- PDPC-สวทช. จับมือสิงคโปร์ทำคู่มือภาษาไทยพัฒนา Data Anonymization Tool เพิ่มความปลอดภัยข้อมูลนิรนาม
- ลุยอบรมสต๊าฟในไทย อัดความรู้เทคนิคใช้งานจริงปกป้องข้อมูลส่วนบุคคลคนไทยทั้งประเทศ
ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) “PDPC” เปิดเผยว่า สคส. หรือ PDPC ให้ความสำคัญ คือส่งเสริมพัฒนาเทคโนโลยีและนวัตกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลล่าสุด PDPC ไทยและสิงคโปร์ร่วมมือกันนำเครื่องมือแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนามหรือ Data Anonymization Tool มาเผยแพร่ โดยแปลคู่มือใช้งานเป็นภาษาไทย เพื่อสนับสนุนให้เกิดการใช้ได้อย่างมีประสิทธิภาพ และเตรียมต่อยอดพัฒนาเครื่องมือให้สอดคล้องกับข้อมูลของไทยด้วย โดยจะจัดอบรมบุคลากรสองหน่วยงานให้ตระหนักรู้ความสำคัญ และเทคนิคการจัดทำข้อมูลนิรนามก่อนนำไปสอนในองค์กรภายในและภายนอกต่อไป
ทาง PDPC ของไทยเดินหน้าเชิงรุกร่วมกับ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) ยกระดับความมั่นคงปลอดภัยสารสนเทศ เข้าร่วมประชุมเชิงปฏิบัติการ การใช้งานเครื่องมือแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม หรือ Data Anonymization Tool โดยหน่วยงานผู้พัฒนา PDPC สิงคโปร์ จัดขึ้นต่อยอดความร่วมมือรับสิทธิ์แปลคู่มือและเผยแพร่วิธีใช้งานเครื่องมือในไทย เพื่อยกระดับการปกป้องข้อมูลส่วนบุคคลของคนไทยอีกขั้นได้อย่างมีประสิทธิภาพ
PDPC ของไทยและสิงคโปร์ จับมือกันครั้งนี้มุ่งเน้น 1.เผยแพร่ความรู้เรื่องเทคนิคการแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนหรือข้อมูลนิรนาม (Anonymization) ในระยะแรกทางเจ้าหน้าที่จาก PDPC สิงคโปร์เจ้าของเครื่องมือ Data Anonymization Tool จะเข้ามาสนับสนุนบุคลากรไทยเปิดอบรมความรู้ แนวทาง วิธีการใช้งานเครื่องมือให้บุคลากรกลุ่มเป้าหมายของ PDPC กับ สวทช. เพื่อนำไปสอนกลุ่มบุคลากรภายใน เจ้าหน้าที่กระทรวงดิจิทัล หน่วยงานองค์กรระดับประเทศต่อไป
สำหรับการทำข้อมูลนิรนาม หรือ Anonymization หมายถึง “กระบวนการแปลงข้อมูลส่วนบุคคล” ให้เป็นข้อมูลที่ไม่สามารถใช้ระบุตัวบุคคลได้ จุดประสงค์จะมีไว้เพื่อการนำข้อมูลไปใช้ประโยชน์ต่อตามวัตถุประสงค์อื่น ๆ เช่น นำข้อมูลลูกค้าไปวิเคราะห์พฤติกรรมเพื่อพัฒนาผลิตภัณฑ์ หรือนำข้อมูลผู้ใช้บริการไปวิเคราะห์แนวโน้มการเข้าใช้บริการในพื้นที่ที่แตกต่างกัน ทำให้เป็นข้อมูลให้ไม่สามารถระบุตัวบุคคลได้ภายใต้กระบวนการที่ถูกต้องตามหลักวิชาการ แล้วนำข้อมูลดังกล่าวไปใช้งานต่อได้อย่างปลอดภัย ลดความเสี่ยงต่อการถูก Re-identification หรือการระบุตัวตนย้อนกลับได้
ดร.ศิวรักษ์ ย้ำว่า หัวใจสำคัญในความร่วมมือ PDPC สิงคโปร์ คือมุ่งให้บุคลากรไทยตระหนักรู้เกี่ยวกับข้อมูลนิรนามส่วนประโยชน์รองคือเครื่องมือที่ได้มาด้วย เพราะหากไม่ตระหนักหรือขาดหลักการ ก็เหมือนมีเครื่องคิดเลขในมือแต่คิดคำนวณเองไม่เป็น เช่นเดียวกับขั้นตอนของ Anonymization เมื่อทำน้อยไปก็จะระบุตัวตนย้อนกลับได้ แต่ถ้าทำมากไปข้อมูลนั้นจะสูญเปล่าไม่สามารถนำไปใช้ประโยชน์อะไรอื่นได้
