เอบีมแนะธุรกิจไทยใช้ Data Anonymization เสริมความสามารถในการแข่งขัน หลัง PDPA มีผลบังคับใช้


สิ่งที่ธุรกิจควรรู้ และเตรียมตัวรับมือ ในยุคที่ข้อมูลกลายเป็นสินทรัพย์ที่มีมูลค่ามหาศาล โดยข้อมูลส่วนใหญ่ที่ถูกจัดเก็บไว้ เป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนของเจ้าของ (Data Subject) ทั้งทางตรงและทางอ้อม ไม่ว่าข้อมูลจะถูกจัดเก็บไว้ในระบบออนไลน์หรือออฟไลน์ก็ตาม เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย เป็นต้น รวมไปถึง “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม หรือข้อมูลสุขภาพ

จะเห็นได้ว่า ข้อมูลเหล่านี้มีความสำคัญต่อการวางแผนกลยุทธ์ธุรกิจในอนาคต และในวันที่ 1 มิถุนายน 2564 นี้ ประเทศไทย จะมีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA องค์กรต้องปรับตัวให้สมดุลระหว่างความปลอดภัยข้อมูลส่วนบุคคลกับความสามารถในการแข่งขัน

ในยุคที่ธุรกิจถูกขับเคลื่อนด้วยข้อมูล (Data-Driven) องค์กรต้องมีการจัดเก็บข้อมูลจากกิจกรรมทางธุรกิจต่าง ๆ และสามารถนำมาวิเคราะห์เพื่อค้นหาข้อมูลเชิงลึก (Insights) เพื่อตอบสนองต่อการเปลี่ยนแปลงของตลาดได้ทันท่วงที ขณะเดียวกันก็สามารถช่วยเพิ่มประสิทธิภาพและประสิทธิผลของการปฏิบัติงานเพื่อให้ธุรกิจคงความได้เปรียบในการแข่งขัน

อย่างไรก็ตาม ข้อมูลข้างต้นมีผลเกี่ยวเนื่องตามบทบัญญัติที่ระบุไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดเงื่อนไขเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลไว้หลายประเด็น ซึ่งรวมถึง

  • มาตรา 24 การมีฐานการประมวลผลที่เหมาะสม (Lawful Basis)
  • มาตรา 33 สิทธิของเจ้าของข้อมูลส่วนบุคคลในการลบข้อมูล (Right to Erasure)
  • มาตรา 37(1) มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการ เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง 2
  • มาตรา 37(3) ประกอบ มาตรา 33 วรรค 5 หน้าที่ลบและทำลายข้อมูลเมื่อพ้นระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล
  • มาตรา 37(4) แจ้งเหตุแก่ผู้กำกับดูแลหรือเจ้าของข้อมูลเมื่อข้อมูลส่วนบุคคลรั่วไหล

จะเห็นได้ว่าการนำข้อมูลส่วนบุคคลมาประมวลผลนั้นมีข้อพึงปฏิบัติตามกฏหมายหลายประการ ทำให้เกิดข้อจำกัดในการนำข้อมูลดังกล่าวมาวิเคราะห์ (Data Analytics) อย่างไรก็ตาม การวิเคราะห์ข้อมูลอาจไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูลเสมอไป พิจารณาจากกรณีศึกษาดังต่อไปนี้

แผนกการตลาดของธุรกิจค้าปลีกขนาดใหญ่แห่งหนึ่ง ต้องการวิเคราะห์สถิติรายไตรมาสเพื่อศึกษาว่าสินค้าชิ้นไหนขายดีที่สุดและสินค้าตัวไหนขายได้น้อยที่สุด เพื่อนำข้อมูลไปใช้ในการวางแผนงบประมาณด้านการตลาด ในกิจกรรมนี้แผนก IT จะทำหน้าที่ดึงข้อมูลจากฐานข้อมูลยอดซื้อของลูกค้าผ่านระบบ Point of sale (POS) ไปยังฐานข้อมูลของแผนกการตลาด

ก่อนหน้าที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ แผนกการตลาดจะได้รับข้อมูลทั้งหมดจากฐานข้อมูลยอดซื้อของลูกค้า ซึ่งรวมถึง ที่อยู่ และเบอร์โทรศัพท์ของลูกค้าที่เชื่อมกับ คำสั่งซื้อแต่ละรายการ  แน่นอนว่าข้อมูลเหล่านี้สามารถนำมาวิเคราะห์เพื่อ“ย้อนรอย”หาเจ้าของข้อมูลได้ ดังนั้นการประมวลผลของแผนกการตลาดนี้จึงนับเป็นการประมวลผลข้อมูลส่วนบุคคล ซึ่งได้รับการคุ้มครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

