แนะองค์กรปรับรับ PDPA 5 เดือนข้างหน้า

23 ธ.ค. 2563 | 23:25 น.

บลูบิค (Bluebik) แนะธุรกิจเร่งอุดช่องโหว่ระบบจัดการข้อมูล เพิ่มความปลอดภัยในการคุ้มครองข้อมูลและป้องกันการโจรกรรมทางไซเบอร์ รวมถึงปรับกระบวนการให้สอดคล้องตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่จะบังคับใช้ในอีก 5 เดือนข้างหน้า

นางฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Chief Operation Officer (COO) บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า ปัจจุบัน ข้อมูลลูกค้าได้กลายเป็นสินทรัพย์สำคัญขององค์กร โดยเฉพาะสำหรับการทำการตลาดแบบ Personalized Marketing ที่ให้ธุรกิจสามารถนำเสนอสินค้าและบริการได้ตรงความต้องการ ตอบโจทย์ปัญหาของผู้บริโภค จนนำไปสู่การสร้างยอดขายเพิ่มขึ้น ดังนั้น องค์กรจึงต้องให้ความสำคัญมากขึ้นกับการรักษาความปลอดภัยของข้อมูล (Data Security) เพื่อป้องกันความเสี่ยงข้อมูลภายในองค์กรรั่วไหล การถูกโจรกรรมข้อมูล รวมถึงการต้องปรับกระบวนการให้สอดคล้องกับระเบียบข้อบังคับต่างๆ ของภาครัฐ เช่น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่กำลังจะมีผลบังคับใช้  ในวันที่ 27 พ.ค. 2564

“ในปัจจุบันหลายองค์กรต่างตระหนักถึงความสำคัญของการดูแลความปลอดภัยของข้อมูล แต่ยังไม่แน่ใจว่าควรต้องเริ่มดำเนินการอย่างไร ทั้งนี้ ในการกำหนดแนวทางว่าควรบริหารจัดการจากการข้อมูลอย่างไร ควรเริ่มจากการประเมินความพร้อม หรือ ช่องโหว่ด้านการจัดการข้อมูล เพื่อที่จะได้วางแนวทางได้อย่างตรงจุด” นางฉันทชา กล่าว

ทั้งนี้ การประเมินความพร้อมหรือช่องโหว่การบริหารจัดการข้อมูลขององค์กร ควรเริ่มด้วยการศึกษาและวิเคราะห์เพื่อระบุแหล่งที่มาข้อมูล โครงสร้างการจัดเก็บข้อมูล การเข้าถึง การไหลของข้อมูล จากนั้นประเมินความเสี่ยงและวิเคราะห์ช่องโหว่ของมาตรการที่องค์กรดำเนินการอยู่ในปัจจุบัน และกำหนดมาตรการที่ต้องมีในการบริหารจัดการเพื่อคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ซึ่งมาตรการ รวมถึงกระบวนการบริหารจัดการข้อมูล องค์กรควรพิจารณาตั้งแต่ขั้นตอนการขอความยินยอมจากเจ้าของข้อมูล (Consent) ซึ่งต้องแจ้งอย่างเป็นลายลักษณ์อักษร พร้อมชี้แจงวัตถุประสงค์การเก็บ/การประมวลข้อมูล รายละเอียด ระยะเวลา และสิทธิของเจ้าของข้อมูล

“การประเมินประสิทธิภาพของกระบวนการในการบริหารจัดการข้อมูลเป็นสิ่งที่องค์กรส่วนใหญ่ละเลย โดยองค์กรจำนวนมากมักให้ความสำคัญและพุ่งเป้าไปที่การนำเทคโนโลยีเข้ามาใช้ ซึ่งแท้จริงแล้วเทคโนโลยีมีส่วนช่วยเพียง 10% เท่านั้น และหากขาดการประเมินความพร้อมในการบริหารจัดการข้อมูล ก่อนการนำเทคโนโลยีเข้ามาใช้อาจประสบปัญหาว่าเทคโนโลยีดังกล่าวอาจไม่ได้เหมาะสมหรือตอบโจทย์ความต้องการที่แท้จริงขององค์กรในด้านการบริหารจัดการข้อมูล”นางฉันทชา เสริม

หลังดำเนินการประเมินช่องโหว่การบริหารจัดการข้อมูล ขั้นตอนถัดมาคือการกำหนดแนวทางการจัดการข้อมูลเพื่อแก้ไขปัญหา ในปัจจุบันกระบวนการทำงานของธุรกิจส่วนใหญ่อยู่บนช่องทางออนไลน์และระบบเทคโนโลยีสารสนเทศ ทำให้มีข้อมูลปริมาณมากไหลเวียนภายในองค์กร โดยข้อมูลดังกล่าวอยู่กระจัดกระจาย ไม่ได้รวมอยู่ในที่เดียวกัน หรืออาจจะไม่ได้จัดเก็บรวบรวมอย่างเป็นระบบ ส่งผลไม่สามารถระบุได้อย่างชัดเจนว่าแหล่งข้อมูล (Source of Data) จัดเก็บอยู่ตรงไหนบ้าง ทำให้การป้องกันความเสี่ยงกรณีข้อมูลรั่วไหลหรือสูญหายเป็นเรื่องยากสำหรับองค์กร เนื่องจากอาจเกิดปัญหาที่ส่วนใดของการเก็บข้อมูลก็ได้

ด้วยเหตุนี้ หากต้องการอุดช่องโหว่ความเสี่ยงและเพิ่มความปลอดภัยในการดูแลข้อมูล จึงต้องปรับการจัดการข้อมูล ซึ่งประกอบด้วย 5 ขั้นตอนหลัก ดังนี้

1. จัดทำ Data Mapping ซึ่งเป็นการจัดโครงสร้างข้อมูล เพื่อตรวจสอบว่าองค์กรมีข้อมูลอะไร และข้อมูลถูกเก็บไว้ที่ใดบ้าง โดยจะแสดงถึงแหล่งข้อมูลต้นทางปลายทาง ความสัมพันธ์ของข้อมูล และการไหลเวียนของข้อมูล ทำให้องค์กรนำข้อมูลไปใช้งานได้ง่ายขึ้น และหากเกิดปัญหาข้อมูลรั่วไหลหรือถูกขอให้ลบข้อมูล จะช่วยให้ระบุตำแหน่งข้อมูลได้อย่างรวดเร็ว   

2. จัดลำดับความสำคัญของข้อมูล (Prioritization) เป็นการนำข้อมูลที่จัดให้เป็นระบบแล้ว มาจัดลำดับความสำคัญตามระดับความอ่อนไหวของข้อมูล (Sensitivity Level) ซึ่งข้อมูลที่มีความอ่อนไหวหมายถึงข้อมูลที่เสี่ยงสร้างความเสียหายต่อบุคคลหรือองค์กรหากมีการเปิดเผยข้อมูลนั้น โดยการจัดลำดับความสำคัญของข้อมูล จะช่วยให้องค์กรสามารถออกแบบนโยบาย แนวทางจัดการข้อมูล และวางแผนการดำเนินงานได้อย่างเหมาะสมในอนาคต

3. พัฒนาระบบควบคุมการเข้าถึงข้อมูล (Access Control System) เพื่อช่วยสร้างความปลอดภัยรัดกุมในการจัดการข้อมูล โดยระบบที่องค์กรควรพัฒนาเพิ่ม เช่น ระบบการให้สิทธิ์เข้าถึงข้อมูลและการยืนยันตัวตน การเข้ารหัสข้อมูลเพื่อรักษาความปลอดภัย (Encryption) รวมถึงการทำข้อมูลให้เป็นนิรนาม (Anonymization) ซึ่งหมายถึง การทำให้ข้อมูล         ส่วนบุคคลไม่สามารถระบุตัวตนของบุคคลได้เพื่อคุ้มครองข้อมูลส่วนบุคคล เป็นต้น

4. กำหนดค่าและทดสอบระบบ (Configuration and Testing) โดยควรเริ่มจากการกำหนดมาตรฐานการตั้งค่าระบบปฏิบัติการ ระบบฐานข้อมูล และอุปกรณ์อื่นๆ ภายในเครือข่าย เพื่อเพิ่มความปลอดภัยอีกขั้นในการเข้าถึงข้อมูล รวมถึงต้องจัดเก็บการเปลี่ยนแปลงการตั้งค่า และตรวจสอบการตั้งค่าอย่างสม่ำเสมอเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นกับระบบการจัดเก็บข้อมูล

5. ผลักดันสู่การปฏิบัติจริง (Implementation) ทางองค์กรควรมีทีมงานเฉพาะกิจในการวางแผนและบริหารจัดการ เพื่อผลักดันการให้แผนการจัดการข้อมูลเป็นไปอย่างมีประสิทธิภาพและถูกต้องตามกฎหมาย โดยคณะทำงานควรเป็นมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง

“คงต้องบอกว่า การปรับโครงสร้างระบบเพื่อรักษาความปลอดภัยของข้อมูล เป็นสิ่งที่องค์กรต้องให้ความสำคัญและดำเนินการอย่างต่อเนื่อง อย่างไรก็ตาม สถานการณ์การระบาดของโควิด-19 ที่กลับมาน่ากังวลอีกครั้งเมื่อไม่นานนี้ ทำให้องค์กรตระหนักเรื่องนี้น้อยลง แตกต่างจากในช่วงแรกๆ ที่องค์กรต่างตื่นตัวเรื่องการปรับกระบวนการและการจัดการข้อมูลเพื่อให้สอดรับกับ PDPA ที่กำลังจะบังคับใช้ในปี 2564” นางฉันทชา กล่าว

 

ทั้งนี้ จากประสบการณ์ของบลูบิค ในการให้คำปรึกษาแนะนำองค์กรเกี่ยวกับแนวทางการปรับกระบวนการธุรกิจให้สอดรับกับ PDPA มองว่า องค์กรควรให้ความสำคัญกับเรื่องข้อมูล โดยไม่มองข้าม 3 ประเด็น ได้แก่ 1. การให้ความรู้ความเข้าใจเรื่อง PDPA กับบุคลากรในองค์กร เพื่อให้พร้อมสำหรับการปฏิบัติงานจริง 2. การกำหนดกระบวนการทำงานให้มีความชัดเจน ตั้งแต่การวางนโยบายและแผนกลยุทธ์การนำข้อมูลไปใช้งาน พร้อมระบุความชัดเจนของสิทธิ์ หน้าที่ และความรับผิดชอบ รวมไปถึงขั้นตอนการตรวจสอบหากเกิดกรณีข้อมูลรั่วไหล และ 3. การเลือกใช้เทคโนโลยีให้เหมาะสมกับขนาดและระบบข้อมูลขององค์กร รวมถึงควรปรับเทคโนโลยีให้ทันสมัย เอื้อต่อการรักษาความปลอดภัยของข้อมูล ซึ่งการเตรียมความพร้อมอย่างรอบด้าน ทั้งเรื่องโครงสร้างข้อมูล บุคลากร กระบวนการ และเทคโนโลยีจะช่วยให้องค์กรประสบความสำเร็จในการอุดช่องโหว่ความเสี่ยง และรักษาความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ นางฉันทชา ทิ้งท้าย