15 ปี จากญี่ปุ่นสู่ไทย 'กฎหมายข้อมูลส่วนบุคคล'

15 ปี จากญี่ปุ่นสู่ไทย 'กฎหมายข้อมูลส่วนบุคคล'

ส่องสถิติที่น่าสนใจของญี่ปุ่น หลังใช้ "กฎหมายคุ้มครองข้อมูลส่วนบุคคล" มามากกว่า 15 ปี และมีการแก้ไขกฎหมายหลายครั้ง เพื่อให้ทันกับรูปแบบการใช้ข้อมูลส่วนบุคคลที่เปลี่ยนแปลงไปตามความก้าวหน้าของเทคโนโลยี เป็นอย่างไรบ้าง?

นับถอยหลังสู่การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ชวนมาดูสถิติที่น่าสนใจของญี่ปุ่นหลังใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมามากกว่า 15 ปี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำลังจะมีผลใช้บังคับอย่างเต็มรูปแบบในวันที่ 1 มิ.ย.ที่จะถึงนี้ ซึ่งต้องยอมรับว่าภาคเอกชนนั้นมีความตื่นตัวและเตรียมความพร้อมกันอย่างเต็มที่ในการดำเนินการให้เป็นไปตามที่กฎหมายดังกล่าวกำหนด

การคุ้มครองข้อมูลส่วนบุคคลเป็นการคุ้มครองสิทธิของประชาชนที่รัฐบาลหลายๆ ประเทศให้ความสำคัญ เป็นแนวคิดที่มีมาหลายสิบปีแล้ว หลายประเทศเพื่อนบ้านรวมทั้งเวียดนาม ก็กำลังเตรียมตัวเพื่อออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วยเช่นกัน 

ในส่วนของญี่ปุ่น ได้ตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อบังคับใช้กับหน่วยงานรัฐตั้งแต่ในปี 2531 และได้บัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลในปี 2546 ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบต่อทุกภาคส่วนในปี 2548 จนถึงปัจจุบัน ประเทศญี่ปุ่นบังคับใช้กฎหมายมาแล้วกว่า 15 ปี และมีการแก้ไขกฎหมายหลายครั้งเพื่อให้ทันกับรูปแบบการใช้ข้อมูลส่วนบุคคลที่เปลี่ยนแปลงไปตามความก้าวหน้าของเทคโนโลยี 

เช่น ล่าสุดมีการแก้ไขเพิ่มความชัดเจนในเรื่องการแจ้งเจ้าของข้อมูลและคณะกรรมการข้อมูลส่วนบุคคล ในกรณีที่มีการรั่วไหลของข้อมูลโดยมีเจ้าของข้อมูลที่ได้รับผลกระทบเกิน 1,000 คน การเพิ่มหน้าที่ของผู้ควบคุมข้อมูลในการส่งข้อมูลออกไปนอกประเทศ โดยเพิ่มเติมรายละเอียดที่ผู้เปิดเผยจะต้องแจ้งต่อเจ้าของข้อมูล

จากสถิติที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นเผยแพร่บนเว็บไซต์นั้น มีข้อมูลที่น่าสนใจอยู่หลายประเด็น และบางประเด็นน่าจะเป็นประโยชน์กับผู้ประกอบการไทยที่กำลังเตรียมความพร้อมเพื่อรองรับการที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้อย่างเต็มรูปแบบในเดือน มิ.ย.นี้

1.เหตุการณ์กรณีการเกิดข้อมูลรั่วไหลและการร้องทุกข์เกี่ยวกับการละเมิดสิทธิข้อมูลส่วนบุคคลนั้น มีจำนวนลดลงอย่างเห็นได้ชัดหลังจากมีการบังคับใช้กฎหมาย และมีแนวโน้มจะลดลงต่อไปเรื่อยๆ

จากสถิติของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น จำนวนของเหตุการณ์ข้อมูลรั่วไหลของผู้ประกอบการในประเทศญี่ปุ่นนั้นลดลงอย่างต่อเนื่อง จาก 1,556 เหตุการณ์ในปี 2548 ลดลงเหลือเพียง 263 เหตุการณ์ในปี 2559 และในช่วงเวลาเดียวกันจำนวนการร้องทุกข์ต่อหน่วยงานปกครองส่วนท้องถิ่นและศูนย์ผู้บริโภคแห่งชาติของประเทศญี่ปุ่นก็มีแนวโน้มลดลงอย่างต่อเนื่องเช่นกัน จาก 14,028 เรื่อง เหลือเพียง 4,382 เรื่อง

2.เจ้าของข้อมูลที่ได้รับผลกระทบจากการรั่วไหลข้อมูลในแต่ละเหตุการณ์ กลับมีจำนวนเพิ่มขึ้น

