมถึงมาตรการควบคุม ติดตาม และคอยตรวจสอบข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันไม่ให้ข้อมูลเกิดการรั่วไหลอย่างมีประสิทธิภาพ

“หัวใจสำคัญในการร่วมมือกับ PDPC สิงคโปร์ คือมุ่งหวังให้บุคลากรไทยตระหนักรู้เกี่ยวกับข้อมูลนิรนามส่วนของตัวเครื่องมือถือเป็นประโยชน์รอง เพราะถ้าเราไม่มีความตระหนักหรือหลักการ ก็เหมือนเรามีเครื่องคิดเลขในมือแต่คิดคำนวณเองไม่เป็น เช่นเดียวกับขั้นตอนของ Anonymization ที่ถ้าทำน้อยไปก็จะระบุตัวตนย้อนกลับได้ ถ้าทำมากไปข้อมูลนั้นก็ไม่สามารถนำไปใช้ประโยชน์อะไรอื่นได้อย่างสูญเปล่า” ดร.ศิวรักษ์ ทิ้งท้าย

สำหรับเครื่องมือ Data Anonymization Tool สามารถดาวน์โหลดได้โดยไม่เสียค่าใช้จ่าย ผ่านเว็บไซต์ PDPC สิงคโปร์: https://www.pdpc.gov.sg/help-and-resources/2018/01/basic-anonymisation และดาวน์โหลดคู่มือการใช้งานภาษาไทยโดย สวทช. และ PDPC ได้ที่ https://www.nstda.or.th/nstdaxpdpc/privacytools/

ติดตามข่าวสารเกี่ยวกับการคุ้มครองและดูแลข้อมูลส่วนบุคคลได้ทาง Facebook : PDPC Thailand

About chanphen

Check Also

Tuskira เปิดตัวพร้อมทุน 28.5 ล้านดอลลาร์ ยกระดับความมั่นคงปลอดภัยไซเบอร์ด้วย AI

สตาร์ทอัพด้านการตรวจจับภัยคุกคาม Tuskira เปิดตัวพร้อมระดมทุน 28.5 ล้านดอลลาร์จากกลุ่มนักลงทุนที่นำโดย Intel Capital และ SYN Ventures มุ่งเร่งนวัตกรรม AI การผสานระบบ และยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรด้วยกลยุทธ์เชิงรุกที่รวมเครื่องมือเข้าด้วยกันและลดความเสี่ยงแบบเรียลไทม์

Dell ชี้ ภูมิภาค APJ ยังมีโอกาสในด้าน AI อีกมาก พร้อมเผยคาดการณ์ 5 เทรนด์ AI แห่งปี 2025 

แม้ว่า Generative AI กำลังเริ่มมีการปรับใช้ในภาคธุรกิจอย่างจริงจังมากขึ้น แต่ก็ต้องยอมรับว่าวิวัฒนาการของเทคโนโลยีนั้นยังดูไม่ได้แผ่วหรือว่าช้าลงไปแม้แต่น้อย เพราะเราสามารถเห็น Breakthrough หรือนวัตกรรมใหม่ ๆ ออกมาจากอุตสาหกรรมได้ภายในระยะเวลาไม่กี่เดือนเท่านั้น หรือบางครั้งอาจจะเป็นรายสัปดาห์ก็ว่าได้ จากงานแถลงข่าว Dell Technologies (Dell) …