สรุปเนื้อหางานสัมมนาเรื่องดิจิทัลไอดีกับธุรกิจประกันวินาศภัยไทย

วันนี้ผมได้โอกาสติดตาม คุณธนฉัตรฯ ซึ่งเป็นคณะทำงานนำร่องการใช้ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล (NDID) มาที่งานสัมมนาดังกล่าว

โดยงานดังกล่าวจัดขึ้นใน วันพุธที่ 12 ธันวาคม 2561 เวลา 8:30 – 13:30 น. ณ ห้องประชุม 221 อาคาร 2 ณ สมาคมประกันวินาศภัยไทย

จัดขึ้นโดยสมาคมฯ บริษัท NDID และ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)

ผมเห็นว่าเรื่องน่าสนใจจึงขอสรุปดังต่อไปนี้

กล่าวต้อนรับและเปิดงาน

• วัตถุประสงค์ของการสัมมนาในวันนี้ คือ อยากให้ทุกท่านได้รับทราบข้อมูลที่อัพเดตที่สุดเพื่ออยากให้ทุกท่านเข้าร่วมในโครงการ NDID เพราะจะช่วยยกระดับทางการแข่งขันในอุตสาหกรรมประกันวินาศภัย โดย NDID จะทำให้ต้นทุนเอกสารลดลง และมีความสะดวกมากกว่าเดิม
• ทางสมาคมฯ ได้เริ่มทำงานนี้ตั้งแต่ปลายปีที่ผ่านมากับคณะทำงาน ทางสมาคมฯ ก็ส่งเสริมให้สมาชิก 7 บริษัทเข้าร่วมลงทุนในบริษัท NDID ด้วย โดยที่สามารถจัดตั้งบริษัทสำเร็จเมื่อเดือน ก.พ. ที่ผ่านมา
• ทุกท่านสามารถเตรียมตัวให้พร้อมกับ NDID ทั้งในฐานะผู้ให้และผู้รับบริการ

การพิสูจน์และยืนยันตัวตนทางดิจิทัล

• ส่วนงานภาครัฐนั้น มีหน่วยงานภาครัฐที่ชื่อ ก.พ.ร. มี innovation lab คณะทำงาน innovation lab มองว่าต้องดำเนินการ 4 หัวข้อที่สำคัญ ได้แก่ License digitization & Analytics / Digital Authentication / Trade Digitization / Digitization Commando สำหรับเนื้อในวันนี้เป็นส่วนของการยืนยันตัวตน (Digital Authentication)

• ทาง ETDA หรือชื่อภาษาไทยว่า “สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) – สพธอ.” และทีมงานในบริษัท NDID นั้นได้ทำงานร่วมกันมาตั้งแต่ปลายปี พ.ศ. 2559 โดยทำงานเป็น 3 ทีม ได้แก่ กฎหมาย ทางเทคนิค และทีม pilot ก่อนใช้งานจริง

ใน NDID นั้นประกอบไปด้วยโครงสร้าง (Architecture) ที่มีองค์ประกอบ ได้แก่

AS เป็นหน่วยงานที่เป็นเจ้าของข้อมูล

IDP เป็นหน่วยงานทำหน้าที่พิสูจน์ตัวตน

RP เป็นหน่วยงานที่ใช้งานระบบการตรวจสอบตัวตน

• สมมติว่า RP สงสัยในการตรวจสอบบุคคล ที่ชื่อ สมชาย RP ก็จะติดต่อไปที่ platform ของ NDID เพื่อติดต่อไปยัง IDP โดย IDP จะทำหน้าที่ตรวจสอบว่า บุคคลดังกล่าวนั้นใช่นายสมชายหรือไม่ หลังจากนั้นจึงแจ้งผลกลับไปหา RP นอกจากนั้นแล้วบางครั้ง RP อยากได้ข้อมูลจาก AS เช่น ที่อยู่ เป็นต้น AS ก็ต้องถามว่าเจ้าตัวให้การยินยอมแล้วหรือไม่ หากได้ให้การยินยอมแล้ว AS ก็สามารถให้ข้อมูลแก่ RP ได้
• หน่วยงานใดหน่วยงานหนึ่ง อาจจะเป็นได้ทั้ง 3 รูปแบบข้างต้น คือ AS เป็นหน่วยงานที่เป็นเจ้าของข้อมูล IDP เป็นหน่วยงานทำหน้าที่พิสูจน์ตัวตน หรือ RP เป็นหน่วยงานที่ใช้งานระบบการตรวจสอบตัวตน โดยเป็นทั้งภาครัฐหรือเอกชนก็ได้ เช่น กรมสรรพากรอาจจะเป็น RP เพราะเราต้องยื่นภาษีปีละครั้ง ส่วนตัวของวิทยากรเล่าว่าจำรหัสล๊อกอินเข้าระบบการจ่ายภาษีไม่ค่อยได้ เพราะใช้งานแค่ปีละครั้งเท่านั้น ผลคือต้องรีเซ็ตรหัสผ่านทุกปี ในกรณีนี้ NDID อาจจะให้ธนาคารทำหน้าที่ในฐานะ IDP เพื่อทำการยืนยันตัวตนแทนการใช้รหัสแบบเดิมก็ได้
• NDID ใช้เทคโนโลยี Blockchain ที่มีความปลอดภัยสูง แต่เนื่องจากเป็นเรื่องใหม่สำหรับบริษัทหลาย ๆ แห่ง และต้องการการลงทุน ทาง NDID จึงเปลี่ยนแนวทางเป็นให้ต่อมายังระบบของ NDID โดยใช้วิธีการ Proxy แทนที่จะเป็นการทำระบบขึ้นมาเอง ระบบ Proxy นั้นเรียกว่า OpenID connect platform (ETDA connect) โดยผู้ต่อนั้นต้องเป็น RP เท่านั้น
• วิทยากรเล่าว่า ตลาดหลักทรัพย์ก็มี Proxy เหมือนกัน แต่ใช้ในอุตสาหกรรมหลักทรัพย์โดยใช้เทคโนโลยีแบบเดียวกัน
• วิทยากรเล่าต่อว่า คนที่มาใช้บริการเป็น RP ได้ทั้งในฐานะบุคคลธรรมดาและนิติบุคคล แต่ทางหน่วยงานจะเริ่มจากบุคคลธรรมดาก่อน ในส่วนของคนที่มาใช้บริการเป็น IDP ต้องมีการทำหลายรายการ ได้แก่ Identity Credentia และ Authenticator
• วิทยากรยกตัวอย่าง IDP ว่า ถ้า IDP เป็นธนาคารนั้น Identity คือ userID Credential คือ เลขบัญชี และ Authenticator คือ Mobile app หลังจากนั้นยกตัวอย่าง IDP ที่ใกล้ตัว อย่างกรมการปกครอง ในกรณีของกรมฯ นั้น Identity คือ ชื่อบุคคล Credential คือ บัตรปชช. และ Authenticator คือ รหัส pin code 4 หลัก หรือ biometric เป็นต้น

สำหรับ NDID มี 2 ขั้นตอนหลัก คือ การลงทะเบียนและพิสูจน์ตัวตน และการยืนยันตัวตน

ยกตัวอย่างการไปธนาคาร แต่เดิมนั้นลูกค้าต้องทำเพื่อกรอกข้อมูลจำนวนมากเพื่อการเปิดบัญชี แต่ระบบ NDID จะทำให้กระบวนการดังกล่าวเปลี่ยนไป โดยอาจจะใช้บัตร ปชช. เสียบเข้าตู้ Kiosk แล้วทำการตรวจสอบว่าใบหน้าของลูกค้ากับรูปในบัตร ปชช. นั้นใช่คนเดียวกันหรือไม่ หากใช่ก็จะให้ ID บางอย่างแก่ผู้ลงทะเบียน

ในขั้นตอนถัดมา คือ การยืนยันตัวตน กล่าวคือ เมื่อได้ ID จากขั้นตอนแรกแล้ว ก็สามารถนำไปใช้งานในขั้นการยืนยันตัวตนได้ต่อ โดยอาจจะต้องใส่ ID ที่ได้มา บวกกับ OTP

• หากจะให้เล่าลงรายละเอียดลงไป ก็จะมีระดับความน่าเชื่อถือเข้ามาเกี่ยวข้อง ระดับดังกล่าว เรียกว่า IAL และ AAL  โดย IAL เป็นความน่าเชื่อถือของขั้นตอนการลงทะเบียนและพิสูจน์ตัวตน ในขณะที่ AAL คือ ความน่าเชื่อถือของการยืนยันตัวตน โดยมาตรฐานดังกล่าวมาจากประเทศอเมริกา ไม่ได้คิดเอาเอง
  • IAL มีหลายระดับ คือ
    • IAL 1 การบอกปากเปล่า หรือ ใช้บัตรที่ทางราชการออกให้
    • IAL 2 ใช้บัตรที่ทางราชการออกให้พร้อมดึงข้อมูลในบัตร
      • IAL 2.1 ดึงข้อมูล และถ่ายรูปเทียบกับหน้าบนบัตร
      • IAL 2.2 เหมือน IAL 2.1 แต่นำข้อมูลที่ดึงออกมาได้ไปเทียบกับ AS
      • IAL 2.3 เหมือน IAL 2.2 แต่เพิ่มการตรวจ biometric ด้วยระบบ Algorithm
    • IAL 3 ใช้บัตรที่ทางราชการออกให้พร้อมใช้หนังสือเดินทาง รวมถึงทำการดึงข้อมูลในบัตรแล้วตรวจสอบไปยังผู้ออกบัตร (AS) ตรวจข้อมูล biometric และแสดงตัวตนแบบพบเห็นหน้าอีกด้วย
    • สำหรับทางธนาคารแห่งประเทศไทยนั้นได้กำหนดว่าธนาคารหากจะเป็น IDP นั้น ต้องกำหนดมาตรฐานให้เป็น IAL 2.3

• สำหรับ AAL มีหลายระดับเช่นกัน คือ
  • • AAL 1 เป็น single factor เช่น ใช้รหัสที่มี
    • AAL 2.1 มากกว่า 1 factor เช่น การใช้รหัส และ OTP
    • AAL 2.2 มาจาก AAL 2.1 + biometric
    • AAL 3 multifactor
    • ซึ่งส่วนใหญ่จะอยู่ที่ระดับที่ 2 เพราะเป็นระดับที่ปลอดภัยและไม่สร้างภาระให้แก่ผู้ประกอบการมากเกินไป

การนำ Digital ID มาใช้กับภาคธุรกิจประกันวินาศภัยไทย

• สำหรับโครงการ NDID ได้ดำเนินการมีถึงขั้นตอนที่ 2 แล้วเช่นกัน โดยขั้นแรกเป็นการเตรียมด้านกฎหมาย และโครงสร้างพื้นฐานของระบบ ตอนนี้งานอยู่ในขั้นที่ 2 คือ การสร้าง engagement กับหน่วยงานที่เกี่ยวข้อง

NDID มีวัตถุประสงค์ 3 อย่าง คือ การสร้างมาตรฐานการพิสูจน์ตัวตนให้มีความน่าเชื่อถือมากขึ้น สามารถพิสูจน์และยืนยันตัวตนผ่านทาง online self service และสร้างระบบ Data Sharing ระหว่างหน่วยงานต่าง ๆ หากเจ้าของข้อมูลได้ยินยอมแล้ว

• หน้าที่ของบริษัท NDID ทำหน้าที่ดูแล ตรวจสอบระบบ โดยระบบ NDID นี้ทุกฝ่ายต้องไว้ใจกันไม่สามารถชวนใครเข้ามาก็ได้
• การใช้งานระบบนั้น คนที่ใช้งานจะทำธุรกรรมได้ตลอด 24 ชม. ไม่ต้องเสียเวลากรอกเอกสาร และใช้เอกสารใด ๆ ก็ได้ในการยืนยันตัวตนไม่จำกัดแค่เพียงบัตรประชาชน
• ขั้นตอนของระบบนั้น คือ ผู้ใช้งานติดต่อไปยัง RP เพื่อทำธุรกรรมบางอย่าง RP จะส่งข้อมูลไปยัง Digital ID Platform หลังจากนั้น ระบบจะถาม IDP ว่า IDP เคยทำการ KYC หรือยัง หาก IDP เคยทำ KYC ลูกค้า (รู้ว่าลูกค้ามีตัวตนจริงและตรวจสอบอย่างเข้มข้น) ระบบจะร้องขอผู้ใช้งานผ่าน mobile banking ให้ยินยอมการตรวจสอบข้อมูลของหน่วยงานที่ร้องขอ เพื่อให้การทำธุรกรรมเสร็จสมบูรณ์
• เพื่อให้เห็นภาพ วิทยากร เล่าว่า สมมติว่าลูกค้าจะซื้อประกันออนไลน์ ลูกค้ากดยินยอมการตรวจสอบข้อมูล และเลือกว่าจะให้ IDP เจ้าไหนในการยืนยันตัวตน เช่น ธนาคาร SCB เป็นต้น หลังจากนั้นแอพพลิเคชั่น SCB จะให้กรอกรหัส ตรวจสอบใบหน้า เมื่อทำการตรวจสอบแล้ว IDP จะประทับข้อมูลในระบบ NDID หลังจากนั้น RP จะขอข้อมูล AS ต่อไป เป็นที่น่าสนใจคือ ในระบบ NDID ไม่มีการเก็บข้อมูลใด ๆ ทั้งสิ้นจึงมีความปลอดภัยสูง
• สำหรับบริษัทประกันฯ นั้นจะเป็น RP สำหรับ RP จะมีขั้นตอนพื้นฐานที่เหมือนกันดังนี้ คือ นัดพบลูกค้า กรอกข้อมูลและตรวจสอบข้อมูล กระบวนการอนุมัติ ชำระค่าบริการ ออกสัญญาใช้บริการ สำหรับ Digital ID จะมาช่วยในขั้นตอนของการกรอกข้อมูลและตรวจสอบข้อมูลของบริษัทประกันฯ
• วิทยากรเล่าถึง IDP ว่าสมมติว่าเราไปธนาคาร ธนาคารจะเอาบัตร ปชช. ไปตรวจสอบเพื่อตรวจสอบการแสดงตน โดย (1) บัตรปชช. ต้องเป็นของจริง และ (2) ตัวจริงกับบัตรปชช.ต้องตรงกัน การจะเป็น IDP นั้นต้องเป็นหน่วยงานที่มีภาครัฐกำกับดูแล และมีเทคโนโลยีในระดับที่กำหนดไว้

• สำหรับหน่วยงานกำกับดูแลของรัฐนั้น ประกอบไปด้วย ธปท. กลต. และ คปภ. กำหนดระดับ IAL และ AAL ต่างกันไป ตามประเภทของอุตสาหกรรม
  • ผู้ประกอบการ (RP) ต้อง (1) กำหนดระดับ IAL AAL (2) กำหนด Use Case ในการทำธุรกรรมออนไลน์หรือตัวแทน (คำนวณความคุ้มทุน)  (3) Implement ระบบ (ด้านไอที กระบวนการทำงาน กฎหมาย) และ (4) แจ้งหน่วยงานกำกับดูแล
  • วิทยากรเล่าว่าระบบ NDID มี 5 ขั้นตอนหลัก คือ (1) Onboarding app (ใช้ในการลงทะเบียนและยืนยันตัวตนลูกค้า และออก Authenticator ทั้งลูกค้าเดิมและลูกค้าใหม่) (2) Customer Information (ข้อมูลลูกค้าในระบบ เช่น ประเภทบัญชี ระดับ KYC เป็นต้น)  (3) Eapplication (ใบสมัครอิเล็กทรอนิกส์ที่มี 5 องค์ประกอบเหมือนใบสมัครที่เป็นกระดาษ) (4) Authenticator (เช่น บัตร ปชช. เบอร์ติดต่อ รูปถ่าย และลายมือชื่อ ตามระดับความปลอดภัย) และ (5) NDID node/proxy (เชื่อมต่อผ่านการตั้ง Node เอง หรือต่อผ่าน proxy เพื่อไปยัง Node ที่มีอยู่แล้ว)

