Saturday, June 30, 2012

การคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยจากการใช้คลาวด์ ตอนที่ 2


ประเทศที่ต้องการพัฒนาเศรษฐกิจและสังคมสู่สากล มักต้องคำนึงถึงการสร้างความเชื่อมั่นให้กับคนทุกคน ในยุคที่โลกเราถูกเชื่อมโยงด้วยเครือข่ายสื่อสารโทรคมนาคมที่มีประสิทธิภาพสูง การทำธุรกรรมผ่านอินเทอร์เน็ตมีแต่จะเพิ่มขึ้น และชุมชนที่อยู่ในสังคมออนไลน์ หรือเครือข่ายสังคมเก็บข้อมูลส่วนตัวของพวกเรามากขึ้นทุกวัน เมื่อรวมกับงานที่กำลังจะโอนย้ายเข้าไปฝากอยู่กับศูนย์บริการคลาว ทำให้ข้อมูลส่วนตัวของพวกเราแต่ละคนกระจายอยู่ทั่วไปในก้อนเมฆ และในโลกไซเบอร์ ความเป็นส่วนตัวของพวกเราเริ่มกลายเป็นประเด็นปัญหาที่ต้องกังวล ถ้าข้อมูลส่วนบุคคลยังไม่ได้รับการคุ้มครองที่ชัดเจน ประเทศที่เจริญแล้วหลาย ๆ ประเทศต่างมีกฎหมายใช้บังคับผู้เก็บข้อมูลของประชาชนไว้ เพื่อให้มั่นใจว่า ข้อมูลส่วนตัวจะไม่ถูกละเมิดจนเกิคความเสียหาย
กฏหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้ในประเทศต่าง ๆ มีสองรูปแบบดังนี้
1.          รูปแบบบัญญัติกฎหมายกลาง (Comprehensive Law) ซึ่งเป็นกฎหมายที่บังคับใช้กับผู้บันทึกและจัดเก็บข้อมูลของประชาชนทุกประเภท ทั้งของภาครัฐและเอกชน ทั้งข้อมูลส่วนบุคคลที่เกี่ยวกับการเงิน ข้อมูลส่วนบุคคลเกี่ยวกับการลงทุน เกี่ยวกับการบริโภค ฯลฯ รูปแบบบัญญัติกฎหมายกลาง เป็นรูปแบบที่นิยมใช้กันมาก
2.          รูปแบบบัญญัติกฎหมายเฉพาะเรื่อง (Sectoral Law) เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลเฉพาะเรื่อง เช่นข้อมูลเกี่ยวกับการเงิน เกี่ยวกับทางการปกครอง เกี่ยวกับการบริโภค ผู้รู้ในด้านกฎหมายไทยบอกว่า การบัญญัติกฎหมายเฉพาะสำหรับการคุ้มครองข้อมูลส่วนบุคคลนั้น มีข้อเสีย กล่าวคือ ถ้าเกิดการละเมิดในส่วนที่ไม่ได้กำหนดไว้ในกฎหมายเฉพาะ ก็จะไม่ได้รับการคุ้มครอง ความเป็นจริง คือ การละเมิดข้อมูลส่วนตัวนั้น เกิดได้ทุกกรณีและทุกโอกาส จึงเป็นไปยากที่กฎหมายเฉพาะจะครอบคลุมได้ทั่วถึง ดังนั้นกฎหมายกลางที่กล่าวในข้อ 1 ซึ่งถือเป็นกฎหมายครอบจักรวาล จะสร้างความมั่นใจให้แก่สังคมได้มากกว่า ประเทศสหรัฐอเมริกาเป็นหนึ่งในไม่กี่ประเทศที่เลือกใช้บัญญัติกฎหมายเฉพาะ เช่นเรื่อง Video Privacy Protection Act of 1988, Cable Television Protection and Competition Act of 1992, the Fair Credit Reporting Act, และ 2010 Massachusetts Data Privacy Regulations (จาก Wikipedia)
ที่ผ่านมา ประเทศไทยได้บัญญัติกฎหมายให้การคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายแบบเฉพาะเรื่องเช่นกัน ที่ได้บังคับใช้แล้วขณะนี้ คือพระราชบัญญัติข้อมูลข่าวสารของราชการ พศ 2540 ซึ่งให้ความคุ้มครองข้อมูลส่วนบุคคลเฉพาะที่ถูกจัดเก็บอยู่กับส่วนราชการ นอกจากนี้ ยังมีประกาศภายใต้พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พศ 2544 ของคณะกรรมการธุรกรรมอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฎิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พศ 2553 เพื่อเป็นแนวทางเบื้องต้นสำหรับคุ้มครองข้อมูลส่วนบุคคลจากการให้บริการธุรกิจทางอิเล็กทรอนิกส์ของภาครัฐ
