ย้อนไปเมื่อครั้งที่ผู้นำคนสำคัญทางด้านการศึกษาให้โอกาสสนทนาในประเด็นการขับเคลื่อนสถาบันอุดมศึกษาหรือมหาวิทยาลัยของประเทศไทยสู่การเป็น Digital University หรือ Smart University เต็มรูปแบบ ศ. ดร. นพ.สิริฤกษ์ ทรงศิวิไล ปลัดกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม (อว.) ชี้ให้เห็นความสำคัญของสถาบันอุดมศึกษาว่ามหาวิทยาลัยนั้นเป็นหัวหอกของทุก ๆ สังคม ทั้งยังเป็นพื้นที่ที่รวบรวมองค์ความรู้ต่าง ๆ เอาไว้ และด้วยภารกิจหน้าที่ในการสร้างและผลิตคนยุคใหม่ มหาวิทยาลัยจึงมีบทบาทสำคัญในการพัฒนาและสร้างความเปลี่ยนแปลงประเทศ
ด้าน รศ. ดร.พีรเดช ทองอำไพ ผู้อำนวยการสถาบันคลังสมองของชาติ กล่าวไว้ว่าเรื่องของการขับเคลื่อนมหาวิทยาลัยของประเทศไทยสู่การเป็น Digital University หรือ Smart University เต็มรูปแบบนั้นเป็นเรื่องใหญ่และมีองค์ประกอบหลากหลาย ทั้งนี้มหาวิทยาลัยของประเทศไทยสามารถแบ่งออกเป็น 3 กลุ่มตามลักษณะของพีระมิด ได้แก่ 1) กลุ่มยอดของพีระมิด คือ มีความพร้อมหรือใกล้เคียงกับการเป็น Digital University หรือ Smart University เต็มรูปแบบ 2) กลุ่มกลางของพีระมิด คือ กลุ่มมหาวิทยาลัยที่มีศักยภาพในการพัฒนา และมีความต้องการพัฒนา สุดท้ายคือ 3) กลุ่มฐานของพีระมิด เป็นกลุ่มมหาวิทยาลัยส่วนใหญ่ของประเทศไทย ซึ่งยังไม่ได้เริ่มทำอะไร อยู่ในช่วงรีรอและดูว่ากลุ่มที่ 1-2 จะไปถึงไหน “สิ่งที่เราอยากจะทำก็คือขยับกลุ่มล่างให้ขึ้นมาเป็นกลุ่มที่ 2 และขยับกลุ่มที่ 2 ให้ขึ้นมาเป็นกลุ่มที่ 1 ในที่สุดแล้วมหาวิทยาลัยของของประเทศไทยก็จะสามารถเข้าสู่การเป็น Digital University เต็มรูปแบบได้ทั้งประเทศ”
ทั้งนี้ 3 องค์ประกอบหลัก ได้แก่ 1) ฮาร์ดแวร์ ซึ่งหมายถึงเครื่องไม้เครื่องมือ ระบบเครือข่าย ฯลฯ 2) ข้อมูล หรือ Data ซึ่งรวมไปถึงซอฟต์แวร์ต่าง ๆ และ 3) คน คือกลไกสำคัญในการขับเคลื่อนมหาวิทยาลัยของประเทศไทยสู่เป้าหมายของการเป็น Digital University หรือ Smart University เต็มรูปแบบนั่นเอง โดย ศ. ดร. นพ.สิริฤกษ์ ย้ำว่าความสำคัญของการเป็น Digital University คือ การเชื่อมโยง (Connect) ตั้งแต่ระบบ ข้อมูล และคนเข้าด้วยกัน ซึ่งที่สุดแล้วผลลัพธ์ยังไปไกลกว่าการขับเคลื่อนมหาวิทยาลัยแต่ละแห่ง หากเป็นการขับเคลื่อนกระบวนการของการอุดมศึกษา และขับเคลื่อนประเทศไทยให้ชัดเจนยิ่งขึ้น
จากการร่วมสนทนาออนไลน์ Digital University : Enabling The Smart Society ในประเด็น All About Data : Toward Data Driven Organization ผู้ทำงานและมีประสบการณ์เกี่ยวกับ ‘ข้อมูล หรือ Data’ ในหลากหลายมิติได้ร่วมถ่ายทอดเรื่องราวที่แตกต่าง อาทิ การพัฒนาองค์กรสู่การเป็น Data Driven Organization ไปจนถึงแนวทางการควบคุมและกำกับดูแลการใช้ข้อมูลอย่างถูกต้องและเหมาะสม เพราะ Data หรือข้อมูลได้รับการกล่าวถึงและนำไปใช้ประโยชน์อย่างกว้างขวาง รวมทั้งการพัฒนาการศึกษาของประเทศ ดังที่กล่าวไว้ข้างต้นว่า ข้อมูล หรือ Data คือหนึ่งในองค์ประกอบหลักซึ่งเป็นกลไกสำคัญในการขับเคลื่อนมหาวิทยาลัยของประเทศไทยสู่เป้าหมายของการเป็น Digital University หรือ Smart University เต็มรูปแบบนั่นเอง
