ในยุคที่ข้อมูลกลายเป็นสินทรัพย์ที่มีมูลค่ามหาศาล ทั้งข้อมูลส่วนบุคคล (Data Subject) เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย เป็นต้น รวมไปถึง “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม หรือข้อมูลสุขภาพ ข้อมูลเหล่านี้มีความสำคัญต่อการวางแผนกลยุทธ์ธุรกิจและในวันที่ 1 มิถุนายน 2564 นี้ ประเทศไทย จะมีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA องค์กรต้องปรับตัวให้สมดุลระหว่างความปลอดภัยข้อมูลส่วนบุคคลกับความสามารถในการแข่งขัน
ปัจจุบันธุรกิจถูกขับเคลื่อนด้วยข้อมูล (Data-Driven) องค์กรต้องมีการจัดเก็บข้อมูลจากกิจกรรมทางธุรกิจต่าง ๆ และสามารถนำมาวิเคราะห์เพื่อค้นหาข้อมูลเชิงลึก (Insights) เพื่อตอบสนองต่อการเปลี่ยนแปลงของตลาดได้ทันท่วงที ขณะเดียวกันก็สามารถช่วยเพิ่มประสิทธิภาพและประสิทธิผลของการปฏิบัติงานเพื่อให้ธุรกิจคงความได้เปรียบในการแข่งขัน
อย่างไรก็ตาม ข้อมูลข้างต้นมีผลเกี่ยวเนื่องตามบทบัญญัติที่ระบุไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดเงื่อนไขเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลไว้หลายประเด็น ได้แก่ มาตรา 24 การมีฐานการประมวลผลที่เหมาะสม (Lawful Basis) มาตรา 33 สิทธิของเจ้าของข้อมูลส่วนบุคคลในการลบข้อมูล (Right to Erasure) มาตรา 37(1) มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการ เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง 2 มาตรา 37(3) ประกอบ มาตรา 33 วรรค 5 หน้าที่ลบและทำลายข้อมูลเมื่อพ้นระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล รวมถึงมาตรา 37(4) แจ้งเหตุแก่ผู้กำกับดูแลหรือเจ้าของข้อมูลเมื่อข้อมูลส่วนบุคคลรั่วไหล
ดังจะเห็นได้ว่าการนำข้อมูลส่วนบุคคลมาประมวลผลนั้นมีข้อพึงปฏิบัติตามกฏหมายหลายประการ ทำให้เกิดข้อจำกัดในการนำข้อมูลดังกล่าวมาวิเคราะห์ (Data Analytics) อย่างไรก็ตาม การวิเคราะห์ข้อมูลอาจไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูลเสมอไป พิจารณาจากกรณีศึกษาดังต่อไปนี้
แผนกการตลาดของธุรกิจค้าปลีกขนาดใหญ่แห่งหนึ่ง ต้องการวิเคราะห์สถิติรายไตรมาสเพื่อศึกษาว่าสินค้าชิ้นไหนขายดีที่สุดและสินค้าตัวไหนขายได้น้อยที่สุด เพื่อนำข้อมูลไปใช้ในการวางแผนงบประมาณด้านการตลาด ในกิจกรรมนี้แผนก IT จะทำหน้าที่ดึงข้อมูลจากฐานข้อมูลยอดซื้อของลูกค้าผ่านระบบ Point of sale (POS) ไปยังฐานข้อมูลของแผนกการตลาด