สำหรับร่างพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่ได้ผ่านความเห็นชอบของคณะรัฐมนตรี และอยู่ในระหว่างการพิจารณาของรัฐสภานั้น ตามบันทึกหลักการและเหตุผล ประกอบร่างพรบฉบับดังกล่าว ตอนหนึ่งมีใจความว่า “…โดยที่มาตรา 35 วรรคสาม และมาตรา 56 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้บุคคลย่อมมีสิทธิได้รับความคุ้มครองจากการแสวงประโยชน์โดยมิชอบจากข้อมูลส่วนบุคลที่เกี่ยวกับตน และการเปิดเผยข้อมูลส่วนบุคคล สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไป….” ถึงแม้จะมีการระบุว่าเป็นการบัญญัติกฎหมายคุ้มครองทั่วไป คงยังต้องอาศัยนักกฎหมายช่วยศึกษาว่าจะครอบคลุมประเด็นสำคัญ ๆ เกี่ยวกับการใช้บริการคลาวอย่างปลอดภัยหรือไม่
อย่างไรก็ตาม ร่างพรบฉบับนี้ ได้ให้คำจำกัดความของคำว่า ข้อมูลส่วนบุคคลไว้ดังนี้ ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน หรือประวัติกิจกรรม บรรดาที่มีชื่อของบุคคลนั้นหรือมีเลขหมาย รหัส หรือสิ่งบอกลักษณะอื่นที่ทำให้รู้ตัวบุคคลนั้นได้ เช่นลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียงของคน หรือรูปถ่าย และให้หมายความรวมถึงข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของผู้ที่ถึงแก่กรรมแล้วด้วย
ผมตีความหมายว่า รายการธุรกรรม (Transaction) ที่กำกับด้วยเลขรหัส หรือชื่อของบุคคล ก็จะได้รับการคุ้มครองด้วย
ร่างพรบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ได้วางหลักเกณฑ์เกี่ยวกับการจัดเก็บ รวบรวม การใช้ และการปิดเผยข้อมูลส่วนบุคคล ที่น่าสนใจคือ ในมาตรา 20 กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจประกาศกำหนดประมวลจริยธรรมเพื่อให้ธุรกิจหรือหน่วยงานที่มีข้อมูลส่วนบุคคลต้องปฎิบัติ และมาตรา 21 กำหนดให้ผู้ประกอบการทำประกาศการเก็บข้อมูลส่วนบุคคล ณ สถานที่ทำการ สองมาตรานี้ อ่านแล้ว ทำให้เข้าใจว่า จะสนับสนุนให้ผู้ประกอบการกำกับดูแลตัวเอง (Self-regulation) เพื่อสร้างความน่าเชื่อถือในการบริการลูกค้า และนำไปสู่การใช้ Trust mark หรือการใช้เครื่องหมายรับรองการให้ความคุ้มครองข้อมูลส่วนบุคคล ลักษณะที่เคยเห็นปรากฎในเว็บไซท์หลายแห่ง
ที่น่าสนใจอีกเรื่องหนึ่งคือ มาตรา 29 ห้ามไม่ให้เปิดเผยข้อมูลส่วนบุคคลไปนอกประเทศโดยไม่ได้รับคามยินยอมจากเจ้าของ และมาตรา 30 ห้ามไม่ให้เปิดเผยข้อมูลส่วนบุคคลไปยังประเทศที่ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือมี แต่มีความเข้มข้นน้อยกว่าของไทย เรื่องนี้อาจตีความได้ว่า ห้ามธุรกิจไทยใช้บริการคลาวต่างประเทศ เว้นแต่ผู้ให้บริการมาตั้งเครื่องเซิรฟเวอร์และฐานข้อมูลในประเทศไทย ซึ่งมีการใช้บังคับในลักษณะนี้แล้วหลายประเทศ ในภาคพื้นยุโรป จนผู้ให้บริการคลาวหลายรายของสหรัฐอเมริกา ต้องมาตั้งฐานในยุโรป
โดยสรุปแล้ว หลักการ และรายละเอียดของกฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศคงไม่แตกต่างกันมาก เราคงต้องปล่อยให้เป็นภารหน้าที่ของนักกฎหมายและรัฐสภาที่จะช่วยดูแลให้พวกเรา แต่พวกเราในฐานะชาวบ้านที่รอคอยการใช้บริการคลาว คงต้องการเห็นให้มีการผลักดันให้ร่างพระราชบัญญัติฉบับนี้มีผลใช้บังคับโดยเร็ว เพื่อพวกเราจะได้ก้าวไปข้างหน้าได้อีกหนึ่งก้าว
ตอนต่อไป จะมาพูดเรื่องเกี่ยวกับความมั่นคงปลอดภัยของการใช้บริการคลาวด์ครับ

การคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยการใช้คลาวด์ ตอนที่ 1


                ถ้าเราถามองค์กรที่ใช้ไอซีทีว่า พร้อมที่จะใช้บริการคลาวด์คอมพิวติงหรือยัง จะได้คำตอบคล้ายกันมาก คือ “….อยากใช้ครับ แต่ไม่แน่ใจว่าจะปลอดภัย…”
ความไม่แน่ใจในความปลอดภัย กลายเป็นประเด็นที่ชลอการเติบโตของการบริการไอซีทีแบบสาธารณูปโภค ในตัวผู้บริโภคเอง ส่วนใหญ่ยังไม่เข้าใจในเรื่องของความมั่นคงปลอดภัย ทั้งที่จะได้รับจากผู้ให้บริการ และระดับการคุ้มครองจากภาครัฐในเรื่องข้อมูล และการได้รับคุ้มครองความเป็นธรรมในฐานะผู้บริโภค ในส่วนผู้ให้บริการเอง ก็ยังไม่มีการประกาศที่ชัดเจน เรื่องหน้าที่และความรับผิดชอบต่อผู้รับบริการ เรียกได้ว่า ยังไม่มีหน่วยงานใดออกมาทำความกระจ่างเกี่ยวกับเรื่องการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยจากการใช้คลาวอย่างชัดเจน ตราบใดที่สังคมไทยยังกังวลในเรื่องของความปลอดภัย และยังไม่สามารถประมาณระดับความเสี่ยงของตนเองได้ ก็ยากที่จะมีผู้กล้าตัดสินใจนำระบบงานและข้อมูลไปฝากไว้กับศูนย์บริการ ไม่ว่าศูนย์จะมีข้อเสนอดีอย่างไรก็ตาม การประหยัด และความเป็นเลิศของการบริหารโครงสร้างพื้นฐานด้านไอซีทีที่ผู้ให้บริการนำเสนอ กลายเป็นเรื่องรองที่ไม่สามารถสร้างแรงจูงใจให้เกิดการตัดสินใจใช้บริการคลาวได้อย่างแน่นอน
              การสร้างความมั่นใจและความไว้วางใจในบริการคลาวด์คอมพิวติงด้วยมาตรการกำหนดเป็นนโยบายและกฎหมาย มีทั้งเรื่องการตราพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และนโยบายว่าด้วยความมั่นคงปลอดภัยที่เกี่ยวกับการใช้บริการคลาวด์คอมพิวติง
การคุ้มตรองข้อมูลส่วนบุคคล (Data Protection) เป็นการคุ้มคองผู้บริโภค และเจ้าของข้อมูล โดยกำหนดให้ผู้จัดเก็บข้อมูลต้องปฎิบัติต่อข้อมูลที่ไม่เป็นภัยต่อเจ้าของข้อมูล ประเทศไทยได้ร่างพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมาตั้งแต่ปี พศ 2545 และได้รับการปรับปรุงแก้ไขมาแล้วหลายรอบ จนสุดท้ายได้รับความเห็นชอบจากคณะรัฐมนตรีแล้ว ขณะนี้ ยังอยู่ในระหว่างรอการพิจารณาจากสภาผู้แทนราษฎร
              สำหรับความมั่นคงปลอดภัยเกี่ยวกับการใช้บริการคลาวด์ (Cloud Security) นั้นมีทั้งประเด็นที่เกี่ยวกับการใช้เทคโนโลยี และข้อกำหนด กฎระเบียบ รวมทั้งนโยบายเกี่ยวกับการใช้และให้บริการ ซึ่งจำเป็นต้องมีผู้รับผิดชอบทำหน้าที่ตราเป็นกรอบให้ปฎิบัติได้ระดับหนึ่ง (Cloud Security Framework, CSF) CSF จะช่วยสร้างความกระจ่าง ถึงความเสี่ยง และมาตรการการป้องกันความเสี่ยงที่ชัดเจน รวมทั้งมีข้อชี้แนะการปฎิบัติที่ดี (Best practices) ที่นำไปสู่การใช้บริการ และการให้บริการอย่างปลอดภัย ประเทศสิงคโปร์ได้แนะนำข้อกำหนดด้านความมั่นคงปลอดภัยเป็นหกประการดังนี้
