ในยุคที่ข้อมูลกลายเป็นทรัพยากรที่สำคัญราวกับน้ำมัน การจัดเก็บ เข้าถึงและประมวลผลข้อมูลสามารถเกิดขึ้นได้อย่างรวดเร็วด้วยเทคโนโลยีที่พัฒนาอย่างก้าวกระโดด ข้อมูลจึงกลายเป็นหัวใจสำคัญในการขับเคลื่อนหน่วยงานทั้งภาครัฐและภาคเอกชน ซึ่งหนึ่งในนโยบายสำคัญที่จะมาตอบรับกับความเปลี่ยนแปลงนี้ก็คือ “นโยบายใช้คลาวด์เป็นหลัก” หรือ “Cloud First Policy” ซึ่งจะเข้ามาผลักดันการทำงานของหน่วยงานให้คล่องตัว รวดเร็วและพร้อมตอบสนองต่อความต้องการของ ลูกค้าและประชาชนได้อย่างมีประสิทธิภาพ
แต่ในขณะเดียวกัน การที่จะโยกย้ายข้อมูลจำนวนมหาศาลขึ้นไปสู่คลาวด์นั้นย่อมมาพร้อมกับความเสี่ยงเรื่องความปลอดภัยและความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะเมื่อพิจารณาตามหลักเกณฑ์ในพระราชบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
ที่มาของ Cloud First Policy ในประเทศไทย
คณะรัฐมนตรีมีนโยบาย Cloud First Policy เพื่อขับเคลื่อนหน่วยงานภาครัฐให้เปลี่ยนผ่านสู่ระบบดิจิทัลอย่างเต็มรูปแบบ เป้าหมายคือการทำให้บริการภาครัฐสะดวก รวดเร็ว โปร่งใส และเข้าถึงง่ายมากขึ้นสำหรับประชาชน ไม่ว่าจะเป็นการยื่นเอกสารราชการ การเข้าถึงข้อมูล หรือการใช้งานระบบออนไลน์ต่าง ๆ ทั้งหมดจะอยู่บนระบบคลาวด์ที่มีความปลอดภัยและทันสมัย
นโยบายนี้เริ่มต้นขึ้นจากการแถลงนโยบาย “Go Cloud First” ต่อรัฐสภาในเดือนกันยายน 2566 โดยคณะรัฐมนตรีประกาศความมุ่งมั่นที่จะผลักดันให้เทคโนโลยีคลาวด์กลายเป็นเครื่องมือหลักในการยกระดับการบริหารงานของรัฐให้ทันสมัย โปร่งใส และมีประสิทธิภาพ หลังจากนั้นในเดือนพฤศจิกายน คณะรัฐมนตรีจึงได้มีมติรับรองและสนับสนุนให้หน่วยงานที่เกี่ยวข้องเร่งดำเนินการตามนโยบายดังกล่าว ซึ่งแสดงถึงความจริงจังในการเดินหน้าเข้าสู่ยุคดิจิทัลอย่างเต็มรูปแบบ อย่างไรก็ตาม เพื่อไม่ให้เกิดความซ้ำซ้อนของการลงทุนและเพื่อป้องกันการใช้ทรัพยากรอย่างไม่คุ้มค่า คณะรัฐมนตรีได้ตัดสินใจชะลอโครงการที่เกี่ยวข้องกับการจัดซื้อจัดจ้างหรือเช่าบริการคลาวด์ของหน่วยงานรัฐในช่วงต้นปี พ.ศ. 2567 โดยให้เหตุผลว่าควรรอแผนแม่บทโครงสร้างพื้นฐานดิจิทัลระดับชาติ หรือ “National Cloud” ให้มีความชัดเจนก่อน ซึ่งแผนดังกล่าวจะเป็นแนวทางกลางที่ทุกหน่วยงานสามารถยึดถือได้ตรงกัน และสามารถใช้เป็นเกณฑ์ในการเลือกใช้บริการคลาวด์
อย่างเหมาะสม ทั้งในแง่ความปลอดภัย มาตรฐาน และต้นทุน เมื่อถึงเดือนมิถุนายน คณะรัฐมนตรีจึงได้แต่งตั้งคณะกรรมการเฉพาะกิจขึ้นมาโดยตรง เพื่อวางแนวทาง กำหนดกรอบการดำเนินงาน และผลักดันนโยบาย Cloud First Policy ให้เกิดขึ้นอย่างเป็นรูปธรรมมากที่สุด ซึ่งนับเป็นก้าวสำคัญในการผลักดันให้การใช้คลาวด์ในภาครัฐเกิดขึ้นได้จริงและมีทิศทางเดียวกันทั่วประเทศ
