PDPA CASE STUDY: ปรับนินจาแวน 3 ล้านบาท เนื่องมาจากการรั่วไหลของข้อมูลส่วนบุคคล


เคส PDPA: Privacy Data Protection Act ที่โดนปรับจริง เจ็บจริง เป็นเงินเกือบ 3 ล้านบาท

อันเนื่องมาจากเรื่องการบริหารลูกค้าสัมพันธ์ หรือ CRM กับ PDPA ที่เกิดการรั่วไหลของข้อมูลขึ้น

โดยปกติแล้ว ทุกธุรกิจมีกิจกรรมหลักของการบริหารลูกค้าสัมพันธ์ นั่นคือ การเก็บข้อมูลลูกค้า และนำมาจัดการ จัดเก็บ วิเคราะห์ประมวลผล เพื่อการขายและการตลาด /การบริการ / การช่วยเหลือ / และการดูแลด้านคุณภาพ


ซึ่งคือ CRM เพียงแต่อาจจะไม่ได้เรียกเฉพาะว่า CRM นั่นเอง

ในเบื้องต้นเรามาทำความเข้าใจกันก่อนว่า การบริหารลูกค้าสัมพันธ์ มีความเกี่ยวข้องอย่างไรกับ PDPA หรือการป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือลูกค้าของเรา


สำหรับธุรกิจ การบริหารลูกค้าสัมพันธ์ นั้น มีความเกี่ยวพันกันกับ PDPA อย่างแยกไม่ออกเลยทีเดียว

ซึ่งอาจเปรียบได้ว่า หากข้อปฏิบัติของ PDPA เป็น หัวใจ CRM นั้นเป็นสมอง ที่ทำให้ธุรกิจดำเนินไปได้ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

กล่าวถึงกฎหมาย PDPA ที่ประเทศไทยจะบังคับใช้ในปีหน้า จึงจำเป็นจะต้องเรียนรู้และเข้าใจอย่างชัดเจน หากธุรกิจของคุณมีการเก็บข้อมูลลูกค้า ไม่ว่าจะใช้หรือไม่ใช้ระบบ CRM ซอฟท์แวร์ หรือไม่ก็ตาม


เพราะในกรณีที่เก็บข้อมูลลูกค้าใส่ Excel เพื่อนำไปใช้ในการขาย /การตลาด/การบริการ/การช่วยเหลือ/การดูแลคุณภาพ ตามที่กล่าวข้างต้น ดังนั้นคือกระบวนการเดียวกัน เพียงแต่ต่างกันในรูปแบบเครื่องมือเท่านั้นเอง

ในกรณีที่ธุรกิจของคุณใช้ซอฟท์แวร์ CRM อยู่แล้วนั้น มีข้อดีตรงที่มีซอฟท์แวร์ฟังก์ชั่น ให้ช่วยป้องกันปัญหาการรั่วไหลของข้อมูลได้


ส่วนในธุรกิจที่ยังไม่มีซอฟท์แวร์ CRM จำเป็นอย่างยิ่ง ที่จะต้องเข้าใจ PDPA เพราะการออกแบบกระบวนการ จำเป็นต้องรัดกุมในทุกๆขั้นตอน และทดสอบอย่างเหมาะสม จะได้ไม่เกิดความผิดพลาด แล้วโดนปรับ

เคสนี้ที่กล่าวถึง เป็นเคสจากประเทศสิงคโปร์ ซึ่งมีการตัดสินปรับ 3 ล้านบาท ไปเมื่อเดือนพ.ย. ปี 2019


เหตุผลที่อ้างอิงประเทศสิงคโปร์ก็เพราะว่า PDPA บังคับใช้ในสิงคโปร์ตั้งแต่ปี 2012 เป็นเวลา 8 ปีมาแล้ว และมีการปฏิบัติอย่างเข้มงวด ที่มีเคสต่างๆนำมาอ้างอิงได้


และหากจะยกตัวอย่างจาก GDPR ก็อาจจะไม่เหมือนกันสักทีเดียว เนื่องจากมีความแตกต่างบางประการ

ฉะนั้นจึงยกตัวอย่างให้เหมือน Apple to Apple และแม้ว่าประเทศสิงคโปร์กับประเทศไทยจะไม่เหมือนกันสักทีเดียว แต่เป็นตัวอย่างที่สามารถนำมาปรับใช้ได้กับของไทยเรา


ตัวอย่างเคสที่เกิดขึ้นที่ประเทศสิงคโปร์นี้ คือเคสของ นินจาแวน

นินจาแวนถือเป็นบริษัท start up ที่เปิดให้บริการขนส่ง มีสาขาในหลายประเทศ

แต่ในกรณีนี้เกิดขึ้นที่ประเทศสิงคโปร์ และต้นเรื่องของเคสคือถูกรายงานมาจากประชาชนผู้ใช้งาน และไต่สวนว่ามีความผิดในเรื่องข้อมูลรั่วไหลจริง และปรับจริงเป็นเงินถึง 90,000 SGD หรือเกือบ 3ล้านบาท!

