มหาวิทยาลัยเชียงใหม่ นำร่องลงทะเบียนนักศึกษาใหม่ ผ่านการใช้ eKYC ผ่านระบบ NDID เป็นสถานศึกษาแรกของประเทศไทย
มหาวิทยาลัยเชียงใหม่เปิดลงทะเบียนนักศึกษาใหม่ ทำให้กระบวนการลงทะเบียนนักศึกษาใหม่ในปีนี้สามารถทำผ่านระบบออนไลน์ได้ทั้งหมด ตั้งแต่การสร้างบัญชีผู้ใช้, การกรอกประวัติและส่งเอกสาร โดยไม่ต้องเดินทางไปลงทะเบียนที่จุดให้บริการของมหาวิทยาลัยเหมือนเดิม และการยืนยันตัวตนผ่าน NDID เช่นนี้ทำให้นักศึกษาสามารถยืนยันตัวตนได้หากเคยยืนยันตัวตนบนแอปพลิเคชั่นธนาคารใดก็ได้ใน 10 ธนาคารที่ให้บริการยืนยันตัวตนผ่าน NDID
มหาวิทยาลัยเชียงใหม่เปิดลงทะเบียนนักศึกษาใหม่ ทำให้กระบวนการลงทะเบียนนักศึกษาใหม่ในปีนี้สามารถทำผ่านระบบออนไลน์ได้ทั้งหมด ตั้งแต่การสร้างบัญชีผู้ใช้, การกรอกประวัติและส่งเอกสาร โดยไม่ต้องเดินทางไปลงทะเบียนที่จุดให้บริการของมหาวิทยาลัยเหมือนเดิม และการยืนยันตัวตนผ่าน NDID เช่นนี้ทำให้นักศึกษาสามารถยืนยันตัวตนได้หากเคยยืนยันตัวตนบนแอปพลิเคชั่นธนาคารใดก็ได้ใน 10 ธนาคารที่ให้บริการยืนยันตัวตนผ่าน NDID
แต่อย่างไรก็ตาม ผู้ที่ทำ eKYC ก็ต้องมีความมั่นใจว่าผู้ที่มารับบริการ เป็นบุคคลนั้นจริง ๆ โดยจากประกาศของธนาคารแห่งประเทศไทย ระบุว่าผู้ให้บริการทางการเงิน ที่ต้องการพิสูจน์ตัวตนแบบไม่พบเห็นหน้า (Non Face-To-Face) จะต้องมีวิธีการตรวจสอบที่ใช้มาตรฐานสากลในการตรวจสอบใบหน้าของลูกค้าเทียบกับข้อมูลชีวมิติจากบัตรประจำตัวประชาชน เพื่อพิสูจน์ว่าเป็นลูกค้ารายนั้นจริง แทนการพบเห็นหน้า
ธปท. ได้กำหนดให้ธุรกรรมที่มีความเสี่ยงสูงเช่นการจ่ายเงินหรือการโอนเงิน ภายใน/ระหว่างประเทศ จะต้องมีการยืนยันตัวตนที่ใช้การตรวจสอบบัตรประจำตัวประชาชน เช่นการเสียบบัตรกับเครื่องอ่านร่วมกับการตรวจสอบสถานะบัตร และ การตรวจสอบใบหน้าเทียบกับข้อมูลชีวมิติจากบัตรประจำตัวประชาชน ซึ่งเป็นการตรวจสอบตามระดับมาตรฐาน IAL2.3 ตามข้อกำหนดการพิสูจน์ตัวตนทางดิจิทัล ซึ่งเสนอโดยสำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน (Identity Assurance Level : IAL) เป็นระดับความเข้มงวดในกระบวนการพิสูจน์ตัวตนของบุคคล ซึ่งจะมีตั้งแต่ระดับ IAL1 (ความน่าเชื่อถือต่ำสุด) จนถึง IAL3 (ความน่าเชื่อถือสูงสุด) โดยในแต่ละระดับก็จะมีข้อกำหนดพื้นฐานที่ผู้ให้บริการต้องปฏิบัติ ตามรูปด้านล่าง
ภาพจาก ETDA
ตัวอย่างเช่น IAL2.3 ซึ่งเป็นระดับต่ำสุดที่กำหนดโดยธนาคารแห่งประเทศไทยสำหรับผู้ให้บริการทางการเงิน จะต้องมีกระบวนการที่สอดคล้องกับข้อกำหนดทั้งในขั้นตอนการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ และ การตรวจสอบความเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์
สำหรับการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ คือการตรวจสอบว่าบุคคลนั้นมีตัวตนอยู่จริงหรือไม่โดยการให้บุคคลนั้นนำเอาบัตรประจำตัวประชาชน หรือ เอกสารประจำตัวอื่นที่ออกโดยรัฐมาเสียบกับเครื่องอ่าน แล้วทำการตรวจสอบว่าบัตรประจำตัวประชาชนนั้นยังมีสถานะอยู่หรือไม่