หัวใจสำคัญของ Cloud First Policy คือการคัดเลือกผู้ให้บริการคลาวด์ที่มีมาตรฐาน ปลอดภัย และเชื่อถือได้ เพื่อให้ข้อมูลของภาครัฐสามารถเชื่อมโยงถึงกันอย่างมีประสิทธิภาพ ลดการทำงานซ้ำซ้อนของหน่วยงานต่าง ๆ และทำให้ประชาชนได้รับบริการที่รวดเร็วและตรงความต้องการมากขึ้น ถือเป็นการยกระดับการบริการภาครัฐให้เทียบเท่าภาคเอกชน และก้าวทันกับความเปลี่ยนแปลงของโลกดิจิทัล
Cloud First Policy คืออะไร
“Cloud First Policy” ไม่ได้ต้องการให้ละทิ้งระบบหรือเซิร์ฟเวอร์แบบเดิมทั้งหมด แต่ผลักดันการให้ความสำคัญกับการเลือกใช้บริการ “Cloud Computing” ในการจัดเก็บข้อมูลเป็นตัวเลือกแรก ก่อนที่จะลงทุนกับการพัฒนาโครงสร้างพื้นฐานด้านไอทีต่างๆ และจะต้องเลือกใช้ระบบคลาวด์ให้เหมาะสมกับลักษณะของงานแต่ละประเภท ไม่ว่าจะเป็น:
- คลาวด์สาธารณะ (Public Cloud) คือ คลาวด์ที่เปิดให้บุคคลทั่วไปหรือองค์กรต่าง ๆ ใช้งานได้ผ่านอินเทอร์เน็ต ผู้ใช้งานไม่ต้องดูแลโครงสร้างพื้นฐานเอง แต่ใช้ทรัพยากรร่วมกับผู้ใช้อื่นในระบบ โดยทรัพยากรทั้งหมดอยู่ภายใต้การควบคุมของผู้ให้บริการคลาวด์ ซึ่งช่วยให้ประหยัดค่าใช้จ่ายและสามารถเริ่มต้นใช้งานได้รวดเร็ว เหมาะกับการใช้งานทั่วไป เช่น การจัดเก็บไฟล์ การแชร์เอกสาร และการใช้งานระบบอีเมลออนไลน์ ตัวอย่างผู้ให้บริการคลาวด์สาธารณะ เช่น Google Drive Gmail OneDrive Outlook Dropbox Zoom Google Meet เป็นต้น
- คลาวด์ส่วนตัว (Private Cloud) คือ คลาวด์ที่ออกแบบมาเฉพาะสำหรับองค์กรใดองค์กรหนึ่ง โดยมีการจำกัดสิทธิ์การเข้าถึงและควบคุมระบบอย่างเข้มงวด โดยทรัพยากรทั้งหมดอยู่ภายใต้การควบคุมของผู้ใช้บริการ เหมาะกับหน่วยงานที่ต้องการความปลอดภัยสูง เช่น หน่วยงานภาครัฐ สถาบันการเงิน หรือโรงพยาบาล ตัวอย่างผู้ให้บริการคลาวด์ส่วนตัว เช่น ระบบ HR ของบุคลากรภาครัฐ หรือระบบเวชระเบียบในโรงพยาบาล เป็นต้น
- คลาวด์แบบผสม (Hybrid Cloud) คือ คลาวด์ที่ผสานการใช้ระหว่างคลาวด์สาธารณะและคลาวด์ส่วนตัว เพื่อให้ได้ทั้งความปลอดภัยและความยืดหยุ่นในการใช้งาน โดยองค์กรอาจเก็บข้อมูลสำคัญไว้ในคลาวด์ส่วนตัว และในขณะเดียวกันก็ใช้คลาวด์สาธารณะสำหรับงานทั่วไป เช่น เก็บข้อมูลลูกค้าในระบบคลาวน์ขององค์กร แต่ใช้ Google Meet ในการประชุม หรือเก็บคะแนนสอบของโรงเรียนในระบบปิด แต่ใช้ Google Classroom สำหรับการเรียน เป็นต้น
กรณีศึกษาการใช้เทคโนโลยีคลาวด์
แม้ว่านโยบาย Cloud First Policy จะมีบทบาทสำคัญในการผลักดันหน่วยงานภาครัฐให้ก้าวสู่ระบบการทำงานที่ทันสมัย ยืดหยุ่น และมีประสิทธิภาพยิ่งขึ้น แต่สิ่งที่ไม่ควรมองข้ามคือความปลอดภัยของข้อมูลส่วนบุคคล ซึ่งเป็นหนึ่งในหลักการของ PDPA และถือเป็นหัวใจสำคัญในการประมวลผลและบริหารจัดการข้อมูลของประชาชน
