28 มิถุนายน 2566 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ในฐานะผู้ดูแลและคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เกิดความปลอดภัยต่อผู้ให้ข้อมูลส่วนบุคคล ร่วมจัดงานเสวนาเรื่อง “Privacy Enhancing Technologies (PETs) Guarding Data Privacy in the Digital Age” ภายในงาน JCSSE 2023 ณ มหาวิทยาลัยนเรศวร จังหวัดพิษณุโลก ซึ่งมีวัตถุประสงค์เพื่อให้นักพัฒนาและผู้ใช้งานเล็งเห็นถึงการเก็บและคุ้มครองข้อมูลส่วนบุคคล ผ่านการทำธุรกรรมหรือการดำเนินการบนฐานของเทคโนโลยีที่มีประสิทธิภาพ โดยได้ตัวแทนผู้พัฒนาและคุ้มครองข้อมูลส่วนบุคคลจากองค์กรชั้นนำ รวมถึงนักวิจัยร่วมแลกเปลี่ยนในประเด็นเรื่องการจัดเก็บและคุ้มครองข้อมูลส่วนบุคคล รวมถึงการเปิดเผยข้อมูลที่มีระบบและมีประสิทธิภาพ เพื่อคุ้มครองข้อมูลและให้เป็นไปตามข้อกฎหมายต่างๆ รวมถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งดำเนินรายการโดย ดร.ชาลี วรกุลพิพัฒน์ วิทยากรตัวแทนจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ในช่วงแรก นายเอกลักษณ์ อิสระมโนรส ตัวแทนจากธนาคารกรุงไทย กล่าวว่า ตั้งแต่มีการประกาศใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และบังคับใช้อย่างเป็นทางการเมื่อ พ.ศ. 2564 แต่ทางธนาคารกรุงไทยนั้นมีกฎระเบียบอื่นๆ ที่บังคับใช้ก่อนปี 2562 ซึ่งถือว่าโชคดีมากๆ เมื่อมี พ.ร.บ. นี้ขึ้นมาก็ทำให้ธนาคารกรุงไทยสามารถลงลึกในรายละเอียดและบังคับใช้ได้มากขึ้น แน่นอนว่าตอนนำไปใช้งานก็ต้องคำนึงถึงลูกค้าและธุรกิจมากขึ้น และต้องใส่มาตรการเหล่านี้ไปในขั้นตอนต่างๆ เพื่อทำให้เป็นไปตามกฎระเบียบมากขึ้น แต่สิ่งที่เกิดขึ้นในสถานการณ์จริงคือการต้องปรับใช้ฟอร์มให้เป็นไปตามกระบวนการและสิ่งที่เราต้องการโดยอยู่ภายใต้กฎหมาย เช่น การถูกละเมิดข้อมูลส่วนบุคคลนั้น เราสามารถใช้เทคโนโลยีและคนเข้ามาช่วยร่วมกันได้ ในทางปฏิบัติ ธนาคารกรุงไทยต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง ซึ่งเราทำหน้าที่ในการส่งอีเมลแจ้งเท่านั้น แต่นอกเหนือจากนั้นเราต้องตามสืบและหาต้นตอของการถูกละเมิดข้อมูลส่วนบุคคล แน่นอนว่าลูกค้าและธรรมชาติของธุรกิจจะบีบให้เราต้องเร่งการทำงาน และหลังจากนั้นจึงมาหาทางป้องกันการถูกละเมิดข้อมูลส่วนบุคคล ทั้งระยะสั้น กลาง และยาวต่อไป
ในขณะเดียวกันด้วยความที่เราเป็นหน่วยงานเอกชน เราก็ไม่สามารถที่จะนำข้อมูลของลูกค้าไปใช้ตามอำเภอใจได้ ต้องขอความยินยอมทุกครั้งเมื่อมีการใช้ข้อมูล เพื่อนำมาวิเคราะห์และหาความต้องการของลูกค้าได้ โดยมาจากหลากหลายช่องทาง เช่น สาขาธนาคาร, Mobile Banking หรือการที่นักศึกษาชั้นปีที่ 1 ได้บัตรนักศึกษาซึ่งผูกกับธนาคาร แน่นอนว่าด้วยความที่มีหลากหลายช่องทาง ทำให้เราได้รับความยินยอมเข้ามาเป็นจำนวนมาก และทำให้เกิดปัญหาว่าแต่ละคนให้ความยินยอมที่แตกต่างกันไป เราจึงจำเป็นต้องใช้เทคโนโลยีในการช่วยพัฒนาและคัดแยกความยินยอมได้
