เมื่อต้นสัปดาห์มีข่าวเรื่องพนักงานเจ้าหน้าที่ของเครดิตบูโรเกาหลีใต้รายหนึ่ง ไปดำเนินการขโมยข้อมูลรายละเอียดลูกค้าของบริษัทบัตรเครดิต เพราะเหตุว่าตนเองได้เข้าไปทำงานในโครงการวางระบบป้องกันการทุจริตและฉ้อฉลบัตรเครดิตจนเป็นข่าวใหญ่โตนั้น ในเรื่องนี้ เครดิตบูโรของไทย และของเกาหลีใต้ที่ต่างมีมาตรฐานในการปกป้องข้อมูลที่เครดิตบูโรจัดเก็บตามแบบสากล การทำความผิดนั้นเป็นเรื่องของตัวบุคคลและขอย้ำว่า เขาไม่ได้ขโมยข้อมูลของเครดิตบูโรนะครับ เดี๋ยวจะเข้าใจผิดกันครับ
สำหรับการทำงานของเครดิตบูโรในประเทศไทย เราถือเอาเรื่องมาตรฐานความมั่นคงปลอดภัยในระบบสารสนเทศเป็นเรื่องที่สำคัญสูงสุดขององค์กร ปัจจุบันเครดิตบูโรได้รับมาตรฐาน ISO 27001 Information Security Management Standard : ISMS และทำงานอยู่ภายใต้การกำกับของคณะกรรมการคุ้มครองข้อมูลเครดิต ซึ่งมีท่านผู้ว่าการธนาคารแห่งประเทศไทยเป็นประธาน มีการตรวจสอบคำขอเข้าถึงข้อมูล การเก็บข้อมูลหลักฐานการเข้าถึงข้อมูล หรือ Log Management System ตลอดเวลา ข้อมูลจะต้องมีการเข้ารหัสเพื่อการจัดเก็บ มีการกำหนด User และรหัสลับ ที่เข้มงวด เครดิตบูโรไม่อนุญาตให้พนักงานไม่ว่าระดับใดเข้าถึงฐานข้อมูลลูกค้าที่อยู่ในความดูแลของบริษัทบัตรเครดิตโดยเด็ดขาด นอกจากนี้บทลงโทษต่อผู้กระทำความผิดกฎหมายเครดิตบูโรในประเทศไทยนั้นรุนแรงมาก บางบทมาตรากำหนดโทษไว้สูงถึง 10 ปี โดยในส่วนของการเข้าถึงข้อมูลเครดิตบูโรนั้น เครดิตบูโรได้วางหลักเกณฑ์ไว้อย่างเคร่งครัด ดังนี้
1.เข้าถึงได้เฉพาะพนักงานผู้ที่มีหน้าที่เกี่ยวข้องเท่านั้น คณะกรรมการ ผู้จัดการใหญ่ และผู้บริหารระดับสูงไม่สามารถเข้าถึงข้อมูลดังกล่าวได้
2.การเข้าถึงทุกครั้งต้องมีเหตุและการร้องขอ (Request) ที่ชัดเจนตามข้อกำหนดที่ได้ระบุไว้และไม่เป็นการฝ่าฝืนกฎหมาย
3. การเข้าถึงข้อมูลจะมีระบบป้องกันโดยกำหนด User / Password ให้ผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลเท่านั้น
4. การเข้าถึงข้อมูลจะถูกกำหนดไว้ว่า สามารถเข้าถึงได้ที่ช่องทางใด การเข้ามานั้นมาจากช่องทางใด โดย User/Password ใด และด้วยเหตุผลอะไร อีกทั้งการเข้าถึงข้อมูลทุกครั้งจะถูกบันทึก ชื่อผู้เข้าใช้ วัน เวลาเป็นวินาทีที่เรียกว่า Log system
5. ในการเรียกดูข้อมูลและการเข้าถึงฐานข้อมูลโดยตรงจะต้องมีบันทึกขอเข้าใช้งานในระบบที่มีการอนุมัติเป็นขั้นตอนทุกครั้ง มีการตรวจสอบการเข้าถึงข้อมูลโดยหัวหน้างาน
6. สำหรับข้อมูลที่สถาบันการเงินส่งมาให้กับเครดิตบูโรนั้น จะเป็นข้อมูลสินเชื่อลูกค้าของสถาบันการเงินนั้นๆ ที่ได้รับการเข้ารหัสข้อมูลขั้นสูง ข้อมูลเครดิตบูโรที่ถูกส่งมาก็จะถูกเก็บรักษาเป็นความลับไว้เป็นอย่างดี อนึ่ง เครดิตบูโรไม่มีการจัดเก็บข้อมูลเบอร์โทรศัพท์ของลูกค้าผู้เป็นเจ้าของข้อมูล ไม่ว่าจะเป็นเบอร์โทรศัพท์บ้าน หรือเบอร์โทรศัพท์เคลื่อนที่ (เบอร์มือถือ) ไว้ในฐานข้อมูลของเครดิตบูโรเลยแม้แต่รายการเดียว
7.เมื่อสถาบันการเงินจะขอเรียกดูข้อมูลเครดิตบูโรของคนที่ยื่นขอสินเชื่อรายใด จะต้องได้รับความยินยอมจากผู้ขอสินเชื่อรายนั้นก่อน เครดิตบูโรจึงจะเปิดเผยข้อมูลเครดิตบูโรของผู้ขอสินเชื่อได้ เพื่อให้สถาบันการเงินนำไปวิเคราะห์สินเชื่อและออกบัตรเครดิต จะเอาไปใช้ในเรื่องอื่นๆ ไม่ได้ หากฝ่าฝืนมีโทษทางอาญา อาจถึงขั้นติดคุก ไม่รวมถึงการที่จะถูกปรับเป็นเงินจำนวนมาก เป็นต้น
เครดิตบูโรยังคงยึดมั่นการดำเนินธุรกิจภายใต้ปรัชญาที่ต้องคุ้มครองสิทธิของเจ้าของข้อมูลให้เป็นความลับ และมีความปลอดภัยสูงสุด มีความรับผิดชอบต่อสังคม เศรษฐกิจ รวมถึงการดำเนินงานภายใต้ขอบเขตของ พ.ร.บ. การประกอบธุรกิจข้อมูลเครดิต อย่างเคร่งครัด
สุรพล โอภาสเสถียร
ผู้จัดการใหญ่
บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด
ข่าวเด่น