ถึงแม้จำนวนเหตุการณ์การเกิดข้อมูลรั่วไหลในแต่ละปีจะลดลง แต่แนวโน้มที่น่าเป็นห่วงคือจำนวนเจ้าของข้อมูลที่ได้รับผลกระทบจากการเกิดการรั่วไหลของข้อมูลในแต่ละครั้งนั้นกลับมีจำนวนเพิ่มขึ้น โดยหากเปรียบเทียบสัดส่วนของเหตุการณ์ที่เกิดข้อมูลรั่วไหลในปี 2548 กับปี 2559 มีจำนวนเจ้าของข้อมูลได้รับผลกระทบไม่เกิน 500 คน ลดลงจากร้อย 71.6 เหลือร้อยละ 55.1 ในขณะที่เหตุการณ์ที่มีจำนวนเจ้าของข้อมูลได้รับผลกระทบตั้งแต่ 500 คนขึ้นไปนั้นเพิ่มขึ้นอย่างต่อเนื่อง โดยเจ้าของข้อมูลได้รับผลกระทบ 500-5,000 คน เพิ่มจากร้อยละ 14.1 เป็นร้อยละ 20.2, จำนวน 5,000-50,000 คน เพิ่มจากร้อยละ 10.7 เป็นร้อยละ 14.8 และจำนวนเกินกว่า 50,000 คน เพิ่มขึ้นถึงเกือบสี่เท่าจากร้อยละ 2.4 เป็นร้อยละ 8.4

3.ข้อมูลที่รั่วไหลเกินกว่าร้อยละ 90 เป็นข้อมูลของลูกค้า

จากสถิติในปี 2558-2559 ข้อมูลที่รั่วไหลประมาณร้อยละ 95 มีข้อมูลของลูกค้ารวมอยู่ด้วย ในขณะที่การรั่วไหลที่มีข้อมูลของพนักงานรวมอยู่ด้วยมีเพียงร้อยละ 4-8

4.ร้อยละ 70 ของการรั่วไหลของข้อมูล เกิดจากความประมาทเลินเล่อของพนักงาน

จากสถิติ ปี 2558-2559 เหตุการณ์กรณีข้อมูลรั่วไหลส่วนใหญ่เกิดจากพนักงาน ประมาณร้อยละ 70 โดยสาเหตุหลักนั้นมาจากความประมาทเลินเล่อของพนักงาน ส่วนกรณีที่เหลือนั้นเกิดจากบุคคลที่สาม ประมาณร้อยละ 20 แต่สาเหตุในกรณีนี้ส่วนใหญ่จะเกิดจากเจตนาของบุคคลที่สาม มิใช่ประมาทเลินเล่อ

5.รูปแบบของข้อมูลที่รั่วไหลส่วนใหญ่เป็นอิเล็กทรอนิกส์ และไม่มีมาตรการรักษาความปลอดภัยของข้อมูล

จากสถิติปี 2559 ประมาณร้อยละ 64 ของข้อมูลที่รั่วไหลเป็นข้อมูลในรูปแบบอิเล็กทรอนิกส์ และอีกข้อสังเกตที่น่าสนใจคือประมาณร้อยละ 67 ของข้อมูลที่รั่วไหลทุกประเภทนั้น ไม่ได้มีมาตรการรักษาความปลอดภัย เช่น การใส่รหัสเพื่อเก็บรักษาข้อมูลนั้นแต่อย่างใด

6.หัวข้อหลักๆ ที่ถูกร้องทุกข์ภายใต้กฎหมายนี้ ส่วนใหญ่เกี่ยวกับการได้ข้อมูลมาโดยไม่ถูกต้องและข้อมูลรั่วไหลหรือสูญหาย

จากสถิติปี 2558-2559 หัวข้อหลักที่มีการร้องทุกข์มากที่สุด คือ เรื่องการได้มาซึ่งข้อมูลโดยไม่ถูกต้อง ร้อยละ 40 โดยประมาณ รองลงมาคือเรื่องข้อมูลรั่วไหลหรือข้อมูลหาย ประมาณร้อยละ 25 และการเปิดเผยข้อมูลต่อบุคคลที่สามโดยไม่ได้รับความยินยอม ซึ่งอยู่ที่ประมาณร้อยละ 21 และการใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้ประมาณร้อยละ 10

7.ประเภทกลุ่มธุรกิจที่ถูกร้องทุกข์ว่าละเมิดกฎหมายนี้มากที่สุดคือ ธุรกิจกลุ่มโทรคมนาคม

จากสถิติปี 2558-2559 ประเภทกลุ่มธุรกิจที่ถูกร้องทุกข์ว่าละเมิดกฎหมายนี้มากที่สุดคือ ธุรกิจโทรคมนาคม เป็นจำนวนถึงร้อยละ 22 กลุ่มธุรกิจอื่นๆ ที่ถูกร้องทุกข์มาก เช่น ธุรกิจการเงินอยู่ราวร้อยละ 6 ธุรกิจการแพทย์และรักษาพยาบาลราวร้อยละ 2

จากสถิติข้างต้นมีความน่าสนใจให้พิจารณาในแง่ของผู้ประกอบการว่า เหตุการณ์การเกิดข้อมูลรั่วไหลและการร้องทุกข์เกี่ยวกับการละเมิดสิทธิข้อมูลส่วนบุคคลนั้นโดยส่วนใหญ่นั้น สามารถป้องกันได้หากผู้ประกอบการมีมาตรการในการเก็บรักษาข้อมูลส่วนบุคคลอย่างรัดกุมและดำเนินการตามมาตรการที่กฎหมายกำหนด ซึ่งก็จะสามารถป้องกันผู้ประกอบการจากความรับผิดทางแพ่ง และความรับผิดทางอาญาภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 อันอาจเกิดขึ้นได้