JRIT ICHI

ข้อมูลส่วนบุคคลเปรียบเสมือน ‘ทรัพย์สิน’ จึงต้องมีกฎหมายมาควบคุมดูแล ซึ่งปัจจุบันเราเรียกว่า PDPA ย่อมาจาก Personal Data Protection Act หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยกฎหมายนี้กำกับให้องค์กรต่าง ๆ ต้องจัดเก็บ และใช้ข้อมูลส่วนบุคคลอย่างเคร่งครัด ข้อดีของการจัดเก็บข้อมูลอย่างถูกต้อง นอกจากจะช่วยให้ไม่ถูกลงโทษตามที่กฎหมายบัญญัติแล้ว ยังมีส่วนช่วยให้ธุรกิจเติบโตได้อย่างยั่งยืนอีกด้วย บทความนี้ กัญ Editor in Chief ของ อิจิ มีเดีย ได้รับโอกาสจาก คุณพชร โพธิ์ปฐม ที่ปรึกษากฏหมายอาวุโส บริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด ให้สัมภาษณ์ และแนะนำเกี่ยวกับการทำ PDPA ในองค์กรให้สำเร็จ ซึ่งสามารถประยุกต์ใช้ได้กับทุกบริษัท

Ragnar Corporation ผู้ให้บริการ Ecosystem เพื่อเข้าสู่การทำ Digital Transformation
Ragnar Corporation ถือเป็นบริษัทเทคโนโลยีสัญชาติไทย ที่มุ่งเน้นพัฒนา Platform ด้าน RegTech หรือ Regulatory Technology โดยการนำเทคโนโลยีมาช่วยให้องค์กรต่าง ๆ ปฏิบัติตามกฎระเบียบที่ซับซ้อนได้อย่างมีประสิทธิภาพ เช่น PDPA, Cyber Security, ระบบ ESM, รวมไปถึงการ Monitoring dark web เพื่อตรวจสอบว่าข้อมูลส่วนบุคคลขององค์กรถูกลักลอบนำไปขายหรือไม่ รวมถึงบทบาทการเป็นที่ปรึกษาด้านเทคโนโลยีองค์กร ดังนั้นบริษัท Ragnar Corporation จึงถือเป็นผู้ให้บริการระบบนิเวศสำหรับสตาร์ทอัพแบบ B2B เพื่อตอบสนองการเปลี่ยนแปลง และเตรียมความพร้อมในการเข้าสู่ยุค Digital Transformation ได้อย่างมีคุณภาพ และยั่งยืน

สำหรับการให้บริการของ RAGNAR คุณพชร กล่าวว่า เป็นการให้บริการอย่างครบวงจร ไม่ว่าองค์กรจะเริ่มต้นจากขั้นตอนที่ 0 หรือเริ่มต้นจาก 100 ก็สามารถปรึกษาได้ทุกสถานะ

“จาก 0 ถึง 100 เราก็รับปรึกษา ทุกสถานะและทุกโครงการเลยครับ เพราะ PDPA เป็นกฎหมายที่สำคัญ และองค์กรไม่สามารถทำงานคนเดียวได้ ต้องมีการ Co-op กับฝ่ายต่าง ๆ เช่น PDPA ต้องร่วมงานกับ Cyber space อยู่แล้ว เพราะการเก็บข้อมูล ตอนนี้ไม่มีที่ไหนที่เก็บเป็น Paper 100% อย่างไรก็ต้องมีดิจิทัลเข้ามาเกี่ยวข้อง ดังนั้นจึงต้องมีเรื่อง Cyber Security ร่วมด้วย”

