Microsoft Azure by Ingram Micro (Thailand)

[Guest Post] Data Privacy กับ Digital Trust ความเป็นส่วนตัวของข้อมูลบนความเชื่อมั่นด้านความปลอดภัย

“Data Privacy กับ Digital Trust ความเป็นส่วนตัวของข้อมูลบนความเชื่อมั่นด้านความปลอดภัย”  โดยนายวรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด  

 

บนโลกดิจิทัล ข้อมูลคือขุมทรัพย์มูลค่ามหาศาล โดยเฉพาะข้อมูลส่วนบุคคล (Personal Data) ที่สามารถสร้างมูลค่าทางธุรกิจให้กับผู้ผลิตสินค้าและบริการ การได้มาซึ่งข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ และข้อมูลที่มีความอ่อนไหวสูง (Sensitive Data) เช่น ข้อมูลที่บ่งบอกพฤติกรรมการใช้ชีวิตและการบริโภค รสนิยม ข้อมูลสุขภาพ ซึ่งทำให้องค์กรสามารถนำข้อมูลเหล่านั้นมาวิเคราะห์เพื่อนำเสนอสินค้าและบริการใหม่ ๆ ให้กับลูกค้าได้โดยใช้เวลาน้อยลง และเกิดผลสัมฤทธิ์แบบ  วิน-วิน กล่าวคือ ลูกค้าให้การยอมรับต่อการนำข้อมูลส่วนตัวไปใช้ประโยชน์อย่างเจาะจงเพื่อตอบสนองความต้องการที่ตรงจุดและโดนใจได้แม่นยำกว่าในอดีต ขณะที่การดูแลเอาใจใส่ที่ลูกค้าได้รับเป็นพิเศษจะนำมาซึ่งความจงรักภักดี (Loyalty) ที่ยั่งยืนต่อสินค้าและบริการขององค์กรได้ด้วย

 

ครบทุกมิติการจัดการข้อมูลความเป็นส่วนตัว – Data Privacy Management (DPM)

หน่วยงานที่ดูแลความปลอดภัยด้านไอทีมีบทบาทสำคัญโดยตรงต่อการลดความเสี่ยงและสร้างความเชื่อมั่นด้านความปลอดภัย (Digital Trust) ต่อข้อมูลความเป็นส่วนตัว โดยต้องทำให้ลูกค้าไว้วางใจได้ว่า หนึ่ง การใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับแอปพลิเคชันหรือบริการอื่นใดทั้งในองค์กร นอกองค์กร หรือเชื่อมโยงข้ามพรมแดน จะถูกเก็บรวบรวม เข้าถึง ประมวลผล และเคลื่อนย้ายถ่ายโอนอย่างเหมาะสม ปลอดภัย สอง สามารถสร้างประโยชน์แบบเฉพาะเจาะจง (Hyper-Personalization) ตรงตามสัญญาที่ให้ไว้กับเจ้าของข้อมูล และเป็นไปตามธรรมาภิบาลด้านข้อมูล (Data Governance) บนความโปร่งใส เป็นธรรม และ สาม ต้องได้รับการปฏิบัติและคุ้มครองตามกฎหมายหรือระเบียบข้อบังคับที่เกี่ยวข้องทั้งในและต่างประเทศ เช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย กฎหมายคุ้มครองข้อมูลส่วนบุคคลเขตสหภาพยุโรป (GDPR) กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) สหรัฐอเมริกา เป็นต้น อย่างไรก็ตาม การบริหารการจัดการด้าน Data Privacy ไม่ได้เป็นเรื่องของการจัดการเฉพาะข้อมูลเท่านั้น แต่ยังรวมถึง

การจัดตั้งบุคคล (People) หรือกลุ่มบุคคล ที่เข้ามารับผิดชอบการบริหารจัดการความเป็นส่วนตัวของข้อมูล ได้แก่ คณะกรรมการกำกับดูแลข้อมูล (Data Governance Committee) คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee) หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) คณะกรรมการบริหารนิติบุคคลที่เกี่ยวข้องกับบทปรับ บทลงโทษ และความเสียหายที่เกิดขึ้นจากกรณีที่มีการร้องเรียนเนื่องจากการนำข้อมูลไปใช้ไม่เป็นไปตามความยินยอมของเจ้าของข้อมูลหรือกฎระเบียบต่าง ๆ

