ระบบ ‘ข้อมูลส่วนบุคคล’ ที่ดี รัฐต้องมี ‘คน’ ที่พร้อม

ตั้งแต่ปลายปี 2563 มีข่าวความปลอดภัยของข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูล (Data Breach) อยู่หลายกรณี เช่น กรณีการถูกปิดกั้นการเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วยในโรงพยาบาลสระบุรี ซึ่งเป็นการโจมตีระบบคอมพิวเตอร์จากภายนอก อีกกรณีหนึ่ง ระบบการทำงานของไปรษณีย์ไทยเกิดข้อผิดพลาดจากการตั้งค่าการทำงานของระบบ คอมพิวเตอร์ ทำให้ข้อมูลส่วนบุคคลของพนักงานเจ้าหน้าที่ภายในองค์กรรั่วไหลออกมา

เมื่อพิจารณาจากกรณีที่เกิดขึ้นเห็นได้ว่า การรั่วไหลของข้อมูลสามารถเกิดได้จากปัจจัยหลายประการ ทั้งในเชิงระบบและเชิงเทคนิค เช่น การไม่อัพเดตซอฟต์แวร์ที่ใช้ในการรักษาความปลอดภัย หรือความประมาทและรู้เท่าไม่ถึงการณ์ของผู้ดูแลข้อมูลส่วนบุคคล เช่น การเปิดอีเมลหรือลิงก์ที่ไม่เหมาะสม การดาวน์โหลดไฟล์ที่แฝงไปด้วยมัลแวร์

ดังนั้น แม้ว่าองค์กรหรือหน่วยงานที่มีการรักษาความปลอดภัยที่เพียงพอเหมาะสม ก็สามารถเกิดการรั่วไหลหรือถูกโจมตีระบบได้เช่นเดียวกัน

ความน่ากังวลต่อการเก็บและใช้ข้อมูลส่วนบุคคลของรัฐ

จากกรณีข้างต้นการโจมตีระบบคอมพิวเตอร์ของโรงพยาบาลได้ส่งผลกระทบ ต่อข้อมูลสุขภาพผู้ป่วย ซึ่งถือเป็นข้อมูล ส่วนบุคคลอ่อนไหว (Sensitive Data) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ส่วนข้อมูลรั่วไหลของไปรษณีย์ไทยแม้เป็นข้อมูลของพนักงานภายในองค์กร แต่ก็ถือเป็นข้อมูลส่วนบุคคลตามกฎหมายเช่นกัน

ดังนั้น จะเห็นว่าหน่วยงานภาครัฐถือเป็นผู้เก็บรวบรวมและใช้ข้อมูลที่สำคัญของประชาชนเป็นจำนวนมาก ทั้งข้อมูลสุขภาพ ข้อมูลประกันสังคม ข้อมูลการศึกษา ข้อมูลของประชาชนตั้งแต่เกิดจนถึงเสียชีวิต

ความน่ากังวลที่ปรากฏอย่างชัดเจนคือ การเก็บรวบรวมและใช้ข้อมูลของประชาชน หน่วยงานรัฐมักเก็บรวบรวมข้อมูลจากประชาชนที่มากเกินความจำเป็น เพื่อใช้ในการปฏิบัติหน้าที่หรือภารกิจของหน่วยงาน รวมถึงหน่วยงานบางแห่งมีการเก็บรักษาข้อมูลส่วนบุคคลที่ไม่ได้มาตรฐานความปลอดภัย อาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (Access Control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น

นอกจากนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีความไม่ชัดเจน ในหลายส่วน ส่งผลกระทบต่อการกำหนดแนวทางหรือทิศทางการทำงานภายในหน่วยงาน เช่น เจ้าหน้าที่ไม่อาจทราบได้ว่า ข้อมูลใดบ้างที่ยังสามารถเปิดเผยต่อหน่วยงานรัฐได้ หรือข้อมูลใดบ้างที่ถือเป็นข้อมูล ส่วนบุคคลอ่อนไหวและควรให้ความสำคัญกับข้อมูลดังกล่าวมากน้อยเพียงไร เป็นต้น

อย่างไรก็ตาม หากกล่าวถึงมาตรการรักษาความปลอดภัย ทั้งในเชิงระบบและเชิงมาตรการย่อมมีความเกี่ยวโยงกับการจัดสรรงบประมาณและบุคลากรที่มีความสามารถในการดูแลระบบความปลอดภัยด้วย ซึ่งหน่วยงานบางแห่งอาจต้องใช้ งบประมาณจำนวนมากและใช้ระยะเวลาในการสรรหาบุคลากร เพื่อมาปฏิบัติงานในหน้าที่ดังกล่าว ทำให้ไม่สามารถแก้ไขได้ทันทีหรือภายในระยะเวลาอันใกล้

ดังนั้น หากรัฐจะต้องมีมาตรการในการเก็บและใช้ข้อมูลส่วนบุคคลที่ดีและเหมาะสม จะต้องพิจารณาต่อไปว่าการสร้างมาตรการและระบบที่ดีดังกล่าวสามารถเริ่มต้น ได้จากด้านใดบ้าง