“สาเหตุที่บอกว่า องค์กรที่ทำเรื่อง PDPA มาแล้วประมาณหนึ่ง หรือดำเนินการแล้ว 100% ก็ยังมาคุยกันได้เนื่องจากยังมี Compliance กฎระเบียบอื่น ๆ ที่เกี่ยวข้อง หรือ RegTech อื่น ๆ เช่น iLog (ระบบจัดการและวิเคราะห์ Log ข้อมูลจราจรทางคอมพิวเตอร์บนคลาวด์) ที่กฎหมายระบุว่า ต้องเก็บทุก ๆ 90 วัน ซึ่งบางแห่ง Implement เสร็จแล้ว แต่ยังไม่มีระบบเหล่านี้ ก็มาคุยกันได้ เพื่อหา Solution มาปิดความเสี่ยงทางกฎหมายในรูปแบบต่าง ๆ ต่อไป” คุณพชร อธิบาย

3 เสาหลัก เพื่อการจัดการ PDPA ให้มีประสิทธิภาพสูงสุดในระยะยาว
มักมีข้อสงสัยเกิดขึ้นเสมอ เมื่อองค์กรใดองค์กรหนึ่ง ต้องการผู้เชี่ยวชาญมาดำเนินการระบบ PDPA ให้มีประสิทธิภาพ เพราะ พรบ.คุ้มครองข้อมูลส่วนบุคคลเกี่ยวข้องกับเทคโนโลยี และกฎหมาย และผู้ให้บริการก็โดดเด่นทางด้าน IT อีกฝ่ายก็เก่งเรื่องกฎหมาย แล้วจะเลือกใคร? แต่สำหรับ คุณพชร อธิบายว่า ต้องสอดคล้องกันทั้ง 3 อย่าง ไม่ใช่แค่ 2 เท่านั้น

1. กฎหมาย ต้องกำหนดแนวทางกฎหมายในองค์กรให้มีความแข็งแกร่ง มีโครงสร้างชัดเจน สำหรับเสาหลักเรื่องกฎหมาย ที่ปรึกษาอาวุโสของ Ragnar ยกตัวอย่างว่า ทางบริษัทมีทีมกฎหมายที่เชี่ยวชาญด้าน PDPA โดยเฉพาะให้บริการ ซึ่งล้วนผ่านการอบรมด้าน PDPA มาโดยเฉพาะ เข้าใจทั้งเรื่อง PDPA และ GDPR ที่เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation) ตลอดจนกฎหมายด้าน Cyber Security ต่าง ๆ ของประเทศไทย

2. เทคโนโลยี สิ่งนี้เข้ามาในลักษณะ Tool หรือเครื่องมือเพื่อให้การจัดการ PDPA ง่ายขึ้น เพราะการจัดการข้อมูลต้องเป็น Centralized หรือเป็นแบบรวมศูนย์ เนื่องจากข้อมูลส่วนบุคคลกว้างมาก แต่ละวันมีบุคคลเข้ามาในองค์กรมากมาย ดังนั้นสิ่งที่เป็นปัญหาแรก คือ การกระจัดกระจายของข้อมูล ข้อมูลไม่รวมศูนย์ ฝ่าย HR ถืออยู่ส่วนหนึ่ง ฝ่าย IT ถืออีกส่วนหนึ่ง ฝ่ายกฎหมาย ถือของตนเองอีกส่วนหนึ่ง ไปถึงฝ่ายการตลาดก็ถืออีกส่วนหนึ่ง สิ่งที่เกิดตามมา คือ ข้อมูลของแต่ละแผนกไม่มาเจอกัน เพราะไม่มีระบบตรงกลาง ผลเสียที่เกิดขึ้น คือ เมื่อข้อมูลรั่วไหลจากฝ่ายใดฝ่ายหนึ่ง ฝ่ายอื่น ๆ จะไม่มีทางรู้เลยว่าเกิดอะไรขึ้น

สำหรับเทคโนโลยี โซลูชันที่จะมาช่วยให้ PDPA เป็นเรื่องง่าย คือ T-REG Platform ซึ่งเป็นเครื่องมือที่จัดการ PDPA ได้ทั้งหมด รวมทั้งในส่วนของ ROPA (Records of Processing Activities คือ บันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ตามกฎหมาย PDPA), การจัดการความยินยอม เป็นต้น