การกำกับดูแลทุกกระบวนการ (Process) ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการทำหน้าที่ของผู้เก็บและควบคุมข้อมูล (Data Controller) เช่น องค์กรธุรกิจผู้เป็นเจ้าของฐานข้อมูลลูกค้า ผู้นำข้อมูลของลูกค้าไปประมวลผล (Data Processor)  เพื่อนำเสนอแอปพลิเคชันหรือบริการทางธุรกิจต่าง ๆ หรือ การเข้าถึงโดยเจ้าของข้อมูลส่วนบุคคลเอง (Data Subject) เพื่อให้ครอบคลุมครบถ้วนทั้ง การได้มาซึ่งข้อมูล การจัดเก็บและนำข้อมูลไปใช้ตามความยินยอม (Consent) ของเจ้าของข้อมูล การระบุแหล่งที่มา การจัดกลุ่มและแสดงความเชื่อมโยงของข้อมูล การระบุความเสี่ยงเพื่อกำหนดแนวทางบริหารด้านความปลอดภัยของข้อมูล ตลอดจนกำกับการเข้าถึง แก้ไข ลบ ระงับใช้ โอนย้าย อนุญาตหรือคัดค้านการนำข้อมูลไปประมวลผล เป็นต้น

 

ความท้าทายในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ในอนาคต ข้อมูลส่วนบุคคลที่องค์กรจัดเก็บจะไม่จบแค่ข้อมูลพื้นฐานที่มีการเปลี่ยนแปลงน้อย (Static Data) เช่น ชื่อ-นามสกุล ที่อยู่ หรือ เลขบัตรประชาชนอีกต่อไป แต่ต้องเพิ่มการจัดเก็บข้อมูลที่อ่อนไหวสูงซึ่งเคลื่อนไหวเปลี่ยนแปลงตลอดเวลา (Dynamic Data) เช่น ข้อมูลใช้จ่ายผ่าน e-payment พฤติกรรมการใช้ชีวิตส่วนบุคคล ซึ่งการจัดเก็บและบริหารข้อมูลจำนวนมหาศาลย่อมมาพร้อมกับความท้าทายที่องค์กรทุกแห่งต้องเผชิญ ทั้งต้องปรับเปลี่ยนให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลทั้งของไทยและต่างประเทศ รวมถึงการกำกับดูแลข้อมูลบนหลักธรรมาภิบาล (Data Governance) ของแต่ละองค์กร

ดังนั้น สิ่งจำเป็นที่ต้องเปลี่ยนอย่างเร่งด่วนเพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ถูกต้องนั้นคือ การกำหนดปริมาณข้อมูลที่จัดเก็บ การจัดการแหล่งที่มาของข้อมูล และการเชื่อมโยงของข้อมูลตามความยินยอม (Consent) จากเจ้าของข้อมูล ซึ่งในแต่ละส่วนมีการจัดการหลายขั้นตอน ต้องอาศัยเครื่องมือหลากหลายประเภทเพื่อเสริมประสิทธิภาพในการตอบสนองต่อการเติบโตและการเปลี่ยนแปลงของข้อมูลตลอดเวลา โดยเฉพาะเครื่องมือจัดเก็บและวิเคราะห์ข้อมูลให้สามารถรับมือกับการทะลักเข้ามาของข้อมูล รวมถึงช่วยแจ้งเตือนเรื่องความเสี่ยงและความเสียหายที่อาจเกิดขึ้นกับองค์กรจากความผิดพลาดในการบริหารจัดการข้อมูล  ตลอดจนมีความยืดหยุ่นเพื่อรองรับการเปลี่ยนแปลงไปตามกฎข้อบังคับต่าง ๆ ที่มีในปัจจุบัน และที่จะเกิดขึ้นตามมาในอนาคต

 

5 เคล็ดลับเสริมการจัดการข้อมูลส่วนบุคคล

คุณสมบัติเบื้องต้นของเครื่องมือที่เข้ามาช่วยบริหารจัดการข้อมูลส่วนบุคคล ควรครอบคลุม “ลักษณะของงานบริหาร” ดังนี้

