บทสัมภาษณ์นี้จะพาทุกท่านมารู้จักกับแพลตฟอร์ม t-reg (Thailand Regulatory Platform) ที่จะช่วยให้องค์กรของคุณทำ PDPA ให้เป็นเรื่อง่าย และครบถ้วนทุกข้อกฎหมาย
ผู้เขียนได้มีโอกาสพูดคุยกับคุณวันพิชิต ชินตระกูลชัย หรือคุณเกี๊ยก CTO ของบริษัท Ragnar Corporation จำกัด ซึ่งเป็นธุรกิจ B2B Cyber Tech & Reg Tech startups สัญชาติไทยที่ให้บริการด้าน PDPA และ Cyber Security โดยเฉพาะ
ที่มาของ Thailand Regulatory Platform (t-reg) แพลตฟอร์ม PDPA สัญชาติไทย
ถ้าจะเล่าเกี่ยวกับความเป็นมาของ t-reg ก็อาจจะต้องย้อนกลับไปตั้งแต่เรื่องของการ transform ธุรกิจของบริษัทเรา คือก่อนหน้านี้เราทำธุรกิจแนวบริการ SI (System Integrator) ในเรื่องของการติดตั้งอุปกรณ์ cyber security ที่ไม่มีการทำ Network และ Server แต่เน้นไปที่ Cyber Security อย่างเดียว
หลังจากเริ่มธุรกิจทางด้าน SI ได้สักพัก รัฐบาลได้มีการประกาศใช้กฎหมายดิจิทัลออกมา ทางเราจึงตอบสนองตัวกฎหมายนี้ด้วยการให้บริการที่ปรึกษาหรือ Consult ซึ่งเมื่อดำเนินงานไปได้สักพัก ทำให้เราพบว่า ในหลาย ๆ งานยังไม่ครอบคลุมสเกลที่มีอยู่ เพราะกว่าจะได้ที่ปรึกษามา 1 คนนั้นเป็นเรื่องที่ยากมาก ๆ เนื่องจากกระบวนการที่ปรึกษา ตัวผู้ให้คำปรึกษาต้องลงไปเก็บข้อมูลด้วยตนเองผ่านการสัมภาษณ์ และสิ่งที่ส่งมอบไปให้ก็คือรายงาน 1 เล่ม และลูกค้าก็นำรายงานจากทางเราไปจัดหาอุปกรณ์ หรือปรับปรุงกระบวนให้เป็นไปตามที่ทางเราแนะนำ ซึ่งกว่าจะจบกระบวนการนึงหรือ ครบข้อกฎหมายกำหนดนั้นใช้เวลานานมาก ทางเราเลยมองเห็นโอกาสจากปัญหาตรงนี้
เมื่อเห็นโอกาส เราจึงตั้งคำถามว่า
“ เราสามารถทำให้กระบวนการ Cyber security รวดเร็วกว่านี้ได้หรือเปล่า? ใช้เวลาในกระบวนการต่าง ๆ นี้ได้น้อยลงกว่าเดิมหรือไม่? ”
จากข้อนี้เราจึงสร้าง platform ที่มีชื่อว่า t-reg ขึ้นมา ช่วงพัฒนาแรก ๆ เราก็นำมาใช้ภายในให้ Consult ใช้งานเวลาให้คำปรึกษา แต่ ณ ปัจจุบันเราได้พัฒนาตัว t-reg ให้ลูกค้า สามารถใช้งานเองได้
พัฒนาการของ t-reg ตั้งแต่เริ่มจนถึงปัจจุบัน ทำอย่างไรให้แพลตฟอร์มเข้าใจผู้ใช้มากที่สุด
จากที่ผมเล่ามาก่อนหน้านี้เกี่ยวที่มาของแพลตฟอร์ม t-reg ที่เมื่อก่อนให้บริการด้านการคำปรึกษาอย่างเดียว และเราได้เห็นปัญหาในเรื่องของระยะเวลาในการทำตามกระบวนการต่าง ๆ ให้ถูกกฎหมายนานเกินไป จึงสร้างแพลตฟอร์มนี้ขึ้นมา
