การยืนยันตัวตน KYC และ eKYC

Peerapat (นอบอ)
Jan 7 · 2 min read

เชื่อว่าในช่วงไม่กี่เดือนมานี้เราน่าจะได้ยินเรื่อง eKYC (รวมถึง National Identity) มาพอสมควร และหลายคนก็คงจะสงสัยว่าแล้วการยืนยันตัวตนเนี่ยมันคืออะไร ก่อนจะไปถึงตรงนั้น ผมจะขอพูดถึงงานที่จำเป็นต้องมีการยืนยันตัวตนให้ชัดเจนก่อน เช่น งานด้านการเงินว่าทำไมต้องมีการยืนยันตัวตน โดยเริ่มจากเรามาดูเคสที่เก่ามากๆ กันก่อน “Cheque คือเรื่องเช็ก” ไอ้เช็กเนี่ย วิธีทำให้ปลอดภัยคือขีดคร่อมว่าเช็กนี้เข้าบัญชีใครได้เท่านั้น เช่น เข้าบัญชี “นายนอบอ ชาวท่าแซะ” เท่านั้นแต่จะเกิดอะไรขึ้นถ้าใครก็ไปเปิดบัญชี “นายนอบอ ชาวท่าแซะ” ได้ ​ถ้าเป็นแบบนั้น เกิดผมไปได้เช็กของนายนอบอ. มา ผมก็แค่ไปเปิดบัญชีธ. ไหนสักที่เพื่อขึ้นเช็กใบนั้นได้แล้ว นั่นจึงเป็นที่มาว่าทำไมในหลายธุรกรรมต้องมีการยืนยันตัวตนก่อนจะเริ่มให้บริการได้ นั่นจึงๆ เป็นเหตุผลที่ไม่ใช่ใครก็ใช้ชื่อบัญชีผมได้ (ผิดกับบริการในอินเตอร์เน็ตหลายตัวที่ผมใช้ชื่ออะไรก็ได้)

Know Your Customer (eKYC)

ที่นี้ตัวตนของเราคือใคร เอากันตรงๆ ตามกฏหมายคือเราเป็นใครเนี่ย ดูได้จากหนังสือราชการที่ออกให้ที่มีการระบุตัวตนชัดเจน ถ้าเป็นในไทยเอกสารที่ได้รับการยอมรับก็มีแค่ Citizen Card, Driving License or ePassport … ต่อมาคือการพิสูจน์ว่าเราเป็นเจ้าของเอกสารจริงมั้ยแล้วการยืนยันตัวตนมันทำกันยังไง สมัยก่อนเราก็ใช้วิธีเซ็นเอกสารสำเนาของบัตรประชาชนแล้วมีคนคอยดูว่าเซ็นจริงไหม (โดยอยู่บนสมมุติฐานว่าคนที่เซ็นจะเป็นคนคนนั้นจริงๆ) ซึ่งก็รู้ว่าไม่จริง เพราะตลอดหลายปีที่ผ่านมาแล้วก็จะได้ยินข่าวเกี่ยวกับการเอาเอกสารของคนอื่นไปทำธุรกรรมอยู่เรื่อยๆ ไม่ว่าจะเป็นกรณีการขโมยเบอร์โทสับโมบายเพื่อเข้าถึง Internet Banking ของคนอื่นอย่างที่ผ่านมา

electronic Know Your Customer (eKYC)

ถัดจากยุคกระดาศลายเซ็นก็ต่อมาที่ยุคที่เริ่มเป็น electronic device ถ้าใครที่มีการเปิดบัญชีในช่วงไม่กี่ปีที่ผ่านมาก็จะเห็นว่าหลายธนาคารให้ทำการเปิดบัญชีผ่าน IdCard (ที่ปลอมแปรงยากกันแล้ว) โดยการเปิดบัญชีต้องมีการทำ Dip Chip เพื่ออ่านข้อมูลผ่าน Reader ว่าเป็นเอกสารจริงหรือไม่ (สตรองขึ้นแล้วนะ) แต่สตรองพอหรือเปล่าก็จบที่ไม่พอครับล่าสุดก็ปีที่แล้วที่มีสาวคนนึงกลายเป็นผู้ต้องสงสัยฟอกเงินเพราะมีคนขโมยไอดีไปเปิดบัญชีธนาคารและแน่นอน ข่าวของน้องคนนี้ก็โด่งดังในชั่วข้ามคืนเพราะโซเชี่ยล (นี่ถ้าไม่ใช่ยุคเฟสบุ๊กอาจจะติดคุกยาวกว่าจะมีคนมาจัดการ)

ด้วยหลายเหตุการณ์รวมถึงการที่ประเทศต้องการขยับไปสู่ยุค Digital Economy จึงเกิดโครงการอย่าง Nation Digital Identity (NDID) เลยเกิดการพยายามยกระดับการทำ eKYC โดยมีการสร้าง Method ใหม่ๆ ที่น่าเชื่อยิ่งขึ้นโดยการใช้เทคโนโลยีต่างๆ เข้ามาเสริมการยืนยันตัวตน และยังมีการกำหนดการยืนยันตัวตนออกเป็นหลายระดับ เพื่อบังคับใช้กับธุรกรรมสำคัญต่างๆ โดยแต่ละระดับก็จะมีขั้นตอนการยืนยันตัวตนที่ต่างกันดังนี้

  1. IAL1 -ใช้เอกสารก๊อปปี้หรือรูปถ่าย
  2. IAL2.1–2.2 - ใช้การอ่านจาก Chip แบบ Contact หรือใช้ NFC อ่านจาก ePassport รวมถึงมีการทำ Biometric Prove เพื่อป้องกันการแอบอ้าง
  3. IAL2.3 มีการทำ Biometric Prove เพื่อพิสูจน์ตัวตนของ Identity
  4. IAL3 ใช้เอกสารแบบ multiple source (ในที่นี้คือใช้ทั้ง Citizen & ePassport)

ในช่วงนี้เราจะเห็นว่ามี Startup หลายตัวมีการทำสิ่งที่เรียกว่า eKYC นั้น (Stock Radar, Odini, Creden)

ส่วนตัวผมไม่อยากให้เรียกการถ่ายรูปบัตรว่า e เลย

จะให้ใช้วิธีการที่ถ่าย Selfie พร้อมสำหรับบัตรประชาชนเพื่อยืนยันตัวตนกันนั้น ซึ้งถ้าเอาตามมาตรฐาน NDID เรียกว่าได้ระดับการยืนยันตัวตนแค่ IAL level 1 เท่านั้น แต่ไม่ใช่หมายถึงว่าได้นะ เพราะคนที่จะ Audit เพื่อรับรองนั้นคือ Regulator และต้องมีเงื่อนไขอื่นๆ เพื่อประกอบการพิจารณานอกจาก Method ที่ใช้ด้วย ไม่ว่าจะเป็นการผ่าน Pen Test ของทาง Regulator การมี Audit System ที่ป้องกัน Internal Fraud ได้ และอีกสารพัด

สำหรับเมืองไทยตอนนี้ eKYC โปรเจคที่มีการพัฒนากันนั้น ที่เข้าเงื่อนไขของ IAL2.3 ก็เห็นจะมีแค่ระบบเปิดบัญชีออนไลน์ของ ธ. ไทยพาณิชย์ ที่ทีมผมเข้าไปขาย Solution ให้รวมถึงช่วย Implement ในส่วน Integration กับ Core Bank เพื่อเปิดบัญชีและของธ. ทีเอ็มบีที่ทำโซลูชั่นที่เหมือนกันออกมา ส่วนนอกนั้น น่าจะยังอยู่ในเลเวล 1 ทั้งหมด สำหรับประเทศไทยโดยส่วนใหญ่แล้วน่าจะยังอยู่ที่ระดับ 1 กันหมด (โดยส่วนตัวผมว่าต้องใช้เวลาอย่างน้อย 2 ปีกว่าทั้งประเทศจะยกระดับเป็นระดับ 2 ได้)

ทำไม eKYC ถึงสำคัญ เพราะว่าการทำ KYC เป็นขั้นตอนแรกของการทำธุรกรรมการเงินหรือธุรกรรมสำคัญต่างๆ และยิ่งในหลายธุรกิจที่มี Regulator กำกับดูแล ก็จะต้องเจอกับการยกระดับการยืนยันตัวตนเพื่อให้พร้อมสำหรับ Thailand 4.0 ที่จะมาถึง

แล้วส่วนตัวผมมาทำเรื่องพวกนี้ได้อย่างไร คือจริงๆ เป็นโจทย์ส่วนตัวมานานแล้วว่าทำไมในยุคดิจิตอลเรายังต้องมาคอยเซ็นสำเนา ต่างๆ มากมายอย่างทุกวันนี้ จริงๆ และจากการตั้งโจทย์นี้เลยลากยาวไปจนถึงการศึกษาพรบ. ธุรกรรมอิเล็กทรอนิกส์ จนมาพบว่าการ KYC เป็นจุดเริ่มต้น สำหรับในประเทศไทยการทำ KYC ต้องทำในลักษณะของ Face 2 Face (เจอหน้ากันเท่านั้น)โจทย์ต่อมาผมจึงเป็นว่าทำอย่างไรให้เรา eKYC คนได้แบบ Non Face 2 Face และประจวบกับเดินทางบ่อยๆ ก็เจอว่าหลายประเทศสามารถ KYC คนผ่าน Immigation แบบ Autogate ได้แม้ว่าจะไม่ใช่คนในประเทศ ทำให้คิดว่าเราก็น่าจะสามารถใช้ ePassport ผ่าน Mobile เพื่อทำการยืนยันตัวตนได้เหมือนกัน จริงๆ ก่อนที่จะมาจบที่ ePassport เคยคิดว่าเราน่าจะไปขอรูปจากกรมการปกครองเพื่อมาทำ Facial ได้นะ (แต่สุดท้ายไม่ได้)

*แก้ไข Thursday, Jan 10, 2019

ข่าวประกอบน่าสนใจ ธปท.ไฟเขียว “e-KYC” ต้นปี ชี้เริ่มให้บริการไม่ต้องรอ กม.ดิจิทัลไอดี

Peerapat Asoktummarungsri © 2019

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade