- 51% ของผู้บริหารมีการจัดการในการจัดเก็บข้อมูลส่วนบุคคลของพนักงานและลูกค้าอย่างถูกต้อง
- 53% ดำเนินการตรวจสอบการปฏิบัติตามกฎระเบียบของบุคคลที่สามที่ทำหน้าที่จัดการข้อมูลลูกค้าและพนักงาน
- 48% บอกว่าการยืนยันตัวตนขั้นสูงช่วยลดจำนวนการฉ้อโกงและ 46% วางแผนที่จะเพิ่มการลงทุนในด้านนี้ในปีนี้
- 31% บอกว่าคณะกรรมการบริษัทมีส่วนร่วมโดยตรงในการทบทวนความเสี่ยงด้านความปลอดภัยและความเป็น
ส่วนตัว
- 32% ของผู้บริหารได้เริ่มกระบวนการการประเมินผลจีดีพีอาร์ไปแล้วตั้งแต่ปี 2560
PwC เผยหลายองค์กรทั่วโลกยังขาดการป้องกันความเป็นส่วนตัวของข้อมูลที่มีประสิทธิภาพ แม้ว่าสังคมในวันนี้จะถูกขับเคลื่อนด้วยข้อมูล ความเป็นส่วนตัว ความปลอดภัย และความไว้วางใจที่เชื่อมโยงถึงกันและมีนัยสำคัญต่อกันอย่างที่ไม่เคยเกิดขึ้นมาก่อน
นางสาว วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานที่ปรึกษา บริษัท PwC ประเทศไทย เปิดเผยถึงผลสำรวจล่าสุด PwC's 2018 Global State of Information Security(R) Survey (GSISS) ที่ทำการสำรวจผู้บริหารระดับสูงทั้งฝ่ายธุรกิจและเทคโนโลยีจำนวน 9,500 คน ใน 122 ประเทศว่า ผู้บริหารที่ตอบแบบสอบถามน้อยกว่าครึ่ง หรือ 49% เท่านั้นบอกว่า องค์กรของตนมีการจำกัดการเก็บรวบรวมข้อมูล การรักษาข้อมูล และการเข้าถึงข้อมูลส่วนตัวเฉพาะเท่าที่จำเป็น เพื่อให้บรรลุวัตถุประสงค์ตามกฎหมายเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคล โดยมีเพียง 51% ที่มีการจัดเก็บ รักษา และส่งผ่านข้อมูลส่วนบุคคลของลูกค้าและพนักงานอย่างถูกต้อง และ 53% ยังต้องฝึกอบรมพนักงานของตนเกี่ยวกับนโยบายความเป็นส่วนตัวและแนวทางปฏิบัติ
รายงานของ PwC ระบุว่า ในส่วนของบุคคลที่สามที่ทำหน้าที่จัดการข้อมูลส่วนบุคคลของลูกค้าและพนักงานนั้น มีผู้บริหารเพียง 46% เท่านั้นที่ได้ดำเนินการตรวจสอบการปฏิบัติตามกฎระเบียบ เพื่อให้มั่นใจได้ว่าพวกเขาเหล่านี้มีความสามารถในการปกป้องข้อมูลนั้นๆ ขณะที่ผู้บริหารในสัดส่วนเท่ากัน (46%) บอกว่า องค์กรของพวกเขากำหนดให้บุคคลที่สามต้องปฏิบัติตามนโยบายความเป็นส่วนตัว
นาย ชอน จอยซ์ หัวหน้าสายงานด้านความปลอดภัยไซเบอร์และความเป็นส่วนตัว ประจำ PwC สหรัฐอเมริกา กล่าวว่า:
"การประยุกต์ใช้ข้อมูลในเชิงสร้างสรรค์มากขึ้นได้เปิดประตูไปสู่ทั้งโอกาสและความเสี่ยง โดยยังมีบริษัทน้อยรายที่สร้างระบบการบริหารความเสี่ยงด้านไซเบอร์และความเป็นส่วนตัวเพื่อเปลี่ยนถ่ายองค์กรไปสู่ยุคดิจิทัล ด้วยเหตุนี้ การทำความเข้าใจเกี่ยวกับความเสี่ยงที่พบมากที่สุด รวมไปถึงการสร้างความตระหนักเกี่ยวกับการเก็บข้อมูลและกิจกรรมการเก็บรักษาข้อมูล จะถือเป็นจุดเริ่มต้นในการพัฒนากรอบการใช้ข้อมูลอย่างมีธรรมาภิบาลขององค์กรได้"
ทั้งนี้ ข้อมูลจากผลสำรวจ GSISS ประจำปี 2561 พบว่า โดยรวมภาคธุรกิจในยุโรปและตะวันออกกลาง ยังมีคงความล้าหลังกว่าภาคธุรกิจในแถบเอเชีย อเมริกาเหนือ และอเมริกาใต้ ในเรื่องของการพัฒนากลยุทธ์ด้านความปลอดภัยข้อมูล และการปฏิบัติตามหลักการใช้ข้อมูลอย่างมีธรรมาภิบาล (ดังตารางแสดงผลด้านล่าง)
การเดิมพันที่สูง และสิ่งที่ต้องปรับปรุง
ผู้บริหารระดับสูงต่างตระหนักถึงความเสี่ยงของความไม่ปลอดภัยในโลกไซเบอร์ที่เพิ่มขึ้น โดยผลสำรวจซีอีโอทั่วโลกครั้งที่ 21 ของ PwC ที่ผ่านมาพบว่า ภัยคุกคามไซเบอร์ ติดอันดับภัยคุกคามที่มีผลกระทบต่อการเติบโตสูงสุด 5 อันดับแรก ติดต่อกันเป็นครั้งที่ 3 โดยซีอีโอที่ถูกสำรวจถึง 40% ในปีนี้บอกว่า พวกเขามีความกังวลต่อภัยอย่างมาก เปรียบเทียบกับ 25% ในปีก่อน
แม้ผลสำรวจจะพบข้อดีอยู่บ้าง ยกตัวอย่าง เช่น 87% ของซีอีโอทั่วโลกบอกว่า พวกเขากำลังลงทุนในเรื่องความปลอดภัยไซเบอร์เพื่อสร้างความไว้วางใจกับลูกค้า และ 81% บอกว่า กำลังสร้างความโปร่งใสในการใช้และการจัดเก็บข้อมูล แต่ซีอีโอน้อยกว่าครึ่งหนึ่งยังบอกว่า กำลังดำเนินการในเรื่องเหล่านี้ "เป็นส่วนใหญ่" และที่น่ากังวลมากไปกว่านั้นคือ น้อยกว่า 1 ใน 3 ของซีอีโอในแอฟริกา และเกือบ 1 ใน 4 ของซีอีโอในอเมริกาเหนือ (22%) บอกว่า พวกเขา "ไม่ได้มีการจัดการเพื่อสร้างความโปร่งใสในการใช้และการจัดเก็บข้อมูลเลย"
ความสำคัญของการสร้างความไว้วางใจ
ผู้บริโภคมีความเชื่อมั่นค่อนข้างต่ำว่า บริษัทต่างๆ จะใช้ข้อมูลส่วนบุคคลอย่างมีความรับผิดชอบ ยกตัวอย่าง เช่น ในสหรัฐอเมริกา มีผู้บริโภคเพียง 25% เท่านั้นที่เชื่อว่า บริษัทส่วนใหญ่มีการจัดการข้อมูลส่วนบุคคลที่มีความอ่อนไหวอย่างมีความรับผิดชอบ (ข้อมูลจากผลสำรวจ Consumer Intelligence Series ของ PwC ในปี 2560)
PwC คาดว่า การปรับปรุงเทคโนโลยีในรูปแบบของการยืนยันตัวตน ซึ่งรวมไปถึงไบโอเมตริกซ์ หรือ เทคโนโลยีในการนำคุณลักษณะของบุคคลมาใช้เพื่อแยกแยะ หรือจดจำบุคคล และการเข้ารหัส จะช่วยให้ผู้นำทางธุรกิจสามารถสร้างเครือข่ายที่น่าไว้วางใจได้มากขึ้น