  1. Data Inventory and Mapping– เครื่องมือในการค้นหาข้อมูล (Data Discovery Tools) ทั้งภายในและภายนอกองค์กร และนำมาแสดงเป็นภาพแผนที่ของคลังข้อมูลส่วนบุคลากร รวมถึงแสดงกิจกรรมต่าง ๆ ที่เกิดขึ้นกับข้อมูลเหล่านั้น
  2. Data Subject Rights Management–เครื่องมือในการบริหารจัดการสิทธิของเจ้าของข้อมูล ไม่ว่าจะเป็นเรื่องการร้องขอในเรื่องการจัดเก็บ การเข้าถึง การแก้ไข การลบ การระงับใช้ การโอนย้าย และการคัดค้านการนำข้อมูลไปประมวลผล โดยเครื่องมือจะต้องสามารถสร้างขั้นตอนการร้องขอและเชื่อมต่อกับระบบภายนอก เช่น การรับเรื่องการร้องขอสิทธิ์ผ่านทาง Web หรือ Mobile Portal หรือ Email เพื่อส่งต่อให้กับ Ticket System และสามารถสร้าง Workflow แสดงหน้ารายงานการร้องขอทั้งหมด รวมถึงแสดงผู้รับผิดชอบและสถานะร้องขอในแต่ละรายการเพื่อให้ง่ายต่อการติดตามงานและปฏิบัติตามกฎหมายได้อย่างถูกต้อง ทันเวลา
  3. Preference and Consent Management –เครื่องมือที่ใช้ในการรวบรวมConsent Touchpoint หรือคือจุดบริการที่เกิดการให้ Consent ซึ่งสามารถปรับเปลี่ยน Preference ของ Data Subject ตามการร้องขอ
  4. Cookie Consent Management–เครื่องมือที่ใช้เป็นส่วนกลางในการรวบรวม Cookie Consent ที่ได้จาก Web Page และใช้ในการบริหารจัดการ Cookie Banner
  5. Breach Management–เครื่องมือการจัดการการละเมิดข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูล เพื่อจัดหาแนวทางการป้องกันเหตุการณ์ไม่คาดฝันได้อย่างทันท่วงทีและลดความเสี่ยง

 

เติมแต้มต่อไอทีเพิ่มความปลอดภัยของข้อมูล

ความเข้าใจในวงจรชีวิตของข้อมูล (Data Lifecycle) นับเป็นอีกหนทางหนึ่งที่ช่วยให้องค์กรสามารถ “จัดระเบียบเทคโนโลยี” เพื่อสร้างระบบความปลอดภัยพื้นฐานต่อตัวข้อมูลโดยตรง (Data Security) และเป็นขั้นเป็นตอนมากขึ้น เริ่มจากความปลอดภัยของการรับและเก็บข้อมูลที่มาจากเครื่อง Endpoint ทั้งในและนอกองค์กร การเข้าถึงข้อมูล (Access) ทั้งโดยผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูล หรือด้วยแอปพลิเคชันหรือบริการที่ต้องดึงข้อมูลไปใช้ ลักษณะการใช้งานข้อมูล (Usage) เช่น นำไปวิเคราะห์ทางสถิติ เสนอการขาย หรือส่งเสริมกิจกรรมการตลาด การจัดเก็บข้อมูล (Storage) ว่ามีการจัดเก็บแบบใด มีลำดับชั้นการป้องกันแยกย่อยในแต่ละหน่วยจัดเก็บข้อมูลอย่างไร การเคลื่อนย้ายถ่ายโอนข้อมูล (Transfer) ข้ามเน็ตเวิร์คระหว่างการใช้งานแอปพลิเคชันต่าง ๆ และการลบข้อมูล (Delete) ทั้งการแก้ปัญหาการลบโดยไม่ตั้งใจ หรือตั้งใจลบเพื่อป้องกันข้อมูลไม่ให้รั่วไหล เป็นต้น

