PDPA CASE STUDY: ปรับนินจาแวน 3 ล้านบาท เนื่องมาจากการรั่วไหลของข้อมูลส่วนบุคคล


เคส PDPA: Privacy Data Protection Act ที่โดนปรับจริง เจ็บจริง เป็นเงินเกือบ 3 ล้านบาท

อันเนื่องมาจากเรื่องการบริหารลูกค้าสัมพันธ์ หรือ CRM กับ PDPA ที่เกิดการรั่วไหลของข้อมูลขึ้น

โดยปกติแล้ว ทุกธุรกิจมีกิจกรรมหลักของการบริหารลูกค้าสัมพันธ์ นั่นคือ การเก็บข้อมูลลูกค้า และนำมาจัดการ จัดเก็บ วิเคราะห์ประมวลผล เพื่อการขายและการตลาด /การบริการ / การช่วยเหลือ / และการดูแลด้านคุณภาพ


ซึ่งคือ CRM เพียงแต่อาจจะไม่ได้เรียกเฉพาะว่า CRM นั่นเอง

ในเบื้องต้นเรามาทำความเข้าใจกันก่อนว่า การบริหารลูกค้าสัมพันธ์ มีความเกี่ยวข้องอย่างไรกับ PDPA หรือการป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือลูกค้าของเรา


สำหรับธุรกิจ การบริหารลูกค้าสัมพันธ์ นั้น มีความเกี่ยวพันกันกับ PDPA อย่างแยกไม่ออกเลยทีเดียว

ซึ่งอาจเปรียบได้ว่า หากข้อปฏิบัติของ PDPA เป็น หัวใจ CRM นั้นเป็นสมอง ที่ทำให้ธุรกิจดำเนินไปได้ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

กล่าวถึงกฎหมาย PDPA ที่ประเทศไทยจะบังคับใช้ในปีหน้า จึงจำเป็นจะต้องเรียนรู้และเข้าใจอย่างชัดเจน หากธุรกิจของคุณมีการเก็บข้อมูลลูกค้า ไม่ว่าจะใช้หรือไม่ใช้ระบบ CRM ซอฟท์แวร์ หรือไม่ก็ตาม


เพราะในกรณีที่เก็บข้อมูลลูกค้าใส่ Excel เพื่อนำไปใช้ในการขาย /การตลาด/การบริการ/การช่วยเหลือ/การดูแลคุณภาพ ตามที่กล่าวข้างต้น ดังนั้นคือกระบวนการเดียวกัน เพียงแต่ต่างกันในรูปแบบเครื่องมือเท่านั้นเอง

ในกรณีที่ธุรกิจของคุณใช้ซอฟท์แวร์ CRM อยู่แล้วนั้น มีข้อดีตรงที่มีซอฟท์แวร์ฟังก์ชั่น ให้ช่วยป้องกันปัญหาการรั่วไหลของข้อมูลได้


ส่วนในธุรกิจที่ยังไม่มีซอฟท์แวร์ CRM จำเป็นอย่างยิ่ง ที่จะต้องเข้าใจ PDPA เพราะการออกแบบกระบวนการ จำเป็นต้องรัดกุมในทุกๆขั้นตอน และทดสอบอย่างเหมาะสม จะได้ไม่เกิดความผิดพลาด แล้วโดนปรับ

เคสนี้ที่กล่าวถึง เป็นเคสจากประเทศสิงคโปร์ ซึ่งมีการตัดสินปรับ 3 ล้านบาท ไปเมื่อเดือนพ.ย. ปี 2019


เหตุผลที่อ้างอิงประเทศสิงคโปร์ก็เพราะว่า PDPA บังคับใช้ในสิงคโปร์ตั้งแต่ปี 2012 เป็นเวลา 8 ปีมาแล้ว และมีการปฏิบัติอย่างเข้มงวด ที่มีเคสต่างๆนำมาอ้างอิงได้


และหากจะยกตัวอย่างจาก GDPR ก็อาจจะไม่เหมือนกันสักทีเดียว เนื่องจากมีความแตกต่างบางประการ

