Process Mining สามารถช่วยองค์กรได้อย่างไรตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

องค์กรในต่างประเทศโดยเฉพาะในฝั่งยุโรปได้มีการบังคับใช้ General Data Protection Regulation (GDPR) เพื่อป้องการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ และอื่น ๆ โดยรายละเอียดสามารถหาอ่านได้ตามลิงค์นี้ สำหรับประเทศไทยเราก็มีเหมือนกันแต่ใช้ชื่อว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) โดยรายละเอียดสามารถหาอ่านได้ตามลิงค์นี้
อันที่จริง PDPA นั้นไม่ใช่ข้อบังคับที่ผู้ที่มีส่วนเกี่ยวข้องแค่ทำเพื่อให้ผ่านแล้วก็จบ จากนั้นก็มานั่งรีวิวกันทุกปีเพื่อให้ผ่าน ๆ ไป แต่ถ้ามองตามกระบวนการทางธุรกิจแล้ว PDPA เป็นการตรวจสอบและบังคับใช้อย่างต่อเนื่อง ซึ่งต้องนำเข้าไปสู่ Business Process เพื่อป้องกันการกระทำที่อาจนำไปสู่ค่าปรับที่สูงลิ่วได้
แต่จะเริ่ม PDPA และจัดการกับข้อมูลยังไงนี่สิคือปัญหา ให้คนที่รู้กฎหมายหรือ PDPA มาทำ Business Process Re-Engineering คงไม่ถูกจริต หรือจะให้พนักงานที่เกี่ยวข้องกับการใช้มูลส่วนบุคคลมาวาด Process Flow ว่าใช้ข้อมูลในกระบวนการใดบ้างคงมึนกันน่าดู หรือจะไปจ้างคนนอกมาทำให้ก็ไม่ไว้ใจเพราะเรื่องนี้เป็นของใหม่กันทุกคน
ดังนั้นในบทความนี้จะขอพูดถึงทางเลือกหนึ่งในการพัฒนา PDPA Compliance Solution ที่มีการศึกษาแนวทางการใช้งานในมิติของ GDPR ในต่างประเทศ โดยแนวทางที่จะกล่าวถึงนี้เกี่ยวกับการนำ Process Mining มาช่วยให้องค์การเห็นภาพ Business Process ที่เกิดขึ้นจริงได้ง่ายและรวดเร็วผ่านการวิเคราะห์ Activity Log โดยจากรูปด้านล่างเป้น Framework ที่มีการนำระบบ Process Mining มาใช้เพื่อให้ทีมกฎหมาย ทีมงาน IT และ หน่วยงานที่เกี่ยวข้องกับการใช้ข้อมูลบุคคลสามารถเข้าใจถึง Process ปัจจุบัน เพื่อหาจุดที่ต้องปรับปรุงและเปลี่ยนแปลงตามข้อกำหนดของ PDPA

โดยการนำ Process Mining มาประยุกต์ใช้ในการพัฒนา Solution เพื่อให้องค์กรเป็น PDPA Compliance นั้นประกอบด้วย 4 ขั้นตอนด้วยกันคือ
1. Process Discovery
Process Discovery เป็นขั้นตอนแรกของการทำ Process Mining โดยการนำ Event log ส่งเข้าระบบ Process Mining ทำการวิเคราะห์เพื่อสร้าง Process Flow ที่เกิดขึ้นในการทำงานจริง โดยสิ่งที่ได้นั้นอาจจะมีความแตกต่างจาก Process ที่ออกแบบไว้เดิม เนื่องจากกระบวนการที่ออกแบบกับสิ่งที่เกิดขึ้นจริงมักจะไม่เหมือนกัน 100% ทำให้ผู้ที่ทำงานในโครงการ PDPA สามารถเห็นได้ว่ามี Process ใดบ้างมีทำงานที่ผิดเพี้ยนไปจากกระบวนการเดิม หรือมีกระบวนการใดบ้างที่ควรได้รับการใส่ใจเป็นพิเศษ โดยผลที่ได้จาก Process Discovery คือภาพของ Process Flow แบบ End-to-end ของกระบวนการที่ต้องการตรวจสอบเช่น ERP หรือ CRM โดย Process ที่เกี่ยวข้องกับการใช้ข้อมูลบุคคลสามารถถูกกำหนดได้จากผลลัพธ์ของ Process Discovery นี้

