Site icon Thumbsup

GDPR ความปลอดภัยบนไซเบอร์และความมั่นใจของลูกค้า

หลังจากที่สหภาพยุโรปได้ออกกฎระเบียบการคุ้มครองข้อมูลทั่วไป หรือ GDPR ไปเรียบร้อยแล้ว หน่วยงานราชการในเอเชียกำลังพัฒนากฏการป้องกันข้อมูลส่วนตัวให้แข็งแกร่งขึ้น ซึ่งไม่ว่าจะเป็นหน่วยงานราชการหรือเอกชน ต่างก็ต้องปรับปรุงเรื่องนี้กันอย่างหนักเพื่อสร้างความเชื่อมั่นจากลูกค้าและประชาชนที่ดีขึ้น

นายชาญวิทย์ อิทธิวัฒนะ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ต ได้แสดงความคิดเห็นเกี่ยวกับเรื่อง GDPR ไว้ว่า ภูมิทัศน์ด้านการป้องกันข้อมูลในภูมิภาคเอเชียแปซิฟิกมีความก้าวหน้าเติบโตอย่างรวดเร็ว เมื่อเทียบกับเพียงไม่กี่ปีที่ผ่านมา เนื่องจากมีการบังคับใช้กฎหมายด้านความเป็นส่วนตัวและการรักษาความปลอดภัยข้อมูล (Privacy and data security law) ที่เข้มงวดมากขึ้น

ในขณะที่ ภูมิภาคเอเชียแปซิฟิก เคยถูกมองว่าเป็นกลุ่มประเทศที่มีการดำเนินคดีด้านความเป็นส่วนตัวและการรักษาความปลอดภัยข้อมูลน้อยกว่าประเทศในแถบตะวันตก แต่ภูมิภาคนี้ก็มีการเปลี่ยนแปลงเมื่อมีการใช้ระบบดิจิทัลมากขึ้นและรัฐบาลต่างให้ความสำคัญและความจำเป็นในการปกป้องข้อมูลส่วนบุคคลและข้อมูลที่เป็นความลับมากขึ้นและ เอเชียตะวันออกเฉียงใต้เป็นหนึ่งในภูมิภาคที่เติบโตเร็วที่สุดสำหรับนวัตกรรมดิจิทัล อันเป็นผลจากการที่มีการเชื่อมต่ออินเทอร์เน็ตและการใช้สมาร์ทโฟนมากขึ้น

ประเทศสิงคโปร์มีวิสัยทัศน์ของสมาร์ทเนชั่น (Smart Nation vision)  มาเลเซียเป็นเขตการค้าเสรีแบบดิจิทัล (Digital Free Trade Zone) แห่งแรกของโลก ในขณะที่ประเทศไทยได้กำหนดวิสัยทัศน์ “ประเทศไทย 4.0 (Thailand 4.0)” สำหรับทุกภาคส่วนให้พัฒนาเศรษฐกิจไปในรูปแบบดิจิทัล โดยคาดว่าในปี 2025 นี้ การค้าที่ใช้รูปแบบดิจิทัลใน 6 ประเทศชั้นนำของอาเซียนจะมีมูลค่าถึง 90 พันล้านเหรียญสหรัฐ เพิ่มขึ้นจาก 5 พันล้านเหรียญสหรัฐในปี 2015 เนื่องจาก มีการประมวลผลและวิเคราะห์ข้อมูลส่วนบุคคลที่ใช้เทคโนโลยีดิจิตอลนี้จำนวนมากขึ้น จึงคาดว่าการเก็บรวบรวมข้อมูลส่วนบุคคลของประเทศในเอเชียแปซิฟิกจะเพิ่มมากขึ้นเช่นกัน

ในขณะเดียวกัน เนื่องจากการทำธุรกรรมข้อมูลข้ามพรมแดนมีขนาดโตขึ้น จะส่งให้เกิดกระบวนการการรักษาความปลอดภัยในโลกไซเบอร์และกฎหมายเกี่ยวกับการปกป้องข้อมูลที่ชัดเจนมากขึ้น ซึ่งสะท้อนถึงความต้องการของเศรษฐกิจดิจิทัลที่เกิดขึ้นใหม่นี้  ทั้งนี้ พบว่าธุรกิจในภูมิภาคเอเชียแปซิฟิกหลายแห่งยังไม่ได้ก้าวไปสู่การปฏิบัติตามกฎหมายที่มีอยู่ในปัจจุบัน และยังชะลอการลงมือปฏิบัติตามกฏหมายจนกว่าจะสามารถเข้าใจได้ว่าจะมีมาตรฐานการปฏิบัติตามกฎอะไรบ้าง