ดร.ศุภกร กังพิศดาร กรรมการผู้จัดการ บริษัท ไซเบอร์ อีลีท จำกัด กล่าวเสริมว่า ปัจจุบันการค้นหาข้อมูลนั้นมาจากหลากหลายช่องทาง เช่น กระดาษ หรื อิเล็กทรอนิกส์ ซึ่งถ้าเราจัดการข้อมูลที่ได้มาไม่ดีพอ อาจจะส่งผลทำให้เกิดการจัดการข้อมูลที่ไม่เหมาะสมได้ อีกส่วนคือการสร้างนิเวศในองค์กรนั้นมีความซับซ้อนมากยิ่งขึ้น ซึ่งเราต้องจัดการองค์กรอย่างไรให้เป็นไปได้ด้วยความเหมาะสม เพราะข้อมูลต่างๆ ที่ลูกค้ายินยอมนั้นเป็นของเรา และลูกค้าก็มีสิทธิ์ถอนความยินยอม เราจำเป็นต้องสร้างความปลอดภัยของข้อมูล และจัดการระบบเมื่อลูกค้าร้องขอได้ตลอดเวลา โดยการสร้างความปลอดภัยของข้อมูลนั้น ต้องปฏิบัติตามกฎหมายให้ได้
ในปัจจุบันมีบริษัทที่ให้คำปรึกษาในการทำงาน และมีแบบฟอร์มมาใช้งานได้ แต่ปัญหาที่สำคัญคือแบบฟอร์มเหล่านี้ไม่สามารถนำไปประยุกต์ใช้ในทุกธุรกิจ องค์กรจึงจำเป็นต้องสร้างและปรับให้ขอข้อมูลให้เหมาะสมกับองค์กรนั้นๆ ซึ่งเราต้องใช้เทคโนโลยีมาช่วยพัฒนาระบบการจัดเก็บข้อมูล เพราะการยินยอมให้เข้าถึงข้อมูลนั้นมีระยะเวลาการให้อยู่ นอกจากนั้นยังมีเรื่องของการรักษาความปลอดภัยด้านข้อมูลที่ผู้ให้บริการด้านการจัดเก็บข้อมูลต้องมีมาตรการการให้ความคุ้มครอง และการจัดเก็บรักษาที่ถูกต้องผ่านเทคโนโลยีต่างๆ ที่เหมาะสม
ในส่วนของงานวิจัยนั้น ดร.สุนทร ศิระไพศาล ทีมวิจัยความมั่นคงปลอดภัยสารสนเทศ จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) กล่าวว่า ในส่วนของงานวิจัยที่เกี่ยวข้องกับข้อมูลส่วนบุคคลโดยตรงนั้น ทางทีมได้ทำเอกสารการรับรองการฉีดวัคซีนโควิด-19 ซึ่งก่อนหน้านี้ระดับนานาชาติมีการใช้ “สมุดเหลือง” ซึ่งเป็นรูปแบบกระดาษว่ามีการฉีดวัคซีนเมื่อไรบ้าง แต่ด้วยโรคโควิด-19 นั้นอาจจะทำให้เราไม่สามารถเจอหน้ากันและไปขอแบบกระดาษได้ ซึ่งทำให้เราต้องทำระบบอิเล็กทรอนิกส์ ผ่านการใช้ Digital Signature ทำใแต่ละประเทศสามารถตรวจสอบได้เลย และป้องกันการเลียนแบบได้
การปกป้องข้อมูลส่วนบุคคล ปัจจุบันสามารถทำได้หลายวิธีโดยไม่เสียฟังก์ชั่นในการใช้งาน เช่น การปกปิดระบบข้อมูลส่วนบุคคลด้วย Code และให้เก็บข้อมูลส่วนบุคคลด้วยระบบที่ปกป้องได้ หรือการลบข้อมูลส่วนบุคคลออกไปเลย ไม่สามารถรับข้อมูลส่วนบุคคลได้ ซึ่งในการทำ Vaccine Passport นั้นจำเป็นต้องใช้เลขบัตรประชาชนในการสืบค้นข้อมูล และรวบรวมข้อมูล แต่ไม่ได้นำเลขบัตรประชาชนในการขึ้นบนระบบใบรับรองการฉีดวัคซีน แต่จะใช้เลขสุ่มแทน เพื่อป้องกันการนำเลขบัตรประชาชนไปค้นหาและส่งผลทำให้เกิดการรั่วไหลได้
ดร.กลิกา สุขสมบูรณ์ ทีมนักวิจัยจากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) กล่าวปิดท้ายว่า สำหรับตัวโครงการที่ตนเองรับผิดชอบนั้นเป็นโครงการที่เกี่ยวข้องการ Internet of Things (IoT) ในชื่อของ CYBLION ซึ่งปัจจุบันใช้ในโรงงานเป็นหลัก โดยในระบบเดิมนั้นใช้ Cloud จากภายนอก ซึ่งมีการถูกขโมยข้อมูลส่วนบุคคลบ่อยมากๆ ฉะนั้นเราจะไว้ใจ Cloud จากภายนอกได้อย่างไรบ้าง? ทางทีมนักวิจัยจึงค้นหาแนวทางการปกป้องข้อมูลในแง่ของกฎหมายและแง่ของการใช้งาน เราจึงใช้ระบบ Homomorphic Encryption คือการให้ Cloud วิเคราะห์ข้อมูลโดยไม่จำเป็นต้องให้คีย์ในการไขเปิดข้อมูลส่วนบุคคล ซึ่งจะทำให้ยังคงรักษาข้อมูลส่วนบุคคลได้ และ Cloud จะจัดการคำนวณโดยที่ไม่ต้องเปิดเผยข้อมูลส่วนบุคคลได้ด้วย ฉะนั้น CYBLION จะการันตีว่าข้อมูลส่วนบุคคลจะไม่หลุดออกจากระบบ เพราะใช้ระบบและเทคโนโลยีในการจัดการและจัดเก็บข้อมูลโดยที่ยังคงรักษาข้อมูลส่วนบุคคลให้ลูกค้าสามารถจัดการได้ด้วยตนเอง ซึ่งจะเป็นการแก้ไขปัญหาการหลุดรั่วไหลของข้อมูลส่วนบุคคลได้นั่นเอง
