November 24, 2024

เอบีมแนะธุรกิจไทยใช้ Data Anonymization หลัง PDPA มีผลบังคับใช้

ธุรกิจควรรู้ และเตรียมตัวรับมือ ในยุคที่ข้อมูลกลายเป็นสินทรัพย์ที่มีมูลค่ามหาศาล โดยข้อมูลส่วนใหญ่ที่ถูกจัดเก็บไว้ เป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนของเจ้าของ (Data Subject) ทั้งทางตรงและทางอ้อม ไม่ว่าข้อมูลจะถูกจัดเก็บไว้ในระบบออนไลน์หรือออฟไลน์ก็ตาม เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย เป็นต้น รวมไปถึง “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว”

เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม หรือข้อมูลสุขภาพ ซึ่งข้อมูลเหล่านี้มีความสำคัญต่อการวางแผนกลยุทธ์ธุรกิจในอนาคต และในวันที่ 1 มิถุนายน 2564 นี้ ประเทศไทย จะมีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA องค์กรต้องปรับตัวให้สมดุลระหว่างความปลอดภัยข้อมูลส่วนบุคคลกับความสามารถในการแข่งขัน

ในยุคที่ธุรกิจถูกขับเคลื่อนด้วยข้อมูล (Data-Driven) องค์กรต้องมีการจัดเก็บข้อมูลจากกิจกรรมทางธุรกิจต่าง ๆ และสามารถนำมาวิเคราะห์เพื่อค้นหาข้อมูลเชิงลึก (Insights) เพื่อตอบสนองต่อการเปลี่ยนแปลงของตลาดได้ทันท่วงที ขณะเดียวกันก็สามารถช่วยเพิ่มประสิทธิภาพและประสิทธิผลของการปฏิบัติงานเพื่อให้ธุรกิจคงความได้เปรียบในการแข่งขัน

อย่างไรก็ตาม ข้อมูลข้างต้นมีผลเกี่ยวเนื่องตามบทบัญญัติที่ระบุไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดเงื่อนไขเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลไว้หลายประเด็น ซึ่งรวมถึง

  • มาตรา 24 การมีฐานการประมวลผลที่เหมาะสม (Lawful Basis)
  • มาตรา 33 สิทธิของเจ้าของข้อมูลส่วนบุคคลในการลบข้อมูล (Right to Erasure)
  • มาตรา 37(1) มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการ เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง 2
  • มาตรา 37(3) ประกอบ มาตรา 33 วรรค 5 หน้าที่ลบและทำลายข้อมูลเมื่อพ้นระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล
  • มาตรา 37(4) แจ้งเหตุแก่ผู้กำกับดูแลหรือเจ้าของข้อมูลเมื่อข้อมูลส่วนบุคคลรั่วไหล

ดังจะเห็นได้ว่าการนำข้อมูลส่วนบุคคลมาประมวลผลนั้นมีข้อพึงปฏิบัติตามกฏหมายหลายประการ ทำให้เกิดข้อจำกัดในการนำข้อมูลดังกล่าวมาวิเคราะห์ (Data Analytics) อย่างไรก็ตาม การวิเคราะห์ข้อมูลอาจไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูลเสมอไป พิจารณาจากกรณีศึกษาดังต่อไปนี้

แผนกการตลาดของธุรกิจค้าปลีกขนาดใหญ่แห่งหนึ่ง ต้องการวิเคราะห์สถิติรายไตรมาสเพื่อศึกษาว่าสินค้าชิ้นไหนขายดีที่สุดและสินค้าตัวไหนขายได้น้อยที่สุด เพื่อนำข้อมูลไปใช้ในการวางแผนงบประมาณด้านการตลาด ในกิจกรรมนี้แผนก IT จะทำหน้าที่ดึงข้อมูลจากฐานข้อมูลยอดซื้อของลูกค้าผ่านระบบ Point of sale (POS) ไปยังฐานข้อมูลของแผนกการตลาด

ก่อนหน้าที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ แผนกการตลาดจะได้รับข้อมูลทั้งหมดจากฐานข้อมูลยอดซื้อของลูกค้า ซึ่งรวมถึง ที่อยู่ และเบอร์โทรศัพท์ของลูกค้าซึ่งเชื่อมกับ คำสั่งซื้อแต่ละรายการ ซึ่งแน่นอนว่าข้อมูลเหล่านี้สามารถนำมาวิเคราะห์เพื่อ“ย้อนรอย”หาเจ้าของข้อมูลได้ ดังนั้นการประมวลผลของแผนกการตลาดนี้จึงนับเป็นการประมวลผลข้อมูลส่วนบุคคล ซึ่งได้รับการคุ้มครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

จากกรณีตัวอย่าง แผนกการตลาดสามารถวิเคราะห์สถิติรายไตรมาสโดยไม่ต้องใช้ข้อมูลส่วนบุคคล เนื่องจากการวิเคราะห์ดังกล่าวต้องการข้อมูลเฉพาะเพียงข้อมูลด้านภาพรวมและวันที่ในการซื้อสินค้าเท่านั้น

นายอิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด บริษัทที่ปรึกษาระดับโลก ซึ่งเป็นผู้ให้บริการที่มีความเชี่ยวชาญด้านการปรับเปลี่ยนองค์กรธุรกิจในรูปแบบดิจิทัล ทรานส์ฟอร์เมชั่น ในเครือบริษัท เอบีม คอนซัลติ้ง จำกัด ประเทศญี่ปุ่น ได้แนะนำว่า “ในจุดนี้ การทำข้อมูลให้เป็นนิรนาม (Anonymization) ซึ่งหมายถึง “การทำให้ข้อมูลนั้นอยู่ในรูปแบบที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้อีกต่อไป” ถือเป็นตัวแปรสำคัญและมีบทบาทมากต่อธุรกิจในอนาคต เพราะการใช้ประโยชน์จากข้อมูลนั้นไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูล ดังนั้นการทำข้อมูลให้เป็นนิรนามจะช่วยให้ข้อมูลที่มีอยู่ไม่สามารถนำไประบุตัวบุคคลได้ ทั้งนี้ เพื่อรักษาประโยชน์ของข้อมูลในการวิเคราะห์ และข้อมูลส่วนบุคคลที่ทำให้เป็นนิรนามแล้ว ย่อมไม่ถือว่าเป็นข้อมูลส่วนบุคคลตาม มาตรา 33 จึงเปิดโอกาสให้ธุรกิจสามารถใช้ข้อมูลดังกล่าวได้โดยไม่อยู่ในกรอบพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ดังนั้นการทำข้อมูลให้เป็นนิรนามด้วยเทคนิคที่เหมาะสมจะช่วยให้แผนก IT สามารถแปลงข้อมูล ที่อยู่ และเบอร์โทรศัพท์ ให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้อีก และส่งข้อมูลนั้นไปยังฐานข้อมูลของแผนกาตลาด เพื่อทำการวิเคราะห์ข้อมูลดังกล่าว โดยไม่ขัดต่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อีกต่อไป

“ในอีกไม่ถึง 2 เดือนข้างหน้านี้ พ ร บ.ฯ จะมีผลบังคับใช้ หากองค์กรธุรกิจมีการจัดการข้อมูลไม่ดี อาจขัดต่อกฏหมายโดยไม่รู้ตัว ขณะเดียวกันหากธุรกิจไม่นำข้อมูลมาวิเคราะห์ต่อยอดก็จะสูญเสียโอกาสในการแข่งขัน ดังนั้นองค์กรธุรกิจต้องตระหนักให้มาก และพิจารณาให้รอบคอบถึงประเด็น PDPA” นายฮาระ กล่าว

หนึ่งในหลักคิดสำคัญเมื่อต้องออกแบบการประมวลผลข้อมูล คือการพิจารณาใช้ข้อมูลให้น้อยที่สุดเท่าที่จะทำให้กระบวนการนั้นสำเร็จได้ (Data Minimization) ทั้งนี้ หากข้อมูลส่วนบุคคลใดไม่จำเป็นต้องใช้ในการวิเคระห์ สามารถปรับให้เป็นข้อมูลนิรนามได้ทันทีเพื่อลดข้อมูลที่เกี่ยวข้องให้เหลือน้อยที่สุด นายฮาระ กล่าวทิ้งท้าย