ปัจจุบันหลายๆ องค์กรต่างให้ความสำคัญกับความเป็นส่วนตัวและนโยบายต่างๆ ที่เกี่ยวกับการรักษาความปลอดภัยตั้งแต่ข้อมูลภายในองค์กรตลอดจนข้อมูลของลูกค้า เพราะข้อมูลในทุกวันนี้ไม่ต่างจากสินทรัพย์ในองค์กรที่มีคุณค่าและสามารถขับเคลื่อนธุรกิจได้ ประกอบกับประเทศไทยได้มีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA นั่นยิ่งทำให้คำว่า Data Governance ได้รับความสนใจมากขึ้น
แล้วคำว่า Data Governance คืออะไรล่ะ?
“Data Governance” ชื่อเรียกภาษาไทยคือ “ธรรมาภิบาลข้อมูล” ซึ่งก็คือการจัดการดูแลข้อมูลอย่างมีระบบตั้งแต่การนำเข้า จัดเก็บ นำไปใช้งานของข้อมูล และ ETL รวมถึงการรักษาความปลอดภัย ตลอดจนการนำข้อมูลออกจากระบบเพื่อลบทิ้งหรือทำลายซึ่ง Cloud Provider ส่วนใหญ่อย่าง Google Cloud Platform ก็มีเครื่องมือที่รองรับการใช้งานและผ่านข้อกำหนดพื้นฐานต่างๆ เหล่านี้อยู่แล้ว
ความเกี่ยวข้องระหว่าง PDPA กับ Data Governance
เชื่อว่าหลายท่านกำลังมีคำถามนี้อยู่ว่า ถ้าทำ Data Governance แล้วจะครอบคลุม PDPA ด้วยหรือไม่? มันต่างกันอย่างไร? อันที่จริงคำว่า Data Governance นั้นเป็นการกำกับดูแลข้อมูล ซึ่งเป็นภาพใหญ่ที่สุดที่แต่ละองค์กรจะมีวิธีการกำกับดูแลโดยใช้นโยบายข้อบังคับใช้ที่แตกต่างกัน ขณะที่ PDPA เป็นกฎหมายที่มีข้อบังคับให้บุคคลหรือนิติบุคคลพึงปฎิบัติตามในเรื่องของการใช้และเปิดเผยข้อมูลส่วนบุคคล ดังนั้นหากพูดง่ายๆ PDPA ก็เป็นเหมือน subset หรือเป็นภาพย่อยของ Data Governance ที่เราต้องปฎิบัติตามในเชิงกฎหมาย
GDPR กับ PDPA มีความเกี่ยวข้องกันอย่างไร?
อีกหนึ่งคำที่พวกเรามักได้ยินคล้องกับคำว่า PDPA ก็คือ GDPR ซึ่งย่อมาจาก General Data Protection Regulation 2016/679 เป็นกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวภายในสหภาพยุโรปและเขตเศรษฐกิจยุโรป รวมถึงการโอนย้ายข้อมูลส่วนบุคคลออกนอกเขต EU และ EEA ซึ่ง PDPA มีความคล้ายคลึงกับ GDPR แต่มีข้อกำหนดที่น้อยกว่ามาก
ซึ่งประเทศไทยมีการติดต่อรับส่งข้อมูลกับสหภาพยุโรป จึงจำเป็นต้องยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้เท่าเทียมกับประเทศที่มีการใช้ GDPR ให้เป็นมาตรฐานและเป็นที่ยอมรับกับทาง EU เพราะการค้าระหว่างประเทศไทยกับกลุ่มเศรษฐกิจยุโรปนั้นมีมูลค่าสูงมาก
ดังนั้น GDPR จึงเป็นข้อบังคับที่มีความสำคัญเป็นลำดับต้นๆ บนโลกธุรกิจที่ขับเคลื่อนด้วยข้อมูล (data-driven) ทุกๆ Cloud Provider จึงต้อง comply ตัวกฎหมายนี้ด้วย เช่นเดียวกับ Google Cloud ที่ให้ความสำคัญทั้งในเรื่องความปลอดภัยและความเป็นส่วนที่เป็นไปตามข้อกำหนดของ GDPR ทุกท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ Google Cloud & the General Data Protection Regulation (GDPR)
ทำไมเราถึงต้องทำ Data Governance บน Cloud?