คำสำคัญและความเชื่อมโยงของการใช้ Data
ก่อนอื่น อาจารย์ดนัยรัฐ ธนบดีธรรมจารี ผู้ดูแลโครงการพัฒนาแพลตฟอร์มต้นแบบในการขับเคลื่อนมหาวิทยาลัยดิจิทัล นำทุกคนไปรู้จักกับคีย์เวิร์ดสำคัญเกี่ยวกับ Data ไล่เลียงตั้งแต่ Data Driven Organization, Data Catalog, Data Governance และ Open Data ตามลำดับ กล่าวคือ ‘Data Driven Organization’ แปลความหมายอย่างตรงตัว คือ องค์กรที่ขับเคลื่อนด้วยข้อมูล หากต้องลงลึกว่าองค์กรที่ขับเคลื่อนด้วยข้อมูลในอดีตนั้นเป็นข้อมูลอย่างไรและของใคร เพราะปัจจุบัน องค์กรยุคใหม่ที่ขับเคลื่อนด้วยข้อมูลมองทั้งข้อมูลภายในที่องค์กรผลิตเองและข้อมูลภายนอกที่องค์กรเชื่อมโยงมาใช้ ข้อมูลที่เป็นโครงสร้างที่อยู่บนตัวประมวลผล (Data Base) จนไปถึงข้อมูลที่ไม่มีโครงสร้าง อาทิ ข้อมูลจากกล้องวงจรปิด ข้อมูลจากเสียงบันทึก หรือแม้แต่ข้อมูลชีวภาพของร่างกาย เป็นต้น โดยหัวใจสำคัญอยู่ที่การใช้ข้อมูลอย่างแท้จริง ปราศจากอคติ หรือการคิดเดาเอาเอง
ส่วนคำว่า ‘Data Catalog’ หมายถึง บัญชีชุดข้อมูลที่องค์กรจัดทำขึ้นเพื่อให้พร้อมใช้ สามารถบอกได้ว่าใครเป็นเจ้าของ และมีวิธีการใช้งานอย่างไร ส่งผลให้ทุกคนในองค์กรเห็นภาพตรงกันว่าองค์กรมี Data Catalog อะไรที่สามารถนำไปใช้งานต่อหรือต่อยอด และยังสอบถามกับผู้เป็นเจ้าของบัญชีชุดข้อมูลนั้น ๆ ในกรณีที่ไม่เข้าใจ ต่างจากอดีตที่ยกให้ส่วนเทคโนโลยีสารสนเทศ หรือ IT ดูแลทั้งหมด หากปัจจุบัน IT รับผิดชอบบทบาทหน้าที่ในการเป็นผู้จัดเก็บและสำรองข้อมูล รวมถึงสนับสนุนเรื่องความมั่นคงปลอดภัยเป็นสำคัญ
ต่อกันที่คำว่า ‘Data Governance’ ซึ่งอาจารย์ดนัยรัฐอธิบายว่าเมื่อองค์กรพร้อมด้วยบัญชีชุดข้อมูล หรือ Data Catalog ที่ดีแล้ว คำถามที่น่าสนใจคือทำอย่างไรองค์กรจึงจะมีการกำกับดูแลที่ดี Data Governance ซึ่งหมายถึงองค์กรที่มีการกำกับ ดูแล และบังคับใช้นโยบายข้อมูลอย่างเป็นทางการ ส่งผลให้เกิด 3 ผลลัพธ์สำคัญ ได้แก่ ความมั่นใจเรื่องคุณภาพของข้อมูลที่ดียิ่งขึ้น ความมั่นคงปลอดภัยของของข้อมูล และเรื่องข้อมูลส่วนบุคคล ซึ่งนำมาสู่ PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ เมื่อกล่าวถึง Data Governance อาจารย์ดนัยรัฐกล่าวว่าไม่ต้องทำให้ยาก “ใช้เหล้าเก่าในขวดใหม่ได้เลย Body คือ People ส่วน Governance Process คือ Process & Policies และเทคโนโลยี คือ Tools และ Repositories ที่จะเก็บนโยบายต่าง ๆ ไม่ให้ใครแก้โดยไม่ได้รับสิทธิชอบ” ถ้าเปรียบเป็นบ้านหลังหนึ่ง หลังหลังคาบ้านแบ่งออกเป็นคณะทำงานกับคณะกรรมการของธรรมาภิบาลข้อมูล พื้นที่กลางบ้าน คือ สิ่งที่น่าสนใจ เพราะว่าด้วย ‘การกำหนดเป้าหมาย’ และดังที่ให้รายละเอียดไว้ในส่วน 3 ผลลัพธ์สำคัญจาก Data Governance ข้างต้น คือ คุณภาพ มั่นคงปลอดภัย และการดูแลข้อมูลส่วนบุคคล จึงถือว่าเป็นเป้าหมายของ Governance ซึ่งเป็นการกำกับและบังคับใช้ โดยหลังจากได้ Governance จะต่อยอดไปที่บัญชีข้อมูล ไปสู่การเชื่อมโยงและสร้างนวัตกรรม “การเขียนนโยบาย ไม่ว่าจะเป็นเรื่อง PDPA หรือนโยบายข้อมูลที่ไม่ใช่ข้อมูลคน ต้องรู้ว่าใครใช้ ใครผลิต