'e-Meeting' ใช้อย่างปลอดภัย ข้อมูลไม่รั่วไหล

'e-Meeting' ใช้อย่างปลอดภัย ข้อมูลไม่รั่วไหล

หลังจากที่หลายองค์กรได้ปรับกลยุทธ์การทำงานให้สอดรับมารตรการรับมือโควิด ด้วยการWork From Home นอกจากการส่งข้อมูลแล้ว ยังรวมถึงการประชุมด้วย ซึ่งอาจทำให้เกิดความกังวลว่า ข้อมูลเหล่านี้จะปลอดภัยไหม และรั่วไหลหรือไม่?

ที่ผ่านมา หลายๆ ท่านคงคุ้นชินกับการทำงานจากที่บ้าน (Work from home : WFH) และได้มีโอกาสทดลองใช้การประชุมผ่านสื่ออิเล็กทรอนิกส์ หรือ e-Meeting

การสร้าง trust ของโปรแกรม e-Meeting

ปัจจุบัน โปรแกรมที่ใช้สำหรับ e-Meeting มีหลากหลาย แต่ละโปรแกรมก็จะมีรูปแบบ การให้บริการแตกต่างกันออกไป เช่น สามารถบันทึกการประชุมได้ สามารถเขียนไวท์บอร์ดหรือข้อความระหว่างการประชุมได้ เป็นต้น ซึ่งหน้าที่ของโปรแกรมต่างๆ เหล่านี้ คือ การเป็น platform กลางในการเชื่อมต่อการสนทนาของผู้รับบริการรายต่างๆ เข้าไว้ด้วยกัน ดังนั้น หน้าที่สำคัญของ platform กลาง คือ การสร้าง trust ให้กับผู้ใช้ ซึ่งสำหรับผู้เขียน มองว่าโจทย์สำคัญของ โปรแกรม e-Meeting คือ การสร้างความมั่นใจในเรื่องความปลอดภัยทางเทคโนโลยีและการรักษาข้อมูลส่วนบุคคลของผู้ใช้งาน

เทคโนโลยีแบบไหนข้อมูลไม่รั่ว

โปรแกรม e-Meeting ที่จะรักษาข้อมูลและความปลอดภัยของผู้ใช้งานได้ดี จึงควรใช้เทคโนโลยีการเข้ารหัส (Encryption) ในแบบที่ server ของบริษัทผู้จัดทำโปรแกรม e-Meeting (หมายรวมถึงพนักงานของบริษัท) ไม่สามารถเข้าถึงเนื้อหาของการประชุมได้ โดยการเข้ารหัสแบบ End-to-End Encryption (E2EE) หรือ “เทคโนโลยีการเข้ารหัสตั้งแต่ต้นทางจนถึงปลายทาง” เพื่อป้องกันการรั่วไหลหรือการเจาะข้อมูลระหว่างการประชุม

หลักการทำงานของ E2EE คือ สมมติในการประชุม e-Meeting หนึ่ง นาย ก. และ นาย ข. เป็นผู้เข้าร่วมประชุม นาย ก. ได้ส่งข้อความภาพ เสียง และไฟล์งานไปให้นาย ข. ข้อความ (ภาพ/เสียง/ไฟล์งาน) ที่ส่งหานาย ข. จะถูกแปลงเป็นรหัส และเดินทางผ่าน server ของ e-Meeting ในแบบ seal ข้อมูล (ปิดผนึกไม่ให้ server ของโปรแกรม e-Meeting เห็นได้) ดังนั้น ผลคือ บุคคลอื่นที่ไม่ได้เข้าร่วมประชุมออนไลน์จะไม่เห็นข้อความระหว่างการประชุม และหากเห็น ก็เห็นเพียงรหัสที่ไม่ปรากฎข้อความ หรือกล่าวอีกนัย คือ บุคคลอื่นจะไม่สามารถเข้าถึงเนื้อหาของการประชุมได้ ยกเว้นหน้าต่างบนอุปกรณ์สื่อสารของนาย ก. และ นาย ข. เท่านั้น

ดังนั้น เพื่อเป็นการป้องกันข้อมูลรั่วไหล จึงไม่น่าแปลกใจว่า รัฐบาลหลายประเทศได้กำหนดห้ามการประชุมออนไลน์ผ่านโปรแกรม e-Meeting ที่มีการเข้ารหัสแบบ TLS (Transport Layer Security) หรือการ seal ข้อมูลแค่จากต้นทางไปยังโปรแกรม e-Meeting ที่ใช้งาน (เพราะเป็นการรักษาความปลอดภัยของข้อมูลแค่จากต้นทางถึง App ที่ใช้เท่านั้น) จึงส่งผลให้ผู้ให้บริการ e-Meeting สามารถเข้าถึงข้อมูลในการประชุมออนไลน์ได้ โดยการเข้ารหัสแบบ TLS นี้ แตกต่างกับการเข้ารหัสแบบ E2EE ข้างต้นที่เป็นการ seal ข้อมูลตั้งแต่ต้นทางจนถึงปลายทาง

การโพสต์ภาพของผู้เข้าร่วมประชุมใน Social Media

บ่อยครั้ง เราอาจพบเห็นการโพสต์ภาพหรือแชร์ข้อมูลการประชุมขององค์กรผ่านทาง Social Media ซึ่งในประเด็นนี้ มีข้อควรระวังอยู่หลายประการเช่นกัน

ประการแรก การละเมิดข้อมูลส่วนบุคคล กล่าวคือ รูปภาพใบหน้าของผู้เข้าร่วมประชุมทุกท่าน ถือเป็น “ข้อมูลส่วนบุคคล” ตามกฎหมายข้อมูลส่วนบุคคล เนื่องจาก เป็นข้อมูลที่ทำให้สามารถระบุหรือเชื่อมโยงไปยังบุคคลเจ้าของภาพได้ ซึ่งแม้ว่าข้อมูลภาพใบหน้าจะไม่ได้อยู่ในรูปกระดาษ แต่ปรากฎอยู่ในสื่อออนไลน์และในหน้าเพจของท่านเอง ก็ยังเป็นข้อมูลส่วนบุคคลของเจ้าของภาพอยู่ดี ซึ่งการเปิดเผยข้อมูลดังกล่าวโดยปราศจากความยินยอม อาจมีโทษปรับสูงถึง (ไม่เกิน) 3 ล้านบาท

ประการที่ การเผยแพร่ Meeting Id/Personal Link Name เป็นประเด็นสืบเนื่องมาจากประเด็นแรก ในบางกรณี การโพสต์รูปภาพการประชุมอาจปรากฎ Meeting ID หรือ Personal link name ติดมาในภาพด้วย ซึ่งหาก Meeting Id/Personal link ของโปรแกรมใดสามารถระบุหรือเชื่อมโยงไปถึงตัว “บุคคล” ก็อาจเข้าข่ายเป็นข้อมูลส่วนบุคคลได้เช่นกัน นอกจากนี้ การแชร์ Meeting ID/ Personal link อาจทำให้บุคคลที่ไม่ได้รับเชิญสามารถ Copy รหัสและนำไปใช้ เพื่อเข้าร่วมประชุมได้อีกด้วย ดังนั้น บางโปรแกรมจึงมี Options ให้ Host สามารถตั้งค่าล็อกห้องประชุมทันทีเมื่อครบองค์ประชุม หรือมีตัวเลือกให้ปิดการแชร์ข้อมูลของห้องประชุมได้เพื่อเป็นการรักษาความปลอดภัยในการประชุม

ประการที่ การรั่วไหลของเอกสาร/ข้อมูลการประชุม ในบางกรณี โปรแกรมที่ใช้ในการประชุมอาจมี Function อำนวยความสะดวกให้ผู้เข้าร่วมประชุมสามารถแชร์เอกสาร หรือเขียนไวท์บอร์ด เพื่อแสดงข้อความตอบโต้ระหว่างการประชุมได้ ซึ่งเอกสารหรือข้อมูลเหล่านี้ โดยมากแล้วจะเป็นเอกสารประเภท “สำหรับใช้ในการประชุมเท่านั้น” ดังนั้น การเผยแพร่เอกสารดังกล่าวออกไป โดยการแคปหน้าจอและนำไปโพสต์ใน Social media อาจละเมิดข้อบังคับของการประชุม หรือข้อกำหนดต่างๆ ภายในองค์กร และหากเป็นกรณีเอกสารของทางราชการ ผู้กระทำอาจมีความผิดตามกฎหมายข้อมูลข่าวสารของราชการ และกฎระเบียบอื่นๆ ที่เกี่ยวข้องอีกด้วย

กฎหมายและข้อจำกัดของ e-Meeting

ผู้เขียนเห็นว่า ตั้งแต่หลายหน่วยงานเริ่มใช้ e-Meeting ประเด็นที่ยังคงเป็นปัญหาในทางปฏิบัติ อาจแยกได้เป็น 2 ประเด็นหลัก ประเด็นแรก คือ เรื่องสัดส่วนผู้เข้าร่วมประชุม ที่กฎหมายกำหนดให้ “อย่างน้อย 1 ใน 3 ขององค์ประชุมจะต้องอยู่ในที่ประชุมเดียวกัน” ซึ่งข้อกำหนดดังกล่าว เหมือนจะ สวนทางกับนโนบาย Social Distancing เพราะ 1/3 ขององค์ประชุมยังคงต้องอยู่ในสถานที่เดียวกัน โดยส่วนตัวผู้เขียนจึงเชื่อว่าการปรับปรุงข้อกำหนดในเรื่องนี้จะทำให้การประชุมออนไลน์มีประสิทธิภาพ ในสถานการณ์ปัจจุบันอย่างแท้จริง

ประเด็นที่ 2 คือ ข้อจำกัดของเรื่องประชุม ตามที่ผู้เขียนเคยเล่าในฉบับก่อนว่า การจัดประชุมออนไลน์ กฎหมายไม่ได้อนุญาตให้จัดได้ในทุกเรื่อง เช่น เรื่องลับ เป็นเรื่องที่ห้าม และ เรื่องจร เป็นเรื่อง ที่ไม่ควรจัดประชุม นอกจากนี้ หน่วยงานภาครัฐ รัฐวิสาหกิจ และองค์การมหาชน ยังต้องทำความเข้าใจเพิ่มเติมว่า การประชุมเพื่อดําเนินการตามกระบวนการจัดซื้อจัดจ้างก็ไม่อาจใช้วิธีการประชุมออนไลน์ได้ รวมถึงการประชุมของสภา (ส.ส./ส.ว.) และการประชุมเพื่อจัดทําคําพิพากษาหรือคําสั่งของศาลก็ไม่อาจทำออนไลน์ได้ด้วยเช่นกัน

ท้ายที่สุด ผู้เขียนเชื่อว่าเรายังคงต้องพึ่งพาเทคโนโลยีตัวกลางในรูปแบบต่าง ๆ ไปอีกนาน และอาจจะตลอดไป ... ซึ่งส่วนตัวแล้ว ไม่อยากจะเชื่อว่า Technology จะ disrupt ชีวิตและความเป็นอยู่ ของมนุษย์ได้รวดเร็วถึงเพียงนี้

[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน]