ทุกวันนี้เราใช้ Social Media ใช้ Mobile Banking และแพลตฟอร์มต่าง ๆ ในชีวิตประจำวัน จนอาจจะลืมไปแล้วว่าก่อนที่จะใช้งานได้เช่นทุกวันนี้ เราต้องผ่านกระบวนการอะไรบ้าง นั่นก็คือ ต้อง “สมัคร” หรือลงทะเบียนผู้ใช้งาน จากนั้นก็จะสามารถ “เข้าใช้งาน” ได้ ซึ่งการสมัครและการเข้าใช้บริการก็คือ การสร้าง Digital ID
เช่นเดียวกันกับการเข้าใช้บริการของหน่วยงานภาครัฐผ่านช่องทางดิจิทัล ก็ต้องมีการลงทะเบียน มีการพิสูจน์และยืนยันตัวตนด้วย โดยการสร้าง Digital ID เพื่อใช้บริการของภาครัฐจะมีความเข้มงวดและรัดกุมกว่าการใช้บริการแพลตฟอร์มทั่ว ๆ ไป
สมัคร+ใช้บริการ = สร้าง Digital ID
“การสมัคร” หรือการลงทะเบียน ทำแค่ครั้งแรกครั้งเดียว โดยผู้ที่จะเข้าใช้บริการจะต้องสมัคร ซึ่งต้องกรอกข้อมูลให้แก่ผู้ให้บริการ ส่วนผู้ให้บริการก็ต้องเก็บข้อมูลเหล่านั้นไว้ เพื่อใช้ในการตรวจสอบว่าเป็นบุคคลคนนั้นจริงหรือไม่
“การใช้บริการ” หลังจากสมัครแล้ว เมื่อจะเข้าใช้บริการ ก็ต้องพิสูจน์ตัวตน และยืนยันตัวตน ซึ่งจะมี 2 อย่างคู่กัน คือ สิ่งที่ใช้รับรองตัวตน (Credential) เพื่อระบุว่าเป็นใคร และสิ่งที่ใช้ยืนยันตัวตน (Authenticator) เพื่อแสดงว่าเป็นคน ๆ นั้นจริง ยกตัวอย่างคู่หูแสดงตัวตน ดังเช่น Username คู่กับ Password, Email address คู่กับ OTP หรือ เลขบัตรประชาชน 13 หลัก คู่กับ OTP แล้วแต่ว่าหน่วยงานใดจะเลือกใช้อะไร
ถ้าจะบอกว่าหน้าตาของ Digital ID เป็นอย่างไร ก็บอกได้ว่า ทั้งการสมัคร และการเข้าใช้งาน คือ หน้าต่างที่ไปสร้างหน้าตาของ Digital ID ให้กับตัวเราเองก็ว่าได้
Digital ID ภาครัฐ กำหนดด้วยมาตรฐาน IAL และ AAL
ณ วันนี้ หน่วยงานรัฐจะต้องเตรียมความพร้อมด้าน Digital ID ให้สามารถใช้งานได้อย่างมั่นคงปลอดภัยและเป็นมาตรฐานเพื่อสร้างความน่าเชื่อถือ ให้แล้วเสร็จก่อนวันที่ 11 ตุลาคม 2566 ตามข้อกำหนดใน ประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง มาตรฐานและหลักเกณฑ์การจัดทำกระบวนการและการดำเนินงานทางดิจิทัล ว่าด้วยเรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐ สำหรับบุคคลธรรมดาที่มีสัญชาติไทย
จากโจทย์ที่หน่วยงานภาครัฐต้องมีบริการผ่านระบบออนไลน์ที่มั่นคงปลอดภัย มีมาตรฐานที่น่าเชื่อถือ ทำให้สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) สพร. หรือ DGA ได้รับมอบภารกิจนี้มาดำเนินการ ซึ่งได้้ศึกษาหาแนวทางกระทั่งเกิดเป็นมาตรฐาน IAL และ AAL ขึ้นมา โดยหยิบยกแนวทางจาก NIST Framework SP800 มาพัฒนาระดับความเข้มข้นของการพิสูจน์และยืนยันตัวตน
IAL (Identity Assurance Level) และ AAL (Authenticator Assurance Level) มีด้วยกัน 3 ระดับขอสรุปเบื้องต้นไว้ ดังนี้ (สามารถอ่านรายละเอียดได้ใน https://standard.dga.or.th/wp-content/uploads/2021/09/3.Digital-ID-DGS-1-2_2564.pdf)
– IAL เป็นมาตรฐานเกี่ยวกับระดับความน่าเชื่อถือของไอเดนทิตีหรือการพิสูจน์ตัวตน ซึ่งใช้ในการสมัครหรือลงทะเบียนเพื่อขอใช้บริการ มีระดับความเข้มข้น 3 ระดับ คือ
– IAL1 ใช้กับบริการทั่วไป ไม่มีการโต้ตอบ ไม่ต้องแสดงตัวตน เช่น การเช็กสิทธิสวัสดิการ
– IAL2 ใช้กับบริการที่ต้องขอรับบริการ มีการโต้ตอบกับเจ้าหน้าที่รัฐ ต้องแสดงตน เช่น การขอใบอนุญาตต่าง ๆ การขอใช้สิทธิสวัสดิการ
– IAL3 ใช้กับบริการที่เกี่ยวข้องกับกฎหมายและความมั่นคงปลอดภัย เช่น การขออนุญาตการจดทะเบียนต่าง ๆ
– AAL เป็นมาตรฐานเกี่ยวกับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน ซึ่งใช้เมื่อต้องเข้าใช้บริการต่าง ๆ
ของหน่วยงานรัฐผ่านช่องทางดิจิทัล มีระดับความเข้มข้น 3 ระดับ คือ
– AAL1 ยืนยันตัวตนโดยใช้ปัจจัยของการยืนยันตัวตนหนึ่งปัจจัย
– AAL2 ยืนยันตัวตนโดยใช้สองปัจจัยในการยืนยันตัวตน เช่น รหัสลับจดจำ และชีวมิติ
– AAL3 ยืนยันตัวตนโดยใช้ปัจจัยของการยืนยันตัวตนประเภทที่เป็นอุปกรณ์เข้ามาเกี่ยวข้อง
IAL และ AAL มีสิ่งสำคัญคือ การที่หน่วยงานภาครัฐจะเลือกระดับความเข้มข้นของมาตรฐานอย่างไรนั้นเป็น ประเด็นสำคัญ โดยมีข้อกำหนดว่า ระดับความเข้มข้นของมาตรฐานจะต้องเริ่มต้นจาก IAL จากนั้นจึงจะค่อยมาเลือกมาตรฐาน AAL เพื่อใช้ให้สอดคล้องกัน ยกตัวอย่างเช่น ถ้า IAL มีเรื่องของข้อมูลส่วนบุคคลเข้ามาเกี่ยวข้อง ก็จะต้องเลือกมาตรฐาน AAL ระดับ 2 ซึ่งครอบคลุมถึงการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น
Digital ID กับการใช้งานในประเทศไทย
การมาของเทคโนโลยีทำให้ไลฟ์สไตล์ของผู้คนทั่วโลกเปลี่ยนไป มีการใช้บริการผ่านดิจิทัลมากขึ้นเรื่อย ๆ โดยเฉพาะช่วงสถานการณ์การแพร่ระบาดของ COVID-19 มีการล็อกดาวน์ มีการใช้พระราชกำหนดการบริหารราชการในสถานการณ์ฉุกเฉิน ก็ยิ่งกระตุ้นให้เกิดและใช้บริการผ่านช่องทางดิจิทัล ซึ่งนั่นก็คือ มีการใช้ Digital ID ตามมาด้วย
ภาครัฐใช้ Digital ID กับบริการอะไรบ้าง? คำตอบคือ มีอยู่มากมาย ไม่ว่าเป็นบริการพื้นฐานทั่วไป ได้แก่ การลงทะเบียนขอเข้าร่วมโครงการ การเช็กสิทธิสวัสดิการ ฯลฯ รวมไปถึงบริการที่มีการโต้ตอบระหว่างกันซึ่งจะมีระดับความเข้มข้นของมาตรฐานสูงขึ้นไปอีกขั้น เช่น การขอใบอนุญาตต่าง ๆ เป็นต้น
สำหรับบริการที่คุ้นเคยกันเป็นอย่างดีซึ่งก็ใช้ Digital ID คือ “การยื่นภาษีออนไลน์” ของกรมสรรพากร อีกทั้ง Super App อย่าง “แอปทางรัฐ” เป็นแอปรวมบริการภาครัฐต่าง ๆ ไว้หลายรายการ เป็นอีกตัวอย่างหนึ่งที่มีการพิสูจน์และยืนยันตัวตนที่สอดคล้องกับมาตรฐาน Digital ID สำหรับบริการภาครัฐ รวมไปถึงบริการของกรมการปกครอง “dopa” ก็มีการใช้ Digital ID และมีมาตรฐานความพร้อมสูงอยู่ในระดับแนวหน้าของประเทศก็ว่าได้
ภาคเอกชนใช้ Digital ID กับบริการอะไรบ้าง? คำตอบคือ มีอยู่มากมายและหลากหลาย นอกจากบริการทั่วๆ ไป เช่น ลงทะเบียนรับโปรโมชัน การสมัครเข้าใช้แอปและแพลตฟอร์มต่าง ๆ แต่ส่วนนี้อาจจะไม่รวมถึงการที่จะต้องปฏิบัติตามมาตรฐาน IAL และ AAL ของภาครัฐ แต่ตัวอย่างที่พอจะหยิบยกมากล่าวถึงในมุมความสอดคล้องตามมาตรฐานได้นั้นคือ การใช้ Digital ID ของกลุ่มธนาคาร ที่มี NDID (National Digital ID) ใช้เป็นมาตรฐานกลาง
การใช้ Digital ID ในมุมของประชาชน ก็ต้องบอกว่า ประชาชนอยู่ในบริบทของผู้ใช้งาน เมื่อมีการสมัคร และการเข้าใช้งาน ก็หมายถึงการสร้าง และใช้ Digital ID ของบุคคลคนนั้น
ถ้าจะว่าไปแล้วประเทศไทยก็ไม่ได้ตกเทรนด์กระแสโลก โดยเฉพาะหน่วยงานภาครัฐของไทย ได้ให้บริการประชาชนผ่านช่องทางดิจิทัลอยู่มากมาย และบางหน่วยงานให้บริการมานานหลายปีมาแล้ว และยังมีอีกหลายๆ หน่วยงานที่เร่งพัฒนาบริการต่าง ๆ ให้สอดคล้องตามมาตรฐาน ซึ่งเมื่อถึงเวลาที่ประกาศฯ มีผลบังคับใช้ เชื่อได้ว่า เราจะเห็นบริการต่าง ๆ อีกมากมายที่จะอำนวยความสะดวกให้กับประชาชนคนไทย
——————————————————————————————————————————————–
ที่มา : สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) / วันที่เผยแพร่ 18 พ.ย.65
Link : https://standard.dga.or.th/คลังความรู้/article/4853