1.          เทคโนโลยี (Technology) ให้สังคมเข้าใจถึงความเสี่ยงที่เกี่ยวกับการใช้เทคโนโลยีใหม่ ๆ เช่น Virtualization เป็นต้น
2.          ความตระหนัก (Awareness) ในด้านความปลอดภัย ให้มีมาตรการสร้างความเข้าใจแก่ผู้ที่เกี่ยวข้อง ด้านความเสี่ยงที่อาจเกิดขึ้นจากการใช้บริการคลาว ผู้ให้บริการเองก็ต้องตระหนักถึงความรับผิดชอบ ที่ต้องให้บริการอย่างมีความปลอดภัยสูงสุด
3.          การจัดประเภท (Classification) ความเสี่ยง เป็นการจัดประเภทความเสี่ยงที่แตกต่างของธุรกิจ และระบบงานขององค์กร เพื่อการบริหารความเสี่ยงได้อย่างเหมาะสม เช่นการจัดประเภทระหว่างกลุ่ม ระบบ Back office และ Front office ระบบของธุรกิจการเงิน การบริการโทรคมนาคม การบริการทางการแพทย์ ฯลฯ
4.          มาตรฐาน (Standard) ที่เกี่ยวข้องกับความมั่นคงปลอดภัย ตั้งแต่กระบวนการปฎิบัติทั้งในฝั่งผู้รับบริการและผู้ให้บริการ ที่จะนำไปสู่ความมั่นคงปลอดภัย เช่นมาตรการที่ผู้ใช้ต้องปฎิบัติตามข้อแนะนำของผู้ให้บริการเกี่ยวกับการใช้บริการคลาว ข้อสัญญาที่เป็นมาตรฐาน ข้อตกลงระดับบริการ (Service Level Agreement, SLA) และการปฎิบัติงานที่ดี (Best practices) อื่น ๆ
5.          Certification เพื่อให้การบริหารจัดการการใช้คลาวอย่างปลอดภัย รวมทั้งการส่งเสริมให้ปฎิบัติการตามมาตรฐานที่กล่าว อาจต้องมีมาตรการใช้การรับรอง (Certification) ในหมวดเกี่ยวกับการใช้คลาวอย่างปลอดภัย ในลักษณะใกล้เคียงกับการรับรอง ISO27001 ว่าด้วยระบบการจัดการความมั่นคงและปลอดภัยด้านสารสนเทศ
6.          Policy & regulation เพื่อให้การปฎิบัติเกี่ยวกับความมั่นคงปลอดภัย ครอบคลุมทั้งผู้ใช้บริการ และผู้ให้บริการ อาจจำเป็นต้องพัฒนากรอบของนโยบายและข้อปฎิบัติ (Policy and regulatory framework) เพื่อให้มั่นใจว่าสังคมไทยสามารถนำไปปฎิบัติเพื่อให้เกิดผลได้ง่ายและทั่วถึงกัน
           เรื่องที่กล่าวโดยสรุปข้างต้น เป็นเรื่องสำคัญทั้งสิ้น แต่แปลกใจมากที่ไม่มีการพูดคุยกันในสังคมคลาวมากนัก  ก่อนที่พวกเราจะส่งเสริมและสนับสนุนการใช้คลาวอย่างจริงจัง จะโดย Government Cloud หรือ Public Cloud อยากเห็นหน่วยงานที่รับผิดชอบ และผู้ที่มีส่วนได้เสียทั้งหลาย ได้ทำเรื่องนี้อย่างจริงจัง เพื่อความยั่งยืนของการบริการสาธารณูปโภคชนิดใหม่ ที่มีความสำคัญต่อการส่งเสริมการใช้เทคโนโลยีเพื่อการพัฒนาเศรษฐกิจ สังคม การศึกษา การเมือง และการแข่งขัน หลายประเทศในอาเซียน กำลังหยิบประเด็นบริการคลาวคอมพิวติงเป็นจุดดึงดูดการลงทุนเข้าประเทศ คลาวจะกลายปัจจัยสำคัญของการแข่งขัน จึงเป็นวาระสำคัญของการเตรียมตัวเข้าสู่ AEC ด้วย
บทต่อไป ผมจะนำเสนอเรื่อง ร่างพรบว่าด้วยการคุ้มครองส่วนบุคคล