แล้วการกำกับการใช้และการผลิตคืออะไร” ส่วนที่ 3 ของบ้าน คือ นโยบาย จะเป็นไปไม่ได้ ถ้าออกนโยบายมาก่อนโดยที่องค์กรไม่รู้จักพฤติกรรมของข้อมูล “ครับ เราก็จะมี People เป็นหลังคา Process & Policy เป็นตัวบ้าน และเทคโนโลยี คือ Tools และ Repositories ก็คือ ที่จัดเก็บ ซึ่งรวมตั้งแต่รายงานการประชุม ที่จัดเก็บชุดข้อมูล ที่จัดเก็บนโยบายข้อมูล ที่จัดเก็บผลการประเมินข้อมูล เป็นแบบให้คนที่ไม่มีสิทธิ์ ไม่ให้เข้ามาแก้ไข จะได้โปร่งใส เป็นธรรม และสามารถตรวจสอบย้อนกลับได้บน Repositories ได้”
สำหรับ ‘Open Data’ หรือข้อมูลเปิด คือ ข้อมูลที่ผู้ใช้สามารถนำข้อมูลนั้น ๆ ไปใช้ได้โดยไม่มีค่าใช้จ่าย โดยองค์กรจะต้องเลือกข้อมูลจากการทำ Data Driven กล่าวคือเป็นข้อมูลที่ปราศจากอคติ สามารถเลือกใช้จากทั้งข้อมูลที่จัดเก็บเองหรือข้อมูลจากภายนอก ทำบัญชีชุดข้อมูล (Data Catalog) ผ่านกระบวนการ Data Governance และได้รับการพิจารณาเรียบร้อยแล้วว่าข้อมูลอะไร Open ได้ หรือข้อมูลอะไร Open ไม่ได้ Open นอกจากนี้ Open Data ยังส่งผลให้เกิดเรื่องราวของ Digital Economy อย่างรวดเร็วและมีประสิทธิภาพมากขึ้นอีกด้วย
นอกจากนี้สิ่งที่จะขาดไปไม่ได้ระหว่างความสัมพันธ์อันแนบแน่นของข้อมูลกับการขับเคลื่อนองค์กร คือ พิมพ์เขียวองค์กร (Enterprise Blueprint) ซึ่งทำให้องค์กรหรือมหาวิทยาลัยรู้ว่าองค์ประกอบสำคัญขององค์กรคืออะไร อาทิ องค์ประกอบหลักของมหาวิทยาลัย คือ งานสอน งานเรียน งานวิจัย งานดูแลรักษาวัฒนธรรม ถือเป็นงานที่อยู่กลางบ้าน ส่วนหน้าบ้าน เช่น งานประชาสัมพันธ์ งานรับร้องเรียน งานที่เกี่ยวกับสมาคมศิษย์เก่า ฯลฯ และงานหลังบ้าน คือ งานบัญชี การเงิน หน่วยงานกลางต่าง ๆ เป็นต้น ทั้งนี้การจะรู้ว่าทั้ง 3 ส่วนนี้ใช้ข้อมูลอะไรร่วมกัน จะต้องทำ Data Profiling จากพิมพ์เขียวองค์กรให้เป็นหลักฐานเชิงประจักษ์ (Evidence) เพื่อให้ทุก ๆ คนเห็นและเข้าใจภาพตรงกัน ทั้งยังส่งผลให้มีการสกัดข้อมูลและนำความรู้มาใช้เป็นกลยุทธด้านข้อมูลขององค์กร ซึ่งไม่เพียงแต่จะเห็นว่าใครต้องการใช้อะไรร่วมกัน แต่ยังทำให้เห็นอีกด้วยว่าใครผลิตอะไรซ้ำกัน จะนำเทคโนโลยีเข้ามาขับเคลื่อนองค์กรยุคดิจิทัลอย่างไรที่ไม่ให้เกิดความซ้ำซ้อนอันจะนำไปสู่ความขัดแย้ง เป็นการทำเรื่องยากให้เป็นเรื่องที่เข้าใจง่ายขึ้น ถือเป็นจุดเริ่มต้นหรือบันไดขั้นที่ 1 ของการทำข้อมูลคุณภาพที่มีภาพชัดเจนถึงที่มาที่ไป และเป็นวิธีการรวบรวม Data Catalog ด้วย
“เมื่อเห็นภาพกระบวนการในการสกัดข้อมูลผ่านการทำงานต่าง ๆ ขององค์กร จึงบอกได้ว่าข้อมูลที่จะใช้มีอะไรและผลิตอะไร ไม่มีอะไรที่เป็น Magic หรือ Miracle เพราะเป็นสิ่งที่ทำให้เกิดความเป็นระบบ กล่าวคือภารกิจต่าง ๆ ข้อมูลที่ผลิตและใช้เอง ข้อมูลที่ต้องการใช้แต่ไม่สามารถผลิตเอง เมื่อมองย้อนกลับจะเห็นว่าใครเป็นผู้ผลิตข้อมูลขึ้นมาก่อน เรียกว่า Data Marketplace” อาจารย์ดนัยรัฐอธิบาย “ที่กล่าวถึง Data Driven ก็จะเป็นการ Driven อย่างแท้จริง เพราะจะเห็นว่าฉันผลิตอันนี้ เมื่อมองทวนเข็มก็พบว่าคนนั้นก็ผลิตอันนี้ และเมื่อมองตามเข็มจะเห็นว่ามีผู้ใช้ไหม หรือจะมีการทำข้อมูลผิดแล้วไหลมาให้กับเรา เราจะเตรียมตัวเตรียมใจและเตรียมกระบวนการทำงานอย่างไรให้ตอบโจทย์งานของเรา นี่แหละที่เรียกว่า Driven”
