ผลการวิจัยล่าสุดชี้ให้เห็นว่าเกือบ 60% ขององค์กรที่สำรวจ มองข้อบังคับความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (General Data Protection Regulation: GDPR) เป็นโอกาสในการปรับปรุงนโยบายข้อมูลส่วนบุคคล การรักษาความปลอดภัย การจัดการข้อมูล หรือเป็นสิ่งกระตุ้นให้เกิดโมเดลธุรกิจแบบใหม่ มากกว่าที่จะเป็นเพียงประเด็นกฎเกณฑ์ที่ต้องปฏิบัติหรือเป็นอุปสรรคต่อธุรกิจ

Photo: mohamed_hassan, Pixabay

อ่านประกอบ: กฎหมาย GDPR คืออะไร? ตอบทุกข้อสงสัยที่คนใช้อินเทอร์เน็ตทั่วโลกต้องรู้

ช่วงสัปดาห์ก่อนถึงวันที่ 25 พฤษภาคม 2561 ที่ข้อบังคับดังกล่าวจะมีผลบังคับใช้ สถาบันการศึกษาคุณค่าทางธุรกิจ (Institute for Business Value: IBV) ของ IBM ได้สำรวจผู้นำธุรกิจกว่า 1,500 คนที่รับผิดชอบการปฏิบัติตามข้อกำหนดของ GDPR ขององค์กรต่างๆ ทั่วโลก ผลสำรวจแสดงให้เห็นว่าบริษัทต่างๆ มอง GDPR เป็นโอกาสในการเพิ่มความเชื่อมั่นของลูกค้าและช่วยผลักดันนวัตกรรม กล่าวคือ

• 84% เชื่อว่าหลักฐานที่พิสูจน์ว่าองค์กรปฏิบัติอย่างสอดคล้องกับ GDPR จะช่วยสร้างความแตกต่างในทางบวกในสายตาของผู้บริโภค
• 76% มองว่า GDPR จะสร้างความสัมพันธ์ที่น่าเชื่อถือขึ้นกับเจ้าของข้อมูล (Data subjects) ซึ่งจะนำสู่โอกาสใหม่ๆ ทางธุรกิจ
• แม้จะมองว่าเรื่องนี้เป็นโอกาส แต่มีองค์กรเพียง 36% เท่านั้นที่เชื่อว่าจะสามารถปฏิบัติให้สอดคล้องกับ GDPR ได้อย่างสมบูรณ์ภายในวันที่ 25 พฤษภาคม 2561

การศึกษาดังกล่าวยังชี้ให้เห็นว่า บริษัทส่วนใหญ่หันมาเพิ่มความเข้มงวดเกี่ยวกับข้อมูลที่องค์กรจัดเก็บหรือบริหารจัดการมากขึ้นเพื่อลดความเสี่ยงต่างๆ โดย 70% กำจัดข้อมูลก่อนที่จะถึงเวลาที่กำหนดไว้ เพื่อให้สอดคล้องกับข้อบังคับดังกล่าว

“GDPR จะเป็นหนึ่งในการเปลี่ยนแปลงที่สร้างผลกระทบมากที่สุด ซึ่งจะส่งผลต่อโมเดลธุรกิจในอุตสาหกรรมต่างๆ และกระทบไปยังประเทศนอกกลุ่มสหภาพยุโรปด้วย” คุณกิตติพงษ์ อัศวพิชยนต์ รองกรรมการผู้จัดการ ธุรกิจซอฟต์แวร์ บริษัท ไอบีเอ็ม ประเทศไทย จำกัด กล่าว

การเริ่มบังคับใช้ GDPR เกิดขึ้นในช่วงที่ผู้บริโภคขาดความเชื่อมั่นอย่างมากต่อความสามารถของธุรกิจที่จะปกป้องข้อมูลส่วนบุคคลของพวกเขา ปัจจัยเหล่านี้ก่อให้เกิดแรงผลักดันขนานใหญ่ให้องค์กรต้องทบทวนวิธีจัดการกับความรับผิดชอบต่อข้อมูล และเริ่มต้นฟื้นคืนความเชื่อมั่นซึ่งเป็นสิ่งจำเป็นในสภาพเศรษฐกิจที่ขับเคลื่อนด้วยข้อมูลในปัจจุบัน

วิธีการศึกษาวิจัย

เพื่อให้เข้าใจถึงแนวทางที่องค์กรเตรียมพร้อมสำหรับ GDPR และใช้ GDPR อย่างมีประสิทธิภาพในแง่โอกาสในการปฏิรูปธุรกิจ สถาบันการศึกษาคุณค่าทางธุรกิจของ IBM และ Oxford Economics ได้สำรวจผู้นำที่รับผิดชอบด้าน GDPR จำนวน 1,500 คนใน 34 ประเทศ ซึ่งเป็นตัวแทนของอุตสาหกรรม 15 ประเภทในระหว่างเดือนกุมภาพันธ์ถึงเมษายน 2561

โดยมีการสำรวจความคิดเห็นจากประธานเจ้าหน้าที่ด้านข้อมูลส่วนบุคคล (Chief Privacy Officers) ประธานเจ้าหน้าที่ด้านข้อมูล (Chief Data Officers) ที่ปรึกษาทั่วไป (General Counsels) ประธานเจ้าหน้าที่ด้านการรักษาความปลอดภัยของข้อมูล (Chief Information Security Officers) และเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Officers)

ซึ่งมีการจำแนกกลุ่มผู้นำที่ดูแลด้าน GDPR ผ่านแบบสอบถามที่ใช้หลักเกณฑ์เฉพาะ (ดูจากวิธีการที่พวกเขาตอบชุดคำถามที่กำหนด) และผู้นำที่ดูแลด้าน GDPR ที่มีคุณสมบัติตรงตามหลักเกณฑ์มี 22% จากกลุ่มตัวอย่างทั้งหมด

GDPR นำไปสู่การลดปริมาณการรวบรวมและจัดเก็บข้อมูล

Photo: BiljaST, Pixabay

สิ่งสำคัญอีกข้อที่พบในการวิจัยครั้งนี้ คือ การที่องค์กรต่างๆ ใช้ GDPR เป็นโอกาสในการปรับปรุงวิธีจัดการข้อมูลและลดปริมาณข้อมูลที่องค์กรต้องบริหารจัดการ ซึ่งหมายถึงการลดปริมาณข้อมูลที่องค์กรรวบรวม จัดเก็บ และแบ่งปันลงอย่างมากในหลายๆ องค์กร

โดยจากผลการศึกษาองค์กรต่างๆ รายงานว่าได้ดำเนินการดังต่อไปนี้เพื่อปฏิบัติตาม GDPR

• 80% กล่าวว่าองค์กรกำลังลดปริมาณข้อมูลส่วนบุคคลที่จัดเก็บ
• 78% กำลังลดจำนวนคนที่ได้รับสิทธิ์เข้าถึงข้อมูลส่วนบุคคล
• 70% กำลังกำจัดข้อมูลที่ไม่จำเป็นต้องใช้อีกต่อไป

ความท้าทายเกี่ยวกับ GDPR: จุดบอด และโอกาสในการปฏิรูปธุรกิจ

ผลการศึกษาพบว่าปัญหาหลักๆ ที่องค์กรต่างๆ กำลังเผชิญในปัจจุบัน เมื่อต้องปฏิบัติให้สอดคล้องกับ GDPR คือการค้นหาข้อมูลส่วนบุคคลที่อยู่ภายในองค์กร (Data Discovery) การตรวจสอบความถูกต้องของข้อมูลที่องค์กรรวบรวมและจัดเก็บ รวมถึงการปฏิบัติตามกฎเกณฑ์วิธีการวิเคราะห์และแบ่งปันข้อมูล (Data Processing Principals)

เรื่องอื่นๆ ซึ่งเป็นที่กังวล ได้แก่ การจัดการการเคลื่อนย้ายข้อมูลข้ามพรมแดน และการได้รับความยินยอมจากเจ้าของข้อมูล โดยผู้ตอบแบบสำรวจน้อยกว่าครึ่งหนึ่งบอกว่าได้เตรียมพร้อมสำหรับ GDPR ในด้านเหล่านี้แล้ว

องค์ประกอบที่สำคัญประการหนึ่งของ GDPR คือการกำหนดให้บริษัทต่างๆ ต้องรายงานการละเมิดข้อมูลแก่ผู้กำกับดูแลภายใน 72 ชั่วโมง อย่างไรก็ตาม การศึกษาของ IBV พบว่ามีบริษัทเพียง 31% เท่านั้นที่ตรวจสอบหรือแก้ไขแผนรับมือเหตุการณ์ที่ไม่คาดคิด (Incident Response Plan) เพื่อเตรียมพร้อมสำหรับข้อกำหนดนี้ ซึ่งแสดงให้เห็นจุดบอดของวิธีรับมือกับ GDPR โดยรวมของบริษัทต่างๆ

แม้ว่าจะมีความท้าทาย แต่กลุ่มบริษัท “ผู้นำ” (22%) จะใช้ GDPR เป็นโอกาสในการปฏิรูปธุรกิจอย่างเต็มรูปแบบ ในแง่แนวทางความรับผิดชอบต่อข้อมูลและการบริหารจัดการ กล่าวคือ

• 93% ได้ปรับเปลี่ยนกระบวนการรับมือเหตุการณ์ที่ไม่คาดคิด
• 79% บอกว่าได้เตรียมพร้อมสำหรับการดำเนินการค้นหาข้อมูลและตรวจสอบความถูกต้องของข้อมูล
• 74% บอกว่าได้นำมาตรการด้านการรักษาความปลอดภัยและการออกแบบเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคล มาใช้กับผลิตภัณฑ์และบริการใหม่ๆ

ซึ่งการเตรียมพร้อมสำหรับ GDPR ของบริษัทต่างๆ เกิดขึ้นหลังจากการที่กลุ่มผู้บริโภคเริ่มหันมาตรวจสอบการจัดการข้อมูลส่วนบุคคลของธุรกิจต่างๆ มากขึ้น

แต่การสำรวจความคิดเห็นอีกชุดจากผู้บริโภค 10,000 คน โดยแฮร์ริส โพล ในนามของ IBM พบว่ามีผู้บริโภคชาวอเมริกันเพียง 20% เท่านั้นที่เชื่อว่าองค์กรต่างๆ ที่พวกเขามีปฏิสัมพันธ์อยู่ด้วยจะรักษาข้อมูลส่วนบุคคลของพวกเขาไว้