เราทราบกันดีว่า Cloud เป็นการลงทุนที่คุ้มค่าในโลกยุคดิจทัลที่ไม่ต้องมีต้นทุนในเรื่อง hardware และมี service ต่างๆ ให้เลือกใช้มากมาย อาทิ AI & Machine Learning หรือแม้แต่ BI Tools ที่มาในรูปแบบ SasS ไม่ต้องเตรียม Infrasturture ช่วยลดค่าใช้จ่ายทั้งในเรื่อง implement, planning แต่หลายครั้งบน Cloud ก็มักจะมีคำถามหรือข้อกังวลต่างๆ ดังต่อไปนี้
Securing the data
การรักษาความปลอดภัยบน Public Cloud อาทิ การจัดการเรื่อง unahtorized access ที่เข้าถึงข้อมูลส่วนบุคคล (PII) ความลับทางการค้าหรือทรัพย์สินทางปัญญา รวมถึงป้องกันการรั่วไหลของข้อมูล (Loss Prevention)
Regulations and compliance
ข้อบังคับต่างๆ ที่มาตรฐานอุตสหากรรม อาทิ PCI DSS ที่เกี่ยวกับของกับธุรกรรมการเงิน, HIPPA ที่เกี่ยวข้อกับด้าน Healthcare และ GDPR เป็นต้น
Visibility and Control
การขาดการมองเห็นและรับรู้ถึง data ที่เรามีอยู่แบบ landscape ว่ามีอะไรอยู่, อยู่ที่ใดบ้าง, ใครเข้าถึงได้บ้าง ทำให้ขาดโอกาสทางธุรกิจที่จะ enrichment data เพื่อ improve productivity นำไปสู่การ drive business
ที่กล่าวมาข้างต้นจึงเป็นเหตุผลหลักๆ ที่ Data Governance จะเข้ามาช่วยจัดการสิ่งเหล่านี้ โดยองค์กรเองก็ต้องคิดรอบด้านครอบคลุมถึงเรื่อง ingestion, retention ตลอดจน deletion ในการ management data
นอกจากการจัดการที่มีประสิทธิภาพโดยเครื่องมือ (Technology) อย่าง Google Cloud Platform แล้ว ยังมีตัวแปรอื่นๆ ที่เราต้องทำใน Data Governance ด้วยคือ บุคลากร (People) และวิธีการดำเนินงาน (Process) เรามารู้จักองค์ประกอบเหล่านี้กันดีกว่า
3 องค์ประกอบหลักที่จะช่วยให้ Data Governance Success
1. People คือบุคลากรทุกคน ไม่ว่าจะเป็นพนักงานขององค์กรในหน่วยงานใดก็ตาม จะเป็นเจ้าของข้อมูลหรือผู้ดูแลกำกับข้อมูลในการออก policy ก็ดี ล้วนต้องเข้าใจและปฎิบัติตามกฎระเบียบในการใช้ data
2. Process คือวิธีการในการจัดการข้อมูล อาทิ จะใช้ data เหล่านี้ได้ต้องขออนุญาตจากใคร หน่วยงานใดก่อน หรือเมื่อจะนำเข้าข้อมูลจาก 3rd party ต้องมีวิธีการอย่างไร รวมถึง process หรือ automate workflow ต่างๆ อาทิ ระบบ monitoring, auditing หรือการทำ data quality
3. Technology คือเครื่องมือที่ใช้ในการบริหารจัดการเพื่อให้ People และ Process ให้ทำงานได้อย่างมีประสิทธิภาพ อาทิ สามารถกำหนดสิทธิ์ของ People ในการเข้าถึง data หรือ service ได้, excute process หรือ policy ต่างๆ ขององค์กรได้เป็นต้น
Data Governance ที่สมบูรณ์จะขาดองค์ประกอบทั้ง 3 อย่างนี้ไม่ได้เลย แม้ว่า Google Cloud Platform จะตอบโจทย์ในคีย์หลักของ Technology แต่เราก็ยังต้องอาศัย People ที่มา define policy ในองค์กรและ Process ต่างๆ ในการใช้ Technology อยู่ดี จึงต้องพัฒนาองค์ประกอบทั้ง 3 ควบคู่กัน
Google Cloud เครื่องมือสุดปังที่ทำให้ Data Governance แข็งแกร่ง
