1. มาตรฐานนี้มีผลเริ่มบังคับใช้เมื่อไร
ตามที่คณะกรรมการพัฒนารัฐบาลดิจิทัล ได้ออกประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่องมาตรฐานและหลักเกณฑ์การจัดทำกระบวนการและการดำเนินงานทางดิจิทัลว่าด้วยเรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐ สำหรับบุคคลธรรมดาที่มีสัญชาติไทย ประกาศลงราชกิจจานุเบกษา เมื่อวันที่ 11 ตุลาคม 2564 ซึ่งตามบทเฉพาะกาลกำหนดให้ในระยะเริ่มแรก มิให้นำมาตรฐานและหลักเกณฑ์ตามประกาศนี้มาใช้บังคับกับผู้พิสูจน์และยืนยันตัวตน ผู้ให้บริการภาครัฐ และแหล่งให้ข้อมูลที่น่าเชื่อถือ จนกว่าจะพ้นกำหนดสองปีนับแต่วันที่ประกาศนี้มีผลใช้บังคับ ซึ่งจะพ้นกำหนดและเริ่มมีผลบังคับใช้ในวันที่ 11 ตุลาคม 2566
สิี่งที่หน่วยงานของรัฐต้องดำเนินการ หลังจากประกาศฯ มีผลใช้บังคับ
1. สำรวจและประเมินความเสี่ยงของบริการ และบริหารจัดการความเสี่ยงให้เหมาะสม
2. กำหนดระดับความน่าเชื่อถือของการพิสูจน์และยืนยันตัวตนให้เหมาะสมกับความเสี่ยงตามมาตรฐานฯ
3. กำหนดมาตรการรักษาความมั่นคงปลอดภัย การคุ้มครองข้อมูลส่วนบุคคล และมีข้อตกลงในการดำเนินการและการปฏิบัติ
4. จัดทำธรรมภิบาลข้อมูล และการดำเนินการที่เกี่ยวข้องกับการพิสูจน์ยืนยันตัวตน
5. กรณีใช้บริการพิสูจน์และยืนยันตัวตนทางดิจิทัล ต้องเลือกบริการที่มีความพร้อม และผ่านการรับรองจากหน่วยงานกำกับดูแล เช่น บริการระบบพิสูจน์และยืนยันตัวตนทางดิจิทัล (DOPA-Digital ID) ของกรมการปกครอง ซึ่งประชาชนสามารถใช้งานผ่านแอปพลิเคชัน ThaiD
2. ดิจิทัลไอดี (digital identity หรือ Digital ID) คืออะไร
คุณลักษณะ หรือชุดของคุณลักษณะที่ถูกรวบรวมและบันทึกในรูปแบบดิจิทัล ซึ่งสามารถใช้ระบุตัวบุคคลในบริบทที่กำหนด และสามารถใช้ทำธุรกรรมอิเล็กทรอนิกส์
3. ทำไมต้องมี Digital ID สำหรับบริการของภาครัฐ
เพื่ออำนวยความสะดวกให้กับประชาชน ไม่ต้องเดินทางไปติดต่อกับส่วนราชการ สามารถทำธุรกรรมออนไลน์ ได้ทุกที่ ทุกเวลา ลดขั้นตอนการทำงาน
ลดการใช้เอกสาร ซึ่งมีความสะดวก รวดเร็ว ปลอดภัย
4. มาตรฐานรัฐบาลดิจิทัล ว่าด้วยแนวทางการจัดทำกระบวนการและการดำเนินงานทางดิจิทัล
เรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐ ประกอบด้วยเรื่องอะไรบ้าง
มาตรฐานและหลักเกณฑ์การจัดทำกระบวนการและการดำเนินงานทางดิจิทัลว่าด้วยเรื่องการใช้ดิจิทัลไอดี สำหรับบริการภาครัฐ สำหรับบุคคลธรรมดาที่มีสัญชาติไทย ประกอบด้วย
1) DGS 1- 1 : 2564 แนวทางการจัดทำกระบวนการและการดำเนินงานทางดิจิทัล เรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐ – ภาพรวม
(Digitalization: Digital ID – Overview)
2) DGS 1-2 : 2564 แนวทางการจัดทำกระบวนการและการดำเนินงานทางดิจิทัล เรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐ – การพิสูจน์และยืนยันตัวตนทางดิจิทัล สำหรับบุคคลธรรมดาที่มีสัญชาติไทย (Digitalization: Digital ID – Identity Proofing and Authentication)
5. มาตรฐานรัฐบาลดิจิทัลฯ – ภาพรวม ฉบับนี้ แตกต่างจากเล่มอื่นๆ อย่างไร
มาตรฐานเล่มภาพรวมนี้ มุ่งเน้นเพื่ออธิบายภาพรวมของการใช้งานดิจิทัลไอดีสำหรับบริการภาครัฐที่ครอบคลุมถึงบทนิยาม กฎหมายและแนวปฏิบัติที่เกี่ยวข้อง
แบบจำลองดิจิทัลไอดี ภาพรวมของการพิสูจน์และยืนยันตัวตนทางดิจิทัล กลุ่มการให้บริการภาครัฐ รวมถึงการบริหารจัดการความเสี่ยง เพื่อให้หน่วยงานที่เกี่ยวข้องกับการใช้ดิจิทัลไอดีมีความเข้าใจตรงกัน
6. มาตรฐานรัฐบาลดิจิทัลฯ ฉบับนี้ กำหนดบทลงโทษ หรือการนำใช้ตามกฎหมายหรือไม่
มาตรฐานรัฐบาลดิจิทัลฯ ฉบับนี้ จะเป็นคำแนะนำโดยทั่วไป ซึ่งไม่สามารถครอบคลุมประเด็นทางกฎหมายทั้งหมดที่อาจเกิดขึ้นได้ ดังนั้นหากมีข้อสงสัยเกี่ยวกับการดำเนินการตามเอกสารฉบับนี้หรือประเด็นอื่น ๆ ไม่ได้กล่าวถึงในที่นี้ ควรมีการปรึกษากับผู้เชี่ยวชาญทางกฎหมายตามความจำเป็น