นอกจากการใช้พิมพ์เขียวองค์กรเพื่อให้มองเห็นส่วนงานต่าง ๆ แล้ว ยังสามารถนำข้อมูลที่เกิดจากการสรุประหว่างกระบวนการทำงานมาวิเคราะห์และต่อยอดใช้งานต่อไปในอนาคต (Data Analytics) อาทิ งานของมหาวิทยาลัยในการสร้างหลักสูตรสำหรับ Aging Society การทำ Experience Management การทำ Sandbox การจัดการเรื่อง Smart City หรือเรื่อง Co-innovation กับหอการค้าหรือหน่วยงานต่าง ๆ ของจังหวัด เป็นต้น ทั้งนี้ Data Analytics สามารถควบคุมกระบวนการต่าง ๆ (Control Process) และวิเคราะห์ความเสี่ยงที่เกิดขึ้นในองค์กรได้
“ความเข้าใจผิดที่เกิดขึ้นในปัจจุบันของการทำ Data ได้แก่ 1) เข้าใจผิดว่าเป็นหน้าที่ของแผนกไอทีเท่านั้น 2) เข้าใจผิดว่าผู้บริหารจะต้องเขียนโปรแกรมเพื่อวิเคราะห์ข้อมูลด้วยตนเอง 3) เข้าใจผิดว่าการวิเคราะห์ข้อมูลสามารถทำได้เลย โดยไม่ต้องคำนึงถึงการรักษาความมั่นคงปลอดภัยและการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล 4) เข้าใจผิดว่าต้องเป็นงานของการพัฒนาปัญญาประดิษฐ์ หรือการวิเคราะห์ข้อมูลโดยใช้หลักสถิติขั้นสูงเท่านั้น และ 5) เข้าใจผิดว่าการวิเคราะห์ข้อมูลไม่มีความจำเป็นเนื่องจากประสบการณ์และการตัดสินใจของผู้บริหารนั้นดี ไม่มีที่ติ “จากตรงนี้ขอฝาก 3 คำไว้ในวันนี้ คือ ซ่อม สร้าง เสริม กล่าวคือ ซ่อมในจุดที่ต้องใช้ สร้างที่มันจะก่อประโยชน์ให้เกิดขึ้นในอนาคต เสริมก็คือการแบ่งปัน ช่วยเหลือมหาวิทยาลัยอื่นหรือคนอื่นในสังคม มันจะทำให้เราอยู่ได้ และคนอื่นก็จะอยู่ดี”
Digital Transformation ที่ให้ความสำคัญกับข้อมูลและกระบวนการการจัดการข้อมูล
ด้าน คุณวิธีร์ พานิชวงศ์ ผู้อำนวยการสำนักพัฒนาองค์กรดิจิทัล สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) นำทุกคนไปรู้จักคำว่า ‘ดิจิทัล’ ในมุมมองของ กสทช. ว่าไม่ใช่ดิจิทัลเทคโนโลยี และไม่ใช่ไอที หากเป็น ‘เรื่องข้อมูลและกระบวนงานที่เกี่ยวข้อง’ ซึ่งสิ่งเหล่านี้อยู่ที่ ‘คน’ เพราะฉะนั้น กสทช. จึงทำ Digital Transformation ในส่วนของกระบวนการการจัดการข้อมูล และให้ความสำคัญกับคนเป็นอันดับหนึ่ง
“เมื่อเราดู Data Catalog แล้ว ก็จะรู้ว่า Data อยู่ที่ไหน Data คืออะไร และจะนำ Data ไปทำอะไร นี่คือหัวใจสำคัญที่สุด” คุณวิธีร์กล่าว “ในมุมของ กสทช. เรามีข้อมูลจำนวนมากที่เกิดขึ้นในระบบ แต่จะรู้ได้อย่างไรว่าเราจะจัดเก็บหรือจัดการข้อมูลนั้น ๆ อย่างไร สิ่งแรกคือการรู้ภารกิจหลัก (Flagship หรือ Core Duty) ขององค์กรว่าทำอะไร เช่น ภารกิจหลักของ กสทช. คือการอนุญาต การกำกับดูแลในกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม จากนั้นจึงดูว่า กสทช. มีข้อมูลอะไรที่สามารถสนับสนุนภารกิจหลักขององค์กร โดย กสทช. แบ่งข้อมูลออกเป็น 2 ส่วน ได้แก่ External Data อาทิ อุตสาหกรรมของโทรคมนาคมในปัจจุบันเป็นอย่างไร ประชาชนพูดถึงการให้บริการของโอเปอเรเตอร์ในกิจการโทรคมนาคมอย่างไร ประชาชนพูดถึงทีวีดิจิทัลหรือกิจการกระจายเสียงอย่างไร เป็นต้น ซึ่งถ้ามองให้ลึก External Data ยังนำมาซึ่งความต้องการใช้ข้อมูล (Demand) ส่วนที่ 2 คือ Internal Data ซึ่ง กสทช. จะมองว่าองค์กรมีข้อมูลอะไรที่ตอบสนองการกำกับดูแลของ กสทช. หรือแม้กระทั่งการกำหนดนโยบายต่าง ๆ ที่ส่งผลกระทบหรือทำให้อุตสาหกรรมที่ กสทช. กำกับดูแลสามารถเติบโตได้”
