ผลการวิจัยล่าสุดของไอบีเอ็มชี้ให้เห็นว่าเกือบ 60% ขององค์กรที่สำรวจ มองข้อบังคับความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (General Data Protection Regulation: GDPR) เป็นโอกาสในการปรับปรุงนโยบายข้อมูลส่วนบุคคล การรักษาความปลอดภัย การจัดการข้อมูล หรือเป็นสิ่งกระตุ้นให้เกิดโมเดลธุรกิจแบบใหม่ มากกว่าที่จะเป็นเพียงประเด็นกฎเกณฑ์ที่ต้องปฏิบัติหรือเป็นอุปสรรคต่อธุรกิจ
การศึกษาชี้ให้เห็นว่าบริษัทส่วนใหญ่หันมาเพิ่มความเข้มงวดเกี่ยวกับข้อมูลที่องค์กรจัดเก็บหรือบริหารจัดการมากขึ้นเพื่อลดความเสี่ยงต่างๆ โดย 70% กำจัดข้อมูลก่อนที่จะถึงเวลาที่กำหนดไว้ เพื่อให้สอดคล้องกับข้อบังคับดังกล่าว
การเตรียมพร้อมสำหรับ GDPR ของบริษัทต่างๆ เกิดขึ้นหลังจากการที่กลุ่มผู้บริโภคเริ่มหันมาตรวจสอบการจัดการข้อมูลส่วนบุคคลของธุรกิจต่างๆ มากขึ้น โดยการสำรวจความคิดเห็นอีกชุดจากผู้บริโภค 10,000 คนโดยแฮร์ริส โพล ในนามของไอบีเอ็ม พบว่ามีผู้บริโภคชาวอเมริกันเพียง 20% เท่านั้นที่เชื่ออย่างเต็มที่ว่าองค์กรต่างๆ ที่พวกเขามีปฏิสัมพันธ์ด้วยจะรักษาข้อมูลส่วนบุคคลของพวกเขาไว้
ช่วงสัปดาห์ก่อนถึงวันที่ 25 พฤษภาคม 2561 ที่ข้อบังคับดังกล่าวจะมีผลบังคับใช้ สถาบันการศึกษาคุณค่าทางธุรกิจ (Institute for Business Value:IBV) ของไอบีเอ็ม ได้สำรวจผู้นำธุรกิจกว่า 1,500 คนที่รับผิดชอบการปฏิบัติตามข้อกำหนดของ GDPR ขององค์กรต่างๆ ทั่วโลก ผลสำรวจแสดงให้เห็นว่าบริษัทต่างๆ มอง GDPR เป็นโอกาสในการเพิ่มความเชื่อมั่นของลูกค้าและช่วยผลักดันนวัตกรรม กล่าวคือ
84% เชื่อว่าหลักฐานที่พิสูจน์ว่าองค์กรปฏิบัติอย่างสอดคล้องกับ GDPR จะช่วยสร้างความแตกต่างในทางบวกในสายตาของผู้บริโภค
76% มองว่า GDPR จะสร้างความสัมพันธ์ที่น่าเชื่อถือขึ้นกับเจ้าของข้อมูล (data subjects) อันจะนำสู่โอกาสใหม่ๆ ทางธุรกิจ
แม้จะมองว่าเรื่องนี้เป็นโอกาส แต่มีองค์กรเพียง 36% เท่านั้นที่เชื่อว่าจะสามารถปฏิบัติให้สอดคล้องกับ GDPR ได้อย่างสมบูรณ์ภายในวันที่ 25 พฤษภาคมนี้
“GDPR จะเป็นหนึ่งในการเปลี่ยนแปลงที่สร้างผลกระทบมากที่สุด ซึ่งจะส่งผลต่อโมเดลธุรกิจในอุตสาหกรรมต่างๆ และกระทบไปยังประเทศนอกกลุ่มสหภาพยุโรปด้วย” นายกิตติพงษ์ อัศวพิชยนต์ รองกรรมการผู้จัดการ ธุรกิจซอฟต์แวร์ บริษัท ไอบีเอ็ม ประเทศไทย จำกัด กล่าว “การเริ่มบังคับใช้ GDPR เกิดขึ้นในช่วงที่ผู้บริโภคขาดความเชื่อมั่นอย่างมากต่อความสามารถของธุรกิจที่จะปกป้องข้อมูลส่วนบุคคลของพวกเขา ปัจจัยเหล่านี้ก่อให้เกิดแรงผลักดันขนานใหญ่ให้องค์กรต้องทบทวนวิธีจัดการกับความรับผิดชอบต่อข้อมูล และเริ่มต้นฟื้นคืนความเชื่อมั่นซึ่งเป็นสิ่งจำเป็นในสภาพเศรษฐกิจที่ขับเคลื่อนด้วยข้อมูลในปัจจุบัน”
GDPR นำสู่การลดปริมาณการรวบรวมและจัดเก็บข้อมูล
สิ่งสำคัญอีกประการที่พบในการวิจัยครั้งนี้ คือการที่องค์กรต่างๆ ใช้ GDPR เป็นโอกาสในการปรับปรุงวิธีจัดการข้อมูลและลดปริมาณข้อมูลที่องค์กรต้องบริหารจัดการ ซึ่งหมายถึงการลดปริมาณข้อมูลที่องค์กรรวบรวม จัดเก็บ และแบ่งปันลงอย่างมากในหลายๆ องค์กร โดยจากผลการศึกษาองค์กรต่างๆ รายงานว่าได้ดำเนินการดังต่อไปนี้เพื่อปฏิบัติตาม GDPR
80% กล่าวว่าองค์กรกำลังลดปริมาณข้อมูลส่วนบุคคลที่จัดเก็บ
78% กำลังลดจำนวนคนที่ได้รับสิทธิ์เข้าถึงข้อมูลส่วนบุคคล