3. การทำงานจริง หรือ Workflow เนื่องจากว่า แม้วางนโยบายภายในองค์กรได้ดี แต่ไม่มีใครปฏิบัติตาม หรือปฏิบัติตามยาก บุคลากรไม่มีความเข้าใจ การจัดการ PDPA ย่อมเกิดปัญหา

สำหรับประเด็นการทำงานจริง ควรอบรม สร้างความเข้าใจระบบการทำงาน แต่เนื่องจากผ่านประสบการณ์ด้านไอทีมายาวนาน คุณพชร กล่าวว่า ส่วนนี้สามารถใช้เทคโนโลยีมาเสริมได้ เนื่องจาก T-REG Platform ที่ยกมาก่อนหน้านี้ (และจะกล่าวถึงอย่างละเอียดในหัวข้อถัดไป) เป็นแพลตฟอร์มที่ดีไซน์มารอบด้าน ทำให้ User Friendly ไม่ว่าพนักงานฝ่ายไหน ก็สามารถจัดการเรื่อง PDPA ได้เหมือนกัน

ดังนั้นหากทั้ง 3 อย่างที่ยกมา ทำงานสอดประสานกัน การจัดการ PDPA ก็จะมีประสิทธิภาพสูงสุดต่อไปเรื่อย ๆ อย่างยั่งยืน

วิธีจัดการ PDPA อย่างยั่งยืน

คุณพชร นิยามความยั่งยืนด้าน PDPA ว่า “ความยั่งยืนผูกกับคน หรือ People ดังนั้นหากเขาเข้าใจระบบ รู้สึกว่าระบบที่ Implement เข้ามา เป็น Culture เป็นวัฒนธรรมองค์กร เป็นหน้าที่หนึ่งในชีวิตประจำวัน มันก็จะเกิดความรู้สึกที่ต้องการส่งต่อไปเรื่อย ๆ เมื่อเป็นอย่างนี้ ความยั่งยืนก็จะตามมา”

นอกจากนี้ยังขยายความอีกว่า PDPA ต้องไม่มองว่าเป็นโครงการที่ทำ 1 ปีเสร็จ ครบแล้วเลิกเลย แต่ต้องปลูกฝังว่า PDPA คือ วัฒนธรรมขององค์กรที่ต้องทำตาม รู้สึกกับ ISO อย่างไร รู้สึกกับ EIA อย่างไร PDPA ก็ต้องเป็นเหมือนกัน รวมทั้งสร้างความตระหนักรู้ในองค์กรว่า PDPA เป็นเรื่องที่เกี่ยวกับทุกคน ไม่ใช่เกี่ยวกับบริษัท หรือกรรมการบริษัทอย่างเดียว แต่ PDPA เป็นเรื่องของตัวเอง ไม่ใช่แค่หน้าที่ภาระงาน แล้วความยั่งยืนจะตามมา

กลยุทธ์ของ T-REG Platform ในการจัดการข้อมูล PDPA
ได้กล่าวถึง T-REG Platform มาก่อนหน้านี้บ้างแล้ว ซึ่งแพลตฟอร์มนี้สามารถจัดการข้อมูลส่วนบุคคลที่กระจัดกระจายได้อยู่หมัด โดยการทำให้ทุกอย่างที่เกี่ยวกับ PDPA เป็น Centralized Form ไม่ว่าจะเป็น ROPA การจัดการความยินยอม การจัดการสิทธิ์ของเจ้าของข้อมูล

การรวมศูนย์สามารถอธิบายโดยสังเขปได้ดังนี้ คือ เริ่มต้นจาก ROPA เพราะเปรียบเสมือนกระดูกสันหลังของข้อมูลส่วนบุคคล เนื่องจากมันบอกได้ทั้งหมดว่า ข้อมูลส่วนบุคคลเก็บมาจากไหนบ้าง ใช้กี่ปี เก็บอย่างไร ตามหลักมาตรา 39 ของ พรบ. PDPA ทั้งหมด ดังนั้นหากวางโครงสร้างให้ ROPA แข็งแรง ข้อมูลก็จะไม่กระจัดกระจายออกนอกเหนือหลักการนี้ เมื่อมีกระดูกสันหลังที่แข็งแรง ฟีเจอร์ย่อย ๆ ที่เกี่ยวข้องย่อมง่ายขึ้นตาม