ภายใต้กฎหมาย PDPA หน่วยงานที่จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุมทั้งในด้านองค์กร เทคนิค และกายภาพ เพื่อรับมือกับเหตุการละเมิดข้อมูลส่วนบุคคล อาทิ การรั่วไหลหรือสูญหายของข้อมูล หรือการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งสิ่งเหล่านี้ยิ่งต้องระมัดระวังเป็นพิเศษเมื่อหน่วยงานใช้บริการคลาวด์จากผู้ให้บริการภายนอก โดยเฉพาะกรณีที่คลาวน์มีการจัดเก็บข้อมูลไว้ในต่างประเทศ เนื่องจากหากไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ความเสี่ยงในการละเมิดข้อมูลส่วนบุคคลย่อมเพิ่มขึ้นอย่างมีนัยสำคัญ
ต่อไปนี้จะขอยกตัวอย่างกรณีศึกษาที่สะท้อนถึงความเปราะบางของระบบคลาวด์ ซึ่งเกิดขึ้นกับผู้ให้บริการคลาวด์รายใหญ่ระดับโลกอย่าง Google Cloud กรณีศึกษาของบริษัท UniSuper ในประเทศออสเตรเลีย UniSuper เป็นบริษัทกองทุนบำเหน็จบำนาญที่ให้บริการแก่พนักงานในภาคการศึกษาและวิจัยของประเทศออสเตรเลีย โดยดูแลทรัพย์สินของสมาชิกมูลค่ากว่า 125 พันล้านดอลลาร์ แต่ในเดือนพฤษภาคม ปีค.ศ. 2024 ระบบคลาวด์ของ UniSuper ซึ่งโฮสต์อยู่บน Google Cloud ได้ถูกลบไปโดยไม่ตั้งใจ เนื่องจากความผิดพลาดของการตั้งค่าระบบเริ่มต้นของ Google Cloud ส่งผลให้ข้อมูลของสมาชิกกองทุนบำเหน็จบำนาญกว่า 600,000 ราย หายไปชั่วคราว และระบบทั้งหมดต้องหยุดชะงักการให้บริการ
แม้ภายใน Google Cloud จะสามารถกู้คืนข้อมูลจากระบบสำรองภายนอกได้ในภายหลัง แต่เหตุการณ์ดังกล่าวได้สะท้อนถึงความเสี่ยงที่สามารถเกิดขึ้นได้ แม้กับผู้ให้บริการคลาวด์ที่มีชื่อเสียงระดับโลก และยังได้สร้างข้อกังวลเกี่ยวกับความน่าเชื่อถือด้านการรักษาความปลอดภัยของข้อมูลของ Google Cloud อีกด้วย
เหตุการณ์นี้จึงเป็นเครื่องเตือนใจที่สำคัญว่า การก้าวสู่ระบบคลาวด์ภายใต้นโยบาย Cloud First Policy ต้องดำเนินควบคู่ไปพร้อมกับหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัดภายใต้กรอบกฎหมายและมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสมและเพียงพอ
ใช้คลาวด์อย่างไรให้สอดคล้องกับกฎหมาย PDPA
ประเด็นสำคัญที่หน่วยงานภาครัฐและเอกชนต้องปฏิบัติเมื่อใช้เทคโนโลยีคลาวด์ มีดังต่อไปนี้
- ต้องมีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล หรือ Data Processing Agreement (DPA) กับผู้ให้บริการคลาวด์
ต้องมีการจัดทำ DPA ซึ่งเป็นเอกสารทางกฎหมายที่กำหนดข้อตกลงการประมวลผลข้อมูลระหว่าง "ผู้ควบคุมข้อมูล" และ "ผู้ประมวลผลข้อมูล" เพื่อกำหนดขอบเขต วัตถุประสงค์ และความรับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลของผู้ให้บริการคลาวด์ ซึ่งมีบทบาทเป็นผู้ประมวลผลข้อมูลตาม PDPA เพื่อให้แน่ใจว่าข้อมูลจะถูกใช้ตามวัตถุประสงค์ที่จำเป็นเพื่อให้บริการคลาวด์ท่านั้น ไม่ถูกนำไปใช้นอกเหนือจากข้อตกลง และมีมาตรการรักษาความมั่นคงปลอดภัยที่เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมาย PDPA กำหนด
- ตรวจสอบการโอนข้อมูลไปยังต่างประเทศ
หลายคนอาจเข้าใจว่า ถ้าข้อมูลส่วนบุคคลถูกจัดเก็บไว้ในระบบคลาวด์ที่ตั้งอยู่ต่างประเทศ ถือว่าเป็นการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามกฎหมาย PDPA โดยอัตโนมัติ แต่ในความเป็นจริง ไม่ใช่ทุกกรณีจะเป็นเช่นนั้นเสมอไป
