ระบบคุ้มครอง 'ข้อมูลส่วนบุคคล' ที่ดี รัฐต้องมี 'คน' ที่พร้อม
ตั้งแต่ปลายปี 2563 มีข่าวความปลอดภัยของข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูล (Data Breach) อยู่หลายกรณี
บทความโดย...วิชญาดา อำพนกิจวิวัฒน์
ข่าวการรั่วไหลของข้อมูล (Data Breach) เช่น กรณีการถูกปิดกั้นการเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วยในโรงพยาบาลสระบุรี ซึ่งเป็นการโจมตีระบบคอมพิวเตอร์จากภายนอก และอีกกรณีหนึ่ง ระบบการทำงานของไปรษณีย์ไทยเกิดข้อผิดพลาดจากการตั้งค่าการทำงานของระบบคอมพิวเตอร์ ทำให้ข้อมูลส่วนบุคคลของพนักงานเจ้าหน้าที่ภายในองค์กรรั่วไหลออกมา
เมื่อพิจารณาจากกรณีที่เกิดขึ้นเห็นได้ว่า การรั่วไหลของข้อมูลสามารถเกิดได้จากปัจจัยหลายประการ ทั้งในเชิงระบบและเชิงเทคนิค เช่น การไม่อัพเดทซอฟแวร์ที่ใช้ในการรักษาความปลอดภัย หรือความประมาทและรู้เท่าไม่ถึงการณ์ของผู้ดูแลข้อมูลส่วนบุคคล เช่น การเปิดอีเมลหรือลิงก์ที่ไม่เหมาะสม การดาวน์โหลดไฟล์ที่แฝงไปด้วยมัลแวร์ ดังนั้น แม้ว่าองค์กรหรือหน่วยงานที่มีการรักษาความปลอดภัยที่เพียงพอเหมาะสม ก็สามารถเกิดการรั่วไหลหรือถูกโจมตีระบบได้เช่นเดียวกัน
ความน่ากังวลต่อการเก็บและใช้ข้อมูลส่วนบุคคลของรัฐ
จากกรณีข้างต้นการโจมตีระบบคอมพิวเตอร์ของโรงพยาบาลได้ส่งผลกระทบต่อข้อมูลสุขภาพผู้ป่วย ซึ่งถือเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ส่วนข้อมูลรั่วไหลของไปรษณีย์ไทยแม้เป็นข้อมูลของพนักงานภายในองค์กร แต่ก็ถือเป็นข้อมูลส่วนบุคคลตามกฎหมายเช่นกัน ดังนั้นจะเห็นว่าหน่วยงานภาครัฐถือเป็นผู้เก็บรวบรวมและใช้ข้อมูลที่สำคัญของประชาชนเป็นจำนวนมาก ทั้งข้อมูลสุขภาพ ข้อมูลประกันสังคม ข้อมูลการศึกษา ข้อมูลของประชาชนตั้งแต่เกิดจนถึงเสียชีวิต
ความน่ากังวลที่ปรากฏอย่างชัดเจนคือ การเก็บรวบรวมและใช้ข้อมูลของประชาชน หน่วยงานรัฐมักเก็บรวบรวมข้อมูลจากประชาชนที่มากเกินความจำเป็น เพื่อใช้ในการปฏิบัติหน้าที่หรือภารกิจของหน่วยงาน รวมถึงหน่วยงานบางแห่งมีการเก็บรักษาข้อมูลส่วนบุคคลที่ไม่ได้มาตรฐานความปลอดภัย อาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (Access Control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น
นอกจากนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีความไม่ชัดเจนในหลายส่วน ส่งผลกระทบต่อการกำหนดแนวทางหรือทิศทางการทำงานภายในหน่วยงาน เช่น เจ้าหน้าที่ไม่อาจทราบได้ว่าข้อมูลใดบ้างที่ยังสามารถเปิดเผยต่อหน่วยงานรัฐได้ หรือข้อมูลใดบ้างที่ถือเป็นข้อมูลส่วนบุคคลอ่อนไหวและควรให้ความสำคัญกับข้อมูลดังกล่าวมากน้อยเพียงไร เป็นต้น
อย่างไรก็ตามหากกล่าวถึงมาตรการรักษาความปลอดภัย ทั้งในเชิงระบบและเชิงมาตรการย่อมมีความเกี่ยวโยงกับการจัดสรรงบประมาณและบุคลากรที่มีความสามารถในการดูแลระบบความปลอดภัยด้วย ซึ่งหน่วยงานบางแห่งอาจต้องใช้งบประมาณจำนวนมากและใช้ระยะเวลาในการสรรหาบุคลากรเพื่อมาปฏิบัติงานในหน้าที่ดังกล่าว ทำให้ไม่สามารถแก้ไขได้ทันทีหรือภายในระยะเวลาอันใกล้ ดังนั้น หากรัฐจะต้องมีมาตรการในการเก็บและใช้ข้อมูลส่วนบุคคลที่ดีและเหมาะสม จะต้องพิจารณาต่อไปว่าการสร้างมาตรการและระบบที่ดีดังกล่าวสามารถเริ่มต้นได้จากด้านใดบ้าง
การเริ่มต้นสร้างระบบคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม
การพัฒนามาตรการรักษาความปลอดภัยและเทคโนโลยีสารสนเทศให้ดีพร้อม แม้จะเป็นสิ่งสำคัญที่ทุกหน่วยงานต้องปฏิบัติตาม แต่หากขาดศักยภาพการทำงานของบุคลากรก็ไม่สามารถสร้างระบบการรักษาความปลอดภัยที่เหมาะสมได้ ดังนั้นการเริ่มสร้างระบบที่ดีสามารถเริ่มได้จาก ‘ การสร้างทักษะความรู้ความเข้าใจ รวมถึงการสร้างความตระหนักรู้ต่อการให้ความสำคัญกับข้อมูลส่วนบุคคลแก่บุคลากรภายในหน่วยงาน ’
โดยเริ่มต้นได้จากผู้บริหารกำหนดทิศทางและมีแนวปฏิบัติที่เกี่ยวกับข้อมูลส่วนบุคคลอย่างเคร่งครัด เพื่อให้บุคลากรเข้าใจถึงความสำคัญของการเป็นผู้ถือข้อมูลส่วนบุคคลของประชาชนนับตั้งแต่กระบวนการเก็บรวบรวม จนกระทั่งการเปิดเผยและทำลายข้อมูลส่วนบุคคล
นอกจากนี้ต้องให้ความสำคัญกับการเสริมสร้างความรู้ที่ถูกต้องแก่บุคลากร โดยเฉพาะในกรณีหน่วยงานรัฐดังกล่าวมีภารกิจหลักโดยตรงกับการเก็บรวบรวมข้อมูลส่วนบุคคล เช่น งานทะเบียนราษฎร งานออกหนังสือเดินทาง บุคลากรผู้ปฏิบัติหน้าที่ในตำแหน่งดังกล่าวจึงต้องมีทักษะความรู้และให้ความสำคัญต่อการใช้ข้อมูลในระดับสูง
ส่วนงานด้านอื่น เช่น งานป้องกันและบรรเทาสาธารณภัย งานกองช่าง บุคลากรอย่างน้อยควรมีความรู้ต่อการใช้ข้อมูลส่วนบุคคลระดับพื้นฐาน ดังนั้นการกำหนดทั้งแนวทางปฏิบัติและการอบรมสร้างความเข้าใจเกี่ยวกับข้อมูลส่วนบุคคล ถือเป็นการสร้างวัฒนธรรมภายในองค์กรให้คำนึงถึงความสำคัญของข้อมูลส่วนบุคคลของประชาชน เช่นเดียวกับเป็นข้อมูลส่วนบุคคลของตนเองได้ด้วย
ในขณะเดียวกัน การสร้างความตระหนักรู้และความรู้ความเข้าใจให้กับบุคลากร อาจต้องอาศัยเครื่องมืออื่น ๆ ประกอบ เพื่อช่วยให้การทำงานมีประสิทธิภาพที่ดีขั้น ไม่ว่าการจัดทำคู่มือ เอกสารคำอธิบายเกี่ยวกับกฎหมาย ข้อเท็จจริงที่เกิดขึ้นในต่างประเทศ หรือแนวปฏิบัติที่เหมาะสม เพื่อช่วยให้บุคลากรสามารถทำงานได้ พร้อมกับองค์กรพัฒนาได้อย่างต่อเนื่องยั่งยืน
และหากมีการว่าจ้างที่ปรึกษาจากภายนอก หน่วยงานจะต้องจัดให้บุคลากรที่รับผิดชอบมีโอกาสร่วมศึกษาและเรียนรู้ด้วย เพื่อให้สามารถปฏิบัติหน้าที่หรือภารกิจต่อไปได้ หากที่ปรึกษาภายนอกสิ้นสุดสัญญา
การมีระบบคุ้มครองข้อมูลส่วนบุคคลที่ดี
จากที่ได้กล่าวมาแล้วในข้างต้น ระบบการคุ้มครองข้อมูลส่วนบุคคลไม่ได้หมายถึงเพียงการรักษาความปลอดภัยในเชิงระบบและเชิงเทคนิคเท่านั้น ยังหมายความรวมถึงการสร้างความตระหนักรู้ ความเข้าใจ การมีเครื่องมือที่ช่วยเสริมการทำงานให้กับบุคลากรได้อย่างมีประสิทธิภาพ ดังนั้น การจะสร้างระบบคุ้มครองข้อมูลส่วนบุคคลที่ดี หน่วยงานจะต้องเตรียมคนให้พร้อม เพราะในท้ายที่สุดหน่วยงานจะขับเคลื่อนหรือมีระบบที่ดีได้จาก ‘บุคลากร’ ที่มีความรู้ ความสามารถภายในหน่วยงานนั่นเอง.