2. Regulatory-to-Technical Rule Translation
การทำงานในส่วนนี้ต้องให้ผู้ที่เชี่ยวชาญด้านกฎหมายและ PDPA มานั่งคุยกับทีมงานกัน เพื่อสรุปและความเข้าใจร่วมกันเกี่ยวกับการบังคับใช้ PDPA ว่าที่มีความเกี่ยวข้องกับกระบวนการส่วนไหน โดยจะต้องทำใน 2 มิติด้วยกันคือ มิติของข้อฎหมายต่อการคุ้มครองข้อมูล และมิติของการดำเนินการทางธุรกิจตามแนวทางที่กฎหมายบังคับใช้ ซึ่งการทำงานตรงส่วนนี้สามารถนำผลลัพธ์ที่ได้จาก Process Discovery มาพิจารณาร่วมกันได้เพราะกระบวนการทางธุรกิจที่เกี่ยวข้องกับข้อมูลบุคคลสามารถเห็นได้ในรูปแบบ Process Flow ซึ่งสามารถนำมาวิเคราะห์ในเชิงลึกได้เพื่อใช้ในการตั้งเกณฑ์และข้อกำหนดต่าง ๆ บนพื้นฐานของกระบวนการที่เกิดขึ้นจริง ไม่ได้เกิดจากการตั้งสมมุติฐาน แล้วค่อยมาพิสูจน์ว่าสิ่งที่คิดนั้นผิดตอนที่ปัญหาเกิดขึ้นมาแล้ว
3. Privacy Police Model Development
หลังจากที่ตั้งเกณฑ์ที่เหมาะสมกับการป้องกันข้อมูลบุคคลเป็นที่เรียบร้อยแล้ว ขั้นตอนถัดมาคือการแปลงเกณฑ์เหล่านั้นให้อยู่ในรูปแบบของกระบวนการหรือ Process Flow ที่ควรจะเป็น จากนั้นจึงเข้าสู่กระบวนการ Compliance Checking โดยจะทำการตรวจสอบทุกขั้นตอนของกระบวนการจาก Log ที่มีอยู่ว่าที่การทำงานตรงส่วนไหนที่ไม่ตรงตามเกณฑ์ที่กำหนดไว้บ้าง ซึ่งระบบ Process Mining สามารถทำการตรวจสอบและจัดทำเป็นรายงานได้
4. Conformance Analysis
เมื่อทำการพัฒนา Privacy Police Model ที่อยู่ในรูปแบบของ Process Flow ที่ควรจะเป็นแล้ว ระบบ Process Mining สามารถทำ Compliance Checking เพื่อทำการเปรียบเทียบสิ่งที่เกิดขึ้นจริงกับสิ่งที่ควรจะเป็นตามที่ออกแบบในขั้นตอนที่ 3 นอกจากนั้นเราสามารถใช้ Conformance Analysis ในการตรวจสอบขั้นตอนการดำเนินงานอย่างต่อเนื่องว่ามีขั้นตอนไหนน่าจะเป็นจุดสุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคล

จากขั้นตอนที่กล่าวมาจะเป็นได้ว่าการนำ Process Mining มาใช้ในการพัฒนา PDPA Compliance ในองค์กรถือว่าเป็นทางเลือกหนึ่งที่น่าสนใจ โดยเฉพาะอย่างยิ่งในภาวะที่เวลาการเตรียมตัวและทรัพยากรมีค่อนข้างจำกัด เนื่องจาก Process Mining สามารถใช้แค่ Event log และข้อมูลที่องค์กรมีอยู่มาใช้ให้เกิดประโยชน์โดยไม่ต้องใช้แรงงานคนมาทำการวิเคราะห์ทีละขั้นตอน และยังช่วยประหยัดเวลาและลดค่าใช้จ่ายทางด้านบุคลากรและระบบ และที่สำคัญคือสามารถนำ Process Mining มาใช้งานในการติดตาม PDPA Compliance ได้ทั้ง Life Cycle ของข้อมูล
contact@infozense.com
Reference
Azadeh Sadat Mozafari Mehr. Compliance to data protection and purpose control using process mining technique. 17th International Conference on Business Process Management (BPM 2019), September 1–6, 2019, Vienna, Austria.