Google มีความเก่งในเรื่องการทำ data มายาวนานนับตั้งแต่ search engine ถือกำเนิด เรียกว่าเป็น AI company อย่างแท้จริง เบื้องหลังสิ่งเหล่านั้นคือเรื่องการใช้และจัดการควบคุมข้อมูลอย่างมีประสิทธิภาพของ Google ด้วย know-how เหล่านี้เอง จึงทำให้ Google Cloud Platform มีความเก่งในเรื่อง Data Governance
เรามาดูกันว่า Google Cloud ช่วยเรื่อง data security & governance control ในด้านใดบ้าง
- Built-in data protection at scale
ความปลอดภัยเป็นพื้นฐานที่ Google Cloud ให้ความสำคัญทึ่สุด ข้อมูลที่ถูกจัดเก็บหรือนำไปใช้งานใน services อื่นๆ จะถูก encryption เป็น default ของระบบอยู่แล้ว (encryption at rest and encryption at transit) ซึ่งผู้ใช้สามารถใช้ encryption keys ของตนเองเพื่อเข้ารหัสได้ (CMEK) ทำให้มั่นใจได้ว่าจะไม่มีใครสามารถแกะอ่านข้อมูลของเราได้ แม้แต่ Google เองก็ตาม - Tools and technology to efficiently govern data
มีเครื่องมือที่ช่วยในการทำ Data Governance โดยตรงที่สามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ อาทิ
○ Cloud DLP สำหรับทำ Data Loss Prevention เช่น scan, encryption, masking
○ Cloud IAM สำหรับกำหนดสิทธิ์และจัดการ role ต่างๆ อาทิ data analyst, data engineer, developers ซึ่งมีสิทธิ์เข้าถึง data หรือ resources ที่แตกต่างกัน
○ Data Catalog สำหรับ discovery & assessment data บน platform เป็นเสมือนสมุดหน้าเหลืองที่ทำให้เห็น data แบบ landscape ช่วยให้ manage metadata ทั้งบน data warehouse และบน data lake ได้อย่างมีประสิทธิภาพ ทั้งยังสามารถ integrate กับ Cloud DLP ในการ scan หา sensitive data ได้อีกด้วย
○ BigQuery สำหรับเป็น enterprise data warehouse ที่ใช้ในเชิง analytics มีความสามารถในการติด Policy Tags ที่บ่งบอกถึงความ sensitive และจำกัดการเข้าถึงของผู้ใช้ได้หลากหลายระดับ ตั้งแต่ระดับ data source จนถึงระดับ columns - Industry standards compliance
Comply กับ standard ต่างๆ อาทิ Reliability, SLA หรือ Compliance อื่นๆ เช่น GDPR, PCI DSS ดูเพิ่มเติมได้ที่ Compliance resource center - Trust through transparency
Google มีความโปร่งใส ถือนโยบายเรื่องความเป็นส่วนตัว อาทิ Google จะไม่ process ข้อมูลบน Platform, ไม่มี backdoor access, จะมีการ audit ตามมาตรฐานสากล เป็นต้น อ่านข้อมูลเพิ่มเติมได้ที่ Google Cloud & Privacy
Summary
จากข้อมูลข้างต้น เรียกได้ว่า Google Cloud เป็น Technology ที่มีส่วนช่วยในการทำ Data Governance ครบจบใน Platform เดียว
สำหรับใครที่สนใจในเรื่องของ Google Cloud Platform หรือ Service อื่นๆ ด้าน AI/Machine Learning
อาทิ Vision AI, OCR, Text to Speech ทาง Tangerine มีผู้เชี่ยวชาญคอยให้คำปรึกษา
สามารถติดต่อได้ที่อีเมล google.sales@tangerine.co.th หรือโทร 08-6788-4690 ได้ทันที
