การคุ้มครองข้อมูลส่วนบุคคลเป็นหัวข้อที่กำลังได้รับความสนใจอย่างมากในการพัฒนาซอฟต์แวร์ ซึ่งการพัฒนาซอฟต์แวร์ในปัจจุบัน ควรคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคล ดังนั้นจึงจำเป็นต้องอาศัย "อนุกรมวิธาน" (Taxonomy) เพื่อคัดแยกและจัดกลุ่ม "ความต้องการทางซอฟต์แวร์" (Software requirement) จากการ "ตีความ" กฎหมายที่ยังไม่มีการระบุความต้องการทางซอฟต์แวร์อย่างชัดเจน
อาจารย์ภัทรพร แสงอรุณศิลป์ ผู้ช่วยศาสตราจารย์ ดร.มรกต เชิดเกียรติกุล และ อาจารย์ ดร.ชัยยงค์ รักขิตเวชสกุล อาจารย์ประจำคณะเทคโนโลยีสารสนเทศและการสื่อสาร มหาวิทยาลัยมหิดล ร่วมกับ Professor Hoa Khanh Dam และ Professor Aditya Ghose อาจารย์ที่ปรึกษาจาก University of Wollongong ประเทศออสเตรเลีย จัดทำ "อนุกรมวิธานความต้องการทางซอฟต์แวร์ด้านการคุ้มครองข้อมูลส่วนบุคคล" โดยอิงตามกฎหมายของทั้งทางยุโรปและไทย
ภายใต้ผลงานชื่อ "A taxonomy for mining and classifying privacy requirements in issue reports" ที่ได้รับการตีพิมพ์แล้วในวารสารวิชาการระดับนานาชาติ Information and Software Technology ในเดือนพฤษภาคมที่ผ่านมา
ขั้นตอนการพัฒนาอนุกรมวิธานด้วยกระบวนการ Goal-based Requirements Analysis ประกอบด้วย 3 ขั้นตอนหลัก (ดังแสดงในรูปที่ 1)
ได้แก่
1) การคัดแยกความต้องการทางซอฟต์แวร์จากกฎหมายและมาตรฐานที่เกี่ยวข้อง
2) การคัดกรองปรับแต่งความต้องการทางซอฟต์แวร์
3) การจัดกลุ่มความต้องการทางซอฟต์แวร์
เพื่อให้ได้อนุกรมวิธานที่ผู้พัฒนาระบบ สามารถใช้ในการตรวจสอบระบบ หรือแอปพลิเคชัน ให้สอดคล้องกับกฎหมายและมาตรฐานที่เกี่ยวข้อง
รูปที่ 1 ขั้นตอนการพัฒนาอนุกรมวิธานด้วยกระบวนการ Goal-based Requirements Analysis
อนุกรมวิธานนี้ประกอบด้วยความต้องการทางซอฟต์แวร์ โดยแบ่งออกเป็น 7 หมวด ได้แก่ การมีส่วนร่วมของผู้ใช้ (User Participation) การแจ้งเตือน (Notice) การกำหนดความต้องการของผู้ใช้ (User Desirability) การประมวลผลข้อมูล (Data Processing) การรั่วไหลของข้อมูล (Breach) การตำหนิ/การร้องขอ (Complaint/Request) และการดำเนินการด้านความปลอดภัย (Security)
อนุกรมวิธานนี้สามารถใช้ในการตรวจสอบความต้องการทางซอฟต์แวร์ที่ซับซ้อนได้ เช่น "การลบหรือทำลายข้อมูล" ซึ่งถูกจัดอยู่ในหมวดการประมวลผลข้อมูล (Data Processing) โดยอนุกรมวิธานจะแสดงการลบ หรือทำลายข้อมูลออกเป็น 6 กรณี ตัวอย่างเช่น กรณีเจ้าของข้อมูลต้องการลบข้อมูลด้วยตนเอง กรณีเจ้าของข้อมูลต้องการลบข้อมูล เนื่องจากการประมวลผลไม่ชอบด้วยกฎหมาย กรณีผู้ประมวลผลต้องลบข้อมูลเมื่อหมดความจำเป็นในการประมวลผล เป็นต้น
อีกหนึ่งตัวอย่างที่เกิดขึ้นในประเทศไทย หลังจากที่ "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA)" มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565
ประเด็นปัญหาที่น่าเป็นห่วง ได้แก่ การรั่วไหลของรายงานข้อมูล หากปัญหานี้เกิดขึ้น ผู้ดูแลระบบต้องรายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกระทรวงดิจิทัล ภายใน 72 ชั่วโมงตามที่ พ.ร.บ. กำหนด ซึ่งความต้องการทางซอฟต์แวร์ในอนุกรมวิธานนี้ครอบคลุมการรั่วไหลของข้อมูลเช่นกัน
ก้าวถัดไปทีมวิจัยเตรียมพัฒนาให้ "อนุกรมวิธานความต้องการทางซอฟต์แวร์ด้านการคุ้มครองข้อมูลส่วนบุคคล" สามารถรองรับกฎหมายอื่นๆ ได้ครอบคลุมมากยิ่งขึ้น ผลงานนี้เป็นตัวอย่างการทำประโยชน์ให้สังคมตามปณิธานของ "ปัญญาของแผ่นดิน" มหาวิทยาลัยมหิดล มอบองค์ความรู้อันเป็นประโยชน์และใช้ได้จริง เพื่อยกระดับความเจริญทางเทคโนโลยีสารสนเทศที่จะนำพาให้ประชาชน และประเทศชาติพัฒนาคุณภาพชีวิตได้อย่างชาญฉลาดต่อไป
ติดตามข่าวสารที่น่าสนใจจากมหาวิทยาลัยมหิดลได้ที่ www.mahidol.ac.th
สัมภาษณ์ และเขียนข่าวโดย ฐิติรัตน์ เดชพรหม นักประชาสัมพันธ์ (ชำนาญการ) งานสื่อสารองค์กร กองบริหารงานทั่วไป สำนักงานอธิการบดี มหาวิทยาลัยมหิดล โทร. 0-2849-6210