ฉะนั้นจึงยกตัวอย่างให้เหมือน Apple to Apple และแม้ว่าประเทศสิงคโปร์กับประเทศไทยจะไม่เหมือนกันสักทีเดียว แต่เป็นตัวอย่างที่สามารถนำมาปรับใช้ได้กับของไทยเรา


ตัวอย่างเคสที่เกิดขึ้นที่ประเทศสิงคโปร์นี้ คือเคสของ นินจาแวน

นินจาแวนถือเป็นบริษัท start up ที่เปิดให้บริการขนส่ง มีสาขาในหลายประเทศ

แต่ในกรณีนี้เกิดขึ้นที่ประเทศสิงคโปร์ และต้นเรื่องของเคสคือถูกรายงานมาจากประชาชนผู้ใช้งาน และไต่สวนว่ามีความผิดในเรื่องข้อมูลรั่วไหลจริง และปรับจริงเป็นเงินถึง 90,000 SGD หรือเกือบ 3ล้านบาท!

นินจาแวนเริ่มให้บริการในปี 2014 และการบริการลูกค้าในการอำนวยความสะดวกให้ลูกค้าตรวจเช็คข้อมูลสถานะการส่งของผ่านเว็บไซต์ ซึ่งเริ่มกิจกรรมตั้งแต่ปี 2014 เช่นกัน

ในการเช็คสถานะ ลูกค้าจะสามารถเข้าไปในเว็บไซต์ของนินจาแวน และใส่ Tracking number หรือหมายเลขเฉพาะที่ run number เพื่อการขนส่งครั้งนั้นๆ ที่ได้ให้ลูกค้าไว้ เพื่อเช็คว่าของส่งถึงหรือยัง อยู่ที่จุดไหนแล้ว และในกระบวนการของนินจาแวน เมื่อขนส่งถึงมือลูกค้าปลายทางแล้ว ก็จะมีการเซ็นรับของ และอัพโหลดขึ้นไว้ในเว็บไซต์


ดังนั้นข้อมูลในเว็บไซต์ก็จะมีชื่อ ที่อยู่ และลายเซ็นของสถานะที่จัดส่งเรียบร้อยแล้ว ผูกกันไว้เฉพาะของหมายเลขขนส่งนั้น

และในเดือนสิงหาคมปี 2016 นินจาแวนก็ได้มีการแบคอัพดาต้า หรือผ่องถ่ายข้อมูลออกจากเว็บไซต์

แต่นั่นเป็นครั้งเดียวตั้งแต่เริ่มดำเนินธุรกิจมาตั้งแต่ปี 2014 และไม่มีการแบคอัพดาต้าอีกเลย ทำให้ข้อมูลลูกค้าแม้ว่าจะได้รับของไปนานแล้ว ยังคงค้างอยู่ในเว็บไซต์

จนมาถึงปี 2018 มีการรายงานปัญหา (Complaint) ซึ่งคาดว่าจะเป็นลูกค้าของนินจาแวนนี่แหละ มาถึง PDPC (Personal Data Protection Commission) ซึงเป็นหน่วยงานรับเรื่องร้องเรียนเกี่ยวกับ PDPA ที่ประเทศสิงคโปร์ ว่า


ถ้าหากลูกค้าเข้าเว็บไซต์เช็คสถานะการส่งของ แล้วลองเปลี่ยนตัวเลขท้ายๆ 2-3 ตัว ก็จะสามารถเรียกดูข้อมูล ชื่อ ที่อยู่ และลายเซ็นต์ของลูกค้าคนอื่นๆได้ และนั่นคือข้อมูลส่วนบุคคล !


โดยเฉพาะลายเซ็น รวมกับชื่อและที่อยู่ ที่หากยกตัวอย่างให้น่ากลัว คือสำเนาแล้วเอาไปปลอมแปลงทำธุรกรรมได้ทั้งหมด!


ซึ่งในกรณีนี้ ถูกเปิดเผยได้หากมีคนตั้งใจเข้าไปหาดู นั่นแสดงให้เห็นว่า พรบ. PDPA นั้น ที่จริงก็ช่วยคนอย่างเราๆ ให้สามารถปกป้องข้อมูลส่วนตัวของตนเองได้ ไม่ให้ถูกนำไปใช้ในทางมิชอบ

ดังนั้นหน่วยงาน PDPC (Privacy Data Protection Commission) จึงไต่สวนและพบว่า ตั้งแต่ปี 2016 – 2018 ซึ่งเป็นช่วงหลังจากแบคอัพครั้งแรกครั้งเดียว จนถึงเมื่อมีคนแจ้งนี้ มีข้อมูลที่คงอยู่ในเว็บไซต์และสามารถเข้าถึงได้ มีอยู่มากถึง 1.3 ล้านชุดรายชื่อ

หน่วยงาน PDPC จึงได้ตัดสินว่า นินจาแวนมีความผิด 2 ประการด้วยกัน คือ


1. นินจาแวนทราบความเสี่ยงนี้ และทราบตั้งแต่เริ่มให้บริการเช็คสถานะในเว็บไซต์ ปกติแล้วเวลาเราต้องเข้าระบบที่มีข้อมูลส่วนตัว เช่นแอพธนาคาร หรือแอพซื้อของจ่ายเงิน ที่ไปผูกกับข้อมูลส่วนบุคคล มักจะมีการส่งพาสเวิร์ดชั้นที่ 2 เพื่อยืนยันตัวตน เมื่อเราใส่พาสเวิร์ดแล้ว ก็จะมีพาสเวิร์ดอีกอันส่งมาที่โทรศัพท์เราเป็นเมสเสจ เป็นเลข 4 /6/8 ตัวเพื่อยืนยันอีกครั้ง เป็น 2nd authentication password


โดยที่นินจาแวนเอง เคยตั้งระบบนี้ไว้ โดยให้ใส่หมายเลขโทรศัพท์ 4 ตัวท้าย และนามสกุลของผู้รับปลายทางในการเช็ค เป็นการกรองข้อมูลเบื้องต้น แต่ก็ได้เลิกหรือเอาออกไป โดยให้เหตุผลว่าไม่สามารถใช้งานได้จริง เนื่องจากหากคนส่งของที่ใช้นินจาแวน อาจไม่ใช่ลูกค้าคนรับปลายทาง จึงไม่มีเบอร์โทรศัพท์ ตัวอย่างที่นึกออกก็ประมาณกรณีธุรกิจประเภท drop shipping ที่มีคนกลางเป็นทางผ่าน แต่คนผลิตหรือคนขายตัวจริง เป็นคนส่งให้คนซื้อ และเหตุผลอีกอย่างคือ ลูกค้า จำไม่ได้ ไม่สามารถใส่ข้อมูลได้


ซึ่งเหตุผลนี้ มาจากการทดสอบหลังเปิดฟังก์ชั่นใช้งานเป็นเวลา 3 เดือน จึงตัดสินใจให้ไม่มีการกรองข้อมูลในเว็บไซต์ นับตั้งแต่นั้นมา โดยลักษณะเหมือนเว็บไซต์ที่มีถังข้อมูลอยู่หลังหน้าเว็บ แล้วใครจะกรอกตัวเลข Tracking ใดๆ ก็สามารถเรียกข้อมูลมาดูได้ทั้งหมด เลยทำให้มีคนตรวจสอบและเจอข้อมูลชื่อ ที่อยู่ ลายเซ็น ของผู้อื่น


ส่วนข้อที่ 2. กล่าวถึงจำนวนของข้อมูลที่มีความเสี่ยงถูกเปิดเผย คือเมื่อเปิดบริษัทและดำเนินกิจกรรมตั้งแต่ปี 2014 จนถึงปี 2016 แล้วมีการแบคอัพข้อมูล 1 ครั้ง ส่งผลให้ข้อมูล 2.6 ล้านชุดรายชื่อได้โยกย้ายเข้าไปจัดเก็บ แต่หลังจากปี 2016 จนถึง 2018 มีชุดรายชื่อข้อมูลคงอยู่มากถึง 1.3 ล้านชุดรายชื่อ ที่มีความเสี่ยงถูกเปิดเผยต่อผู้ไม่ได้รับอนุญาต คือบุคคลอื่นๆนั่นเอง


โดยคาดว่า หากไม่มีการแบคอัพในปี 2016 ค่าปรับอาจจะมากกว่า 3 ล้านบาท ก็เป็นได้


ตัวอย่างใกล้ตัวในประเทศไทยเมื่อต้นเดือนกันยายน 2020 ที่ผ่านมา คือ โรงพยาบาลแห่งหนึ่งถูกแฮคข้อมูลและเรียกค่าไถ่เป็นเงิน Bitcoin ซึ่งถ้าไม่จ่าย จะไม่สามารถกู้ข้อมูลลูกค้าหรือคนไข้ที่ถูกแฮคเอาไปได้ และจากเหตุนี้ก็ทราบว่า ทางโรงพยาบาลไม่ได้แบคอัพข้อมูลมาเป็นเวลา 5 ปีแล้ว

ดังนั้นจากเรื่องนี้ที่คล้ายๆกับนินจาแวนคือ จำเป็นต้องมีการออกแบบระบบกระบวนการที่รัดกุมและคิดถึงความเสี่ยงที่จะเกิดขึ้น เป็นสิ่งแรกๆ ซึ่งไม่ใช่แค่ความเสี่ยงเกิดต่อลูกค้า แต่เกิดต่อบริษัท คือค่าปรับและชื่อเสียงองค์กรด้วย

ที่จริงนั้น นินจาแวนมีการโต้แย้ง ว่ามีการร้องเรียนเพียงแค่ 1 ครั้ง และชื่อในระบบนั้น ไม่ใช่ชื่อเต็ม

อีกทั้งยังไม่มีเหตุการณ์ที่นำไปสู่ความเสียหายเกิดขึ้นจริง

และนินจาแวนยังพาดพิงถึงอีก 3 บริษัทขนส่ง ว่ามีความผิดเหมือนกันหรือไม่

แต่โชคดีที่ 3 บริษัทนั้น มีจำนวนของชุดข้อมูลที่มีความเสี่ยง ไม่ถึงล้านชุดรายชื่อ

และยังไม่มีผู้รายงาน จึงถือเป็นการยกประโยชน์ ไม่มีกรณีกับ 3 บริษัทนั้น

แต่นั่นแสดงให้เห็นว่า ถ้าเพื่อนในวงการเราโดน เราก็มีโอกาสโดนตามไปติดๆเลยทีเดียว


เหตุนี้จึงทำให้นินจาแวนถูกตัดสินปรับเป็นเงินเกือบ 3 ล้านบาท

และต้องปฏิบัติตามระเบียบบังคับของกฎหมาย PDPA เร็วที่สุดหรือภายใน 30 วัน

อีกทั้งต้องช่วยเหลือหน่วยงานเพื่อความปลอดภัยทางสารสนเทศเป็นเวลา 1 ปี ในการวางเฟรมเวิร์คสำหรับการปกป้องข้อมูลส่วนบุคคล และฝึกอบรมพนักงานในทุกภาคส่วนที่เกี่ยวข้องให้เข้าใจ PDPA

ซึ่งนินจาแวนก็ได้จัดการข้อมูลที่อยู่บนเว็บไซต์ ให้ไม่มีที่อยู่ปรากฏสำหรับการจัดส่งที่ยังไม่สำเร็จ และกำหนดเวลาที่ข้อมูลจะอยู่บนเว็บไซต์ หลังงานขนส่งสำเร็จเรียบร้อยแล้ว คือ 14 วัน ซึ่งพิจารณาว่าเพียงพอสำหรับกรณีที่อาจมีปัญหาหลังการจัดส่ง

เช่นกันกับธุรกิจของเรา ที่ต้องกำหนดระยะเวลาให้เหมาะสม มีเหตุผลและมีความเสี่ยงน้อยที่สุด ฝึกอบรมพนักงานให้เข้าใจ และทดสอบให้รอบคอบเพียงพอ

ในภาพรวมของการบริหารความสัมพันธ์ลูกค้า นอกจากเคสนี้ที่เกี่ยวข้องกับการบริการลูกค้าแล้ว

ยังมีอีกหลายเคสที่เกี่ยวข้องกับการเปิดเผยข้อมูลลูกค้า เช่น กรณีของ Grab ที่มี Grab carpool

ที่มีผู้โดยสารหลายคนแชร์ค่าใช้จ่าย Grab เมื่อเดินทางไปเส้นทางเดียวกัน Grab จึงมีข้อมูลอีเมล์

และทำการตลาดโดยส่งโปรโมชั่นให้กับผู้โดยสาร carpool คือหลายคนพร้อมกัน


เหตุนี้ ทำให้สามารถเห็นข้อมูลอีเมล์ของคนอื่นได้

โดยการที่ข้อมูลไม่เป็นการส่วนตัวเฉพาะคนนี้ เลยทำให้ Grab ถูกปรับตามกฎหมาย PDPA เป็นเงินจำนวนหนึ่งเช่นกัน


และอีก 2 ตัวอย่างคือ Ikea เฟอร์นิเจอร์ และ Sephora เครื่องสำอาง

มีอีเมล์ลูกค้าและทำการตลาดช่องทางออนไลน์ ปกติจะต้องส่งเป็นส่วนตัว

คือผู้รับจะต้องไม่สามารถเห็นอีเมล์ของคนอื่นได้ ดังนั้นถ้ามีใครส่งโปรโมชั่นหาเรา

จะต้อง To หรือ Copy ก็จะต้องมีแค่อีเมล์เราคนเดียวเท่านั้น


แต่ในกรณี Ikea และ Sephora เมื่อเกิดการผิดพลาดขึ้น อาจจะเป็นเพราะพนักคีย์ข้อมูลผิด field

ทำให้มีการส่งไปหลายร้อยอีเมล์พร้อมกันแบบเห็นอีเมล์คนอื่น

แต่เมื่อรู้ตัวแล้ว Ikea และ Sephora ได้รีบแจ้งลูกค้าผู้ได้รับผลกระทบหรืออาจมีความเสี่ยงถูกเปิดเผยข้อมูลทันที ซึ่งถูกต้องตามหลักการของ PDPA


ซึ่งหากมีการพบการรั่วไหลของข้อมูล ต้องรีบจัดการ แจ้งให้เจ้าตัวได้รู้ทันที จึงไม่เกิดความผิดหรือโดนปรับนั่นเอง


ทบทวนกิจกรรมทางธุรกิจของเราที่เป็นวงจรบริหารความสัมพันธ์ลูกค้า CRM

คือการบริการลูกค้า /การช่วยเหลือ /การดูแลด้านคุณภาพ / และการขาย&การตลาด

อย่างที่กล่าวไปข้างต้น คือจำเป็นต้องวางแผนการเก็บและใช้ข้อมูลให้เหมาะสมและรัดกุม


สำหรับท่านที่ธุรกิจที่กำลังเติบโตระดับหนึ่งแล้วและมีการใช้ระบบอัตโนมัติมาช่วยในกิจกรรมบริหารลูกค้าสัมพันธ์


มีคำแนะนำจากเราว่า อย่าให้ PDPA เป็นอุปสรรคของการทำระบบอัตโนมัติ

บางท่านอาจจะกลัวในเรื่องของความผิดพลาดที่อาจเกิดขึ้น หรือ กลัวว่าความอัตโนมัติอาจจะทำให้ยุ่งยากในการจัดการที่สอดคล้องกับ PDPA


แต่ที่จริงแล้ว ระบบอัตโนมัติ CRM ช่วยได้มากในการเก็บข้อมูล ประมวลผลเพื่อจำแนกประเภทลูกค้า และจะได้ส่งโปรโมชั่นเฉพาะที่เค้าสนใจไปให้