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้นิยามความหมายของ “ผู้ให้บริการคลาวด์” ว่าหมายถึง ผู้ให้บริการเก็บรักษาข้อมูลหรือเก็บพักข้อมูลแก่บุคคลอื่นในรูปแบบชั่วคราวหรือถาวร และได้นิยามความหมายของ “การส่งหรือโอนข้อมูลส่วนบุคคล” ว่าไม่รวมถึงการส่งและรับข้อมูลส่วนบุคคลในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบคอมพิวเตอร์หรือระบบเครือข่ายหรือการเก็บพักข้อมูล (data storage) ที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลได้ นอกจากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลนั้น เช่น การส่งข้อมูลผ่านระบบเครือข่ายในต่างประเทศ หรือการส่งข้อมูลผ่านระบบของผู้ให้บริการระบบคลาวด์ (cloud computing service provider) ที่ไม่มีบุคคลใดนอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูล ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ เนื่องจากมีมาตรการทางเทคนิคหรือเงื่อนไขทางกฎหมายรองรับ
ดังนั้นการที่องค์กรจัดเก็บข้อมูลไว้ในระบบคลาวด์ที่ตั้งอยู่ต่างประเทศ โดยไม่มีบุคคลอื่นนอกจากคนในองค์กรที่สามารถเข้าถึงได้ จึงเป็นเพียงการเก็บพักข้อมูลเท่านั้น ไม่ถือว่าเป็นการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามกฎหมาย PDPA แต่ในทางกลับกัน หากบุคคลภายนอกสามารถเข้าถึงหรือจัดการกับข้อมูลที่อยู่ในคลาวด์นั้นได้ เช่น มีสิทธิเปิดดู แก้ไข หรือนำไปใช้ต่อ อาจถือว่าเป็นการ “การส่งหรือโอนข้อมูลส่วนบุคคล” และหากผู้ที่เข้าถึงข้อมูลอยู่ในต่างประเทศ องค์กรอาจจะต้องปฏิบัติตามมาตรา 28 และ 29 เช่น พิจารณาว่าประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือไม่ หรือจัดทำข้อสัญญามาตรฐานในการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น
- มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ควรเลือกใช้คลาวด์ที่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นไปตามขั้นต่ำที่คณะกรรมการประกาศกำหนด เช่น มาตรการต้องประกอบด้วยมาตรการเชิงองค์กร มาตรการเชิงเทคนิค และมาตรการทางกายภาพ อาทิ การเข้ารหัสข้อมูลทั้งขณะส่งและเก็บ (Encryption) การสำรองข้อมูล (Backup) การอบรมพนักงานให้รู้ถึงความสำคัญของข้อมูลส่วนบุคคล การควบคุมการเข้าออกพื้นที่ เป็นต้น มาตรการต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) และในส่วนที่เกี่ยวกับการเข้าถึง ใช้เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างน้อยต้องประกอบด้วยการดำเนินการดังต่อไปนี้ การควบคุมการเข้าถึงข้อมูลส่วนบุคคล (access control) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง แก้ไข หรือลบข้อมูลส่วนบุคคล (audit trails) เพื่อป้องกันและลดความเสี่ยงการเกิดเหตุละเมิดที่อาจเกิดขึ้น
- มีช่องทางการให้ใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