70% กำลังกำจัดข้อมูลที่ไม่จำเป็นต้องใช้อีกต่อไป
ความท้าทายเกี่ยวกับ GDPR จุดบอด และโอกาสในการปฏิรูปทางธุรกิจ
ผลการศึกษาพบว่าปัญหาหลักๆ ที่องค์กรต่างๆ กำลังเผชิญในปัจจุบัน เมื่อต้องปฏิบัติให้สอดคล้องกับ GDPR คือการค้นหาข้อมูลส่วนบุคคลที่อยู่ภายในองค์กร (data discovery) การตรวจสอบความถูกต้องของข้อมูลที่องค์กรรวบรวมและจัดเก็บ รวมถึงการปฏิบัติตามกฎเกณฑ์วิธีการวิเคราะห์และแบ่งปันข้อมูล (data processing principals)
เรื่องอื่นๆ ซึ่งเป็นที่กังวล ได้แก่ การจัดการการเคลื่อนย้ายข้อมูลข้ามพรมแดน และการได้รับความยินยอมจากเจ้าของข้อมูล โดยผู้ตอบแบบสำรวจน้อยกว่าครึ่งหนึ่งบอกว่าได้เตรียมพร้อมสำหรับ GDPR ในด้านเหล่านี้แล้ว
องค์ประกอบที่สำคัญประการหนึ่งของ GDPR คือการกำหนดให้บริษัทต่างๆ ต้องรายงานการละเมิดข้อมูลแก่ผู้กำกับดูแลภายใน 72 ชั่วโมง อย่างไรก็ตาม การศึกษาของ IBV พบว่ามีบริษัทเพียง 31% เท่านั้นที่ตรวจสอบหรือแก้ไขแผนรับมือเหตุการณ์ที่ไม่คาดคิด (Incident Response Plan) เพื่อเตรียมพร้อมสำหรับข้อกำหนดนี้ ซึ่งแสดงให้เห็นจุดบอดของวิธีรับมือกับ GDPR โดยรวมของบริษัทต่างๆ
แม้ว่าจะมีความท้าทาย แต่กลุ่มบริษัท “ผู้นำ” (22%) จะใช้ GDPR เป็นโอกาสในการปฏิรูปธุรกิจอย่างเต็มรูปแบบ ในแง่แนวทางความรับผิดชอบต่อข้อมูลและการบริหารจัดการ กล่าวคือ
93% ได้ปรับเปลี่ยนกระบวนการรับมือเหตุการณ์ที่ไม่คาดคิด
79% บอกว่าได้เตรียมพร้อมสำหรับการดำเนินการค้นหาข้อมูลและตรวจสอบความถูกต้องของข้อมูล
74% บอกว่าได้นำมาตรการด้านการรักษาความปลอดภัยและการออกแบบเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคลมาใช้กับผลิตภัณฑ์และบริการใหม่ๆ
วิธีการศึกษาวิจัย
เพื่อให้เข้าใจถึงแนวทางที่องค์กรเตรียมพร้อมสำหรับ GDPR และใช้ GDPR อย่างมีประสิทธิภาพในแง่โอกาสในการปฏิรูปธุรกิจ สถาบันการศึกษาคุณค่าทางธุรกิจของไอบีเอ็ม และอ๊อกซ์ฟอร์ด อีโคโนมิกส์ ได้สำรวจผู้นำที่รับผิดชอบด้าน GDPR จำนวน 1,500 คนใน 34 ประเทศ ซึ่งเป็นตัวแทนของอุตสาหกรรม 15 ประเภทในระหว่างเดือนกุมภาพันธ์ถึงเมษายน 2561 โดยมีการสำรวจความคิดเห็นจากประธานเจ้าหน้าที่ด้านข้อมูลส่วนบุคคล (Chief Privacy Officers) ประธานเจ้าหน้าที่ด้านข้อมูล (Chief Data Officers) ที่ปรึกษาทั่วไป (General Counsels) ประธานเจ้าหน้าที่ด้านการรักษาความปลอดภัยของข้อมูล (Chief Information Security Officers) และเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Officers) โดยมีการจำแนกกลุ่มผู้นำที่ดูแลด้าน GDPR ผ่านแบบสอบถามที่ใช้หลักเกณฑ์เฉพาะ (ดูจากวิธีการที่พวกเขาตอบชุดคำถามที่กำหนด) และผู้นำที่ดูแลด้าน GDPR ที่มีคุณสมบัติตรงตามหลักเกณฑ์มี 22% จากกลุ่มตัวอย่างทั้งหมด
เกี่ยวกับสถาบันการศึกษาคุณค่าทางธุรกิจของไอบีเอ็ม
สถาบันการศึกษาคุณค่าทางธุรกิจของไอบีเอ็ม ซึ่งเป็นส่วนหนึ่งของกลุ่มธุรกิจไอบีเอ็ม เซอร์วิส ทำหน้าที่พัฒนาข้อมูลเกี่ยวกับความเข้าใจเชิงลึกทางกลยุทธ์ (Strategic Insight) บนพื้นฐานของข้อเท็จจริง สำหรับผู้บริหารธุรกิจระดับสูง ในประเด็นสำคัญๆ ของภาครัฐและภาคเอกชน สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการศึกษาวิจัยของสถาบันการศึกษาคุณค่าทางธุรกิจของไอบีเอ็ม กรุณาติดต่อ [email protected] หรือเยี่ยมชม ibm.com/iibv