คุณวิธีร์ฉายภาพที่ชัดเจนยิ่งขึ้นว่าเมื่อองค์กรรู้ว่าต้องการข้อมูลอะไร จึงสามารถเริ่มทำรายละเอียดว่าข้อมูลนั้น ๆ เป็นของใคร มาจากไหน ระบบไหน และเอาไปทำอะไร กล่าวคือเมื่อเติมรายละเอียดข้อมูลที่ต้องการแล้วจะสามารถย่อยรายละเอียด (Scope Down) ได้ เรียกว่าจากโลกที่มีข้อมูลมหาศาล สามารถ Scope Down มาสู่ Flagship ของธุรกิจหรือองค์กร “เมื่อเติมรายละเอียดของข้อมูล ทุกอย่างเป็นระบบเป็นระเบียบ การเข้าถึงข้อมูลก็จะง่าย สามารถแชร์ข้อมูลได้ พร้อมใช้ การยกระดับภารกิจขององค์กรก็ทำได้ง่ายเช่นกัน” คุณวิธีร์ยกตัวอย่างเรื่องข้อมูลและกระบวนงานที่เกี่ยวข้องจาก กสทช.
PDPA กับการดูแลและรับผิดชอบข้อมูลส่วนบุคคลอย่างเหมาะสม
ในประเด็นเรื่องข้อมูลส่วนบุคคล นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์ โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล ให้ความรู้กันชัด ๆ ว่าข้อมูลส่วนบุคคลถือเป็นประเภทของข้อมูลแบบหนึ่งและมีความพิเศษ ที่แม้ว่าองค์กรจะเป็นผู้ถือ ควบคุมดูแล และรู้สึกว่าเป็นเจ้าของตัวข้อมูล หากในความเป็นจริงก็คือเจ้าของที่แท้จริง ได้แก่ คนที่ข้อมูลนั้น ๆ กล่าวถึง เพียงแต่อยู่ในความดูแลและควบคุมของหน่วยงานหรือองค์กรต่าง ๆ
“ทุกองค์กรต้องใช้ข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของข้อมูลแน่ ๆ จริง ๆ ข้อมูลส่วนบุคคลคือข้อมูลที่ระบุตัวตนของบุคคลได้ไม่ว่าจะโดยตรงหรือโดยอ้อม โดยตรงคือการระบุตัวตนได้ มี ID มีชื่อ หรือมีอะไรที่เชื่อมโยงได้ ขณะที่ข้อมูลส่วนบุคคลโดยอ้อมคือข้อมูลที่มีชิ้นข้อมูล (Data Elements) ที่มากพอและนำไปสู่การคาดเดาได้ข้อมูลเป็นของใครหรือเกี่ยวกับใคร” นพ.นวนรรนอธิบาย “PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งบังคับใช้ในวันที่ 1 มิถุนายน 2565 เนื่องจากข้อมูลมีความเกี่ยวข้องพาดพิงไปถึงตัวเจ้าของข้อมูลส่วนบุคคล องค์กรจึงจำเป็นต้องมีการดูแลอย่างเหมาะสม เปรียบเสมือนผ้าม่านของ Privacy ที่เจ้าข้อมูลควรมีสิทธิ์เลือกการควบคุมดูแล และ Take Charge / In Control กับข้อมูลเหล่านั้นได้ ในฐานะที่องค์กรมีการเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งส่วนหนึ่งคือเพื่อให้บริการหรือดูแลตัวเจ้าของข้อมูลส่วนบุคคล อีกส่วนหนึ่งเป็นเรื่องของการเปิดเผยข้อมูลส่วนบุคคลให้กับหน่วยงานอื่นเพื่อประโยชน์ของการทำงานร่วมกันหรืออื่น ๆ มี 3 กระบวนการที่เกี่ยวกับข้อมูลส่วนบุคคลที่อยู่ในความควบคุมดูแลของ PDPA คือ การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล เรียกว่า การประมวลผลข้อมูลส่วนบุคคล (Processing of Personal Data)”
