Process Mining สามารถช่วยองค์กรได้อย่างไรตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

INFOZENSE CO.,LTD.
Nov 6 · 2 min read

องค์กรในต่างประเทศโดยเฉพาะในฝั่งยุโรปได้มีการบังคับใช้ General Data Protection Regulation (GDPR) เพื่อป้องการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ และอื่น ๆ โดยรายละเอียดสามารถหาอ่านได้ตามลิงค์นี้ สำหรับประเทศไทยเราก็มีเหมือนกันแต่ใช้ชื่อว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) โดยรายละเอียดสามารถหาอ่านได้ตามลิงค์นี้

อันที่จริง PDPA นั้นไม่ใช่ข้อบังคับที่ผู้ที่มีส่วนเกี่ยวข้องแค่ทำเพื่อให้ผ่านแล้วก็จบ จากนั้นก็มานั่งรีวิวกันทุกปีเพื่อให้ผ่าน ๆ ไป แต่ถ้ามองตามกระบวนการทางธุรกิจแล้ว PDPA เป็นการตรวจสอบและบังคับใช้อย่างต่อเนื่อง ซึ่งต้องนำเข้าไปสู่ Business Process เพื่อป้องกันการกระทำที่อาจนำไปสู่ค่าปรับที่สูงลิ่วได้

แต่จะเริ่ม PDPA และจัดการกับข้อมูลยังไงนี่สิคือปัญหา ให้คนที่รู้กฎหมายหรือ PDPA มาทำ Business Process Re-Engineering คงไม่ถูกจริต หรือจะให้พนักงานที่เกี่ยวข้องกับการใช้มูลส่วนบุคคลมาวาด Process Flow ว่าใช้ข้อมูลในกระบวนการใดบ้างคงมึนกันน่าดู หรือจะไปจ้างคนนอกมาทำให้ก็ไม่ไว้ใจเพราะเรื่องนี้เป็นของใหม่กันทุกคน

ดังนั้นในบทความนี้จะขอพูดถึงทางเลือกหนึ่งในการพัฒนา PDPA Compliance Solution ที่มีการศึกษาแนวทางการใช้งานในมิติของ GDPR ในต่างประเทศ โดยแนวทางที่จะกล่าวถึงนี้เกี่ยวกับการนำ Process Mining มาช่วยให้องค์การเห็นภาพ Business Process ที่เกิดขึ้นจริงได้ง่ายและรวดเร็วผ่านการวิเคราะห์ Activity Log โดยจากรูปด้านล่างเป้น Framework ที่มีการนำระบบ Process Mining มาใช้เพื่อให้ทีมกฎหมาย ทีมงาน IT และ หน่วยงานที่เกี่ยวข้องกับการใช้ข้อมูลบุคคลสามารถเข้าใจถึง Process ปัจจุบัน เพื่อหาจุดที่ต้องปรับปรุงและเปลี่ยนแปลงตามข้อกำหนดของ PDPA

ที่มา: Azadeh Sadat and Mozafari Mehr, Compliance to data protection and purpose control using process mining technique, Eindhoven University of Technology, the Netherlands

โดยการนำ Process Mining มาประยุกต์ใช้ในการพัฒนา Solution เพื่อให้องค์กรเป็น PDPA Compliance นั้นประกอบด้วย 4 ขั้นตอนด้วยกันคือ

1. Process Discovery

Process Discovery เป็นขั้นตอนแรกของการทำ Process Mining โดยการนำ Event log ส่งเข้าระบบ Process Mining ทำการวิเคราะห์เพื่อสร้าง Process Flow ที่เกิดขึ้นในการทำงานจริง โดยสิ่งที่ได้นั้นอาจจะมีความแตกต่างจาก Process ที่ออกแบบไว้เดิม เนื่องจากกระบวนการที่ออกแบบกับสิ่งที่เกิดขึ้นจริงมักจะไม่เหมือนกัน 100% ทำให้ผู้ที่ทำงานในโครงการ PDPA สามารถเห็นได้ว่ามี Process ใดบ้างมีทำงานที่ผิดเพี้ยนไปจากกระบวนการเดิม หรือมีกระบวนการใดบ้างที่ควรได้รับการใส่ใจเป็นพิเศษ โดยผลที่ได้จาก Process Discovery คือภาพของ Process Flow แบบ End-to-end ของกระบวนการที่ต้องการตรวจสอบเช่น ERP หรือ CRM โดย Process ที่เกี่ยวข้องกับการใช้ข้อมูลบุคคลสามารถถูกกำหนดได้จากผลลัพธ์ของ Process Discovery นี้