• วิทยากรเล่าถึง Authenticator (ที่จะนำข้อมูลดังกล่าวมาใช้งานใน AAL) ว่า มี 5 ประเภท ได้แก่
  • Something you know เลขบัตร ปชช. เลขบัญชีธนาคาร
  • Something you know (encrypt) รหัสต่าง ๆ เช่น ล๊อกอิน ATM
  • Something you have แสดงบัตร ปชช. FaceID OTP
  • Something you are การจดจำใบหน้า
  • Something you have ระบบ online cryptographic device ไม่ค่อยได้มีในเมืองไทย
• ในการทำธุรกรรมนั้น มีรูปแบบการจ่ายเงินของลูกค้ามาเกี่ยวข้อง โดยรูปแบบฯ นั้นมีหลายรูปแบบให้ติดต่อไปยังฝ่าย Cash Management ของทุกธนาคารเพื่อขอข้อมูลเพิ่มเติม

ที่น่าสนใจและเป็นประโยชน์มาก คือ ในระบบ NDID นั้น จะมาช่วยตรวจสอบความจริงได้ในกระบวนการแถลงความจริงในกรมธรรม์ เงินส่งมอบไปยังบัญชีของบริษัทโดยตรงไม่ต้องผ่านตัวแทนขาย การเก็บเบี้ยประกันตรงเวลา การเคลมเบี้ยประกันก็จะรวดเร็ว ลดหย่อนภาษี ให้กับธุรกิจประกัน

กล่าวเพิ่มเติมโดย CEO บริษัท NDID

สำหรับ NDID นั้น เป็นการเอาแผนที่ ETDA วางไว้เป็นอย่างดีแล้วมากำหนดกติกามารยาทในแง่ของการสื่อสาร ตอนนี้สถานการณ์ของระบบ NDID ได้อยู่ในขั้นตอนของการทำการทดสอบกับ ธปท. นอกจากนั้นแล้วในขณะที่ธนาคารพาณิชย์ก็ได้เริ่มใช้งานแล้วแต่ยังใช้อยู่อย่างจำกัดเนื่องจากเรื่องนี้เป็นเรื่องใหม่จึงต้องระวังการที่บุคคลไม่พึงประสงค์นำระบบไปใช้ในทางที่ผิด

กล่าวปิดงาน

• ระบบ NDID เป็นเรื่องที่จะยืนยันตัวตนของเราในอนาคต แม้ว่าตนเองฟังเรื่อง NDID มาหลายครั้งแต่ก็ยังฟังดูแล้วมีความซับซ้อน สำหรับขั้นตอนในการเปิดบัญชีธนาคารในปีหน้าก็ต้องมีการถ่ายรูปยืนยันตัวตน
• พูดถึงคณะทำงานธุรกิจประกันวินาศภัยไทยของเรามีการกำหนด IAL AAL ในระบบประกันฯ แล้ว โดยเริ่มจากกรณีเเรก คือ ในกรณีอุบัติเหตุส่วนบุคคล กับ คปภ. ก่อน สำหรับการพัฒนาด้าน IT และปรับ process นั้น เราจะศึกษา API และทดสอบระบบกับ ETDA โดยคาดหวังว่าในเดือนเมษายน – พฤษภาคม ปี พ.ศ. 2562 จะเริ่มใช้งานจริง