เพราะเรื่องข้อมูลส่วนบุคคลเป็นเรื่องใหม่ นพ.นวนรรนกล่าวว่าเมื่อองค์กรใดจะเริ่มต้นเกี่ยวกับเรื่อง PDPA ก่อนอื่นต้องดูข้อกฎหมายให้ชัดเจน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีเนื้อหาที่เข้มข้น ได้แนวคิดโดยเทียบเคียงมาจากต่างประเทศ คือ ข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูล ความเป็นส่วนตัว และเขตเศรษฐกิจในยุโรป (GDPR) “แปลว่าหลาย ๆ ครั้งอ่านแล้วจะต้องทำความเข้าใจเนื้อหาของกฎหมายพอสมควร” นพ.นวนรรนอธิบาย “ตัวอย่างเช่นการมองว่าองค์กรที่จะใช้ข้อมูลส่วนบุคคลจะต้องมีฐานการประมวลผลหรือฐานอำนาจทางกฎหมายที่ให้ได้ คือการขอความยินยอม (Consent) ในเรื่องข้อมูลส่วนบุคคลก่อนการเก็บ ก่อนการใช้ และก่อนการเปิดเผย แต่จริง ๆ Consent เป็นเพียงหนึ่งในฐานเดียว ยังมีอีก 6 ฐาน รวมเป็น 7 ฐาน สำหรับข้อมูลส่วนบุคคลที่ไม่อ่อนไหว (Non-sensitive Personal Data) ว่าข้อมูลนั้นจะมีการใช้ในเงื่อนไขใดได้บ้าง การขอความยินยอม หรือ Consent จะเป็นทางเลือกสุดท้ายที่หาฐานในการประมวลผลอื่น ๆ ไม่ได้ เรียกว่า Lawful Basis หรือฐานการประมวลผลหรือฐานอำนาจทางกฎหมาย”
อย่างไรก็ตาม กฎหมายจะมีข้อบังคับสำหรับกรณีที่องค์กรจำเป็นต้องเก็บรวบรวมหรือเปิดเผยข้อมูลโดยไม่จำเป็นต้องขอความยินยอม อาทิ การเข้าเว็บไซต์ตาม พรบ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ หรือเรื่องของการจำเป็นต้องใช้เพื่อป้องกันหรือระงับอันตรายที่จะเกิดต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล นอกจากนี้กฎหมายยังวางหลักไว้อีกว่าเมื่อองค์กรบอกว่ามีเหตุผลหรือเป็นข้ออ้างทางกฎหมาย ก็จะต้องมั่นใจมีการแจ้งกับเจ้าของข้อมูลว่าจะเก็บหรือประมวลผลข้อมูลไปทำอะไร มีโอกาสเปิดเผยให้ใคร และเจ้าของข้อมูลเหล่านั้นมีสิทธิอะไรตาม PDPA บ้าง เรียกว่า Privacy Notice คือการแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ที่สำคัญทุกองค์กรต้องให้ความสำคัญกับเก็บรักษาข้อมูลให้มีความปลอดภัย ไม่มีเกิดการรั่วไหล โดยหากเกิดเหตุรั่วไหลหรือมีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล องค์กรจะต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือแจ้งไปที่เจ้าของข้อมูลตามความเหมาะสม
“ถ้าองค์กรจ้าง Outsource ในการเก็บหรือประมวลผลข้อมูล หรือจ้างบริการ Data Analysist แล้วกลุ่มคนเหล่านี้สามารถเข้าถึงข้อมูลส่วนบุคคลขององค์กรได้ อาจต้องมีเงื่อนไขข้อตกลง (Data Processing Agreement) ที่กำหนดการใช้ข้อมูลและอีกหลาย ๆ เรื่องตาม PDPA” นพ.นวนรรนกล่าว “องค์กรจำเป็นต้องมี Accountability และ Governance ของ Data ที่เหมาะสม ถ้ามองอย่างเข้าใจจะเห็นว่าเงื่อนไขของ PDPA เป็นเงื่อนไขของการ Make Sure ว่าข้อมูลส่วนบุคคลนั้นได้รับการ Govern และ Protect อย่างเหมาะสม”
มาที่ภาคส่วนของสถาบันอุดมศึกษาในประเทศไทย ในฐานะที่มหาวิทยาลัยเป็นองค์กรที่มีความซับซ้อนและมีการใช้ข้อมูลส่วนบุคคลในหลาย ๆ ด้าน และในหลาย ๆ มิติ เพราะฉะนั้นมหาวิทยาลัยจึงเป็นผู้ดูแลควบคุมข้อมูลส่วนบุคคลตาม PDPA ที่สำคัญ ในที่นี้ นพ.