แรกเริ่มคือให้ที่ปรึกษาในบริษัทของเราใช้ โดยก่อนเริ่มทำ PDPA มีสิ่งที่เราต้องทำเป็นอย่างแรกก็คือการทำ RoP (Records of processing activities) เพื่อให้องค์กรที่เราให้คำปรึกษาได้เห็นก่อนว่าในองค์กรของลูกค้าใช้ข้อมูลส่วนบุคคลไปกับงานส่วนไหน อย่างไรบ้าง ซึ่งก่อนหน้านี้ทางที่ปรึกษาของบริษัทจะทำเป็นไฟล์ excel แนบไปกับรายงาน โดยกว่าจะได้ RoP มาในแต่ครั้งต้องไปสัมภาษณ์หลายฝ่าย แล้วนำข้อมูลมากรอกลง excel ซึ่งข้อมูลส่วนนี้สามารถปรับเปลี่ยนได้ตลอดเวลาตั้งแต่เริ่มจนจบโครงการ ซึ่งทำให้ต้องการอัพเดตตลอดเวลา และใช้เวลานานในการทำ เพราะต้องส่งไปให้ฝ่ายอื่น ตรวจสอบ และรีวิวกลับมา
ถึงแม้จะปรับไปใช้ document on cloud อย่าง Google sheet และ Google Doc ต่าง ๆ ก็ยังพบปัญหาว่าข้อมูลบางส่วนมีการแก้ไขโดยที่เราไม่สามารถรู้ได้ว่าใครเป็นคนแก้ไข และแก้ไขไปตอนไหน ก็เลยสร้างแพลตฟอร์ม t-reg ตัวนี้ออกมา
ช่วงแรกเป็นเครื่องมือสำหรับที่ปรึกษาเพียงอย่างเดียว แต่ในภายหลังก็นำมาให้ลูกค้าเครื่องมือแบบที่ไม่มีการให้คำปรึกษาก็พบว่ายังไม่เวิร์กเหมือนกันเพราะว่ากฎหมาย PDPA และตัวแพลตฟอร์มนี้เป็นเรื่องใหม่ ดังนั้นจึงมีการปรับจูนใหม่อีกครั้งให้ตรงกับ Customer Experience คือต้องมีที่ปรึกษาพร้อมกับ t-reg ไปด้วยกัน
โดยการทางผู้ให้คำปรึกษาของทางบริษัทเราก็จะมีการทำงานตาม Methodology 3.0 ซึ่งเป็นกระบวนการให้คำปรึกษาที่ถูกออกแบบมาประสานงานกันระหว่างงานที่ปรึกษา และตัว t-reg สามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพและมีความรวดเร็วมากยิ่งขึ้น
จากเคสการใช้งาน ทำให้ผู้ใช้ t-reg เข้าใจ และปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง
จริง ๆ แล้วในส่วนของข้อมูล PDPA ถ้าเรามองเคสการใช้งาน เราจะมองเป็น 2 ด้านก็คือด้านข้อมูลขาเข้า และข้อมูลขาออก ข้อมูลขาเข้าจะเกี่ยวข้องในเรื่องของการทำ consent หรือขอความยินยอมในการเก็บใช้เผยแพร่ข้อมูลส่วนบุคคล โดยตัว t-reg ของเรานี้จะมี toolkit ที่สามารถนำไปแปะตามเว็บไซต์ หรือแบบฟอร์มต่าง ๆ กระทั่งเป็น API ของลูกค้าที่เก็บข้อมูล consent เข้ามาเก็บที่ t-reg ซึ่งเราจะพบเคสส่วนใหญ่ในเรื่องนี้ ไม่ว่าจะเป็นในรูปแบบ consent ที่อยู่บนเว็บ, ใบสมัคร และคุกกี้บนเว็บไซต์ต่าง ๆ
ส่วนอีกเคสจะเป็นเรื่องเกี่ยวกับการนำข้อมูลไปใช้ ซึ่งเกี่ยวข้องกับฝ่ายการตลาด ฝ่ายดูแลลลูกค้าสัมพันธ์ที่ต้องเข้ามาตรวจสอบใน t-reg ว่าลูกค้าแต่ละท่าน consent ในข้อมูลส่วนไหนบ้าง และท่านไหนที่เราสามารถนำข้อมูลไปทำการตลาด