อย่างไรก็ตาม กฎนี้มีการเปลี่ยนแปลงอีกครั้งหลังจากที่สหภาพยุโรปหรืออียูประกาศใช้กฎการป้องกันข้อมูล (General Data Protection Regulations: GDPR) ของยุโรปในเดือนพฤษภาคมปีปีพ. ศ. 2561 อย่างแข็งขัน ซึ่งส่งผลให้เกิดการกำหนดรูปแบบที่น่าจะกระตุ้นรัฐบาลในภูมิภาคเอเชียแปซิฟิกให้ความสำคัญกับการป้องกันความเป็นส่วนตัวมากยิ่งขึ้น เช่น การลงโทษทางการเงินหากองค์กรมีความผิดพลาดในข้อมูลของลูกค้า รวมถึง กฎหมายบังคับสำหรับการแจ้งเตือนการละเมิดข้อมูล

การบังคับใช้กฎระเบียบด้านการป้องกันข้อมูลทั่วภูมิภาคเอเชียแปซิฟิก

ประเทศจีน สิงคโปร์ เกาหลีใต้ ญี่ปุ่น ออสเตรเลีย มาเลเซียและฟิลิปปินส์ได้อัปเดทกฎการปฏิบัติตามข้อกำหนดการป้องกันข้อมูลของตนไปเมื่อไม่นานมานี้ และจะประกาศกฎหมายด้านความเป็นส่วนตัวและความปลอดภัยไซเบอร์ใหม่เร็วๆ นี้

ซึ่งประเทศจีนเป็นประเทศที่ได้แนะนำกฎระเบียบด้านการปกป้องข้อมูลที่ครอบคลุมมากที่สุด ทั้งนี้ ได้บังคับใช้กฎหมายด้านความปลอดภัยระบบเครือข่ายใหม่ในเดือนมิถุนายนปีพ.ศ. 2560 โดยมอบความรับผิดชอบให้กับองค์กรที่ดำเนินธุรกิจในประเทศจีน โดยไม่คำนึงถึงว่าพวกเขามีสถานะทางกายภาพในประเทศหรือไม่ ให้ทบทวนนโยบายการปกป้องข้อมูลและปฏิบัติตามข้อกำหนดดังกล่าว   ซึ่งตั้งแต่ปีพ.ศ. 2557 ถึงกันยายน พ.ศ. 2560 ได้มีการพิจารณาคดีละเมิดข้อมูลส่วนบุคคลจำนวน 1,529 คดีในศาลทั่วประเทศจีน

ในอีกไม่กี่เดือนข้างหน้า จีนจะแนะนำกฎหมายอีคอมเมิร์ซเพื่อครอบคลุมกิจกรรมต่างๆ มากขึ้น เช่น ข้อมูลที่ไม่ระบุชื่อข้อมูลขนาดใหญ่การถ่ายโอนข้อมูลในต่างประเทศและการรักษาความปลอดภัยข้อมูล ซึ่งหากองค์กรที่ไม่ปฏิบัติตามกฎหมายจะต้องเผชิญกับการลงโทษทางการเงินที่รุนแรง อาจรวมถึง การสูญเสียสิทธิในการดำเนินธุรกิจของตน

ในสิงคโปร์นั้น มีการเปลี่ยนแปลงพระราชบัญญัติการปกป้องข้อมูลส่วนบุคคลซึ่งมีแง่มุมคล้ายกับ GDPR ของยุโรป โดยเฉพาะอย่างยิ่ง มาตรการในการแจ้งการฝ่าฝืนข้อบังคับและการแต่งตั้งเจ้าหน้าที่ที่ทำหน้าที่คุ้มครองข้อมูล

ทั้งนี้ ในช่วงห้าเดือนแรกของปีพ.ศ. 2561 องค์กรด้านการเงินและการประกันภัยหลายแห่งรวมทั้ง AIG, Aventis, Aviva และ Actxa ถูกปรับเนื่องจากไม่ได้จัดเตรียมความปลอดภัยอย่างเพียงพอในการปกป้องข้อมูลส่วนบุคคลหรือละเมิดกฎระเบียบเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ซึ่งคาดว่า จะมีการประกาศพระราชบัญญัติด้านการรักษาความปลอดภัยในโลกไซเบอร์ในช่วงปลายปีนี้ที่สิงคโปร์

ในประเทศฟิลิปปินส์นั้น มีการปรับปรุงพระราชบัญญัติข้อมูลส่วนบุคคลในปีพ.ศ. 2562 ซึ่งทำให้เกิดการบังคับใช้มาตรการความปลอดภัยของข้อมูลส่วนบุคคลที่เข้มงวดมากขึ้น รวมทั้ง จำเป็นต้องแจ้งข้อมูลละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายในเวลา 72 ชั่วโมง

ในประเทศออสเตรเลียมีมาตรการป้องกันข้อมูลที่คล้ายคลึงกัน โดยในเดือนกุมภาพันธ์ปีนี้ ได้มีการประกาศใช้รูปแบบการแจ้งข้อมูลการละเมิดข้อมูลที่จำเป็นต้องแจ้ง ในกรณีที่องค์กรทราบถึงการละเมิดข้อมูลซึ่งมีความเสี่ยงที่เป็นอันตรายต่อบุคคลอย่างร้ายแรง ซึ่งหากองค์กรใดไม่ปฏิบัติตามอาจนำไปสู่การปรับถึง 2 ล้านเหรียญสหรัฐได้