นินจาแวนเริ่มให้บริการในปี 2014 และการบริการลูกค้าในการอำนวยความสะดวกให้ลูกค้าตรวจเช็คข้อมูลสถานะการส่งของผ่านเว็บไซต์ ซึ่งเริ่มกิจกรรมตั้งแต่ปี 2014 เช่นกัน

ในการเช็คสถานะ ลูกค้าจะสามารถเข้าไปในเว็บไซต์ของนินจาแวน และใส่ Tracking number หรือหมายเลขเฉพาะที่ run number เพื่อการขนส่งครั้งนั้นๆ ที่ได้ให้ลูกค้าไว้ เพื่อเช็คว่าของส่งถึงหรือยัง อยู่ที่จุดไหนแล้ว และในกระบวนการของนินจาแวน เมื่อขนส่งถึงมือลูกค้าปลายทางแล้ว ก็จะมีการเซ็นรับของ และอัพโหลดขึ้นไว้ในเว็บไซต์


ดังนั้นข้อมูลในเว็บไซต์ก็จะมีชื่อ ที่อยู่ และลายเซ็นของสถานะที่จัดส่งเรียบร้อยแล้ว ผูกกันไว้เฉพาะของหมายเลขขนส่งนั้น

และในเดือนสิงหาคมปี 2016 นินจาแวนก็ได้มีการแบคอัพดาต้า หรือผ่องถ่ายข้อมูลออกจากเว็บไซต์

แต่นั่นเป็นครั้งเดียวตั้งแต่เริ่มดำเนินธุรกิจมาตั้งแต่ปี 2014 และไม่มีการแบคอัพดาต้าอีกเลย ทำให้ข้อมูลลูกค้าแม้ว่าจะได้รับของไปนานแล้ว ยังคงค้างอยู่ในเว็บไซต์

จนมาถึงปี 2018 มีการรายงานปัญหา (Complaint) ซึ่งคาดว่าจะเป็นลูกค้าของนินจาแวนนี่แหละ มาถึง PDPC (Personal Data Protection Commission) ซึงเป็นหน่วยงานรับเรื่องร้องเรียนเกี่ยวกับ PDPA ที่ประเทศสิงคโปร์ ว่า


ถ้าหากลูกค้าเข้าเว็บไซต์เช็คสถานะการส่งของ แล้วลองเปลี่ยนตัวเลขท้ายๆ 2-3 ตัว ก็จะสามารถเรียกดูข้อมูล ชื่อ ที่อยู่ และลายเซ็นต์ของลูกค้าคนอื่นๆได้ และนั่นคือข้อมูลส่วนบุคคล !


โดยเฉพาะลายเซ็น รวมกับชื่อและที่อยู่ ที่หากยกตัวอย่างให้น่ากลัว คือสำเนาแล้วเอาไปปลอมแปลงทำธุรกรรมได้ทั้งหมด!


ซึ่งในกรณีนี้ ถูกเปิดเผยได้หากมีคนตั้งใจเข้าไปหาดู นั่นแสดงให้เห็นว่า พรบ. PDPA นั้น ที่จริงก็ช่วยคนอย่างเราๆ ให้สามารถปกป้องข้อมูลส่วนตัวของตนเองได้ ไม่ให้ถูกนำไปใช้ในทางมิชอบ

ดังนั้นหน่วยงาน PDPC (Privacy Data Protection Commission) จึงไต่สวนและพบว่า ตั้งแต่ปี 2016 – 2018 ซึ่งเป็นช่วงหลังจากแบคอัพครั้งแรกครั้งเดียว จนถึงเมื่อมีคนแจ้งนี้ มีข้อมูลที่คงอยู่ในเว็บไซต์และสามารถเข้าถึงได้ มีอยู่มากถึง 1.3 ล้านชุดรายชื่อ

หน่วยงาน PDPC จึงได้ตัดสินว่า นินจาแวนมีความผิด 2 ประการด้วยกัน คือ


1. นินจาแวนทราบความเสี่ยงนี้ และทราบตั้งแต่เริ่มให้บริการเช็คสถานะในเว็บไซต์ ปกติแล้วเวลาเราต้องเข้าระบบที่มีข้อมูลส่วนตัว เช่นแอพธนาคาร หรือแอพซื้อของจ่ายเงิน ที่ไปผูกกับข้อมูลส่วนบุคคล มักจะมีการส่งพาสเวิร์ดชั้นที่ 2 เพื่อยืนยันตัวตน เมื่อเราใส่พาสเวิร์ดแล้ว ก็จะมีพาสเวิร์ดอีกอันส่งมาที่โทรศัพท์เราเป็นเมสเสจ เป็นเลข 4 /6/8 ตัวเพื่อยืนยันอีกครั้ง เป็น 2nd authentication password


โดยที่นินจาแวนเอง เคยตั้งระบบนี้ไว้ โดยให้ใส่หมายเลขโทรศัพท์ 4 ตัวท้าย และนามสกุลของผู้รับปลายทางในการเช็ค เป็นการกรองข้อมูลเบื้องต้น แต่ก็ได้เลิกหรือเอาออกไป โดยให้เหตุผลว่าไม่สามารถใช้งานได้จริง เนื่องจากหากคนส่งของที่ใช้นินจาแวน อาจไม่ใช่ลูกค้าคนรับปลายทาง จึงไม่มีเบอร์โทรศัพท์ ตัวอย่างที่นึกออกก็ประมาณกรณีธุรกิจประเภท drop shipping ที่มีคนกลางเป็นทางผ่าน แต่คนผลิตหรือคนขายตัวจริง เป็นคนส่งให้คนซื้อ และเหตุผลอีกอย่างคือ ลูกค้า จำไม่ได้ ไม่สามารถใส่ข้อมูลได้