สมมตฐานทางเทคโนโลยท เปล ยนแปลงไปกบว ธ ค ดถ งการ

คมครองขอม ลส ขภาพสวนบคคลทอาจตองเปล ยนแปลงตาม

ขอสงเกตเสนอตอคณะอนกรรมาธการพจารณาศกษาระบบ

สารสนเทศดานมาตรฐานและขอมลการแพทย คณะกรรมาธการการ

สาธารณสข สภานตบญญตแหงชาต และผเขารวมเสวนา “ขอมล สขภาพสวนบคคลเปดแคไหน ปดอยางไร ใหผปวยไดประโยชน

”อยางยงยน -- 19 พ.ค. 2558 อาคารรฐสภา 2 นำาเสนอโดย มลน ธ เพ ออ นเทอร เน ตและว ฒนธรรมพลเม อง

บทนำาวธการประมวลผลสารสนเทศทกาวหนาและซบซอนขน ประกอบกบความ

สามารถของคอมพวเตอรททำางานไดเรวขนในราคาทถกลง อกทงยงมความ

แพรหลายมากขนจากเดมเปนอปกรณประจำาสำานกงานกลายเปนอปกรณ

ประจำาตวทพกพาไปไดทกท ทำาใหสมมตฐานทางเทคโนโลยทอาจเคยเปน

จรงเมอทศวรรษ 1980 ในคราวทเรมมการออกแบบมาตรการการคมครอง

ขอมลสวนบคคล อาจไมเปนจรงอกตอไปในปจจบน ทำาใหมความจำาเปนตอง

ปรบเปลยนการคดเกยวกบการเปดเผยและคมครองขอมลสวนบคคลเสยใหม

เอกสารนนำาเสนอ 2 ตวอยางทเกยวของกบขอมลสขภาพ

Linkability และ Re-identification: การเช อมโยงข อม ลหลายชดเขาด วยก นเพ อช กลบอ ตล กษณบ คคล

ขอถกเถ ยง: ฐานขอมลสขภาพทประกอบดวยไดขอมลสวนบคคลนน ม

ประโยชนในการศกษาวจยดานสขภาพรวมถงการวางแผนนโยบายซงจะ

เปนประโยชนกบสาธารณะ จงสมควรใหเปดเผยได เมอมการลบชอบคคล

หรอสงทจะทำาใหเชอมโยงถงบคคลไดออกไปจากฐานขอมลแลว

(anonymization หรอ de-identification)

ความเห นของมลนธ ฯ : เหนดวยกบการชงนำาหนกประโยชนสาธารณะ แต

จะตองคำานงถงความกาวหนาทางเทคโนโลยซงสามารถเชอมโยงขอมล

หลายชดเขาดวยกนและบงชอตลกษณบคคลกลบไดอกครง (re-

identification) เพอการหาประโยชนทไมพงประสงคดวย การตดสนใจเปด

เผยขอมลควรคำานงถงวธการ de-identification วาสามารถแยกการระบอต

ลกษณออกไปไดดเพยงใด เมอเทยบกบวธการ re-identification ในปจจบน

และในอนาคตเทาทเจาของขอมลยงจะมชวตอย เพอจะชงนำาหนกของความ

เสยงในการละเมดสทธในความเปนอยสวนตวของบคคลกบประโยชนของ

สาธารณะไดตามสภาพความเปนจรงทางเทคโนโลย และสนบสนนใหมการ

กำาหนดมาตรฐานการ de-identification ทเหมาะสมและปรบปรงใหทนสมย

อยเสมอ

ตวอย าง: Latanya Sweeney (2000) [1] พบวา ดวยขอมลเพยง 3 ชนด

คอ เพศ รหสไปรษณย และ วนเดอนปเกด เราสามารถระบตวคนอเมรกนได

ถง 87.1% โดยเฉลย และในบางพนททประชากรไมมากนกกยงมโอกาสสง

ขน เชน ในอลาสกา ไอดาโฮ เนบราสกา สามารถระบกลบไดถง 99-100%

สวนรฐทมประชากรมาก เชน ดซ นวยอรก หรอแคลฟอรเนย สามารถระบ

กลบไดประมาณ 65-75% (ดตาราง Figure 13, 14) ทงนระดบความ

สมำาเสมอของการกระจายตว (distribution) ของประชากรในชนดขอมล

ตางๆ จะสงผลตอความสามารถในการระบกลบดวย

ตามหลกความนาจะเปน เมอคำานวณความเปนไปไดของการผสมตวแปร 3

ชนดคอ เพศ (เปนไปได 2 คา ชาย หรอ หญง) รหสไปรษณย 5 หลก และวน

เดอนปเกดในชวง 100 ป รวมกน จะมคาทไมซำากน 365,000 คา Sweeney

ทดลองขอขอมลในระดบทเลกกวารฐ คอฐานขอมลผมสทธเลอกตงของเขต

เลอกตง Cambridge, Massachusett พบวามผมสทธลงคะแนนในฐาน

ขอมล 54,805 คน ดงนนมนเปนไปไดทจะแตละคนจะมขอมลสามตวนไมซำา

กนเลย

ดวยวธการเชอมโยงดวย เพศ รหสไปรษณย และวนเดอนปเกดน เมอนำาฐาน

ขอมลสขภาพทมประวตการรกษาพยาบาลมาเชอมโยงกบฐานขอมลผมสทธ

ลงคะแนนทมชอ สกล และทอยจะทำาใหเราสามารถระบกลบ (re-identify) ได

วาระเบยนในฐานขอมลไหนเปนขอมลของใคร รวมถงสามารถเชอมโยงกบ

ขอมลออนไหวอนๆ เชน ชาตพนธ และพรรคการเมองทเปนสมาชกในฐาน

ขอมลทงสองไดดวย และวธการนยงสามารถนำาไปทำาซำากบฐานขอมลอนๆ

จนใหภาพทละเอยดมากขนๆ ของเจาของขอมลได

รป Figure 1 จาก Sweeney (2000) ชนดขอมลในวงกลมดานซายมาจาก

ฐานขอมลคาใชจายการรกษาพยาบาล IHCCCC Research Health Data

ในรฐอลลนอยส สวนชนดขอมลในวงกลมดานขวามาจากรายชอผมสทธ

เลอกตง

Data Segmentation: การแบงข อม ลเปนช น ยอยๆ เพ อใหใชเทาท จ ำาเปนได

ขอถกเถ ยง: ขอมลสขภาพบางชดจำาเปนตอการปฏบตงานของเจาหนาท

และหนวยงานทเกยวของ ดงนนจงจำาเปนตองอนญาตใหเกบ ใช และเปดเผย

ระหวางบคคลและองคกรดงกลาว เพอประโยชนของเจาของขอมล

ความเห นของมลนธ ฯ : เพอประโยชนของเจาของขอมลซงเปนผรบบรการ

ขอมลจะตองถกแบงปนและไหลเวยนอยางรวดเรว โดยเฉพาะในภารกจท

ความแมนยำาและรวดเรวของขอมลสงผลตอชวตและสวสดภาพของเจาของ

ขอมล อยางไรกตาม ภารกจจำานวนมากทตองเกยวของกบบคคลและองคกร

ทหลากหลาย ไมจำาเปนวาทกคนในหวงโซของการทำางานจะตองไดรบขอมล

ทงหมดโดยละเอยดเทากน การออกแบบระบบการไหลเวยนของขอมล ทแบง

ปนชนขอมลทเหมาะสม ใหกบบคคลทเหมาะสม ในเวลาทเหมาะสม เปนเรอง

สำาคญเพอลดความเสยงในการรวไหลของขอมลหรอการเลอกปฏบตตอ

เจาของขอมล ในยคทการแบงปนขอมลยงทำาดวยกระดาษ การซอยขอมล

เปนชนยอยอาจทำาไดยาก แตในยคทขอมลเกอบทงหมดอยในระบบ

คอมพวเตอร การแบงปนขอมลเปนรายชนเปนเรองททำาได หนวยงานดาน

สขภาพทเกยวของควรสงเสรมใหมมาตรฐานการแลกเปลยนแบงปนขอมล

บนหลกการ “รเทาทจำาเปน”

ต วอย าง: การแบงประเภทขอมลตามแนวคดสทธในความเปนอยสวนตว

แบงได 3 ประเภทคอ 1) Data ขอมลทวไป 2) Personal Data ขอมลเกยว

กบบคคลทระบตวตนได 3) Sensitive Personal Data ขอมลเกยวกบบคคล

ทออนไหว ซงอาจถกนำามาใชเพอการเลอกปฏบตตอบคคลได เชน เชอชาต

ศาสนา ความคดเหนทางการเมอง เปนสมาชกสหภาพแรงงานหรอไม เพศวถ

ประวตอาชญากรรม (ทงทเปนผกระทำาและถกกระทำา) ฯลฯ ขอมลทดเหมอน

เปน (2) อาจเปน (3) ไดดวย เราจะลองพจารณาตวอยางจากระบบ

สารสนเทศทถกเสนอใหใชกบระบบสขภาพของเบลเยยม

ในระบบสขภาพของเบลเยยม แพทยจะเปนผออกใบสงยาใหกบผปวย จาก

นนผปวยจะนำาใบสงยาดงกลาวพรอมกบหลกฐานการประกนสขภาพไปรบยา

จากเภสชกร จากนนเภสชกรจะนำาหลกฐานการจายยาไปแสดงตอหนวยงาน

ดแลใบสงยากลาง (Medical Prescription Administration – MPA) ซงจะ

ทำางานรวมกบกองทนประกนสขภาพ (Health Insurance Insitutes – HII)

ซงมมากกวาหนงกองทนและหนวยงานประเมนและตรวจสอบคอ IFEB

(Belgian Institute for Pharmacoepidemiology) และ RIZIV (National

Institute for Health and Disability Insurance) เพอจายเงนคนใหกบ

เภสชกร ตามผงการแลกเปลยนขอมลขางตน จะเหนไดวาขอมลของผปวยจะ

ผานมอหนวยงานจำานวนมาก และขอมลจำานวนหนงกจำาเปนสำาหรบการให

บรการผปวย

ประเดนคอ กองทนประกนสขภาพตางๆ ในเบลเยยมนน สวนมากจดตงโดย

องคกรทางศาสนาหรอทางการเมอง เชน กองทนของกลมเสรนยม กลม

สงคมนยม หรอกลมครสเตยน [2] ซงหมายความวา ถาผปวยกรอกหมายเลข

ประกนสขภาพลงไปใบสงยาเพอรบยาจากเภสชกร เภสชกรกพอจะบอกได

วาผปวยมความเชอทางศาสนาหรอความคดเหนทางการเมองอยางไร ซง

ขอมลดงกลาวเปนขอมลทเภสชไมจำาเปนตองรเพอการปฏบตหนาท และถาร

กมโอกาสจะเลอกปฏบตกบผปวยได ดงนนปญหาคอ ทำาอยางไรทจะทำาให

เภสชกรสามารถรไดวาผปวยนนมประกนสขภาพอยกบกองทนใดกทนหนง

(เพอทเภสชกรจะมนใจไดวาเขาจะเบกเงนได) แตไมรอยางเฉพาะเจาะจงวา

เปนกองทนไหน

ผงระบบดแลสขภาพของเบลเยยม เจาะสวนทเกยวกบการจายยา จาก De

Decker et al. (2008)

เพอแกปญหาดงกลาว จงมการเสนอระบบการแลกเปลยนสารสนเทศทจะ

ทำาใหเภสชกรรเฉพาะสงทจำาเปนในการปฏบตหนาท (ตามหลก need-to-

know) คอผปวยจำาเปนตองไดยาอะไรในปรมาณเทาใด และยนยนไดวาผ

ปวยมสทธทจะไดยาดงกลาว Medical Prescription Administration

(MPA) เปนกลไกทางสถาบนทชวยเปนตวกลางใหเภสชกรไมตองตดตอกบ

กองทนประกนสขภาพโดยตรง และเพอเพมการคมครองผปวยจงมการ

พจารณาอยางละเอยดวาใครจะแบงปนขอมลอะไรใหกบใครอนในระบบได

บาง ตามหลก minimum/selective disclosure

ตารางการเขาถงขอมล – ใครจะรขอมลสวนไหนของใครไดบาง จาก De

Decker et al. (2008).

ระบบนยงพยายามจะทำาใหการสงยานนสบยอนกลบ (trace) ไดเพยงเทาท

จำาเปนในการตรวจสอบการสงยา-เพอประโยชนในการรกษาพยาบาลของผ

ปวย และจะทำาใหใบสงยาแตละอนเอามาเชอมโยงกนไมได เพอใหไม

สามารถเหนพฤตกรรมการจายยาของหมอแตละรายได โดยมจดประสงคเพอ

ปองกนไมใหบรษทยาตดสนบนหมอเพอจายยายหอใดเปนพเศษ การ

ออกแบบมาตรการทงหมดน ใชแนวคดทวามนษยนนสามารถผดพลาด (หรอ

อาจถกบงคบใหทำาผดพลาด) ไดดงนนระบบจะสงขอมลเฉพาะเทาทจำาเปน

ใหกบคนทเกยวของเทานน เพอลดความเสยหายทไมมใครอยากใหเกด

ขอเสนอตางๆ เหลานถกประมวลเปนขอกำาหนดทางเทคนคสำาหรบ

โปรโตคอลแลกเปลยนขอมล DLVV08 หรอ eHealth Protocol ซงสรป

คณสมบตไดดงน [3]

• ความลบของขอมลผปวยและหมอ: ผอนไมควรจะรขอมลของผปวย

หรอของหมอ เวนเสยวาจะเปนขอมลทมเจตนาจะใหรตามโปรโตคอลน

• การยนยนตวตน: ทกฝายจะตองยนยนตวตนของกนและกนอยางเหมาะ

สม (เพอใหมนใจวากำาลงจะแบงปนขอมลกบคนทเจตนาจะแบงปนดวย

จรงๆ)

• ความเปนสวนตวของขอมลการออกใบสงยา: โปรโตคอลจะคมครอง

พฤตกรรมการจายยาของหมอ

• การบงคบใหมความเปนสวนตวของขอมลการออกใบสงยา: โปรโตคอล

จะตองปองกนการตดสนบนระหวางหมอและบรษทยา

• ความเปนอสระจากกนของขอมลการออกใบสงยา: เภสชกรจะตองไม

สามารถแสดงหลกฐานใหกบบรษทยาไดถงใบสงยาของหมอ

• ความเปนนรนามของผปวย: จะตองไมมฝายไหนสามารถระบตวตน

ของผปวยได

• ความไมสามารถสบยอนกลบไปหาผปวยได: ใบสงยาตางๆ ทถกออก

ใหกบผปวยรายเดยวกน จะตองไมสามารถเชอมโยงเขาดวยกนได

จะเหนไดวามาตรการในการคมครองความเปนสวนตวในกรณนนน อาจแบง

ไดเปนสองประเภทซงใชควบคกน คอ 1) ความเปนสวนตวทไดมาโดยการ

ควบคมการเขาถง (Privacy by access control) และ 2) ความเปนสวนตวท

ไดมาโดยวธการทางวทยาการเขารหส (Privacy by cryptographic

approaches) [4] การจดทำาระบบสารสนเทศทพยายามบงคบใชมาตรการทง

สองแบบดงกลาวอาจทำาไดลำาบากดวยเทคโนโลยในยคกอนหนาน แตดวย

เทคโนโลยการยนยนตวตน (authentication) การแบงซอยชนขอมล (data

segmentation) และการเขารหสขอมล (encryption) ใหมๆ ทำาใหมนเปนไป

ไดมากขนทจะมระบบสขภาพททงอนญาตใหเจาหนาททำางานไดอยางม

ประสทธภาพ รกษาชวตผปวย คมครองสทธในความเปนอยสวนตวของผ

เกยวของ และปองกนการทจรตคอรปชน พรอมๆ กน เมอพจารณาถงความ

เปนไปไดทางเทคโนโลยน ขอยกเวนตามกฎหมายจงควรปรบเปลยนให

เหมาะสม และบงคบใหบคคลและหนวยงานทเกยวของแบงปนเฉพาะชนสวน

ขอมลทจำาเปนเทานน ไมใชกอนขอมลเหมารวมทงหมด

บทสร ปและขอเสนอแนะ• งานดานสขภาพเปนงานทซบซอนเกยวของกบหลายหนวยงาน ทงรฐ

และเอกชน ครอบคลมทงงานดานปฏบตการในสถานพยาบาลไปจนถง

งานดานสทธประโยชนและการเงน แนวคดในลกษณะนสามารถนำาไป

ประยกตกบงานดานอนๆ เชน รฐบาลอเลกทรอนกส การลงคะแนน

เสยงทางอเลกทรอนกส หรอการจดเกบคลงเอกสารได [5]

