จากกระแสข่าว “กกต. ถูกปรับตาม PDPA” เพราะข้อมูลผู้สมัคร/ผู้ได้รับเลือก สว. รั่วไหลจำนวนมาก และมีประเด็นสำคัญข้อหนึ่งที่สะเทือนองค์กรไทยแทบทุกแห่งคือ การส่งไฟล์ข้อมูลผ่าน LINE เพื่อความสะดวกในการทำงาน แต่ไม่มีมาตรการความปลอดภัยที่เหมาะสม จนกลายเป็นช่องทางเสี่ยงที่ทำให้เกิดเหตุข้อมูลรั่วไหลได้จริง
ประเด็นนี้ไม่ใช่เรื่องของ “หน่วยงานรัฐ” เท่านั้น แต่สะท้อนภาพเดียวกับภาคเอกชน/SME จำนวนมากที่ยังใช้ LINE ส่วนตัว / Messenger ส่วนตัว / WhatsApp ส่วนตัว ทำงานกับลูกค้าทั้งก่อนขาย, ระหว่างขาย และหลังขาย โดยคิดว่า “แค่แชทเอง ไม่น่ามีอะไร”
แต่ในโลกของ PDPA… เมื่อมีข้อมูลที่ระบุตัวบุคคลได้อยู่ในแชท นั่นคือการประมวลผลข้อมูลส่วนบุคคลทันที และคำถามจะเปลี่ยนเป็นว่า
“องค์กรควบคุมได้เท่าใด ปลอดภัยแค่ไหน และพิสูจน์ความรับผิดชอบได้หรือไม่”
LINE คืออะไร (ในบริบท PDPA)
LINE ในภาพรวมจัดอยู่ในกลุ่ม Instant Messaging Applications (IM) หรือแอปแชทที่สื่อสารแบบเรียลไทม์ ส่งข้อความ รูปภาพ เสียง วิดีโอ และไฟล์ถึงกันได้แทบจะทันที โดยในตลาดยังมีบริการอื่นในกลุ่มเดียวกัน เช่น Facebook Messenger, Google Chat, WhatsApp
โดยทั่วไป IM มักมี 2 โหมดหลัก:
บัญชีส่วนตัว (Personal Account)
บัญชีสำหรับธุรกิจ/องค์กร (Corporate Account) เช่น LINE Official Account (LINE OA), WhatsApp Business, Facebook Page Inbox (Business Suite) หรือโซลูชันแชทที่ผูกกับ CRM/Ticketing
จุดต่างสำคัญไม่ใช่ “หน้าตาแชท” แต่คือ “ความสามารถในการกำกับดูแล (governance)”และ“การควบคุมขององค์กร”
คำถามยอดฮิต: ใช้ LINE ส่วนตัวทำงานได้ไหม?
คำตอบตรง ๆ: ไม่เหมาะสม – ยกเว้นกรณีความเสี่ยงต่ำมาก และแทบไม่เกี่ยวกับข้อมูลส่วนบุคคล
ตัวอย่างที่ “พอรับได้” (ความเสี่ยงต่ำมาก)
คำถามทั่วไปมาก ๆ เช่น “วันนี้เปิดไหม?”
ข้อมูลที่ไม่เกี่ยวกับตัวบุคคล
ไม่มีการส่งเอกสารลูกค้า/ข้อมูลสำคัญ
และองค์กรต้องมี Privacy Notice ที่ระบุช่องทางติดต่ออย่างชัดเจน
แต่ทันทีที่ใช้ LINE ส่วนตัวเพื่อ…
สื่อสารการตลาด ส่งโปรโมชัน
แชทบริการลูกค้า
จองสินค้า/บริการ
ส่งไฟล์/เอกสาร/รายละเอียดออเดอร์/ร้องเรียน
แนะนำให้เปลี่ยนไปใช้บัญชีธุรกิจ (เช่น LINE OA) เพราะเหมาะสมกว่าในเชิง “คุมได้-ปลอดภัยกว่า-ทำหลักฐานได้”
ทำไม LINE ส่วนตัว / ใช้เบอร์ส่วนตัวสร้างบัญชี “ไม่เหมาะ” สำหรับธุรกิจ
1) มุมมองกฎหมาย PDPA
(1) ขาดการควบคุมตามมาตรการที่เหมาะสม
PDPA กำหนดให้องค์กรต้องมีมาตรการความปลอดภัยที่เหมาะสม และต้องควบคุมวิธีประมวลผลข้อมูลได้ แต่บัญชีส่วนตัวทำให้การควบคุมเป็น “รายคน” ไม่ใช่ “ระดับองค์กร”
บัญชีเป็นของ พนักงาน ไม่ใช่ของบริษัท
บริษัทควบคุมสิทธิ์/การเข้าถึง/การจัดการข้อมูลแบบส่วนกลางได้จำกัด
ข้อมูลมีโอกาส “ยังอยู่ต่อ” แม้พนักงานลาออก
(2) ไม่สามารถตอบสนองสิทธิของเจ้าของข้อมูลได้จริง
สิทธิของเจ้าของข้อมูลตาม PDPA (เช่น ขอเข้าถึง/ลบ/แก้ไข/คัดค้าน) ต้องทำให้ครบและตรวจสอบได้ แต่บัญชีส่วนตัวทำให้การดำเนินการกระจัดกระจาย
ค้นหาและรวบรวมข้อมูลจากแชทให้ “โปร่งใส” ได้ยาก
รับรองว่า “ลบจริง/ลบครบ” ได้ยาก
จัดทำหลักฐาน/ส่งมอบข้อมูลอย่างเป็นระบบได้ยาก
(3) ความเสี่ยงเรื่องการส่งข้อมูลไปต่างประเทศ
บางแพลตฟอร์มมีการเก็บ metadata หรือสำรองข้อมูลในต่างประเทศ ซึ่งทำให้องค์กร “คุมไม่ได้ว่าไปไหน-อย่างไร” และยากต่อการจัดการให้สอดคล้องกรอบโอนข้อมูลข้ามพรมแดนตาม PDPA
มีความเสี่ยงจากโครงสร้างการเก็บ/สำรองข้อมูล
องค์กรอาจควบคุมและพิสูจน์การปฏิบัติได้ไม่ครบ
2) ความเสี่ยงด้านความปลอดภัย (Security Risk) ที่บัญชีส่วนตัวตอบโจทย์ไม่ได้
(1) ไม่มีการตั้งค่าความปลอดภัยระดับองค์กร
บัญชีส่วนตัวไม่ได้ออกแบบให้ใช้ในองค์กร จึงมักไม่มีการบังคับใช้นโยบายความปลอดภัยแบบส่วนกลาง
ไม่มี MFA ส่วนกลาง, MDM, การลบข้อมูลระยะไกล
ไม่มีนโยบาย retention ที่องค์กรกำหนดได้
ไม่มี audit trail แบบองค์กร
(2) โอกาสข้อมูลรั่วไหลสูงมาก
ความเสี่ยงที่เกิดขึ้นได้บ่อยและควบคุมยากในบัญชีส่วนตัว เช่น
แคปหน้าจอเก็บในอัลบั้มส่วนตัว
auto-backup ขึ้น iCloud/Google Drive
ส่งผิดคน / ผิดกลุ่ม
เครื่องหาย / เครื่องติดมัลแวร์
ข้อความ/ไฟล์ยังคงอยู่แม้พนักงานลาออก
3) ความเสี่ยงด้านการปฏิบัติงานและความต่อเนื่องทางธุรกิจ (Business Continuity)
(1) พนักงานลาออก = ข้อมูลลูกค้า/ประวัติการคุย “สะดุด” หรือ “หาย”
เมื่อแชทผูกกับคน องค์กรเสี่ยงสูญเสียประวัติการบริการ/การขาย และหลักฐานสำคัญ
ประวัติการคุยกับลูกค้าหาย/ส่งต่อไม่ได้
พิสูจน์ว่าเคยให้ข้อมูล/รับเรื่อง/แก้ปัญหาอะไรไปแล้วได้ยาก
ตรวจสอบคุณภาพงานบริการย้อนหลังไม่ได้
(2) โอนบัญชีให้บริษัทไม่ได้
บัญชีส่วนตัวเป็นทรัพย์สินส่วนบุคคล ผูกกับเบอร์/ตัวตน ทำให้การส่งมอบงานเป็น “ช่องโหว่” ที่แก้ยากเมื่อทีมโตขึ้น
ทำไม “ช่องทางสื่อสาร” ถึงเป็นเรื่องใหญ่ (ไม่ใช่แค่เรื่องไอที)
ในระดับแนวปฏิบัติสากล หลัก Transparency เน้นว่า การให้ข้อมูลและการสื่อสารกับเจ้าของข้อมูลควรชัดเจน เข้าใจง่าย และเข้าถึงได้
แปลเป็นภาษาคนทำงานได้ว่า: ถ้าองค์กรเลือกช่องทางที่ “คุมไม่ได้/ตรวจสอบไม่ได้/ทำให้สิทธิทำได้ยาก” ก็ยากที่จะบอกว่าองค์กรทำ “ถูกต้องและเหมาะสมกับบริบท” แล้ว
เกณฑ์จำง่าย: “ช่องทางที่เหมาะสม ปลอดภัย และบันทึกได้”
สรุปให้จำง่าย 3 หลักที่ต้องมีพร้อมกัน
Transparency: ช่องทางต้องชัดเจน เข้าถึงง่าย เหมาะสม และปลอดภัย
Controller/Processor: องค์กรต้อง “ควบคุมช่องทางได้” และมีมาตรการที่เหมาะสม
Accountability: ต้อง “บันทึกเป็นหลักฐาน” และตรวจสอบย้อนหลังได้
บัญชีแชทส่วนตัวมัก “ไม่ผ่าน” เพราะทำให้ครบทั้ง 3 ข้อพร้อมกันแทบเป็นไปไม่ได้
แนวปฏิบัติที่ควรทำสำหรับองค์กร: ใช้ “บัญชีธุรกิจ” หรือ “ช่องทางที่บริษัทเป็นผู้ควบคุม” บนแพลตฟอร์มสื่อสารทั้งภายในและภายนอก
ตัวอย่างช่องทางที่เหมาะกว่า:
LINE Official Account (LINE OA)
WhatsApp Business (แอปดาวน์โหลด/ใช้งานเริ่มต้นได้ฟรี
Facebook Page Inbox / Meta Business Suite (รองรับหลายคนดูแล/มอบหมายแชทได้)
CRM
Ticketing เช่น Zendesk, Freshdesk
ช่องทางสื่อสารภายในที่องค์กรคุมได้ (เช่น Microsoft Teams / Google Chat ในชุดองค์กร)
ข้อดีเชิง Governance (แก่นสาระ):
ควบคุมสิทธิ์การเข้าถึง (Authorization)
มีร่องรอยตรวจสอบ/บริหารการทำงานเป็นทีม
ทำ offboarding ได้ (อย่างน้อย “บัญชีไม่ผูกกับคนเดียว”)
สนับสนุนการทำตามสิทธิของเจ้าของข้อมูลได้เป็นระบบมากขึ้น