7. ทำไมต้องทำการพิสูจน์และยืนยันตัวตนทางดิจิทัล
การพิสูจน์และยืนยันตัวตนทางดิจิทัล เป็นกระบวนการแรกที่สำคัญในการเข้าสู่บริการภาครัฐ
ซึ่งหน่วยงานของรัฐต้องประเมินความต้องการของหน่วยงานเพื่อพิจารณาว่าบริการใดบ้างที่จำเป็นต้องใช้ดิจิทัลไอดีในการพิสูจน์และยืนยันตัวตนทางดิจิทัลสำหรับบริการภาครัฐ
8. Identity Assurance Level : IAL ระดับความน่าเชื่อถือของไอเดนทิตี คืออะไร
ระดับความเข้มงวดในกระบวนการพิสูจน์ตัวตนของผู้สมัครใช้บริการ ซึ่งการกำหนดระดับความน่าเชื่อถือของไอเดนทิตีที่เหมาะสมจะช่วยลดโอกาส
ของการพิสูจน์ตัวตนผิดพลาด
9. Authenticator Assurance Level : AAL ระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน คืออะไร
การกำหนดระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตนที่เหมาะสมจะช่วยลดโอกาสของการยืนยันตัวตนผิดพลาด
10. มีการประเมินความเสี่ยงของดิจิทัลไอดี อย่างไร
ความเสี่ยงของการใช้ดิจิทัลไอดีตามมาตรฐานรัฐบาลดิจิทัลฉบับนี้ คือ ความเสี่ยงในกระบวนการพิสูจน์และยืนยันตัวตน ดังนั้น สำนักงานพัฒนารัฐบาลดิจิทัล (สพร.) จึงได้จัดทำเครื่องมือสำหรับการประเมินความเสี่ยงเพื่อใช้ในการพิสูจน์และยืนยันตัวตน สำหรับบริการภาครัฐ (Assessment Tool for Government Digital ID) ซึ่งเป็นไปตามมาตรฐานสากล
11. ระยะเวลาที่ผู้พิสูจน์และยืนยันตัวตน ต้องเก็บรักษาสิ่งที่ใช้รับรองตัวตนนานแค่ไหน
ผู้พิสูจน์และยืนยันตัวตน ต้องเก็บรักษาสิ่งที่ใช้รับรองตัวตน สถานะของสิ่งที่ใช้รับรองตัวตน และข้อมูลที่ใช้ในกระบวนการลงทะเบียน ตลอดอายุการใช้งานของสิ่งที่ใช้รับรองตัวตน (เป็นอย่างน้อย) ส่วนผู้ใช้บริการเก็บรักษาสิ่งที่ใช้ยืนยันตัวตน
12. มีการจำแนกกลุ่มการให้บริการภาครัฐในรูปแบบดิจิทัล กี่กลุ่มการให้บริการ ประกอบด้วยอะไรบ้าง
มีการจำแนกเป็น 4 กลุ่มบริการ ประกอบด้วย
1) กลุ่มการให้บริการข้อมูลพื้นฐาน (Emerging Services) คือ การให้บริการเผยแพร่ข้อมูลข่าวสารทั่วไป
2) กลุ่มการให้บริการข้อมูลที่มีการปฏิสัมพันธ์กับผู้ใช้บริการ (Enhanced Services) คือ การให้บริการข้อมูลข่าวสารของหน่วยงานของรัฐในรูปแบบการสื่อสารทางเดียวหรือสองทางกับผู้ใช้บริการ เช่น การรับแจ้งเรื่องร้องเรียน ข้อเสนอแนะ หรือแสดงความคิดเห็น ผ่านทางเว็บไซต์หรือช่องทางให้บริการข่าวสารข้อมูลอื่น
3) กลุ่มการให้บริการธุรกรรม (Transactional Services) การให้บริการธุรกรรมของหน่วยงานของรัฐซึ่งมีผลผูกพันทางกฎหมายเช่น การอนุญาต การจดทะเบียน หรือการดำเนินการใด ๆ กับหน่วยงานของรัฐ
4) กลุ่มการให้บริการธุรกรรมที่เชื่อมโยงข้อมูลระหว่างหน่วยงาน (Connected Services) คือ การให้บริการธุรกรรมที่มีการเชื่อมโยงข้อมูลระหว่างหน่วยงานเข้าด้วยกัน และมีผลผูกพันทางกฎหมาย เช่น การขอรับบริการภาครัฐแบบเบ็ดเสร็จ ณ จุดเดียว
13. กระบวนการลงทะเบียนและพิสูจน์ตัวตนอ้างอิงมาจากมาตรฐานใด
– มาตรฐาน NIST Special Publication 800-63-3 – Digital Identity Guidelines
– มาตรฐาน NIST Special Publication 800-63A – Digital Identity Guidelines – Enrollment and Identity Proofing
– มาตรฐาน NIST Special Publication 800-63B – Digital Identity Guidelines – Authentication and Lifecycle Management
– ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย –
ภาพรวมและอภิธานศัพท์
– ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย –
การลงทะเบียนและพิสูจน์ตัวตน
– ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย –
การยืนยันตัวตน