• ขอควรระวงเรองการระบกลบอตลกษณ (re-identification): การ

อนญาตใหเปดเผยชดขอมลทสรางขนมาจากขอมลสวนบคคล แมจะม

การลบชอหรอสงทจะทำาใหเชอมโยงถงบคคลไปแลว กยงมโอกาสท

ขอมลชดดงกลาวจะถกนำาไปเชอมโยงกบขอมลชดอน เพอระบกลบถง

อตลกษณบคคลได ดงนนขอยกเวนในการเผยแพรขอมลจงควรคำานง

ถงความเสยงดงกลาวและดำาเนนการใหแนใจวาการลบชอหรอสงเชอม

โยงไดทำาอยางเพยงพอและสดความสามารถ ในอนทจะไมกอใหเกด

การละเมดตอบคคลในขอมลในภายหลง

• การซอยชนสวนขอมล: การอนญาตใหแบงปนขอมลสวนบคคลระหวาง

หนวยงานทเกยวของ จะตองทำาใหแนใจวาเปนการแบงปนขอมล

เฉพาะเทาทจำาเปน ใหกบบคคลทเหมาะสม ในเวลาทเหมาะสม เทาทจะ

เปนประโยชนกบเจาของขอมล เพอลดความเสยงจากการรวไหลของ

ขอมลและจากการเลอกปฏบต

• เทคโนโลยดานความมนคงปลอดภยสารสนเทศและการคมครองความ

เปนสวนตวทกาวหนา ทำาใหเปนไปไดมากขนทระบบการทำางานจะ

คมครองสทธของเจาของขอมลไปพรอมๆ กบอำานวยความสะดวกใหกบ

ผปฏบตงานและเออประโยชนใหกบสาธารณะในภาพรวม มาตรการ

ทางเทคโนโลยทเดมในอดตเคยใชได อาจใชไมไดอกตอไปในปจจบน

เชนเดยวกบลกษณะของความคมครองทกอนหนานอาจเปนไปไมได

ทางเทคโนโลย แตในปจจบนเปนไปไดแลว การออกแบบนโยบายและ

มาตรการตางๆ รวมถงขอบงคบและขอยกเวนในกฎหมายคมครอง

ขอมลสวนบคคล จงควรตงอยบนฐานของเทคโนโลยในปจจบนและ

ความเปนไปไดทางเทคโนโลยในอนาคตทผเกยวของยงคงมสวนได

สวนเสยอย

อางอ ง[1] Latanya Sweeney. Simple Demographics Often Identify People

Uniquely. Carnegie Mellon University, Data Privacy Working Paper

3. Pittsburgh 2000. http://dataprivacylab.org/projects/identifiability/

[2] Bart De Decker, Mohamed Layouni, Hans Vangheluwe, and

Kristof Verslype, A Privacy-Preserving eHealth Protocol compliant with

the Belgian Healthcare System. In Proceedings of Public Key

Infrastructure, 5th European PKI Workshop: Theory and Practice,

(EuroPKI 2008), Springer LNCS 5057, pp. 118-133, 2008. [slides]

http://www.item.ntnu.no/europki08/presentations/europki08-

layouni.pdf

[3] Naipeng Dong, Hugo Jonker, Jun Pang, Formal Analysis of an

eHealth Protocol. In Proceedings of 17th European Symposium on

Research in Computer Security, (ESORICS 2012), Springer LNCS

7459, pp. 325-342, 2012.

http://satoss.uni.lu/members/naipeng/reports/DLV08/DLV08.pdf

[4] Mahmuda Begum, Quazi Mamun, Mohammed Kaosar, A Privacy-Preserving Framework for Personally Controlled Electronic Health

Record (PCEHR) System. In Proceedings of 2nd Australian eHealth

Informatics and Security Conference, pp. 1-10, 2013.

http://ro.ecu.edu.au/aeis/9/

[5] adapID – advanced applications for electronic IDentity cards in

Flanders

https://www.cosic.esat.kuleuven.be/adapid/documents.html