ที่มา: Celonis Process Mining

2. Regulatory-to-Technical Rule Translation

การทำงานในส่วนนี้ต้องให้ผู้ที่เชี่ยวชาญด้านกฎหมายและ PDPA มานั่งคุยกับทีมงานกัน เพื่อสรุปและความเข้าใจร่วมกันเกี่ยวกับการบังคับใช้ PDPA ว่าที่มีความเกี่ยวข้องกับกระบวนการส่วนไหน โดยจะต้องทำใน 2 มิติด้วยกันคือ มิติของข้อฎหมายต่อการคุ้มครองข้อมูล และมิติของการดำเนินการทางธุรกิจตามแนวทางที่กฎหมายบังคับใช้ ซึ่งการทำงานตรงส่วนนี้สามารถนำผลลัพธ์ที่ได้จาก Process Discovery มาพิจารณาร่วมกันได้เพราะกระบวนการทางธุรกิจที่เกี่ยวข้องกับข้อมูลบุคคลสามารถเห็นได้ในรูปแบบ Process Flow ซึ่งสามารถนำมาวิเคราะห์ในเชิงลึกได้เพื่อใช้ในการตั้งเกณฑ์และข้อกำหนดต่าง ๆ บนพื้นฐานของกระบวนการที่เกิดขึ้นจริง ไม่ได้เกิดจากการตั้งสมมุติฐาน แล้วค่อยมาพิสูจน์ว่าสิ่งที่คิดนั้นผิดตอนที่ปัญหาเกิดขึ้นมาแล้ว

3. Privacy Police Model Development

หลังจากที่ตั้งเกณฑ์ที่เหมาะสมกับการป้องกันข้อมูลบุคคลเป็นที่เรียบร้อยแล้ว ขั้นตอนถัดมาคือการแปลงเกณฑ์เหล่านั้นให้อยู่ในรูปแบบของกระบวนการหรือ Process Flow ที่ควรจะเป็น จากนั้นจึงเข้าสู่กระบวนการ Compliance Checking โดยจะทำการตรวจสอบทุกขั้นตอนของกระบวนการจาก Log ที่มีอยู่ว่าที่การทำงานตรงส่วนไหนที่ไม่ตรงตามเกณฑ์ที่กำหนดไว้บ้าง ซึ่งระบบ Process Mining สามารถทำการตรวจสอบและจัดทำเป็นรายงานได้

4. Conformance Analysis

เมื่อทำการพัฒนา Privacy Police Model ที่อยู่ในรูปแบบของ Process Flow ที่ควรจะเป็นแล้ว ระบบ Process Mining สามารถทำ Compliance Checking เพื่อทำการเปรียบเทียบสิ่งที่เกิดขึ้นจริงกับสิ่งที่ควรจะเป็นตามที่ออกแบบในขั้นตอนที่ 3 นอกจากนั้นเราสามารถใช้ Conformance Analysis ในการตรวจสอบขั้นตอนการดำเนินงานอย่างต่อเนื่องว่ามีขั้นตอนไหนน่าจะเป็นจุดสุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคล

ที่มา: Celonis Process Mining

จากขั้นตอนที่กล่าวมาจะเป็นได้ว่าการนำ Process Mining มาใช้ในการพัฒนา PDPA Compliance ในองค์กรถือว่าเป็นทางเลือกหนึ่งที่น่าสนใจ โดยเฉพาะอย่างยิ่งในภาวะที่เวลาการเตรียมตัวและทรัพยากรมีค่อนข้างจำกัด เนื่องจาก Process Mining สามารถใช้แค่ Event log และข้อมูลที่องค์กรมีอยู่มาใช้ให้เกิดประโยชน์โดยไม่ต้องใช้แรงงานคนมาทำการวิเคราะห์ทีละขั้นตอน และยังช่วยประหยัดเวลาและลดค่าใช้จ่ายทางด้านบุคลากรและระบบ และที่สำคัญคือสามารถนำ Process Mining มาใช้งานในการติดตาม PDPA Compliance ได้ทั้ง Life Cycle ของข้อมูล

contact@infozense.com

Reference

Azadeh Sadat Mozafari Mehr. Compliance to data protection and purpose control using process mining technique. 17th International Conference on Business Process Management (BPM 2019), September 1–6, 2019, Vienna, Austria.

    INFOZENSE CO.,LTD.

    Written by

    บริษัท อินโฟเซนส์ จำกัด ผู้ให้บริการที่ปรึกษาและติดตั้งระบบทางด้าน Robotic Process Automation, Cognitive Automation, Process Mining & Data Intelligence

    Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
    Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
    Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade