มช. นำร่องการใช้ eKYC ผ่านระบบ NDID เป็นสถานศึกษาแรกของประเทศไทย

มหาวิทยาลัยเชียงใหม่เปิดลงทะเบียนนักศึกษาใหม่ ทำให้กระบวนการลงทะเบียนนักศึกษาใหม่ในปีนี้สามารถทำผ่านระบบออนไลน์ได้ทั้งหมด ตั้งแต่การสร้างบัญชีผู้ใช้, การกรอกประวัติและส่งเอกสาร โดยไม่ต้องเดินทางไปลงทะเบียนที่จุดให้บริการของมหาวิทยาลัยเหมือนเดิม และการยืนยันตัวตนผ่าน NDID เช่นนี้ทำให้นักศึกษาสามารถยืนยันตัวตนได้หากเคยยืนยันตัวตนบนแอปพลิเคชั่นธนาคารใดก็ได้ใน 10 ธนาคารที่ให้บริการยืนยันตัวตนผ่าน NDID

No Description
หลังจากเกิดการระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 ไปทั่วโลก ในฝั่งการให้บริการ เริ่มมีการปรับตัวไปให้บริการในลักษณะออนไลน์มากขึ้น แต่ความท้าทายของการให้บริการออนไลน์คือการตรวจสอบตัวตน (Identity) ของผู้รับบริการ ซึ่งมักจะเรียกกันว่าการทำการรู้จักลูกค้า หรือ KYC (Known Your Customer) จากเดิมที่การตรวจสอบตัวตนอาจจะใช้การยืนยันตัวตนแบบพบเห็นหน้า (Face-to-Face) มาเป็นการทำการรู้จักลูกค้าแบบอิเล็กทรอนิกส์ (eKYC) แต่อย่างไรก็ตาม ผู้ที่ทำการรู้จักลูกค้าแบบอิเล็กทรอนิกส์ก็ต้องมีความมั่นใจว่าผู้ที่มารับบริการ เป็นบุคคลนั้นจริง ๆ โดยจากประกาศของธนาคารแห่งประเทศไทย (อ้างอิง 1,2) ระบุว่าผู้ให้บริการทางการเงิน ที่ต้องการพิสูจน์ตัวตนแบบไม่พบเห็นหน้า (Non Face-To-Face) จะต้องมีวิธีการตรวจสอบที่ใช้มาตรฐานสากลหรือมาตรฐานที่ยอมรับโดยทั่วไปในการตรวจสอบใบหน้าของลูกค้าเทียบกับข้อมูลชีวมิติจากบัตรประจำตัวประชาชน เพื่อพิสูจน์ว่าเป็นลูกค้ารายนั้นจริง แทนการพบเห็นหน้า โดยธนาคารแห่งประเทศไทยได้กำหนดให้ธุรกรรมที่มีความเสี่ยงสูงเช่นการจ่ายเงินหรือการโอนเงิน ภายใน/ระหว่างประเทศ จะต้องมีการยืนยันตัวตนที่ใช้การตรวจสอบบัตรประจำตัวประชาชน เช่นการเสียบบัตรกับเครื่องอ่านร่วมกับการตรวจสอบสถานะบัตร และ การตรวจสอบใบหน้าเทียบกับข้อมูลชีวมิติจากบัตรประจำตัวประชาชน ซึ่งเป็นการตรวจสอบตามระดับมาตรฐาน IAL2.3 ตามข้อกำหนดการพิสูจน์ตัวตนทางดิจิทัล ซึ่งเสนอโดยสำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์

ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน (Identity Assurance Level : IAL) เป็นระดับความเข้มงวดในกระบวนการพิสูจน์ตัวตนของบุคคล ซึ่งจะมีตั้งแต่ระดับ IAL1 (ความน่าเชื่อถือต่ำสุด) จนถึง IAL3 (ความน่าเชื่อถือสูงสุด) โดยในแต่ละระดับก็จะมีข้อกำหนดพื้นฐานที่ผู้ให้บริการต้องปฏิบัติ ตามรูปด้านล่าง

No Description
ภาพจาก ETDA

ตัวอย่างเช่น IAL2.3 ซึ่งเป็นระดับต่ำสุดที่กำหนดโดยธนาคารแห่งประเทศไทยสำหรับผู้ให้บริการทางการเงิน จะต้องมีกระบวนการที่สอดคล้องกับข้อกำหนดทั้งในขั้นตอนการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ และ การตรวจสอบความเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์ โดยสำหรับการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ คือการตรวจสอบว่าบุคคลนั้นมีตัวตนอยู่จริงหรือไม่โดยการให้บุคคลนั้นนำเอาบัตรประจำตัวประชาชน หรือ เอกสารประจำตัวอื่นที่ออกโดยรัฐมาเสียบกับเครื่องอ่าน แล้วทำการตรวจสอบว่าบัตรประจำตัวประชาชนนั้นยังมีสถานะอยู่หรือไม่ ซึ่งเมื่อตรวจสอบแล้ว ก็จะทำการบันทึกอัตลักษณ์ของบุคคลนั้น เช่น ภาพถ่าย เข้าไปในระบบ โดยกระบวนการนี้จะทำโดยผู้พิสูจน์และยืนยันตัวตน (Identity Provider : IdP) แล้วเมื่อบุคคลนั้นต้องการยืนยันตัวตนผ่านทางการตรวจสอบเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์เมื่อต้องการเข้าใช้บริการใดจากผู้ให้บริการ หรือเรียกว่า ผู้อาศัยการยืนยันตัวตน (Relying Party : RP) ก็อาจจะทำการพิสูจน์ตัวตนแบบพบเห็นหน้าโดยการตรวจสอบใบหน้าเทียบกับรูปถ่ายในบัตร หรือ การทำการพิสูจน์ตัวตนแบบไม่พบเห็นหน้า โดยการใช้สิ่งยืนยันตนที่ได้จาก IdP ร่วมกับการตรวจสอบชีวมิติ เป็นต้น

สำหรับในระบบ NDID นั้น ผู้พิสูจน์และยืนยันตัวตนในปัจจุบัน ก็ประกอบไปด้วยธนาคารที่เข้าร่วมกับโครงการ Regulatory Sandbox ของธนาคารแห่งประเทศไทย รวมถึงบริษัทที่ไม่เช่นธนาคาร เช่น AIS ก็ร่วมเป็นผู้พิสูจน์และยืนยันตัวตน โดยผู้ใช้ที่ต้องการลงทะเบียน จะต้องไปทำการเสียบบัตรประจำตัวประชาชนที่ธนาคาร ซึ่งมักจะทำอยู่แล้วในตอนที่ไปเปิดบัญชีธนาคาร แล้วธนาคารก็จะทำการบันทึกตัวตนของผู้ใช้ไว้ในระบบ และเมื่อผู้ใช้ต้องการยืนยันตัวตนกับผู้ให้บริการรายใด ก็จะสามารถแจ้งให้กับผู้ให้บริการว่า ต้องการยืนยันตัวตนโดยธนาคารใด ซึ่งผู้ให้บริการก็จะทำการร้องขอการยืนยันตัวไปยังธนาคาร แล้วธนาคารก็จะแจ้งไปยังผู้ใช้ว่ามีคำร้องขอยืนยันตัวตนเข้ามาในโมบายแอพพลิเคชันของธนาคาร โดยผู้ใช้สามารถทำการอนุญาต และ ยืนยันตัวตนโดยการใช้กล้องถ่ายรูปของโทรศัพท์มือถือในการยืนยันตัวตนได้เลย ซึ่งเมื่อทำการยืนยันตัวตนแล้ว ธนาคารก็จะส่งข้อมูลการยืนยันตัวตนมาให้ผู้ให้บริการเพื่อเป็นการยืนยันว่าผู้ใช้ที่มาขอรับบริการ เป็นบุคคลนั้นจริง

สำหรับการรายงานตัวขึ้นทะเบียนเป็นนักศึกษาของมหาวิทยาลัยเชียงใหม่นั้น ได้ดำเนินการไปจนถึงระดับ IAL2.3 ตามแนวทางที่กำหนดโดยธนาคารแห่งประเทศไทย และมีการสอบทานข้อมูลของนักศึกษากับฐานข้อมูลทะเบียนราษฏร์ของกรมการปกครอง เพื่อให้มั่นใจว่า ข้อมูลของนักศึกษานั้นตรงกับข้อมูลของภาครัฐจริง ๆ โดยการดำเนินการทั้งหมด ได้มีการตรวจสอบจากบริษัทภายนอกในการทำ Penetration Test ตามมาตรฐานที่กำหนดโดย NDID เพื่อให้มั่นใจว่าจะไม่มีช่องโหว่ให้สามารถปลอมแปลงอัตลักษณ์ส่วนบุคคลได้ และมีการออกแบบระบบคำนึงถึงการปกป้องข้อมูลส่วนบุคคลตั้งแต่แรก เช่น ไม่มีข้อมูลส่วนตัวของนักศึกษาส่งผ่านไปยังธนาคารผู้ยืนยันตัวบุคคล เป็นต้น ยิ่งไปกว่านั้นนักศึกษาที่ลงทะเบียนเข้าใช้ระบบ NDID แล้ว สามารถใช้การยืนยันตัวบุคคลในบริการอื่น ๆ เช่น การเปิดบัญชีธนาคารอื่น ๆ โดยไม่จำเป็นต้องเดินทางไปยังธนาคารนั้นได้อีกด้วย

การยืนยันตัวบุคคลโดยระบบ NDID จะเป็นแนวทางที่สำคัญของประเทศไทยในการยกระดับความน่าเชื่อถือในการยืนยันตัวบุคคลในการให้บริการแบบออนไลน์ และสอดคล้องกับการปกป้องข้อมูลส่วนบุคคล และในอนาคต คาดว่าน่าจะมีบริการอื่น ๆ ที่เข้าร่วมกับ NDID ซึ่งจะทำให้ผู้ใช้บริการมีความสะดวกมากยิ่งขึ้นอีกต่อไป

ที่มา:
เฟซบุ๊ครับเข้าศึกษาปริญญาตรี มช., NDID

ข้อมูลเปิดเผย: ผู้เขียนข่าวเป็นพนักงานมหาวิทยาลัยเชียงใหม่

from:https://www.blognone.com/node/128885