จากกรณีตัวอย่าง แผนกการตลาดสามารถวิเคราะห์สถิติรายไตรมาสโดยไม่ต้องใช้ข้อมูลส่วนบุคคล เนื่องจากการวิเคราะห์ดังกล่าวต้องการข้อมูลเฉพาะเพียงข้อมูลด้านภาพรวมและวันที่ในการซื้อสินค้าเท่านั้น

อิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด บริษัทที่ปรึกษาระดับโลก ซึ่งเป็นผู้ให้บริการที่มีความเชี่ยวชาญด้านการปรับเปลี่ยนองค์กรธุรกิจในรูปแบบดิจิทัล ทรานส์ฟอร์เมชั่น ในเครือบริษัท เอบีม คอนซัลติ้ง จำกัด ประเทศญี่ปุ่น แนะนำว่า ในจุดนี้ การทำข้อมูลให้เป็นนิรนาม (Anonymization) ซึ่งหมายถึง “การทำให้ข้อมูลนั้นอยู่ในรูปแบบที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้อีกต่อไป” ถือเป็นตัวแปรสำคัญและมีบทบาทมากต่อธุรกิจในอนาคต เพราะการใช้ประโยชน์จากข้อมูลนั้นไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูล ดังนั้นการทำข้อมูลให้เป็นนิรนามจะช่วยให้ข้อมูลที่มีอยู่ไม่สามารถนำไประบุตัวบุคคลได้ ทั้งนี้ เพื่อรักษาประโยชน์ของข้อมูลในการวิเคราะห์ และข้อมูลส่วนบุคคลที่ทำให้เป็นนิรนามแล้ว ย่อมไม่ถือว่าเป็นข้อมูลส่วนบุคคลตาม มาตรา 33 จึงเปิดโอกาสให้ธุรกิจสามารถใช้ข้อมูลดังกล่าวได้โดยไม่อยู่ในกรอบพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ดังนั้นการทำข้อมูลให้เป็นนิรนามด้วยเทคนิคที่เหมาะสมจะช่วยให้แผนก IT สามารถแปลงข้อมูล ที่อยู่ และเบอร์โทรศัพท์ ให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้อีก และส่งข้อมูลนั้นไปยังฐานข้อมูลของแผนกการตลาด เพื่อทำการวิเคราะห์ข้อมูลดังกล่าว โดยไม่ขัดต่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อีกต่อไป

“อีกไม่ถึงสองเดือนข้างหน้านี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ หากองค์กรธุรกิจมีการจัดการข้อมูลไม่ดี อาจขัดต่อกฏหมายโดยไม่รู้ตัว ขณะเดียวกันหากธุรกิจไม่นำข้อมูลมาวิเคราะห์ต่อยอดก็จะสูญเสียโอกาสในการแข่งขัน ดังนั้นองค์กรธุรกิจต้องตระหนักให้มาก และพิจารณาให้รอบคอบถึงประเด็น PDPA”  ฮาระ กล่าว

หนึ่งในหลักคิดสำคัญเมื่อต้องออกแบบการประมวลผลข้อมูล คือการพิจารณาใช้ข้อมูลให้น้อยที่สุดเท่าที่จะทำให้กระบวนการนั้นสำเร็จได้ (Data Minimization) ทั้งนี้ หากข้อมูลส่วนบุคคลใดไม่จำเป็นต้องใช้ในการวิเคระห์ สามารถปรับให้เป็นข้อมูลนิรนามได้ทันทีเพื่อลดข้อมูลที่เกี่ยวข้องให้เหลือน้อยที่สุด


เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวของคุณได้เองโดยคลิกที่ ตั้งค่า

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

Allow All
Manage Consent Preferences
  • คุกกี้ที่จำเป็น
    Always Active

    คุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

  • คุกกี้เพื่อการวิเคราะห์

    คุกกี้ประเภทนี้จะทำการเก็บข้อมูลการใช้งานเว็บไซต์ของคุณ เพื่อเป็นประโยชน์ในการวัดผล ปรับปรุง และพัฒนาประสบการณ์ที่ดีในการใช้งานเว็บไซต์ ถ้าหากท่านไม่ยินยอมให้เราใช้คุกกี้นี้ เราจะไม่สามารถวัดผล ปรังปรุงและพัฒนาเว็บไซต์ได้

Save