กฏเหล็ก ‘จีดีพีอาร์’ ท้าทายนโยบายข้อมูล

ใกล้เข้ามาทุกขณะสำหรับการบังคับใช้ ข้อบังคับความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค หรือ จีดีพีอาร์ (General Data Protection Regulation: GDPR) ของสหภาพยุโรป

ผลการวิจัยล่าสุดโดย “ไอบีเอ็ม” ชี้ว่าเกือบ 60% ขององค์กรที่สำรวจ มองจีดีพีอาร์เป็นโอกาสในการปรับปรุงนโยบายข้อมูลส่วนบุคคล การรักษาความปลอดภัย การจัดการข้อมูล หรือเป็นสิ่งกระตุ้นให้เกิดโมเดลธุรกิจแบบใหม่ มากกว่าที่จะเป็นเพียงประเด็นกฎเกณฑ์ที่ต้องปฏิบัติหรือเป็นอุปสรรคต่อธุรกิจ

บริษัทส่วนใหญ่หันมาเพิ่มความเข้มงวดเกี่ยวกับข้อมูลที่องค์กรจัดเก็บหรือบริหารจัดการมากขึ้นเพื่อลดความเสี่ยงต่างๆ โดย 70% กำจัดข้อมูลก่อนที่จะถึงเวลาที่กำหนดไว้ เพื่อให้สอดคล้องกับข้อบังคับดังกล่าว

การเตรียมพร้อมสำหรับจีดีพีอาร์ของบริษัทต่างๆ เกิดขึ้นหลังจากการที่กลุ่มผู้บริโภคเริ่มหันมาตรวจสอบการจัดการข้อมูลส่วนบุคคลของธุรกิจต่างๆ มากขึ้น โดยการสำรวจความคิดเห็นอีกชุดจากผู้บริโภค 1 หมื่นคนโดยแฮร์ริส โพล ในนามของไอบีเอ็ม พบว่ามีผู้บริโภคชาวอเมริกันเพียง 20% เท่านั้นที่เชื่ออย่างเต็มที่ว่าองค์กรต่างๆ ที่พวกเขามีปฏิสัมพันธ์ด้วยจะรักษาข้อมูลส่วนบุคคลของพวกเขาไว้

ช่วงสัปดาห์ก่อนถึงวันที่ 25 พ.ค.นี้ที่ข้อบังคับดังกล่าวจะมีผลบังคับใช้ สถาบันการศึกษาคุณค่าทางธุรกิจ (Institute for Business Value:IBV) ของไอบีเอ็ม สำรวจผู้นำธุรกิจกว่า 1.5 พันคนที่รับผิดชอบการปฏิบัติตามข้อกำหนดของจีดีพีอาร์ขององค์กรต่างๆ ทั่วโลก พบว่าบริษัทต่างๆ มองเป็นโอกาสในการเพิ่มความเชื่อมั่นของลูกค้าและช่วยผลักดันนวัตกรรม

กล่าวคือ 84% เชื่อว่าหลักฐานที่พิสูจน์ว่าองค์กรปฏิบัติอย่างสอดคล้องกับจีดีพีอาร์จะช่วยสร้างความแตกต่างในทางบวกในสายตาของผู้บริโภค 76% มองว่า จีดีพีอาร์จะสร้างความสัมพันธ์ที่น่าเชื่อถือขึ้นกับเจ้าของข้อมูล(data subjects) อันจะนำสู่โอกาสใหม่ๆ ทางธุรกิจ

แม้จะมองว่าเรื่องนี้เป็นโอกาส แต่มีองค์กรเพียง 36% เท่านั้นที่เชื่อว่าจะสามารถปฏิบัติให้สอดคล้องกับจีดีพีอาร์ได้อย่างสมบูรณ์ภายในวันที่ 25 พ.ค.

สะเทือนทุกภูมิภาคทั่วโลก

กิตติพงษ์ อัศวพิชยนต์ รองกรรมการผู้จัดการ ธุรกิจซอฟต์แวร์ บริษัท ไอบีเอ็ม ประเทศไทย จำกัด มีมุมมองว่า จีดีพีอาร์จะเป็นหนึ่งในการเปลี่ยนแปลงที่สร้างผลกระทบมากที่สุด ต่อโมเดลธุรกิจในอุตสาหกรรมต่างๆ และกระทบไปยังประเทศนอกกลุ่มสหภาพยุโรปด้วย

“การเริ่มบังคับใช้เกิดขึ้นในช่วงที่ผู้บริโภคขาดความเชื่อมั่นอย่างมากต่อความสามารถของธุรกิจที่จะปกป้องข้อมูลส่วนบุคคลของพวกเขา ปัจจัยเหล่านี้ก่อให้เกิดแรงผลักดันขนานใหญ่ให้องค์กรต้องทบทวนวิธีจัดการกับความรับผิดชอบต่อข้อมูล และเริ่มต้นฟื้นคืนความเชื่อมั่นซึ่งเป็นสิ่งจำเป็นในสภาพเศรษฐกิจที่ขับเคลื่อนด้วยข้อมูลในปัจจุบัน”

นอกจากนี้ จีดีพีอาร์นำไปสู่การลดปริมาณการรวบรวมและจัดเก็บข้อมูล สิ่งสำคัญอีกประการที่พบคือ การที่องค์กรต่างๆ ใช้เป็นโอกาสในการปรับปรุงวิธีจัดการข้อมูลและลดปริมาณข้อมูลที่องค์กรต้องบริหารจัดการ ซึ่งหมายถึงการลดปริมาณข้อมูลที่องค์กรรวบรวม จัดเก็บ และแบ่งปันลงอย่างมากในหลายๆ องค์กร

องค์กรต่างๆ รายงานว่าได้ดำเนินการดังต่อไปนี้เพื่อปฏิบัติตามจีดีพีอาร์ 80% กล่าวว่ากำลังลดปริมาณข้อมูลส่วนบุคคลที่จัดเก็บ 78% กำลังลดจำนวนคนที่ได้รับสิทธิ์เข้าถึงข้อมูลส่วนบุคคล 70% กำลังกำจัดข้อมูลที่ไม่จำเป็นต้องใช้อีกต่อไป

งานหิน‘ข้อมูลข้ามพรมแดน’

ด้านความท้าทาย จุดบอด และโอกาสในการปฏิรูปทางธุรกิจ ผลการศึกษาพบว่า ปัญหาหลักๆ ที่กำลังเผชิญเมื่อต้องปฏิบัติให้สอดคล้องคือ การค้นหาข้อมูลส่วนบุคคลที่อยู่ภายในองค์กร(data discovery) การตรวจสอบความถูกต้องของข้อมูลที่องค์กรรวบรวมและจัดเก็บ รวมถึงการปฏิบัติตามกฎเกณฑ์วิธีการวิเคราะห์และแบ่งปันข้อมูล(data processing principals)

ขณะที่เรื่องอื่นๆ ซึ่งเป็นที่กังวล ได้แก่ การจัดการการเคลื่อนย้ายข้อมูลข้ามพรมแดน และการได้รับความยินยอมจากเจ้าของข้อมูล โดยผู้ตอบแบบสำรวจน้อยกว่าครึ่งหนึ่งบอกว่าได้เตรียมพร้อมสำหรับจีดีพีอาร์ในด้านเหล่านี้แล้ว

องค์ประกอบที่สำคัญประการหนึ่งของจีดีพีอาร์คือการกำหนดให้บริษัทต่างๆ ต้องรายงานการละเมิดข้อมูลแก่ผู้กำกับดูแลภายใน 72 ชั่วโมง ทว่าการศึกษาของไอบีวีพบว่า มีบริษัทเพียง 31% เท่านั้นที่ตรวจสอบหรือแก้ไขแผนรับมือเหตุการณ์ที่ไม่คาดคิด(Incident Response Plan)