ทั้งนี้ ครึ่งหนึ่งของผู้บริหารที่ตอบแบบสอบถามบอกว่า การใช้เทคโนโลยียืนยันตัวตนขั้นสูงช่วยเพิ่มความเชื่อมั่นของลูกค้าและคู่ค้าทางธุรกิจ ในเรื่องความสามารถในการรักษาความปลอดภัยข้อมูลและความเป็นส่วนตัวขององค์กร นอกจากนี้ 48% ยังบอกด้วยว่า การยืนยันตัวตนก่อนเข้าระบบได้ช่วยลดจำนวนการฉ้อโกง และ 41% บอกว่า ช่วยปรับปรุงประสบการณ์ของลูกค้า ผลสำรวจระบุว่า 46% ของผู้บริหารมีแผนที่จะลงทุนในเทคโนโลยีไบโอเมตริกซ์และการยืนยันตัวตนขั้นสูงในปีนี้
อย่างไรก็ดี การนำเทคโนโลยีไบโอเมตริกซ์มาใช้อาจก่อให้เกิดความเสี่ยงต่อการกำกับดูแลความเป็นส่วนตัวและความกังวลของสาธารณชนได้ ทั้งนี้เพราะบริษัทต้องติดตามข้อมูลทางชีวภาพเพื่อใช้เป็นการพิสูจน์ตัวบุคคล และด้วยการทำงานของระบบการยืนยันตัวตนที่อิงกับความรู้ของผู้เข้าใช้งานเป็นหลัก ยกตัวอย่าง เช่น เมื่อผู้ใช้ใส่นามสกุลมารดาก่อนแต่งงาน ก็อาจทำให้องค์กรตกอยู่บนความเสี่ยงต่อการโจมตี หากมีการขโมยข้อมูลนั้น หรือเกิดการรั่วไหลจากการโจมตีแยกต่างหาก
นอกจากนี้ PwC ยังคาดว่า แรงกดดันที่เพิ่มขึ้นต่ออุตสาหกรรมในการเข้ารหัสข้อมูลเพื่อความปลอดภัย จะผลักดันให้เกิดการลงทุนในด้านต่างๆ ที่เกี่ยวข้องมากขึ้น โดย 46% ของผู้ตอบแบบสอบถามในกลุ่มภาคการเงินบอกว่า พวกเขาวางแผนที่จะเพิ่มการลงทุนในการเข้ารหัสในปีนี้
ความเป็นส่วนตัวของข้อมูล: เรื่องสำคัญสำหรับคณะกรรมการบริษัท
น้อยกว่า 1 ใน 3 (31%) ของผู้บริหารที่ตอบแบบสอบถาม GSISS ประจำปีนี้บอกว่า คณะกรรมการบริษัทของพวกเขามีส่วนร่วมโดยตรงในการทบทวนความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัว และสำหรับองค์กรที่มีมูลค่ามากกว่า 2.5 หมื่นล้านดอลลาร์ ตัวเลขนี้ก็สูงขึ้นเพียงเล็กน้อย (36%) เท่านั้น
นาย พอล โอโร๊ค หัวหน้าสายงานด้านความปลอดภัยไซเบอร์และความเป็นส่วนตัว ประจำ PwC เอเชียแปซิฟิก กล่าวว่า:
"ทุกองค์กรไม่ว่าจะขนาดเล็กหรือใหญ่ควรต้องเพิ่มการมีส่วนร่วมของคณะกรรมการบริษัทในด้านการกำกับดูแลภัยไซเบอร์และการบริหารความเสี่ยงด้านความเป็นส่วนตัวให้มากขึ้น เพราะหากกรรมการบริษัทยังขาดความเข้าใจที่ถูกต้องเกี่ยวกับความเสี่ยง พวกเขาก็จะไม่สามารถปฏิบัติหน้าที่ในการกำกับดูแลการปกป้องข้อมูลและความเป็นส่วนตัวได้อย่างมีประสิทธิภาพมากพอ"
มองจีดีพีอาร์และเอ็นไอเอสเป็นโอกาส
สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU's General Data Protection Regulation: GDPR) ที่มีผลบังคับใช้แล้วเมื่อ 25 พฤษภาคม 2561 กับองค์กรใดๆ ที่ทำธุรกิจในสหภาพยุโรป ผู้บริหารที่ตอบแบบสำรวจ GSISS ประจำปีนี้จากทั่วโลกบอกว่า ได้เตรียมความพร้อมเพื่อรับมือกับกฎหมายดังกล่าวตั้งแต่ช่วงครึ่งแรกของปี 2560 ที่ผ่านมา ซึ่งนับเป็นเวลา 1 ปีก่อนถึงวันครบกำหนดประกาศใช้ ทั้งนี้ 1 ใน 3 หรือ 32% ของผู้ตอบแบบสอบถามได้เริ่มประเมินผลจีดีพีอาร์แล้ว ยกตัวอย่าง เช่น บริษัทในเอเชียมีความตื่นตัวต่อประเด็นนี้สูงกว่าภูมิภาคอื่นๆ (37%)
นอกจากนี้ คำสั่งของสหภาพยุโรปที่เกี่ยวกับความมั่นคงของระบบเครือข่ายและข้อมูล (The EU's Directive on Security of Network and Information Systems: NIS directive) ซึ่งมีวัตถุประสงค์ในการเพิ่มความสามารถในการเตรียมตัวและรองรับการโจมตีไซเบอร์ และมีผลบังคับใช้ในเดือนพฤษภาคมปีนี้เช่นกัน ได้ส่งผลให้ธุรกิจที่ถูกระบุโดยประเทศสมาชิกให้เป็นผู้ประกอบการในการให้บริการที่จำเป็น (โครงสร้างพื้นฐานที่สำคัญ) รวมทั้ง ผู้ให้บริการด้านดิจิทัล (เช่น โปรแกรมค้นหาข้อมูล การให้บริการระบบคลาวด์คอมพิวติ้ง และตลาดออนไลน์) ต้องเผชิญกับข้อกำหนดใหม่ภายใต้คำสั่งเพื่อความปลอดภัย และการรายงานเหตุการณ์ต่อหน่วยงานภาครัฐ ซึ่งเช่นเดียวกับจีดีพีอาร์ บริษัทเหล่านี้อาจต้องเผชิญกับผลกระทบร้ายแรง หากไม่ปฏิบัติตามข้อกำหนดดังกล่าว
นาย แกรนท์ วอเตอร์ฟอล หัวหน้าสายงานด้านความปลอดภัยไซเบอร์และความเป็นส่วนตัว ประจำ PwC ยุโรป ตะวันออกกลาง และแอฟริกา ได้กล่าวว่า:
"ซีอีโอไม่ควรมองว่าจีดีพีอาร์และเอ็นไอเอสเป็นเพียงแค่กฎระเบียบที่ต้องปฏิบัติตามเท่านั้น แต่เป็นโอกาสเชิงกลยุทธ์ในการทำให้ธุรกิจเดินไปสู่ความสำเร็จในยุคที่โลกถูกขับเคลื่อนด้วยข้อมูล นอกจากนี้ บริษัทต่างๆ ควรสร้างความสัมพันธ์และมีการสื่อสารที่ดีกับหน่วยงานกำกับดูแลถึงกฎระเบียบที่มีผลบังคับใช้"
ด้าน นางสาว วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานที่ปรึกษา บริษัท PwC ประเทศไทย กล่าวทิ้งท้ายว่า:
"วันนี้ การคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวกลายเป็นประเด็นเร่งด่วนที่องค์กรทั่วโลก รวมถึงในประเทศไทยต้องมีการวางกลยุทธ์และแผนลงทุนเพื่อรองรับอย่างจริงจัง เพราะเมื่อเกิดการละเมิดข้อมูลขึ้น องค์กรนั้นๆ ไม่เพียงแต่จะต้องเผชิญกับความสูญเสียทางการเงิน แต่ยังรวมถึงความเสี่ยงจากการไม่ปฏิบัติตามกฎเกณฑ์ และส่งผลต่อความน่าเชื่อถือขององค์กรด้วย ในทางกลับกัน องค์กรไหนที่ประสบความสำเร็จในการป้องกันข้อมูล ก็จะสามารถสร้างความไว้วางใจและความเชื่อมั่นให้เกิดกับพนักงาน ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่นๆ ได้"