นอกจากนี้ยังมีการทำ RoP ภายในองค์กร ตัว t-reg ของเราก็จะมี Dashboard แสดงให้ผู้ใช้เห็นถึงภาพรวมของข้อมูลส่วนบุคคลต่าง ๆ ไม่ว่าจะเป็นจัดเก็บข้อมูลใดบ้าง มีข้อมูลอ่อนไหวอะไรบ้างที่ถูกจัดเก็บ จัดเก็บไว้ในที่ และมีแผนกไหนใช้ข้อมูลส่วนบุคคลบ้าง
รวมถึงเคสของการทำ Gap Analysis หรือ Sales Assessment แพลตฟอร์ม t-reg ของเราก็จะมีฟังก์ชันให้ทาง DPO สามารถเข้าไปประเมินได้ว่าองค์กรของเราทำ PDPA ไปแล้วกี่ % มีส่วนไหนบ้างที่เป็น Gap หรือว่าต้องไปทำเพิ่มเพื่อให้ comply กับกฎหมาย PDPA จากที่กล่าวมาทั้งหมดก็จะเป็น Business Case หลัก ๆ ที่เกี่ยวข้องกับแพลตฟอร์ม t-reg
ไม่หยุดที่จะพัฒนา t-reg ให้องค์กรสามารถใช้งานแพลตฟอร์มนี้ได้แบบไม่สะดุด
ในส่วนของ t-reg ที่เกี่ยวข้องกับกฎหมาย PDPA เมื่อย้อนกลับไปในช่วง 1-2 ปีที่แล้ว จุดที่ยากก็น่าจะเป็นเรื่องของการเริ่มต้น เพราะข้อมูลต่าง ๆ และ business ที่เกี่ยวข้องในประเทศไทยยังน้อย จึงเกิดคำถามว่า consent ต้องทำอย่างไร แปะไว้ส่วนไหนบ้าง
แต่ในปัจจุบันเริ่มมี practice ออกมาค่อนข้างเยอะ และองค์กรในไทยมี awareness ค่อนข้างสูงขึ้น จุดที่ยากเลยเปลี่ยนจากความรู้ด้านกฎหมาย และ practice ต่าง ๆ เป็นการออกแบบการทำงานของ t-reg อย่างไรให้การทำงานของลูกค้าที่เป็นผู้ใช้ไม่สะดุด พร้อมกับการปฏิบัติตามกฎหมาย PDPA ไปด้วยเช่น ทำอย่างไรให้ฝ่ายการตลาด ฝ่ายการขาย หรือลูกค้าสัมพันธ์สามารถใช้ข้อมูลลูกค้าได้เหมือนก่อนที่กฎหมายบังคับใช้
ดังนั้นสิ่งที่ t-reg จะ focus ใน road map อนาคตเลยก็คือ เน้นไปที่การ integration เช่นเมื่อทางทีม product ทำเว็บไซต์ขึ้นมาใหม่ เราจะทำอย่างไรให้ consent ถูกแปะและเก็บที่ t-reg อย่างรวดเร็ว โดยที่ผู้ใช้แพลตฟอร์มไม่ต้องกังวลเรื่องการ integration นอกจากนี้ยังมองเห็นถึงการนำ t-reg ไปใช้กับ product อื่น ๆ ที่ลูกค้าใช้งานเช่น office365, google form หรือ Microsoft form ได้อย่าง seamless
อยากยกระดับองค์กรไทยให้เท่าทันมาตรฐานสากลแบบทั่วถึงทุกภาคส่วน
ด้วยความที่ประเทศไทยได้ออกกฎหมายเกี่ยวกับ Cyber Security และ PDPA ออกมาเพื่อรองรับสังคมดิจิทัล ทางบริษัท Ragnar ของเราก็ได้ปฏิบัติตามกฎหมายที่ออกมาเช่นเดียวกัน อย่างช่วงแรกที่เราทำแบบ SI ที่ขาย Cyber Security Solution หรือว่าตัว Reg-Tech จากต่างประเทศ เราก็พบว่าลูกค้าของเราเป็นแบบลูกค้าไฮ-เอนด์ หรือว่าระดับใหญ่ในประเทศนั้น ซึ่งก็เกิดคำถามในใจว่าทำไมมาตรฐานสากลที่เกี่ยวกับเรื่อง Cyber Security และ PDPA ถึงต้องใช้การลงทุนสูงมากทั้งเรื่องของเงิน และเวลา ทำให้องค์กรขนาดกลาง หรือขนาดเล็กไม่สามารถปฏิบัติตามมาตรฐานสากล ด้วยทรัพยากรในองค์กรที่มีอย่างจำกัด เราเลยมองว่า t-reg ของเราเนี่ยเป็นตัว springboard ที่ไม่ว่าองค์กรขนาดเล็ก หรือกลางสามารถนำมาตรฐานสากลต่าง ๆ มา implement โดยต้นทุนที่ไม่สูงมากทั้งในเรื่องของค่าใช้จ่าย และเวลา