ดร.ชาลี วรกุลพิพัฒน์ นักวิจัยอาวุโส ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ กล่าวว่า ในทางทฤษฎีคนส่วนใหญ่เข้าใจว่าเพียงลบข้อมูลที่ระบุตัวตนโดยตรง (De-identification) อย่าง ชื่อ ที่อยู่ เลขบัตรประชาชน ก็เป็นการทำข้อมูลนิรนามแล้ว แต่ในทางปฏิบัติ การลบข้อมูลนี้อาจสุ่มเสี่ยงต่อการถูกระบุตัวตนย้อนกลับ หากนำชุดข้อมูลนั้นไปประกอบกับข้อมูลสาธารณะต่าง ๆ ที่เข้าถึงง่าย จึงอาจกล่าวได้ว่าขั้นตอน De-identification เป็นเพียงขั้นตอนแรก ๆ การทำข้อมูลนิรนามเท่านั้น
เนื่องจากโดยพื้นฐานแล้วการทำข้อมูลนิรนามจะเริ่มจาก ขั้นตอนที่ 1จำแนกชุดข้อมูล เพื่อแยกข้อมูลที่ระบุตัวตนได้โดยตรง โดยอ้อม และข้อมูลคุณลักษณะที่ละเอียดอ่อนออกจากกัน ขั้นตอนที่ 2 การลบข้อมูลที่ระบุตัวตนได้โดยตรงออก (De-identification) และจึงจะนำชุดข้อมูลที่ได้มาทำ Anonymization ด้วยวิธีการต่าง ๆ ที่เหมาะสม ไม่ว่าจะทำ
1.Masking โดยใช้สัญลักษณ์สอดคล้องกันมาเปลี่ยนจำนวนอักขระคงที่ เช่น รหัสไปรษณีย์ 10100 เป็น 10xxx
2.Pseudonymization ใช้นามแฝงแทนข้อมูลที่ระบุตัวตน เช่น เปลี่ยนชื่อจาก นาย ก. เป็น 2345, นาย ข. เป็น 6789
3.Generalization ลดความแม่นยำของข้อมูลโดยเจตนา เช่น การแปลงอายุเป็นช่วงอายุจาก อายุ 22 ปี เป็น 21-30 ปี รวมถึงวิธีการทำข้อมูลนิรนามอื่น ๆ เช่น Swapping จัดเรียงชุดข้อมูลใหม่โดยค่าคุณลักษณะยังคงแสดงในชุดข้อมูล
4.Perturbation แก้ไขค่าชุดข้อมูลดั้งเดิมให้ต่างออกไปเล็กน้อย, Aggregation แปลงชุดข้อมูลจากรายการเป็นค่าสรุป
ดังนั้นการทำข้อมูลนิรนามระหว่างไทยกับสิงคโปร์ ครั้งนี้ มีประโยชน์เรื่องการแลกเปลี่ยนข้อมูลทำได้อย่างปลอดภัยภายใต้การกำกับของหน่วยงานเจ้าของข้อมูล ที่ต้องกำหนดวัตถุประสงค์การนำข้อมูลไปใช้งานให้ชัดเจน แล้วจึงใช้กระบวนการ Anonymization ทำให้เป็นข้อมูลเป็นนิรนามตั้งแต่ต้นทาง เพื่อส่งต่อให้หน่วยงานอื่นใช้ประโยชน์ตามวัตถุประสงค์ต่อไป
นอกจากแลกเปลี่ยนข้อมูลนิรนามแล้ว ยังควรกำหนดมาตรการความรัดกุมเพิ่มเติม เช่น ข้อกำหนดในการห้ามนำข้อมูลไปใช้นอกเหนือวัตถุประสงค์ จำกัดการเข้าถึงข้อมูลเฉพาะบุคคลที่เกี่ยวข้อง รวมถึงมาตรการควบคุม ติดตามและคอยตรวจสอบข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันไม่ให้ข้อมูลเกิดการรั่วไหลอย่างมีประสิทธิภาพ
ทั้งนี้ PDPC เปิดให้ดาวโหลดฟรีเครื่องมือ Data Anonymization Tool ทางเว็บไซต์ PDPC สิงคโปร์:https://www.pdpc.gov.sg/help-and-resources/2018/01/basic-anonymisationและดาวน์โหลดคู่มือใช้งานภาษาไทยโดย สวทช. และPDPC ที่https://www.nstda.or.th/nstdaxpdpc/privacytools/
เรื่องโดย…#เพ็ญรุ่ง ใยสามเสน #gurutourza, www.facebook.com/penroongyaisamsaen