 ตัวอย่างเช่น VMware ซึ่งได้พัฒนาแพลตฟอร์มความปลอดภัยครอบคลุมทุกการเคลื่อนไหวของวงจรชีวิตข้อมูลควบคู่กับแอปพลิเคชันที่ใช้งาน เริ่มจาก เทคโนโลยีการเข้ารหัสข้อมูล (Data Encryption) ซึ่งมีความสำคัญสูงต่อการปกป้องข้อมูล ตามมาด้วยโซลูชัน VMware Workspace ONE เพื่อดูแลการเข้าถึงข้อมูลระดับ Endpoint เช่น พีซีเดสก์ท็อป แล็ปท็อป อุปกรณ์โมไบล์ต่าง ๆ  VMware Horizon ที่เน้นกำกับการใช้งานข้อมูลและแอปพลิเคชันสำหรับการทำงานแบบเวอร์ชวลไลเซชัน หรือทำงานผ่านคลาวด์ VMware vSAN ช่วยเพิ่มความเข้มข้นให้กับนโยบายและขั้นตอนการจัดเก็บข้อมูล หรือ VMware NSX สำหรับการดูแลความปลอดภัยให้กับทุกการเชื่อมต่อทั้งเน็ตเวิร์คใน-นอกองค์กร หรือข้ามพรมแดน ทั้งหมดก็เพื่อให้องค์กรมองเห็นภาพใหญ่ของการพัฒนาระบบความปลอดภัยเชิงรุกในศูนย์ Data Center และเตรียมพร้อมต่อแพลตฟอร์มการทำงานใหม่ ๆ เช่น คลาวด์ เวอร์ชวลแมชชีน คอนเทนเนอร์ ไมโครเซอร์วิส  เป็นต้น หรือจะเป็นการเตรียมรับมือกับภัยคุกคามอย่าง Ransomware ซึ่งสร้างผลกระทบรุนแรงและรวดเร็ว ด้วย VMware Carbon Black เป็นต้น นอกจากนี้ องค์กรสามารถเสริมด้วยโซลูชัน Data Privacy Manager เพื่อเน้นการจัดการความปลอดภัยแบบเจาะจงต่อข้อมูลส่วนบุคคลของลูกค้า พนักงาน ผู้บริหาร หรือผู้มีส่วนได้ส่วนเสียทางธุรกิจ ซึ่งจะทำให้การพัฒนาปรับปรุงระบบความปลอดภัยของข้อมูลสอดคล้องกับหลักการ PDPA ไปในคราวเดียวกัน

 การบริหารจัดการข้อมูลที่มีประสิทธิภาพ ตรงตามพันธสัญญา และไม่ละเมิดต่อกฎหมาย จึงขึ้นอยู่กับการวางนโยบายและแนวปฏิบัติที่ “ใช่” ในการเก็บและใช้ข้อมูลโดยไม่ก้าวล่วงความเป็นส่วนตัว และปฏิบัติให้ตรงตามวัตถุประสงค์ที่ให้ไว้กับเจ้าของข้อมูลส่วนบุคคล หรือผู้ได้รับสิทธิถือครองข้อมูลส่วนบุคคลนั้น ซึ่งจะทำให้องค์กรสามารถบรรลุเป้าหมายในการสร้างความไว้วางใจต่อธุรกิจ ผลิตภัณฑ์และบริการที่มัดใจลูกค้าไปตลอดกาล

                                

 

 

 

 

About Maylada

Check Also

G-Able พร้อมให้บริการ HPE GreenLake Data Protection Service โซลูชันชั้นนำที่ช่วยปกป้องข้อมูลของคุณอย่างไร้ขีดจำกัด[Guest Post]

ในยุคที่ข้อมูลเป็นสินทรัพย์ที่ประเมินมูลค่าไม่ได้ และการเติบโตของข้อมูลแบบทวีคูณทำให้การสำรองข้อมูลและการกู้คืนแบบเดิมเป็นเรื่องยาก ซับซ้อนและมีขีดจำกัด อีกทั้งองค์กรต้องปกป้องรักษาข้อมูลให้พ้นจากการโจมตีแรนซัมแวร์ที่กำลังระบาดอย่างรัดกุมการลงทุนทางด้านเทคโนโลยีสมัยใหม่ที่เหมาะกับ Hybrid Cloud จึงเป็นกุญแจสำคัญในการก้าวให้ทันกับสภาพแวดล้อมที่เกือบทุกองค์กรต่างหันมาใช้ Hybrid Cloud ในปัจจุบันและเทคโนโลยีนั้นต้องสร้างความมั่นใจว่าข้อมูลและแอปพลิเคชันจะมีความพร้อมใช้งานตลอดเวลา

วิศวกร Google ถูกรวบข้อหาขโมยข้อมูล AI ให้บริษัทจีน

กระทรงยุติธรรมสหรัฐฯได้แถลงการจำกุมวิศวกรของบริษัท Google ด้วยข้อกล่าวหาในการขโมยความลับบริษัทให้ 2 บริษัทในจีน