ทั้งนี้การจัดการ ROPA ก็ไม่ได้หมายความว่า รูปแบบเดียวกันจะใช้ได้ทุกองค์กร เพราะอย่าง Ragnar ปัจจุบันให้บริการลูกค้าประมาณ 80 องค์กร และหลากหลายกลุ่มธุรกิจ ไม่ว่าจะเป็น B2B, B2C, Automotive, ไฟแนนซ์, สถาบันการเงินต่าง ๆ ดังนั้นข้อมูลส่วนบุคคลแต่ละที่ย่อมใช้ไม่เหมือนกันจึงต้องวางโครงสร้างเป็นแบบเฉพาะ และหนทางความสำเร็จ คือ การปรึกษาหารือกัน

สำหรับกรณีตัวอย่าง Success Story จากหลายองค์กร คุณพชร ยกตัวอย่างดังนี้

คือ การนำ T-REG Platform เข้าไปจัดการ PDPA ในองค์กรที่มีบริษัทลูกมากถึง 40 บริษัท ช่วยให้การจัดการ PDPA เป็นไปตามหลักกฎหมายบังคับ ไม่รั่วไหล สร้างความน่าเชื่อถือ และเป็นที่ไว้วางใจของลูกค้า เนื่องจากหากไม่มีการ Centralized บริษัทในเครือทั้ง 40 แห่ง จะทำการบันทึก ROPA แยกกันทั้งหมด เพราะแม้เป็นบริษัทในเครือเดียวกัน แต่เขาไม่คุยกันอยู่แล้วว่า เราต้องมาประสานงานกันตรงนี้ เราต้องมาเชื่อมกันตรงนี้ แต่เมื่อมี T-REG Platform ปรากฏว่าทั้ง 40 องค์กร สามารถตอบคำถามเรื่อง PDPA ของตัวเองผ่านแพลตฟอร์มนี้ได้เลย แล้วเป็นรูปแบบเดียวกัน จึงทำให้เป็นเรื่องง่าย

ความสำคัญของตรามาตรฐานสากลของแพลตฟอร์มการจัดการ PDPA

T-REG Platform ได้รับการรองรับมาตรฐาน ISO หลายตัว แน่นอนว่ามีการการันตีแล้วว่าแพลตฟอร์มนี้ได้รับมาตรฐาน ปลอดภัย ในขณะเดียวกัน คุณพชร มองว่า มาตรฐานสากล นอกจากสร้างความน่าเชื่อถือแล้ว ยังเป็นการยืนยัน และทบทวนความปลอดภัย รวมทั้งมาตรฐานของผู้พัฒนาอีกด้วย เนื่องจาก T-REG Platform มีการทำ Pre-test ทุกปี นอกจากทำให้ลูกค้าไว้วางใจแล้ว ส่วนหนึ่งก็เป็นการตรวจสอบตัวเองให้ รักษาความปลอดภัยของลูกค้าได้อย่างสูงสุด พร้อมกล่าวเพิ่มเติมว่า

“เพราะ Solution ที่ลูกค้าถามหา คือ ความปลอดภัย ดังนั้นเราต้องตอบเขาด้วยความปลอดภัยครับ หลังจากที่เราได้มาตรฐานต่าง ๆ มาครบถ้วนแล้ว ลูกค้าย่อมมีความไว้วางใจว่า อย่างน้อยใช้บริการต่าง ๆ ของ RAGNAR มีมาตรฐานที่รองรับไว้แล้ว ปลอดภัยแน่นอน เหมือนซื้อประกันจากบริษัทที่รองรับโดย คปภ. ย่อมเป็นประกันที่จ่ายเงินเราแน่นอน”