การเริ่มต้นสร้างระบบคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม

การพัฒนามาตรการรักษาความปลอดภัย และเทคโนโลยีสารสนเทศให้ดีพร้อม แม้จะเป็นสิ่งสำคัญที่ทุกหน่วยงานต้องปฏิบัติตาม แต่หากขาดศักยภาพการทำงานของบุคลากรก็ไม่สามารถสร้างระบบการรักษาความปลอดภัยที่เหมาะสมได้

ดังนั้น การเริ่มสร้างระบบที่ดีสามารถเริ่มได้จาก “การสร้างทักษะความรู้ความเข้าใจ รวมถึงการสร้างความตระหนักรู้ต่อการให้ความสำคัญกับข้อมูลส่วนบุคคลแก่บุคลากรภายในหน่วยงาน”

โดยเริ่มต้นได้จากผู้บริหารกำหนดทิศทางและมีแนวปฏิบัติที่เกี่ยวกับข้อมูลส่วนบุคคลอย่างเคร่งครัด เพื่อให้บุคลากรเข้าใจถึงความสำคัญของการเป็นผู้ถือข้อมูล ส่วนบุคคลของประชาชนนับตั้งแต่กระบวนการเก็บรวบรวม จนกระทั่งการเปิดเผยและทำลายข้อมูลส่วนบุคคล

นอกจากนี้ต้องให้ความสำคัญกับการเสริมสร้างความรู้ที่ถูกต้องแก่บุคลากร โดยเฉพาะในกรณีหน่วยงานรัฐดังกล่าวมีภารกิจหลักโดยตรงกับการเก็บรวบรวมข้อมูลส่วนบุคคล เช่น งานทะเบียนราษฎร งานออกหนังสือเดินทาง บุคลากรผู้ปฏิบัติหน้าที่ในตำแหน่งดังกล่าวจึงต้องมีทักษะความรู้และให้ความสำคัญต่อการใช้ข้อมูลในระดับสูง ส่วนงานด้านอื่นเช่นงานป้องกันและบรรเทาสาธารณภัย งานกองช่าง บุคลากรอย่างน้อยควรมีความรู้ต่อการใช้ข้อมูลส่วนบุคคล ระดับพื้นฐาน

ดังนั้น การกำหนดทั้งแนวทางปฏิบัติและการอบรมสร้างความเข้าใจเกี่ยวกับข้อมูลส่วนบุคคล ถือเป็นการสร้างวัฒนธรรมภายในองค์กรให้คำนึงถึงความสำคัญของข้อมูลส่วนบุคคลของประชาชน เช่นเดียวกับ เป็นข้อมูลส่วนบุคคลของตนเองได้ด้วย

ในขณะเดียวกัน การสร้างความตระหนักรู้และความรู้ความเข้าใจให้กับบุคลากร อาจต้องอาศัยเครื่องมืออื่นๆ ประกอบ เพื่อช่วยให้ การทำงานมีประสิทธิภาพที่ดีขึ้น ไม่ว่าการจัดทำคู่มือ เอกสารคำอธิบายเกี่ยวกับกฎหมาย ข้อเท็จจริงที่เกิดขึ้นในต่างประเทศ หรือแนวปฏิบัติที่เหมาะสม เพื่อช่วยให้บุคลากรสามารถทำงานได้ พร้อมกับองค์กรพัฒนาได้อย่างต่อเนื่องยั่งยืน

หากมีการว่าจ้างที่ปรึกษาจากภายนอก หน่วยงานจะต้องจัดให้บุคลากรที่รับผิดชอบมีโอกาสร่วมศึกษาและเรียนรู้ด้วย เพื่อให้สามารถปฏิบัติหน้าที่หรือภารกิจต่อไปได้ หากที่ปรึกษาภายนอกสิ้นสุดสัญญา

การมีระบบคุ้มครองข้อมูลส่วนบุคคลที่ดี

จากที่ได้กล่าวมาแล้วในข้างต้น ระบบการคุ้มครองข้อมูลส่วนบุคคลไม่ได้หมายถึงเพียงการรักษาความปลอดภัยในเชิงระบบและเชิงเทคนิคเท่านั้น ยังหมายความรวมถึง การสร้างความตระหนักรู้ ความเข้าใจ การมี เครื่องมือที่ช่วยเสริมการทำงานให้กับบุคลากรได้อย่างมีประสิทธิภาพ

ดังนั้น การจะสร้างระบบคุ้มครองข้อมูลส่วนบุคคลที่ดี หน่วยงานจะต้องเตรียมคนให้พร้อม เพราะในท้ายที่สุดหน่วยงานจะ ขับเคลื่อนหรือมีระบบที่ดีได้จาก “บุคลากร” ที่มีความรู้ ความสามารถภายในหน่วยงานนั่นเอง

บทความ โดย วิชญาดา อำพนกิจวิวัฒน์ นักวิจัย ด้านกฎหมายเพื่อการพัฒนา

เผยแพร่ครั้งแรกใน กรุงเทพธุรกิจ เมื่อ 26 สิงหาคม 2564


ผลงานล่าสุดจากทีดีอาร์ไอ

data privacy | ข้อมูลรั่วไหล | คุ้มครองข้อมูลส่วนบุคคล | personal data | PDPA | วิชญาดา อำพนกิจวิวัฒน์ | พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล | รัฐ | เจ้าหน้าที่รัฐ