ซึ่งเมื่อตรวจสอบแล้ว ก็จะทำการบันทึกอัตลักษณ์ของบุคคลนั้น เช่น ภาพถ่าย เข้าไปในระบบ โดยกระบวนการนี้จะทำโดยผู้พิสูจน์และยืนยันตัวตน (Identity Provider : IdP)
แล้วเมื่อบุคคลนั้นต้องการยืนยันตัวตนผ่านทางการตรวจสอบเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์เมื่อต้องการเข้าใช้บริการใดจากผู้ให้บริการ หรือเรียกว่า ผู้อาศัยการยืนยันตัวตน (Relying Party : RP) ก็อาจจะทำการพิสูจน์ตัวตนแบบพบเห็นหน้าโดยการตรวจสอบใบหน้าเทียบกับรูปถ่ายในบัตร หรือ การทำการพิสูจน์ตัวตนแบบไม่พบเห็นหน้า โดยการใช้สิ่งยืนยันตนที่ได้จาก IdP ร่วมกับการตรวจสอบชีวมิติ เป็นต้น
สำหรับในระบบ NDID นั้น ผู้พิสูจน์และยืนยันตัวตนในปัจจุบัน ก็ประกอบไปด้วยธนาคารที่เข้าร่วมกับโครงการ Regulatory Sandbox ของธนาคารแห่งประเทศไทย รวมถึงบริษัทที่ไม่เช่นธนาคาร เช่น AIS ก็ร่วมเป็นผู้พิสูจน์และยืนยันตัวตน
โดยผู้ใช้ที่ต้องการลงทะเบียน จะต้องไปทำการเสียบบัตรประจำตัวประชาชนที่ธนาคาร ซึ่งมักจะทำอยู่แล้วในตอนที่ไปเปิดบัญชีธนาคาร แล้วธนาคารก็จะทำการบันทึกตัวตนของผู้ใช้ไว้ในระบบ
และเมื่อผู้ใช้ต้องการยืนยันตัวตนกับผู้ให้บริการรายใด ก็จะสามารถแจ้งให้กับผู้ให้บริการว่า ต้องการยืนยันตัวตนโดยธนาคารใด ซึ่งผู้ให้บริการก็จะทำการร้องขอการยืนยันตัวไปยังธนาคาร แล้วธนาคารก็จะแจ้งไปยังผู้ใช้ว่ามีคำร้องขอยืนยันตัวตนเข้ามาในโมบายแอพพลิเคชันของธนาคาร
โดยผู้ใช้สามารถทำการอนุญาต และ ยืนยันตัวตนโดยการใช้กล้องถ่ายรูปของโทรศัพท์มือถือในการยืนยันตัวตนได้เลย ซึ่งเมื่อทำการยืนยันตัวตนแล้ว ธนาคารก็จะส่งข้อมูลการยืนยันตัวตนมาให้ผู้ให้บริการเพื่อเป็นการยืนยันว่าผู้ใช้ที่มาขอรับบริการ เป็นบุคคลนั้นจริง
สำหรับการรายงานตัวขึ้นทะเบียนเป็นนักศึกษาของมหาวิทยาลัยเชียงใหม่นั้น ได้ดำเนินการไปจนถึงระดับ IAL2.3 ตามแนวทางที่กำหนดโดยธนาคารแห่งประเทศไทย และมีการสอบทานข้อมูลของนักศึกษากับฐานข้อมูลทะเบียนราษฏร์ของกรมการปกครอง เพื่อให้มั่นใจว่า ข้อมูลของนักศึกษานั้นตรงกับข้อมูลของภาครัฐจริง ๆ
การดำเนินการทั้งหมด ได้มีการตรวจสอบจากบริษัทภายนอกในการทำ Penetration Test ตามมาตรฐานที่กำหนดโดย NDID เพื่อให้มั่นใจว่าจะไม่มีช่องโหว่ให้สามารถปลอมแปลงอัตลักษณ์ส่วนบุคคลได้ และมีการออกแบบระบบคำนึงถึงการปกป้องข้อมูลส่วนบุคคลตั้งแต่แรก เช่น ไม่มีข้อมูลส่วนตัวของนักศึกษาส่งผ่านไปยังธนาคารผู้ยืนยันตัวบุคคล เป็นต้น
ยิ่งไปกว่านั้นนักศึกษาที่ลงทะเบียนเข้าใช้ระบบ NDID แล้ว สามารถใช้การยืนยันตัวบุคคลในบริการอื่น ๆ เช่น การเปิดบัญชีธนาคารอื่น ๆ โดยไม่จำเป็นต้องเดินทางไปยังธนาคารนั้นได้อีกด้วย
การยืนยันตัวบุคคลโดยระบบ NDID จะเป็นแนวทางที่สำคัญของประเทศไทยในการยกระดับความน่าเชื่อถือในการยืนยันตัวบุคคลในการให้บริการแบบออนไลน์ และสอดคล้องกับการปกป้องข้อมูลส่วนบุคคล และในอนาคต คาดว่าน่าจะมีบริการอื่น ๆ ที่เข้าร่วมกับ NDID ซึ่งจะทำให้ผู้ใช้บริการมีความสะดวกมากยิ่งขึ้นอีกต่อไป
อ้างอิง
- ●
- ●
- ●