นวนรรนยกตัวอย่างข้อมูลส่วนบุคคลภายใต้การผู้ดูแลควบคุมของมหาวิทยาลัยไว้ 3 กลุ่ม ได้แก่ 1) กลุ่มบุคลากรหรือพนักงาน ซึ่งมหาวิทยาลัยจะต้องเก็บข้อมูลของกลุ่มคนเหล่านี้ในวัตถุประสงค์ที่หลากหลาย อาทิ การดูแล การบริหาร การประเมินผล การลงโทษวินัย การอบรมและพัฒนา รวมถึงผู้ที่เกษียณหรือพ้นสภาพบุคลากรแล้ว องค์กรอาจจะต้องเก็บข้อมูลบางอย่างไว้ “หลักการตรงนี้องค์กรก็ต้องดูว่าการเก็บข้อมูลของบุคลากรทุกวันนี้มีเหตุผลความจำเป็นตามฐาน Lawful Basis และดูแลอย่างเหมาะสมหรือไม่ หลาย ๆ ครั้งพบว่าข้อมูลที่จัดเก็บไม่ได้มีความจำเป็น แต่มีความเสี่ยงมากกว่า การไม่เก็บหรือเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นอาจจะเป็นการ Govern Data ที่ดีกว่า ปลอดภัยกว่า องค์กรก็ต้องาตั้งหลัก”
กลุ่มต่อมา คือ กลุ่มนิสิตนักศึกษา ที่ถือเป็นเจ้าของข้อมูลส่วนบุคคล และทางมหาวิทยาลัยต้องเก็บข้อมูลเกี่ยวกับประวัติการศึกษา วุฒิการศึกษาในอดีต การลงทะเบียนเรียน การประเมินผล การวัดผล การทำกิจกรรม ไปจนถึงข้อมูลด้านวินัย หรือกระบวนการพัฒนานิสิตนักศึกษา เป็นต้น ทั้งหมดล้วนเป็นข้อมูลส่วนบุคคล มหาวิทยาลัยต้องดูแลตาม PDPA เช่นกัน และเพราะหนึ่งในภารกิจของมหาวิทยาลัยคือการสร้างสรรค์งานวิจัย ดังนั้นข้อมูลส่วนบุคคลกลุ่มสุดท้าย คือ กลุ่มผู้เข้าร่วมทำงานวิจัย ในกรณีที่มหาวิทยาลัยมีข้อมูลส่วนบุคคลที่ระบุตัวตนของกลุ่มคนเหล่านี้ได้ ก็ต้องตามมาด้วยการดูแลและรับผิดชอบอย่างเหมาะสม
“หากมหาวิทยาลัยใดมีบริการอื่น ๆ อาทิ โรงพยาบาล การจัดอบรม งานบริการวิชาการ ซึ่งจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลอีกรูปแบบหนึ่ง รวมทั้งข้อมูลในเว็บไซต์และข้อมูลในกล้องวงจรปิด จะเห็นว่ายิ่งทำเรื่องนี้มากเท่าไรจะยิ่งเห็นข้อมูลที่มีความกว้างและหลากหลาย และถ้าทั้งหมดเป็นข้อมูลส่วนบุคคลก็มีความจำเป็นต้องดูแลตาม PDPA ด้วยกันทั้งสิ้น เวลานี้มีกกฎหมายใหม่ที่จะต้องดูแลเพิ่มขึ้น และจากกฎหมายนี้ทุกคนก็ต้องเริ่มกลับมาเรียนรู้และเข้าใจว่าการถามคำถามเหล่านี้ไม่ใช่เป็นการถามเพื่อท้าทายอำนาจ หรือเพื่อจะบอกว่าการทำงานเหล่านั้นทำไม่ได้อีกแล้ว แต่เป็นการมองเพื่อให้เข้าใจว่ากฎหมายนี้มีขึ้นเพื่อคุ้มครองประชาน คุ้มครองเจ้าของข้อมูลส่วนบุคคลให้ได้ทัดเทียมมาตรฐานต่างประเทศ นั่นแปลว่าทุกคน ทุกองค์กร ไม่ว่าจะเป็นกระทรวง ไม่ว่าจะเป็นมหาวิทยาลัย ไม่ว่าจะเป็นตัวเจ้าของข้อมูลส่วนบุคคล ควรตระหนักในเรื่องนี้ แล้วเราเดินไปด้วยกัน” เป็นการปิดท้ายเรื่องการเก็บรวบรวมและใช้ประโยชน์เกี่ยวกับข้อมูลส่วนบุคคลตาม PDPA อย่างเข้มข้นโดย นพ.นวนรรน
Data Analytics : วิเคราะห์ข้อมูลอย่างถูกต้องและเที่ยงธรรม
หนึ่งองค์กรที่เล็งเห็นความสำคัญและการใช้ประโยชน์จาก Data คือ PRINC Hospital Group ธุรกิจกลุ่มโรงพยาบาลที่ปัจจุบันดำเนินกิจการ 12 แห่งทั่วประเทศ และมุ่งขยายสู่เลข 20 ในอนาคตอันใกล้ ทั้งยังเป็นผู้บริหารงานคลินิกใกล้บ้านใกล้ใจ จำนวน 20 แห่งที่กระจายตัวอยู่ ณ แหล่งชุมชนต่าง ๆ และมีเป้าขยายเป็น 100 คลินิกทั่วประเทศในเร็ว ๆ นี้ คุณพวัสส์ ธนาวุฒิศิริวัฒน์ Director of Digital Transformation, PRINC Hospital Group เท้าความให้เราฟังตั้งแต่วัตถุประสงค์การดำเนินงานของ PRINC Hospital Group ว่าเป็นองค์กรที่สร้างคนที่มีจิตใจของผู้ให้ เพื่อช่วยคน ชุมชน และสังคม