แม้ว่าข้อมูลส่วนบุคคลจะถูกจัดเก็บหรือประมวลผลผ่านระบบคลาวด์ แต่เจ้าของข้อมูลส่วนบุคคคลยังคงมี ‘สิทธิ’ เสมอ ตามที่กฎหมาย PDPA รับรองไว้ เช่น- สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล
- สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล
- สิทธิในการขอให้ลบหรือทำลายข้อมูลส่วนบุคคล
- สิทธิในการเพิกถอนความยินยอม
ด้วยเหตุนี้องค์กรจึงมีหน้าที่ที่จะต้องจัดให้มีช่องทางการขอใช้สิทธิที่ชัดเจนและเข้าถึงง่าย เพื่อรองรับคำขอใช้สิทธิ ไม่ว่าจะเป็นผ่านเว็บไซต์ แอปพลิเคชัน หรือช่องทางอิเล็กทรอนิกส์อื่น ๆ โดยควรมีแบบฟอร์มหรือระบบที่รองรับคำขอให้สามารถส่งต่อถึงผู้ที่เกี่ยวข้องได้ทันที พร้อมระยะเวลาดำเนินการที่เหมาะสมตามกฎหมาย
และที่สำคัญ องค์กรต้องมีการจัดทำประกาศความเป็นส่วนตัว เพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจนว่า ข้อมูลของเจ้าของข้อมูลส่วนบุคคลจะได้รับการคุ้มครองตามกฎหมาย PDPA และมีสิทธิอะไรเกี่ยวกับข้อมูลของตนเองบ้าง แม้ข้อมูลนั้นจะถูกเก็บไว้ในคลาวด์หรือระบบของผู้ให้บริการภายนอกก็ตาม
- มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Impact Assessment (DPIA)
ก่อนที่องค์กรจะนำระบบคลาวด์มาใช้งาน โดยเฉพาะในกรณีที่ต้องจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ข้อมูลสุขภาพ ข้อมูลเชื้อชาติ ข้อมูลประวัติอาชญากรรม หรือข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่มีความเปราะบาง เช่น ผู้เยาว์หรือผู้พิการ และมีการเก็บข้อมูลปริมาณมาก (large scale) ควรมีการจัดทำ DPIA เพื่อประเมินความเสี่ยงที่อาจเกิดขึ้นและกำหนดมาตรการเพื่อรองรับความเสี่ยงนั้นๆ
โดย DPIA เป็นเครื่องมือสำคัญที่จะช่วยให้องค์กรเห็นภาพรวมของความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคลลและสามารถวางแผนกำหนดมาตรการป้องกันได้อย่างเหมาะสม เช่น การเลือกผู้ให้บริการคลาวด์ที่มีมาตรฐานด้านความปลอดภัยสูง การกำหนดสิทธิ์เข้าถึงข้อมูลอย่างชัดเจน หรือการตั้งค่าระบบให้รองรับการเข้ารหัสข้อมูลโดยอัตโนมัติ
นอกจากจะช่วยให้ทราบผลกระทบและมาตรการป้องกันแล้ว DPIA ยังเป็นหลักฐานสำคัญที่แสดงว่าองค์กรมีความตระหนักและดำเนินการตามหลักการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม อีกทั้งยังช่วยให้สามารถจัดลำดับความสำคัญของความเสี่ยง วางแผนรับมือกับเหตุการณ์ที่อาจเกิดขึ้น และทำให้การใช้คลาวด์เป็นไปอย่างมีมาตรฐานและน่าเชื่อถือ
ด้วยเหตุนี้ “Cloud First Policy” จึงไม่ใช่แค่การย้ายข้อมูลขึ้นคลาวด์ แต่เป็นการปรับเปลี่ยนแนวคิดและกระบวนการทำงานของภาครัฐและทุกภาคส่วนให้เข้าสู่โลกดิจิทัลอย่างเต็มรูปแบบ การใช้งานคลาวด์ต้องคำนึงถึงความปลอดภัยทางข้อมูล และดำเนินการให้สอดคล้องกับกฎหมายอย่าง PDPA โดยการวางแผนและเลือกเทคโนโลยีที่เหมาะสมจะทำให้รัฐสามารถให้บริการประชาชนได้อย่างมีประสิทธิภาพ โปร่งใส และทันสมัย