เทคโนโลยี AI และ Automation จะเข้ามามีบทบาทอย่างไรกับ PDPA
เทคโนโลยีในยุคปัจจุบันย่อมปฏิเสธ AI ไม่ได้เลย สำหรับโซลูชันต่าง ๆ ของ Ragnar ที่เกี่ยวกับ PDPA เองก็เช่นกัน โดยที่ปรึกษาอาวุโสบอกว่า

“ตอนนี้เราอยู่ในยุคที่เรียกว่า Y2Q (Q มา จาก คำ ว่า Quantum) คือ Quantum Computer แปลว่าเทคโนโลยีจะพุ่งไปไกลมาก เนื่องจาก AI ต้องใช้คอมพิวเตอร์ในการประมวลผล เมื่อมี Quantum Computer ประสิทธิภาพในการประมวลผลจะมากกว่าเดิม ดังนั้นความสามารถในการทำงานของ AI ก็จะมากกว่าเดิมเยอะ”

“ปัจจุบันเราอยู่ในยุคที่เรียกว่า Generative AI คือ Chat GPT หรือ Gemini หรือ AI ทั้งหลาย AI เหล่านี้เราต้องป้อน Input หรือข้อมูลเข้าไปก่อน เพื่อให้เขาได้เรียนรู้ แต่พอเป็น Quantum Computer อีกประมาณ 1 – 3 ปีข้างหน้า AI จะเข้าสู่ AGI คือ เขาไม่จำเป็นต้องใช้ Input เพราะเรียนรู้ด้วยตัวเองได้เลย”

“ถ้าให้ผมตอบว่า AI จะเข้ามามีผลอย่างไรบ้าง คือ มนุษย์จะทำงานกับ AI มากขึ้น ส่วน Ragnar เอง ก็จะพัฒนา และ Implement ระบบ AI เข้ามาในตัว T-REG Platform เช่นกัน ซึ่งเราพร้อมปรับตัว เพราะเป็นสิ่งที่หลีกเลี่ยงไม่ได้ครับ”

บริการเสริม T-REG Platform เพื่อระบบ PDPA ที่ยั่งยืน
คุณพชร ยืนยันว่า T-REG Platform มีความสามารถครอบคลุมด้านการจัดการ PDPA อย่างยั่งยืน แต่เพื่อให้ครอบคลุมทุกบริบท เนื่องจากวัฒนธรรมขององค์กรไม่เหมือนกันอย่างที่กล่าวมาข้างต้น จึงมีบริการเสริมต่าง ๆ เข้ามา ประกอบด้วย

– บริการสร้างความตระหนักรู้ในองค์กร โดยบริการอบรม PDPA ให้กับองค์กรต่าง ๆ เพื่อสร้างวัฒนธรรมที่เข้มแข็ง

– บริการซักซ้อมข้อมูลส่วนบุคคลรั่วไหล เป็นอีกบริการหนึ่งที่ทำให้บุคลากรมีความพร้อมเมื่อเจอสถานการณ์จริง เพราะหากไม่ซ้อมเลย จะไม่เห็นภาพว่า เมื่อข้อมูลส่วนบุคคลรั่วไหลไปแล้ว แต่ละคนในองค์กรต้องทำอย่างไรกันต่อ คล้ายการซ้อมหนีไฟ เช่น ข้อมูลส่วนบุคคลรั่วไหล เพราะ HR เผลอส่งอีเมลผิดออกไป สเต็ปแรก ต้องวิ่งไปหาใครก่อน สอง สาม สี่ จะทำอย่างไร รวมทั้งการบริการซักซ้อมเมื่อถูกแฮกเกอร์โจมตี ฯลฯ

– บริการอบรมด้าน Cyber Security เป็นบริการปลูกฝังจิตสำนึกด้านความปลอดภัยทางไซเบอร์ให้บุคลากร เช่น อย่าจด Password ลงกระดาษ เรื่องนี้ทั้ง ๆ ที่เป็นเรื่องพื้นฐาน แต่หลายองค์กรยังไม่ทราบเลยว่า จะส่งผลเสียอย่างไร จึงต้องทำให้เขาตระหนักว่าภัยทางไซเบอร์มีมากกว่าที่คิด แล้วไปได้ไกล สร้างความเสียหายได้มาก

– บริการ Phishing Attack สิ่งนี้คือ Phishing email เป็นลักษณะของอีเมลหลอกลวง เช่น ส่งอีเมลมาหลอกว่าได้รับโปรโมชั่น หรือ Gift Card ต่าง ๆ เพื่อให้หลงเชื่อคลิกลิงค์ แล้วขโมยข้อมูลไป ตัวอย่างที่ชัดเจนได้แก่ ส่งอีเมลมาแจ้งว่า คุณขับรถผ่าน M-Flow แต่ไม่ได้สแกนจ่ายเงิน กรุณาจ่ายค่าผ่านทางและค่าปรับตาม QR Code ที่แนบมา แล้วปรากฏว่า เงินไปเข้าบัญชีมิจฉาชีพ เป็นต้น

– บริการ DPO Outsource คือ บริการดูแลระบบ PDPA ให้ลูกค้า โดยส่งเจ้าหน้าที่ DPO ซึ่งย่อมาจาก Data Protection Officer หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่มีความเชี่ยวชาญเข้าไปดูแลระบบให้ เพราะหลายองค์กรมีปัญหาเรื่องการจัดสรรค์ DPO ที่มีความรู้ความชำนาญเข้ามาดูแล ทาง Ragnar จึงให้บริการส่วนนี้ด้วย โดยส่งเจ้าหน้าที่เข้าไปดูแล้ตั้งแต่เริ่มต้น ดำเนินงาน และเสร็จสมบูรณ์ ทำให้องค์กรมีความสบายใจเรื่อง PDPA

นอกจากบริการข้างต้นแล้ว Ragnar ยังมีโซลูชันเสริมศักยภาพของระบบ PDPA นั่นคือ iLog Management เป็นแพลตฟอร์มที่ช่วยให้จัดเก็บ log ของผู้ใช้งานอินเตอร์เน็ตในองค์กรได้อย่างมีประสิทธิภาพ ช่วยให้การจัดการข้อมูลราบรื่นยิ่งขึ้น

PDPA ไม่มีสูตรตายตัว
จากบทสัมภาษณ์ทั้งหมด เชื่อว่าผู้อ่านเห็นภาพการ Implement ระบบ PDPA ให้สำเร็จ และยั่งยืนกันแล้ว และท้ายนี้ คุณพชร ย้ำอีกครั้งว่า

“การทำ PDPA ในองค์กรให้สำเร็จ ไม่มีสูตรตายตัวครับ ไม่ใช่ว่า 1 สูตร สามารถใช้ได้ทุกองค์กร เพราะแต่ละแห่งมีความหลากหลาย ดังนั้นจึงต้องใช้ระบบที่ Custom ได้ตามลักษณะเฉพาะตัวขององค์กรนั้น ๆ”

“สิ่งสำคัญ คือ 3 หลักที่ผมกล่าวมาข้างต้น ประกอบด้วย 1. กฎหมายที่แข็งแรง โครงสร้างชัดเจน 2. เทคโนโลยี ต้องมีความ Centralized และ 3. คน ทุกคนต้องเข้าใจว่า ข้อมูลส่วนบุคคล คือ สินทรัพย์ และมูลค่าของมันไม่สามารถประเมินได้ ดังนั้นต้องดูแลให้ดี

“ต้องฝังจิตสำนึกนี้เข้าไปในองค์กรให้ได้ จนกลายเป็นวัฒนธรรม จึงจะได้เป็นการ Implement PDPA ที่ยั่งยืน”

———————————————————————————————————

ข้อมูลติดต่อ Ragnar Corporation
Tel.: 02-096-3585
E-mail Address: pc_csm@ragnar.co.th

********