Tuesday, June 26, 2012

ความพร้อมด้านคลาวด์คอมพิวติงของไทยเมื่อเปรียบเทียบกับประเทศอื่นในอาเซีย


            การบริการใช้คอมพิวเตอร์และเครือข่ายคอมพิวเตอร์กลายเป็นการบริการสาธารณูปโภคอีกประเภทหนึ่ง เหมือนการบริการใช้น้ำ ใช้ไฟ และโทรศัพท์ จากนี้ไป ผู้ใช้คอมพิวเตอร์ ไม่ว่าปัจเจกบุคคล หรือองค์กร มีทางเลือกที่จะลงทุนไอซีทีด้วยตนเอง หรือใช้บริการจากศูนย์บริการจากศูนย์บริการ ท่านสามารถทบทวนความหมายของคลาวด์คอมพิวติง (Cloud Computing) ตอนก่อนได้

              เมื่อการใช้คอมพิวเตอร์ ทั้งฮาร์ดแวร์และซอฟต์แวร์ มีลักษณะเป็นบริการสาธารณูปโภค ผู้ใช้จะจ่ายค่าบริการตามความจริง ไม่มีภาระการลงทุน และไม่ต้องดูแลบำรุงรักษาอุปกรณ์ที่เกี่ยวข้อง นอกจากอุปกรณ์ใช้งานประจำตัว เช่นเครื่องพีซี โน๊ตบุค สมาร์ทโฟน และแท็บเล็ต ทำให้ประชากรที่จะใช้ประโยชน์จากไอซีทีกว้างขวางขึ้น ทำให้เทคโนโลยีสารสนเทศแพร่หลายในวงกว้าง อันจะส่งผลต่อการพัฒนาเศรษฐกิจ สังคม การศึกษา และการเมืองอย่างมีนัยสำคัญ การบริการสาธารณูปโภคแบบใหม่ หรือบริการคลาวด์ (Cloud)โดยย่อนี้ จึงอยู่ในความสนใจของทุกประเทศทุกวันนี้