อีกทั้งซอฟท์แวร์ CRM บางตัว ยังมีความสามารถในการกำหนดประเภทข้อมูล

ว่าเป็นข้อมูลส่วนบุคคล ข้อมูลอ่อนไหว หรือไม่

และความจำเป็นที่เราร้องขอข้อมูลนั้นเพื่อทำกิจกรรมอะไรได้ด้วย

เพื่อจะได้กำหนดต่อไปได้ว่า ถ้าหากกิจกรรมนั้นสิ้นสุดแล้ว จะได้จัดการข้อมูลต่อได้

โดยที่กำหนดสิทธิ์ของคนที่เข้าดูได้ด้วย ให้สอดคล้องตามข้อกำหนด PDPA

ซึ่งเครื่องมือบางอย่างเช่น Excel พื้นฐาน อาจจะไม่สามารถช่วยได้ หรือต้องใช้แบบขึ้นสูงนั่นเอง



ดังนั้นมีความสำคัญที่ ต้องออกแบบระบบ หรือหากไม่มีระบบช่วย

จำเป็นต้องออกแบบกระบวนการให้รอบคอบ รัดกุม หากเมื่อใดที่เห็นช่องโหว่ ต้องรีบจัดการ

และควรจะทดสอบ ทดสอบ และทดสอบ เพื่อความแน่ใจว่าจะไม่มีการรั่วไหลของข้อมูล

รวมถึงเลือกใช้เครื่องมือที่จะช่วยเราอีกแรงในการระวังป้องกันการเปิดเผย/รั่วไหล

ทำให้มั่นใจได้มากขึ้นว่าจะไม่ถูกปรับ


และสุดท้าย เรามีเทมเพลต เติมคำในช่องว่าง ให้เป็นอีกหนึ่งเครื่องมือที่ใช้ทบทวนความจำเป็นในการเก็บข้อมูลลูกค้ากัน ให้เป็นด่านแรกของการออกแบบกระบวนการตั้งต้นที่ดีที่จะสอดคล้องกับ PDPA

ซึ่งเป็นสิ่งที่เราใช้เสมอในการให้บริการด้าน CRM


เพื่อจัดการความคิด ให้ลงมาอยู่ในกระดาษ เพื่อจะได้ไม่พลาดวัตถุประสงค์

และทุกธุรกิจควรคำนึงถึง ซึ่งไม่จำกัดว่าจะมีหรือไม่มีระบบ CRM ก็ตาม


สิ่งที่ต้องทบทวนนี้ มี 3 อย่างด้วยกัน โดยเริ่มจากอันดับ 0 คือ

เขียนลงไปว่า ข้อมูลลูกค้าอะไรบ้างที่เราตั้งใจจะเก็บ


1. ทบทวนจุดประสงค์

- ทำไมเราต้องเก็บข้อมูลนี้

- อยากจะเห็นอะไร อยากให้ข้อมูลนี้บอกอะไรเรา

- ใครจะได้ประโยชน์จากข้อมูลนี้ ได้จากทางไหน เช่น เราจะเอามาทำการตลาด เราจะเอามาปรับปรุงสินค้าหรือบริการ หรือจะปรับปรุงกระบวนการใดๆ


2. ทบทวนความจำเป็น

- หากราได้ข้อมูลนี้มาประมวลผล จะทำให้เราบรรลุวัตถุประสงค์จริงๆใช่หรือไม่

- หากมีวิธีอื่นที่ทำให้ได้มาซึ่งปลายทางเหมือนกัน แทนที่จะล่วงรู้ข้อมูลส่วนบุคคลของบุคคล ทำได้หรือไม่


3. ทบทวนความสมดุล

- การใช้ข้อมูลนั้น เป็นไปในทิศทางเดียวกันกับความคาดหวังของลูกค้าหรือไม่

- มีข้อมูลอ่อนไหวหรือไม่

- อะไรอาจจะเกิดขึ้นกับบุคคลนั้น ถ้าเราใช้ข้อมูลนี้


วางแผนกันเพื่อป้องกันโดนการโดนปรับ

สามารถเข้าไปในเว็บไซต์เพื่อดาวน์โหลดเฟรมเวิร์คนี้

และหากต้องการความช่วยเหลือ กรุณาติดต่อเรา


 



Free Download Template

ทบทวนการเก็บข้อมูล

28 views0 comments