ความไม่ปลอดภัยของแอปพลิเคชันสุขภาพ ในการคุ้มครองข้อมูลส่วนบุคคล

ความไม่ปลอดภัยของแอปพลิเคชันสุขภาพ ในการคุ้มครองข้อมูลส่วนบุคคล

ในโอกาสที่ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ถูกบังคับใช้ เป็นจุดสำคัญให้ผู้ประกอบการและผู้บริโภคสนใจเรื่องความปลอดภัยของข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลด้านสุขภาพที่เพิ่มขึ้นเรื่อยๆ บนโลกดิจิทัล

ในโอกาสที่ "PDPA" หรือ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ถูกบังคับใช้ในวันที่ 1 มิ.ย. 2565 นับเป็นจุดสำคัญให้ทุกฝ่ายทั้งผู้ประกอบการและผู้บริโภคตระหนักเรื่องความปลอดภัยของข้อมูลส่วนบุคคลมากขึ้น 

โดยเฉพาะในยุคดิจิทัล ที่ทุกธุรกิจแข่งเก็บข้อมูลผู้บริโภค เพื่อเพิ่มแต้มต่อทางการค้า คำถามคือข้อมูลส่วนบุคคลของผู้บริโภคเหล่านี้ได้รับการคุ้มครองหรือดูแลดีพอหรือไม่

บทความนี้ ผู้เขียนอยากยกตัวอย่างกรณีข้อมูลด้านสุขภาพ ซึ่งเป็นข้อมูลส่วนบุคคลที่สำคัญ ว่าตกอยู่ในอันตรายอย่างไร

“ข้อมูลด้านสุขภาพ” มีความสำคัญและน่าสนใจใน 3 มิติ

หนึ่ง เป็นข้อมูลที่คนส่วนใหญ่ไม่ประสงค์เปิดเผย ไม่อยากให้ใครทราบว่าเรามีสุขภาพอย่างไร เป็นโรคอะไรบ้าง ในอีกมุม สุขภาพของผู้นำธุรกิจขนาดใหญ่ย่อมสัมพันธ์ต่อความเชื่อมั่นของธุรกิจ ถ้าเป็นบริษัทในตลาดหลักทรัพย์ ก็สัมพันธ์กับราคาหุ้น 

สอง ในยุคดิจิทัล ข้อมูลสุขภาพถูกเข้าถึงมากขึ้นจากไลฟสไตล์ผู้บริโภค คนจำนวนมากใช้นาฬิกา สายรัดข้อมือ โทรศัพท์มือถือ ที่สามารถนับจำนวนก้าวเดิน วัดอัตราการเต้นของหัวใจ ติดตามการนอน หลายคนใส่ 24 ชม. หลายคนสวมใส่อุปกรณ์หลายชิ้น

สาม ในยุคโควิด เราพึ่งพาเทคโนโลยีเกี่ยวกับสุขภาพมากขึ้น ทั้งกรอกข้อมูลสุขภาพเพื่อประเมินความเสี่ยง หากติดโควิด ก็กรอกข้อมูลสุขภาพเพื่อให้แพทย์ติดตามอาการ ผู้ไม่ติดโควิด ก็พบแพทย์ทางออนไลน์มากขึ้น หรืออย่างช่วงหนึ่งใครจะไปไหน ต้องสแกน QR Code ก่อนเข้าทุกสถานที่ ทั้งหมดนี้ทำให้ในยุคโควิด ข้อมูลส่วนบุคคลด้านสุขภาพอยู่บนโลกไซเบอร์เพิ่มขึ้น อยู่ในความเสี่ยงมากขึ้น

ปัจจุบันแอปพลิเคชันด้านสุขภาพได้รับความนิยมสูง ข้อมูลจาก BMJ 2021 พบว่า จากจำนวน 2.8 ล้านแอปพลิเคชันบน Google Play และ 1.96 ล้านแอปพลิเคชันบน Apple Store มีแอปพลิเคชันด้านสุขภาพและออกกำลังกายถึง 99,366 แอปพลิเคชัน เรียกรวมๆ แอปพลิเคชันกลุ่มนี้ว่า Mobile Health หรือ mHealth Apps 