ทั้งนี้ในช่วงเวลาที่ทุนต่างชาติเข้ามาในประเทศไทยเป็นอย่างมากมายและต่อเนื่องนั้น ผู้ก่อตั้งมีดำริเสมอว่าโรงพยาบาลจะต้องเป็น Ecosystem หรือเข้าไปเป็นส่วนหนึ่งของสังคม “ท่านอยากทำ Traditional Hospital ให้เป็น Health Tech แต่การจะเป็น Health Tech ไม่ใช่เรื่องง่าย เราต้องมีความร่วมมือ PRINC Hospital Group จึงทำงานร่วมกับทีมงาน Startup ซึ่งเป็นเด็กไทยรุ่นใหม่ ๆ หลาย ๆ บริษัทที่มีความเชี่ยวชาญด้านเทคโนโลยี และ Innovation เพื่อพัฒนาองค์กรให้เป็น Health Tech และสร้าง Ecosystem ที่แข็งแรง ในการทำสิ่งเหล่านี้ถามว่า Data สำคัญไหม สำคัญมาก ๆ และจำเป็นจริง ๆ แต่มองอีกมุมหนึ่ง การได้มาซึ่ง Data ที่จะนำมาวิเคราะห์ (Data Analytics) เป็นสิ่งที่สำคัญยิ่งกว่า”
คุณพวัสส์เปรียบ Data เป็นวัตถุดิบที่นำมาประกอบอาหาร แต่การวิเคราะห์ Data หรือนำวัตถุดิบไปทำเป็นอาหารสักจานหนึ่ง ถ้าวัตถุดิบนั้นมีอคติ (Bias) ก็ไม่ต่างอะไรกับวัตถุดิบเคลือบสารพิษ อาหารจานนั้น ๆ ก็เป็นพิษ เรียกว่า วิเคราะห์ออกมาอย่างไรก็ผิด
“จะวิเคราะห์ Data ให้สัมฤทธิ์ผลได้อย่างไร สำหรับ PRINC Hospital Group แล้วจะเน้นเรื่องของคนและกระบวนการทำงาน เพราะคนและกระบวนการทำงานจะผลิต Data และนำเทคโนโลยีมาใช้ในการวิเคราะห์ต่าง ๆ และดังเช่นที่อาจารย์ดนัยรัฐ ซึ่งเป็นที่ปรึกษาให้กับ PRINC Hospital Group กล่าวและเน้นย้ำ คือ การทำพิมพ์เขียวองค์กร หรือ Enterprise Blueprint เพราะเมื่อองค์กรมี Vision และ Purpose ในส่วนของ Enterprise Blueprint ก็จะชัดเจน อาทิ คนที่เป็น Core Business คนที่ทำหน้าที่ Connect Customer หรือทำ PR Marketing ต่าง ๆ และคนอื่น ๆ ที่รวมตั้งแต่ HR บัญชี ไฟแนนซ์ กฎหมาย เป็นต้น” คุณพวัสส์อธิบายพร้อมยกตัวอย่างความเชื่อมโยงต่าง ๆ อย่างชัดเจน “ธุรกิจ สมมติว่าเป็นโรงพยาบาลเอกชน ต้องการ Customer แบบไหน HR ก็ต้องผลิตคนที่สามารถดูแล Customer แบบนั้น และคนที่หา Customer ก็ต้องรู้ด้วยว่าคนที่เป็น Core Business ขององค์กรมีความแข็งแกร่งในด้านไหน เรียกว่าต้องสอดคล้องกัน และทำงานในหน้าที่ ไม่ยื่นมือเข้าไปล้วงลูก เพราะคนที่ผลิต Data ในกระบวนการนั้น ๆ จะได้ Data ตามกระบวนการของที่คนทำ ซึ่งอาจจะมี Bias ขึ้นเสมอ ทำให้ Data มันไม่บริสุทธิ์พอในการนำไปวิเคราะห์ แม้ธุรกิจโรงพยาบาลของเราจะเน้นที่เมืองรอง และไม่ได้เน้นผลกำไรเป็นที่หนึ่ง แต่ต้องอยู่ได้ จึงต้องวิเคราะห์ให้ชัดเจนว่าในแต่ละพื้นที่ ประชาชนต้องการบริการทางสาธารณสุขด้านไหน ที่สำคัญ คือ การทำโรงพยาบาลเป็นเครือข่าย Data ทุกอย่างจะต้องถูกรวม เพื่อที่ว่าประชาชนคนไทยสามารถรับบริการของ PRINC Hospital Group ที่ไหนก็ได้ นี่เป็นการเปลี่ยนการรักษาพยาบาลของประเทศ และเราคงจะทำให้เป็นต้นแบบ ถ้าเราทำสำเร็จ ไม่ว่าภาครัฐหรือเอกชนต้องการ Knowledge เรายินดีที่จะถ่ายทอดสิ่งเหล่านี้ เพื่อให้ประเทศชาติเจริญไปด้วยกัน”
ชมเสวนาออนไลน์ Digital University : Enabling The Smart Society ในหัวข้อ All About Data : Toward Data Driven Organization ได้ที่นี่
https://www.facebook.com/digitaluniversity.thai/videos/403163281718770