อีกสิ่งหนึ่งที่เรานึกถึงเลยก็คือเรื่องของการให้ความรู้ สำหรับองค์กรบางแห่งที่มีจำนวนพนักงานอยู่ที่ 10-50 คน และอาจจะไม่ได้จำเป็นต้องใช้แพลตฟอร์มทำ PDPA สามารถใช้วิธีเดิมในการจัดการข้อมูลให้ comply กับกฎหมาย PDPA ได้ผ่าน excel หรือ google sheet ทางเราก็ได้คิดค้นโครงการ opensource ที่มีชื่อว่า “OpenPDPA” ที่จะมีการแจกเอกสาร template document นโยนบายความเป็นส่วนตัวต่าง ๆ ที่สามารถนำไปใช้ได้ฟรี
ดังนั้นผมมองว่าสิ่งที่ t-reg สามารถช่วยสังคมไทยได้ ก็คือการนำมาตรฐานสากลที่เกี่ยวกับ Cyber Security และ มา implement ให้แก่องค์กรในไทยได้อย่างทั่วถึงทุกภาคส่วน และการให้ความรู้เกี่ยว Cyber Tech และ Reg Tech แบบที่เราถนัด
แสดงความมั่นใจให้คู่ค้าระหว่างประเทศด้วยการ comply กฎหมาย PDPA
หลายท่านอาจจะมองว่าการทำให้ comply กับตัวกฎหมาย PDPA อาจจะมีเรื่องของต้นทุน แต่ในเคสของต่างประเทศมองว่าส่วนนี้เป็นการลงทุน (investment) กล่าวคือก่อนที่เราจะทำตามกฎหมาย PDPA เพราะว่าในสากลก็มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นกัน อย่างใน EU ที่เรารู้กันในชื่อของ GDPR และหลาย ๆ ประเทศก็ปฏิบัติตามกฎหมายตัวนี้ ซึ่งประเทศไหนที่ยังไม่ได้ทำตามกฎหมาย GDPR ทาง EU ก็จะแจ้งเตือนประชาชนให้ระวังเรื่องการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลกับบริษัทที่มาจากประเทศนั้น ๆ
ฉะนั้นถ้าเราไม่มีมาตรฐาน หรือไม่ทำตามกฎหมาย PDPA เราก็จะไม่สามารถเข้าถึงโอกาสทางด้านการค้า และอื่น ๆ ได้ ต่างชาติก็จะมองว่าบริษัทของเรายังไม่ได้มาตรฐาน ดังนั้นการทำตามกฎหมาย PDPA นี้ก็ถือว่าเป็นการยกระดับบริษัทของท่านให้เท่าทันกับข้อปฏิบัติหรือ กฎหมายของต่างประเทศ ซึ่งหลาย ๆ องค์กรที่เป็นลูกค้าของ t-reg ก็ใช้บริการของเราในการริเริ่มทำสิ่งอื่น ๆ ต่อเช่นการทำ Digital Transformation ด้วยการรวมถังข้อมูลของลูกค้ามาไว้ที่เดียว และการทำ Preference Management รู้ว่าลูกค้าต้องการอะไรจากบริษัทของเรา ทำให้เราเก็บข้อมูลลูกค้าน้อยลง และสามารถนำข้อมูลที่ได้ให้ฝ่ายการตลาดทำข้อมูลได้อย่างตรงจุดมากยิ่งขึ้น ซึ่งสิ่งนี้ก็เป็น opportunity ที่เรามองเห็นจากการทำ PDPA ด้วยแพลตฟอร์ม t-reg ของเราครับ