นอกจากนี้  ประเทศญี่ปุ่นได้มีการแก้ไขเพิ่มเติมพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลในปี พ.ศ. 2560  ประเทศมาเลเซียได้มีการประกาศใช้พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลในปี พ.ศ. 2556 และประเทศเกาหลีใต้ปรับปรุงพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลในปี พ.ศ. 2562  ซึ่งทั้งหมดนี้ทำให้เกิดกฎระเบียบที่เข้มงวดในการป้องกันข้อมูลที่เกียวกับเครือข่าย ระบบไอที และการใช้ข้อมูลเครดิต

องค์กรจำเป็นต้องดำเนินการปกป้องข้อมูลของพวกเขาและตัวเองแล้ว

ความจำเป็นที่ต้องปฏิบัติตามข้อกำหนดมีผลกระทบอย่างมากต่อองค์กรที่ต้องคิดถึงการจัดการข้อมูลส่วนบุคคลและจัดการกระบวนการทางธุรกิจของตนอย่างไร ซึ่งความปลอดภัยและความจำเป็นในการปกป้องข้อมูลที่สำคัญและเป็นความลับจึงกลายเป็นส่วนสำคัญของการดำเนินธุรกิจ

แน่นอนที่สุดว่า ทุกธุรกิจจำเป็นต้องตระหนักถึงกฎหมายข้อมูลส่วนบุคคลที่เกิดขึ้นในระดับภูมิภาคที่สำคัญเหล่านี้ ซึ่งองค์กรจำเป็นต้องหันมาประเมินสภาพแวดล้อมของพวกเขาเองและมั่นใจว่าพวกเขาสามารถปฏิบัติตามหลักเกณฑ์การปฏิบัติตามข้อกำหนดในปัจจุบันหรือที่กำลังจะมาถึงได้

การไม่ปฏิบัติตามข้อกำหนดอาจนำไปสู่การโดนปรับและความเสียหายร้ายแรงต่อชื่อเสียงขององค์กรตนเอง ทั้งนี้ หากองค์กรยังไม่ได้พิจารณากฎระเบียบที่เข้มงวดเรื่องข้อมูล ตอนนี้จะเป็นช่วงที่ดีในการเริ่มต้นตรวจสอบข้อมูลเพื่อรู้จักสถานการณ์ของตนเอง

ประเด็นสำคัญที่ต้องถามตนเองคือ มีโครงสร้างพื้นฐานด้านกระบวนการจัดการข้อมูลและเทคโนโลยีด้านไอทีและเทคโนโลยีความปลอดภัยไซเบอร์ ที่จะช่วยในการปกป้องสภาพแวดล้อมทางธุรกิจของตนเองหรือไม่? พวกเขามีกรอบการปกป้องข้อมูลที่มีประสิทธิภาพซึ่งสามารถตรวจจับและบรรเทาการละเมิดข้อมูลได้อย่างรวดเร็วและมีประสิทธิภาพหรือไม่? พวกเขามีศักยภาพในการมองเห็นลึกเข้าไปในโครงสร้างพื้นฐานของพวกเขาและสามารถทราบโดยทันทีว่าข้อมูลของพวกเขาอยู่ที่ไหน รวมทั้งใครและมีสิ่งอะไรที่กำลังเข้ามาไหม?

ความปลอดภัยของระบบรักษาความปลอดภัยไซเบอร์เป็นหัวใจหลักในการปฏิบัติตามข้อกำหนดด้านการป้องกันข้อมูล ซึ่งองค์กรต้องมั่นใจว่า ตนเองมีความสามารถในการป้องกันการบุกรุกในเครือข่ายและสามารถลดความเสี่ยงจากการละเมิดที่ร้ายแรง โดยการลดเวลาในการตรวจหาภัยคุกคามใหม่ๆ ให้น้อยลงที่สุดนอกจากนี้ องค์กรยังต้องมีการตอบสนองภายหลังการบุกรุกที่มีประสิทธิภาพและผ่านการทดสอบ ให้มั่นใจในระดับนานาชาติ

สร้างโอกาสที่จะชนะใจและสร้างความไว้วางใจจากลูกค้า

เนื่องจากองค์กรมีภาระที่จะต้องปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูลที่เพิ่มขึ้นในภูมิภาคเอเชียแปซิฟิกจึงทำให้มีโอกาสที่องค์กรจะไม่สามารถปฏิบัติตามข้อกำหนดและเกิดความเสี่ยงจากการไม่ปฏิบัติตามนั้นเพิ่มขึ้นมาอย่างมาก

แต่ถ้าหากองค์กรถือโอกาสนี้ เร่งสร้างเกราะป้องกันข้อมูลสำคัญและลดความเสี่ยงให้กับลูกค้าของตนได้โดยเร็ว จะเป็นโอกาสที่จะสร้างความแตกต่างในการแข่งขันและเป็นหนทางสร้างความเชื่อมั่นและความไว้วางใจของลูกค้าให้กับแบรนด์ของตนเองมากขึ้น