              ในบทความนี้ ผมจะนำเสนอข้อมูลจาก AsiaCloud Computing Association เรื่องเปรียบเทียมความพร้อมด้านบริการคลาว 14 ประเทศ เพื่อให้เข้าใจสถานภาพของไทย ว่าพร้อมหรือไม่พร้อมกว่าประเทศเพื่อนบ้านในภูมิภาคอาเซียอย่างไร ให้เข้าใจจุดอ่อนและจุดแข็ง เพื่อจะได้เป็นข้อมูลสำหรับภาคธุรกิจ และเจ้าหน้าที่หน่วยงานภาครัฐที่เกี่ยวข้อง นำไปพิจารณาปรับปรุงให้แข่งขันได้ ในเวทีการบริการคลาวด์คอมพิวติง

              จากผลการประเมินของ Asia Cloud Computing Association ปี 2011 ไทยอยู่อันดับที่ 10 จาก 14 ประเทศ (ท่านสามารถอ่านรายงานจากเว็บไซท์ Asia Cloud Computing Association) แสดงว่าไทยยังค่อนข้างล้าหลังในกลุ่มประเทศอาเซีย ถึงแม้ว่า ภายในกลุ่มประเทศอาเซียน เราจะอยู่ระดับต้น ๆ รองจากสิงคโปร์กับมาเลเซียก็ตาม ก็ยังกล่าวไม่ได้ว่า ไทยมีศักยภาพด้านบริการคลาวด์ใกล้เคียงกับสิงคโปร์และมาเลเซีย (สิงคโปร์อยู่อันดับ 3 ขณะที่มาเลเซียอยู่อันดับ 7 ของอาเซีย) ไทยยังมีความอ่อนแอหลาย ๆ ด้านที่ต้องรีบเร่งปรับปรุงให้ดีขึ้น

              ความเป็นผู้นำด้านการค้า และการสื่อสารโทรคมนาคมของภูมิภาค สมรรถนะและความพร้อมด้านคลาวด์กลายเป็นสิ่งสำคัญที่ต้องพัฒนาอย่างจริงจัง ความจริงที่ว่าธุรกิจของไทยยังใช้เทคโนโลยีสารสนเทศไม่ได้เต็มที่ อีกทั้งยังขาดความพร้อมด้านบริการอินเทอร์เน็ตความเร็วสูง และไม่มีมาตรการเด่นชัดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เป็นสาเหตุหนึ่งที่ทำให้เราล้าหลังด้านบริการคลาวด์ การใช้คลาวในหลายประเทศ เริ่มกระจายในหมู่ธุรกิจขนาดกลางขนาดย่อม โดยเฉพาะบริษัทที่ค่อนไปด้านขนาดเล็ก ด้วยเหตุที่งานยังไม่ซับซ้อนมาก และพร้อมที่จะทดลองคลาวด์กับงานใหม่ ๆ เพื่อลดต้นทุน และค่าใช้จ่ายทำรายการ นำไปสู่การเพิ่มผลิตภาพโดยรวม แต่การส่งเสริมให้กลุ่ม SME ใช้คลาวด์อย่างจริงจังนั้น ต้องอาศัยหน่วยงานรัฐที่จะสนับสนุนด้วยมาตราการจูงใจต่าง ๆ ตั้งแต่การลดภาษี จนถึงการลงทุนให้การศึกษา และสนับสนุนการพัฒนาระบบซอฟต์แวร์ เนื่องจากการใช้บริการคลาวด์ เป็นหนทางใหม่ที่จะช่วยเพิ่มผลิตภาพให้แก่ธุรกิจด้วยค่าใช้จ่ายที่่ต่ำ เมื่อเปรียบเทียบกับการใช้ไอซีทีในแนวเดิม

              Asia Cloud Computing Association ประเมินความพร้อมด้านคลาวด์ โดยอาศัยข้อมูลส่วนหนึ่งจาก World Economic Forum (WEF) และอีกส่วนหนึ่งเก็บข้อมูลด้วยตนเอง แบ่งหัวข้อประเมินเป็นสิบเรื่อง ดังนี้

1.          เงื่อนไขการกำกับดูแล (Regulatory conditions) เป็นการประเมินความพร้อมด้านปกป้องผลประโยชน์ของผู้รับบริการ จากความไม่พร้อม และหรือการให้บริการอย่างไม่มีคุณภาพและไม่รับผิดชอบจากฝั่งผู้ให้บริการ เช่น เรื่องสัญญาที่เป็นธรรม การปกป้องทรัพย์สินทางปัญญา เงื่อนไขด้านการใช้สิทธิ์เพื่อเข้าถึงข้อมูลจากทางราชการ ผลประเมินปรากฎว่า ไทยอยู่ในระดับต่ำสุด คือได้คะแนน 5 จาก 10  เรื่องนี้ เราต้องพูดคุยกันอีกมากในเวทีนี้
2.          การเชื่อมโยงด้านโทรคมนาคมระหว่างประเทศ (International connectivity) เป็นการประเมินศักยภาพการเชื่อมโยงด้านโทรคมนาคมความเร็วสูง และราคาที่แข่งขันได้ คงไม่ประหลาดใจว่า ไทยอยู่ในระดับต่ำเช่นกัน คือคะแนน 5 จาก 10
3.          กฎหมายคุ้มครองข้อมูลส่วนบุคคล (Data protection policy) เมื่อกลางเดือนพฤศจิกายน 2552 “ร่างพ...คุ้มครองข้อมูลส่วนบุคคลของไทย เพิ่งผ่านกฤษฎีกาและผ่านคณะรัฐมนตรี เข้าใจว่าขณะนี้ ยังอยู่ในระหว่างรอการพิจารณาจากสภาผู้แทนราษฎร ร่างพรบฉบับนี้มีอายุกว่าสิบปี ถูกร่างขึ้นก่อนยุคของคลาวคอมพิวติง จึงไม่แน่ใจว่า มาตราต่าง ๆ ที่ปรากฎในร่างพรบฉบับนี้ จะครอบคลุมประเด็นที่จะนำมาคุ้มครองการบริการและการใช้บริการคลาวหรือไม่ แนวคิดของร่างพรบคุ้มครองข้อมูลส่วนบุคคล ไปในแนวที่ให้องค์กรที่มีข้อมูลประชาชน ใช้เครื่องหมายรับรองมาตรฐาน การคุ้มครองข้อมูลส่วนบุคคลที่ออกให้โดยหน่วยงานของรัฐ คือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นผู้กำหนดหลักเกณฑ์และพิจารณาให้ใบรับรองเพื่อมีสิทธิใช้เครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล เป็นลักษณะ Self regulate คือให้ประชาคมดูแลกันเอง เมื่อมาถึงยุคคลาวคอมพิวติง เชื่อว่าคงต้องมีการทบทวนใหม่ว่า ร่างพรบฉบับปัจจุบัน ได้ครอบคลุมประเด็นเกี่ยวกับบริการคลาว ที่จะสร้างความมั่นใจให้แก่สังคม ทั้งสังคมไทย และต่างประเทศได้หรือไม่ ด้วยเหตุที่วันนี้ เรายังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ การประเมินผลครั้งนี้ จึงได้คะแนนต่ำสุด คือได้ 2 คะแนนจาก 10
4.          คุณภาพด้านบรอดแบนด์ (Broadband quality) เป็นการวัดคุณภาพการให้บริการบรอดแบน์ รวมทั้งจำนวนผู้ใช้บรอดแบนด์ทั้งประเทศด้วย เช่นกัน ไทยอยู่ในกลุ่มประเทศที่ได้คะแนนต่ำมาก คือ 5 คะแนนจาก 10
5.          การจัดลำดับความสำคัญของรัฐบาล (Government priority) เป็นการวัดว่ารัฐบาลให้ความสำคัญด้านไอซีทีมากน้อยเพียงใด ดูจากมุมมองการใช้งบประมาณ และการส่งเสริมสนับสนุนการใช้ไอซีทีของประเทศในภาพรวม ไทยถูกประเมินด้วยคะแนนที่ต่ำเช่นกัน คือได้คะแนน 4.1 จาก 10 คะแนน
6.          คุณภาพของระบบไฟฟ้า (Power grid quality) เป็นการวัดคุณภาพให้บริการด้านไฟฟ้า เป็นการวัดความเพียงพอ และทั่วถึง และคุณภาพของระบบจ่ายกระแสไฟฟ้าที่รองรับการใช้ไอซีที และอุตสาหกรรมของประเทศอย่างไม่ติดขัด ในข้อนี้ ไทยได้คะแนนค่อนข้างดี คือได้ 7.6 คะแนนจาก 10
7.          การตรวจสอบปิดกั้นอินเทอร์เน็ต (Internet filtering) เป็นการประเมินนโยบายภาครัฐที่เกี่ยวข้องกับการตรวจสอบข้อมูลที่ไม่พึงประสงค์จากอินเทอร์เน็ต มีนโยบายที่เป็นกลาง และเหมาะสม ระหว่างการให้เสรีภาพด้านข่าวสาร กับการตรวจสอบปิดกั้น เพื่อรักษาศิลธรรมอันดีงาม และความปลอดภัยของประเทศ ในประเด็นนี้ไทยได้คะแนนค่อนข้างดี คือได้คะแนน 7.5 จาก 10
8.          ดัชนีประสิทธิภาพทางธุรกิจ (Business efficiency index) เป็นการประเมินผลจากปัจจัย 5 ด้าน ได้แก่ ด้านผลิตภาพ ด้านศักยภาพของตลาดแรงงาน ด้านการเงิน การบริหารจัดการ และด้านทัศนคติและคุณค่า ไทยได้คะแนนระดับปานกลาง คือ 6.6 จาก 10
9.          ความเสี่ยงระดับโลก (Global risk) ทุกวันนี้โลกเรามีการเชื่อมโยงกันอย่างกว้างขวาง ทำให้ประเด็นความเสี่ยงโลกกลายเป็นประเด็นสำคัญระดับนโยบายของประเทศ การประเมินในข้อนี้ รวมประเด็นสำคัญเจ็ดประเด็น ประกอบด้วย เรื่องเศรษฐกิจ การรักษาความปลอดภัย การกำกับดูแลอย่างธรรมภิบาล การรักษาความปลอดภัยด้านทรัพยากร ภูมิอากาศ การระบาดของโรคภัย และความปรองดองในสังคม ในข้อนี้ ไทยถูกประเมินด้วยคะแนนที่ต่ำมาก คือ 2 คะแนนจาก 10
10.     การพัฒนาทักษะด้านไอซีที (ICT development) เป็นการประเมินทักษะและความสามารถในการเข้าถึงแหล่งข้อมูล การใช้ไอซีที และทักษะด้านไอซีทีทั่วไป ไทยได้คะแนนปานกลาง คือ 5.7 จาก 10 คะแนน

ในสิบเรื่องที่ใช้เป็นประเด็นประเมินความพร้อมที่กล่าวข้างต้น มีหลายกลุ่มที่ไทยยังมีคะแนนต่ำกว่าเกณฑ์มาก กลุ่มที่คิดว่าเป็นเรื่องสำคัญที่ต้องรีบแก้ไข คือ เรื่องเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และเงื่อนไขการกำกับดูแล เนื่องจากเป็นปัจจัยสำคัญที่จะสร้างความเชื่อมั่นให้แก่ผู้รับบริการคลาว เมื่อผู้ใช้ไม่มั่นใจความปลอดภัย และยังไม่แน่ชัดว่าความเสียหายที่อาจเกิดขึ้นจากการใช้บริการคลาวนั้น จะได้รับการคุ้มครองอย่างไร ก็ย่อมจะเป็นอุปสรรคต่อพัฒนาการบริการสาธารณูปโภคแบบใหม่นี้อย่างแน่นอน 

ความมั่นคงปลอดภัย และ Regulatory compliance ในการใช้บริการคลาวด์ ยังมีเรื่องที่ต้องพูดกันอีกหลายตอนครับ