TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ร่วมกับ สวทช. เดินหน้าความร่วมมือ ‘PDPC สิงคโปร์’ นำเครื่องมือแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม ‘Data Anonymization Tool’ มาเผยแพร่ และแปลคู่มือการใช้งานเป็นภาษาไทย เพื่อสนับสนุนให้เกิดการนำเครื่องมือไปใช้ได้อย่างมีประสิทธิภาพ พร้อมเตรียมต่อยอดการพัฒนาเครื่องมือให้สอดคล้องกับบริบทข้อมูลของประเทศไทย รวมทั้งจัดอบรมบุคลากรของทั้งสองหน่วยงาน ให้ตระหนักรู้ความสำคัญ และเทคนิคการจัดทำข้อมูลนิรนามก่อนนำไปสอนในองค์กรทั้งภายใน-ภายนอกต่อไป
ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยว่า บทบาทหนึ่งที่ สคส. หรือ PDPC ให้ความสำคัญ คือส่งเสริมพัฒนาเทคโนโลยีและนวัตกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดย PDPC ได้ดำเนินบทบาทดังกล่าวในหลากหลายด้าน อาทิ ร่วมกับ สวทช. เพื่อยกระดับความมั่นคงปลอดภัยสารสนเทศ รวมไปถึงการเข้าร่วมประชุมเชิงปฏิบัติการ การใช้งานเครื่องมือแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม หรือ ‘Data Anonymization Tool’ ซึ่งจัดโดยหน่วยงานผู้พัฒนาอย่าง ‘PDPC ประเทศสิงคโปร์’ พร้อมทั้งได้ต่อยอดความร่วมมือด้วยการรับสิทธิ์แปลคู่มือและเผยแพร่การใช้งานเครื่องมือในประเทศไทย เพื่อยกระดับการปกป้องข้อมูลส่วนบุคคลของคนไทยไปอีกขั้นด้วย
“ความร่วมมือระหว่างหน่วยงาน PDPC ของ 2 ประเทศ ไทยและสิงคโปร์ จะมุ่งเน้นเผยแพร่ความรู้เรื่องเทคนิคการแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนหรือข้อมูลนิรนาม (Anonymization) ซึ่งในระยะแรก เจ้าหน้าที่จาก PDPC สิงคโปร์ ที่เป็นเจ้าของเครื่องมือ ‘Data Anonymization Tool’ จะเข้ามาสนับสนุนบุคลากรไทยโดยครั้งนี้อบรมให้ความรู้ แนวทาง และวิธีการใช้งานเครื่องมือให้กับบุคลากรกลุ่มเป้าหมาย ของ PDPC และ สวทช. เพื่อนำไปสอนต่อในกลุ่มบุคลากรภายใน เจ้าหน้าที่กระทรวง DE รวมถึงหน่วยงานองค์กรระดับประเทศ
สำหรับการทำข้อมูลนิรนาม หรือ Anonymization หมายถึงกระบวนการแปลงข้อมูลส่วนบุคคล ให้เป็นข้อมูล
ที่ไม่สามารถใช้ในการระบุตัวบุคคลได้ โดยจุดประสงค์ของการทำข้อมูลนิรนามจะมีไว้เพื่อที่จะนำข้อมูลไปใช้ประโยชน์ต่อในวัตถุประสงค์อื่น ๆ เช่น นำข้อมูลลูกค้าไปวิเคราะห์พฤติกรรมเพื่อการพัฒนาผลิตภัณฑ์ หรือ การนำข้อมูลผู้ใช้บริการไปวิเคราะห์แนวโน้มการเข้าใช้บริการในพื้นที่ที่แตกต่างกัน เป็นต้น ซึ่งการทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ภายใต้กระบวนการที่ถูกต้องตามหลักวิชาการ จะทำให้สามารถนำข้อมูลดังกล่าวไปใช้งานต่อได้อย่างปลอดภัย ลดความเสี่ยงต่อการถูก Re-identification หรือการระบุตัวตนย้อนกลับได้
ดร.ชาลี วรกุลพิพัฒน์ นักวิจัยอาวุโส ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ กล่าวว่า ในทางทฤษฎี มักมีความเข้าใจกันว่าเพียงลบข้อมูลที่ระบุตัวตนโดยตรง (De-identification) อย่าง ชื่อ ที่อยู่ เลขบัตรประชาชน ก็นับเป็นการทำข้อมูลนิรนามแล้ว แต่ในทางปฏิบัติ การลบข้อมูลนี้อาจสุ่มเสี่ยงต่อการถูกระบุตัวตนย้อนกลับ หากนำชุดข้อมูลนั้นไปประกอบกับข้อมูลสาธารณะต่าง ๆ ที่เข้าถึงง่าย จึงอาจกล่าวได้ว่าขั้นตอน De-identification เป็นเพียงขั้นตอนแรก ๆ ของการทำข้อมูลนิรนามเท่านั้น
“โดยพื้นฐานแล้ว การทำข้อมูลนิรนามจะเริ่มจากการจำแนกชุดข้อมูล เพื่อแยกข้อมูลที่ระบุตัวตนได้โดยตรง, โดยอ้อม และข้อมูลคุณลักษณะที่ละเอียดอ่อนออกจากกัน จากนั้นจึงเป็นขั้นของการลบข้อมูลที่ระบุตัวตนได้โดยตรงออก (De-identification) และจึงจะนำชุดข้อมูลที่ได้มาทำ Anonymization ด้วยวิธีการต่าง ๆ ที่เหมาะสม ไม่ว่าจะเป็น การทำ Masking โดยใช้สัญลักษณ์ที่สอดคล้องกันมาเปลี่ยนจำนวนอักขระคงที่ เช่น รหัสไปรษณีย์ 10100 เป็น 10xxx, Pseudonymization ใช้นามแฝงแทนข้อมูลที่ระบุตัวตน เช่น เปลี่ยนชื่อจาก นาย ก. เป็น 2345, นาย ข. เป็น 6789 เป็นต้น, Generalization ลดความแม่นยำของข้อมูลโดยเจตนา เช่น การแปลงอายุเป็นช่วงอายุจาก อายุ 22 ปี เป็น 21-30 ปี รวมถึงวิธีการทำข้อมูลนิรนามอื่น ๆ เช่น Swapping จัดเรียงชุดข้อมูลใหม่โดยค่าคุณลักษณะยังคงแสดงในชุดข้อมูล, Perturbation แก้ไขค่าชุดข้อมูลดั้งเดิมให้ต่างออกไปเล็กน้อย, Aggregation แปลงชุดข้อมูลจากรายการเป็นค่าสรุป” ดร.ชาลี ให้ข้อมูล
ทั้งนี้ การทำข้อมูลนิรนามยังมีประโยชน์ในแง่มุมของการแลกเปลี่ยนข้อมูลที่ทำได้อย่างปลอดภัย ภายใต้การกำกับของหน่วยงานเจ้าของข้อมูล ที่ต้องกำหนดวัตถุประสงค์การนำข้อมูลไปใช้งานให้ชัดเจน แล้วจึงใช้กระบวนการ Anonymization ทำให้เป็นข้อมูลเป็นนิรนามตั้งแต่ต้นทาง เพื่อส่งต่อให้หน่วยงานอื่นใช้ประโยชน์ตามวัตถุประสงค์ต่อไป นอกจากนี้ ในการแลกเปลี่ยนข้อมูลนิรนามยังควรมีการกำหนดมาตรการที่รัดกุมเพิ่มเติม อาทิ ข้อกำหนดในการห้ามนำข้อมูลไปใช้นอกเหนือวัตถุประสงค์ จำกัดการเข้าถึงข้อมูลเฉพาะบุคคลที่เกี่ยวข้อง รวมถึงมาตรการควบคุม ติดตาม และคอยตรวจสอบข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันไม่ให้ข้อมูลเกิดการรั่วไหลอย่างมีประสิทธิภาพ
“หัวใจสำคัญในการร่วมมือกับ PDPC สิงคโปร์ คือมุ่งหวังให้บุคลากรไทยตระหนักรู้เกี่ยวกับข้อมูลนิรนามส่วนของตัวเครื่องมือถือเป็นประโยชน์รอง เพราะถ้าเราไม่มีความตระหนักหรือหลักการ ก็เหมือนเรามีเครื่องคิดเลขในมือแต่คิดคำนวณเองไม่เป็น เช่นเดียวกับขั้นตอนของ Anonymization ที่ถ้าทำน้อยไปก็จะระบุตัวตนย้อนกลับได้ ถ้าทำมากไปข้อมูลนั้นก็ไม่สามารถนำไปใช้ประโยชน์อะไรอื่นได้อย่างสูญเปล่า” ดร.ศิวรักษ์ ทิ้งท้าย
สำหรับเครื่องมือ Data Anonymization Tool สามารถดาวน์โหลดได้โดยไม่เสียค่าใช้จ่าย ผ่านเว็บไซต์ PDPC สิงคโปร์: https://www.pdpc.gov.sg/help-and-resources/2018/01/basic-anonymisation และดาวน์โหลดคู่มือการใช้งานภาษาไทยโดย สวทช. และ PDPC ได้ที่ https://www.nstda.or.th/nstdaxpdpc/privacytools/
ติดตามข่าวสารเกี่ยวกับการคุ้มครองและดูแลข้อมูลส่วนบุคคลได้ทาง Facebook : PDPC Thailand