การเพิ่มขึ้นของแอปพลิเคชันด้านสุขภาพนำมาซึ่งความเสี่ยงในการถูกจารกรรมหรือละเมิดความเป็นส่วนตัวเพิ่มขึ้น 

หลายท่านอาจไม่ทราบ ข้อมูลสุขภาพเป็นข้อมูลลำดับต้นๆ ที่เป็นเป้าหมายของการจารกรรม เพราะนำไปขายต่อได้ราคาสูง เป็นข้อมูลเฉพาะบุคคล ไม่ค่อยเปลี่ยนแปลงหรือเปลี่ยนแปลงยาก ขณะที่เมื่อนำไปใช้แล้ว ก็ตรวจสอบลำบากว่าข้อมูลหลุดหรือถูกจารกรรมจากไหน ต่างจากข้อมูลประเภทอื่น เช่น ข้อมูลบัตรเครดิต ที่เปลี่ยนได้ตลอดเวลา ข้อมูลเช่นนี้เมื่อถูกจารกรรมไป มีราคาขายถูกกว่า 

ผลสำรวจชิ้นหนึ่งในบทความ “3 Ways to Flatten the Health Data Hacking Curve” โดย David MacLeod (2020) ระบุว่า ข้อมูลธนาคารและสินเชื่อถูกขายในเว็บมืดเพียง 5.40 ดอลลาร์สหรัฐฯ ต่อรายการ ขณะที่ข้อมูลสุขภาพถูกขายที่ 250 ดอลลาร์สหรัฐฯ ต่อรายการ จะเห็นว่าข้อมูลสุขภาพถูกขายได้ราคาดีกว่ามาก สะท้อนความต้องการของตลาดมืดต่อข้อมูลสุขภาพ

ตัวอย่างความไม่ปลอดภัยของข้อมูลสุขภาพในไทย เช่น เมื่อ ก.ย. 2564 ปรากฏข่าวฐานข้อมูลคนไข้ของกระทรวงสาธารณสุขถูกจารกรรม ข้อมูลคนไข้นับหมื่นถูกขโมย มีทั้งข้อมูลผู้ป่วย ที่อยู่ โทรศัพท์ รหัสประจำตัว โทรศัพท์มือถือ วันเดือนปีเกิด ชื่อโรงพยาบาล ข้อมูลแพทย์ เป็นต้น

ทั้งนี้มีงานวิจัยจำนวนมากที่พูดถึงสถานการณ์ความไม่ปลอดภัยของข้อมูลเกี่ยวกับสุขภาพ เช่น บทความ “Mobile health and privacy : cross sectional study” ใน British Medical Journal เมื่อ มิ.ย. 2021 ซึ่งวิเคราะห์แอปพลิเคชันด้านสุขภาพ กว่า 20,000 แอปพลิเคชัน ผลการศึกษาพบว่าปัญหาการละเมิดความเป็นส่วนตัวและมาตรการดูแลความเป็นส่วนตัวของข้อมูลอยู่ในระดับน่ากังวล (serious problems with privacy and inconsistent privacy practices) 

เช่นเดียวกับงานวิจัยของ Jaime Benjumea และคณะ ชื่อ “Assessment of the Fairness of Privacy Policies of Mobile Health Apps: Scale Development and Evaluation in Cancer Apps” ใน JMIR mHealth and uHealth ที่ศึกษาแอปพลิเคชันดูแลสุขภาพผู้ป่วยมะเร็ง ซึ่งปัจจุบันผู้ป่วยมะเร็งใช้แอปพลิเคชันดูแลตัวเองเพิ่มขึ้น ผลการศึกษาพบว่า 29% ของแอปพลิเคชันไม่มีนโยบายการดูแลข้อมูลส่วนบุคคล มีเพียง 32% ของแอปพลิเคชันได้คะแนนเรื่องการดูแลข้อมูลส่วนบุคคลเกินครึ่ง (ตั้งแต่ 50 ถึง 100) ขณะที่แอปพลิเคชันมากถึง 39% สอบตกเรื่องการรักษาข้อมูลส่วนบุคคล (ได้คะแนนต่ำกว่า 50)

ขณะที่บทความชื่อ “Mobile Health Apps Systematically Expose PII and PHI Through APIs, New Findings from Knight Ink and Approov Show” ใน Approov (2021) ระบุว่า จากการศึกษาแอปพลิเคชันด้านสุขภาพที่เป็นที่นิยม 30 แอปพลิเคชัน พบว่าทุกแอปพลิเคชันเสี่ยงถูกจารกรรมข้อมูล ไม่มีแอปพลิเคชันไหนที่ปลอดภัย

แม้กระทั่งในยุคโควิด ที่รัฐบาลทั่วโลกพัฒนาแอปพลิเคชันสำหรับติดตามผู้ติดเชื้อ/เสี่ยงติดเชื้อโควิด ก็พบว่าแอปพลิเคชันดังกล่าวมีแนวโน้มไม่ปลอดภัย บทความ “Majority of COVID-19 Contact Tracing Apps Lack Adequate Security” โดย Jessica Davis (2020) ระบุว่า จากการวิเคราะห์แอปพลิเคชันติดตามผู้ติดเชื้อ/เสี่ยงติดเชื้อโควิดของ 17 ประเทศบนระบบแอนดรอยด์ ครอบคลุมทั้งยุโรป อเมริกา ตะวันออกกลาง และเอเชียแปซิฟิก ซึ่งทุกแอปพลิเคชันทำในนามรัฐบาล จากการวิเคราะห์ของ Guardsquare พบว่า ทุกแอปพลิเคชันไม่ปลอดภัย ข้อมูลส่วนบุคคลเสี่ยงถูกจารกรรมหรือละเมิด

ในแง่ผลกระทบทางเศรษฐกิจ IBM Security ประเมินว่า ในปี 2020 ความเสียหายของธุรกิจด้านสุขภาพจากการถูกโจมตีทางไซเบอร์แต่ละครั้งเฉลี่ยสูงถึง 7.13 ล้านดอลลาร์สหรัฐฯ เพิ่มขึ้น 10% จากปี 2019 ขณะที่เว็บไซต์ SecurityIntelligence ระบุว่า ในปี 2021 ความเสียหายของอุตสาหกรรมสุขภาพจากการถูกจารกรรมข้อมูลสูงกว่าทุกอุตสาหกรรม แต่ละครั้งสร้างความเสียหายเฉลี่ยที่ 9.23 ล้านดอลลาร์สหรัฐฯ เพิ่มขึ้นจากปี 2020 ถึง 29% 

เรียกว่าหากธุรกิจสุขภาพไม่สามารถรักษาความปลอดภัยในข้อมูลผู้ใช้บริการได้ ก็เสี่ยงเผชิญความเสียหายทางเศรษฐกิจสูง ดังนั้นการลงทุนเพื่อรักษาความปลอดภัยของข้อมูลลูกค้าจึงเป็นเรื่องจำเป็นและคุ้มค่า

กล่าวโดยสรุป งานวิจัยจำนวนมากพบว่า ข้อมูลส่วนบุคคลบนแอปพลิเคชันด้านสุขภาพในปัจจุบันมีความไม่ปลอดภัยสูง การจัดการขาดความโปร่งใส ข้อมูลเสี่ยงรั่วไหล ถูกจารกรรม นำไปใช้ประโยชน์โดยที่เจ้าของข้อมูลหรือคนไข้ไม่อนุญาต

ดังนั้นในโอกาสที่กฎหมาย "PDPA" กำลังเริ่มบังคับใช้ ธุรกิจทุกประเภท โดยเฉพาะด้านสุขภาพ ต้องให้ความสำคัญกับการจัดการและดูแล “ข้อมูลส่วนบุคคล” ของผู้บริโภค เพื่อไม่ให้กระทบต่อสิทธิของประชาชนตามกฎหมายฉบับนี้