ก่อนหน้าที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ แผนกการตลาดจะได้รับข้อมูลทั้งหมดจากฐานข้อมูลยอดซื้อของลูกค้า ซึ่งรวมถึง ที่อยู่ และเบอร์โทรศัพท์ของลูกค้าซึ่งเชื่อมกับ คำสั่งซื้อแต่ละรายการ ซึ่งแน่นอนว่าข้อมูลเหล่านี้สามารถนำมาวิเคราะห์เพื่อ“ย้อนรอย”หาเจ้าของข้อมูลได้ ดังนั้นการประมวลผลของแผนกการตลาดนี้จึงนับเป็นการประมวลผลข้อมูลส่วนบุคคล ซึ่งได้รับการคุ้มครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
จากกรณีตัวอย่าง แผนกการตลาดสามารถวิเคราะห์สถิติรายไตรมาสโดยไม่ต้องใช้ข้อมูลส่วนบุคคล เนื่องจากการวิเคราะห์ดังกล่าวต้องการข้อมูลเฉพาะเพียงข้อมูลด้านภาพรวมและวันที่ในการซื้อสินค้าเท่านั้น
อิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด บริษัทที่ปรึกษาระดับโลก ซึ่งเป็นผู้ให้บริการที่มีความเชี่ยวชาญด้านการปรับเปลี่ยนองค์กรธุรกิจในรูปแบบดิจิทัล ทรานส์ฟอร์เมชั่น ในเครือบริษัท เอบีม คอนซัลติ้ง จำกัด ประเทศญี่ปุ่น ได้แนะนำว่า “ในจุดนี้ การทำข้อมูลให้เป็นนิรนาม (Anonymization) ซึ่งหมายถึง “การทำให้ข้อมูลนั้นอยู่ในรูปแบบที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้อีกต่อไป” ถือเป็นตัวแปรสำคัญและมีบทบาทมากต่อธุรกิจในอนาคต เพราะการใช้ประโยชน์จากข้อมูลนั้นไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูล ดังนั้นการทำข้อมูลให้เป็นนิรนามจะช่วยให้ข้อมูลที่มีอยู่ไม่สามารถนำไประบุตัวบุคคลได้ ทั้งนี้ เพื่อรักษาประโยชน์ของข้อมูลในการวิเคราะห์ และข้อมูลส่วนบุคคลที่ทำให้เป็นนิรนามแล้ว ย่อมไม่ถือว่าเป็นข้อมูลส่วนบุคคลตาม มาตรา 33 จึงเปิดโอกาสให้ธุรกิจสามารถใช้ข้อมูลดังกล่าวได้โดยไม่อยู่ในกรอบพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ดังนั้นการทำข้อมูลให้เป็นนิรนามด้วยเทคนิคที่เหมาะสมจะช่วยให้แผนก IT สามารถแปลงข้อมูล ที่อยู่ และเบอร์โทรศัพท์ ให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้อีก และส่งข้อมูลนั้นไปยังฐานข้อมูลของแผนกการตลาด เพื่อทำการวิเคราะห์ข้อมูลดังกล่าว โดยไม่ขัดต่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อีกต่อไป
ในอีกไม่ถึง 2 เดือนข้างหน้านี้ พ ร บ.ฯ จะมีผลบังคับใช้ หากองค์กรธุรกิจมีการจัดการข้อมูลไม่ดี อาจขัดต่อกฏหมายโดยไม่รู้ตัว ขณะเดียวกันหากธุรกิจไม่นำข้อมูลมาวิเคราะห์ต่อยอดก็จะสูญเสียโอกาสในการแข่งขัน ดังนั้นองค์กรธุรกิจต้องตระหนักให้มาก และพิจารณาให้รอบคอบถึงประเด็น PDPA
“หนึ่งในหลักคิดสำคัญเมื่อต้องออกแบบการประมวลผลข้อมูล คือการพิจารณาใช้ข้อมูลให้น้อยที่สุดเท่าที่จะทำให้กระบวนการนั้นสำเร็จได้ (Data Minimization) ทั้งนี้ หากข้อมูลส่วนบุคคลใดไม่จำเป็นต้องใช้ในการวิเคระห์ สามารถปรับให้เป็นข้อมูลนิรนามได้ทันทีเพื่อลดข้อมูลที่เกี่ยวข้องให้เหลือน้อยที่สุด” ฮาระ กล่าวทิ้งท้าย