ในปัจจุบันความน่าเชื่อถือด้านตัวตนของผู้คนเป็นส่วนสำคัญในการทำธุรกรรมต่างๆ โดยเฉพาะอย่างยิ่งอย่างทำธุรกรรมที่เกี่ยวกับการเงิน ที่ตอนนี้ทุกคนสามารถทำได้ง่ายๆ ในรูปแบบออนไลน์ ผ่านการใช้เทคโนโลยีการยืนยันตัวตน หรือ E-KYC ซึ่งอาจส่งผลให้เกิดความเสี่ยงที่จะเกิดการปลอมแปลง จารกรรม หรือขโมยข้อมูลส่วนบุคคลง่ายยิ่งขึ้น ดังนั้นจึงได้มีการกำหนด มาตรฐานที่จําเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์สำหรับพิสูจน์และยืนยันตัวตน (identity provider: IdP) ด้วยการแบ่งระดับความน่าเชื่อถือการพิสูจน์ตัวตน (Identity Assurance Level: IAL) เพื่อให้การยืนยันตัวตนเป็นไปอย่างมีมาตรฐาน ในบทความนี้เราจะมาแนะนำว่า ระดับการพิสูจน์ตัวตนในปี 2023 มีอะไรบ้าง ?
เทคโนโลยีการยืนยันตัวตนผ่านช่องทางอิเล็กทรอนิกส์ (E-KYC) คือ การยืนยันตัวตนผ่านทางอิเล็กทรอนิกส์ โดยที่ไม่ต้องเดินทางไปแสดงตัวตนด้วยตัวเองต่อเจ้าหน้าที่แบบ face-to-face ทั้งยังช่วยลดความยุ่งยาก ประหยัดเวลา และสะดวกสบาย มากยิ่งขึ้น ด้วยเทคโนโลยี AI ที่สามารถวิเคราะห์ และเปรียบเทียบใบหน้าผู้ใช้กับรูปถ่ายบนบัตรประชาชน อ่านเพิ่มเติม
IAL คืออะไร?
IAL หรือ Identity Assurance Level คือระดับในการพิสูจน์ตัวตน (identity proofing) สำหรับผู้สมัครใช้บริการ เพื่อเป็นการยืนยันตัวตน (identity provider: IdP) ของบุคคลผู้นั้น ซึ่งประโยขน์ของ IAL คือการลดความเสี่ยงในการปลอมแปลงตัวตน และเพิ่มความแม่นยำถูกต้องในการรวบรวมข้อมูลในการทำธุรกรรมออนไลน์ทางอิเล็กทรอนิกส์ โดยขั้นตอนในการพิสูจน์ตัวตน จะประกอบไปด้วย 3 ขั้นตอนหลักๆ ดังนี้
- การรวบรวมข้อมูลเกี่ยวกับอัตลักษณ์ เป็นการรวบรวมข้อมูลที่เกี่ยวข้องกับอัตลักษณ์ โดย IdP จะทำหน้าที่รวบรวมข้อมูลทั้งหมดที่เกี่ยวข้องกับอัตลักษณ์ จากหลักฐานการแสดงตน เพื่อแยกแยะ และระบุว่าอัตลักษณ์ดังกล่าวมีเพียงอันเดียว และมีความเฉพาะเจาะจงในบริบทของบริการธุรกรรม
- การตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ เป็นกระบวนการที่ IdP จะตรวจสอบความถูกต้อง และความเป็นปัจุบันข้อมูลต่างๆ ของอัตลักษณ์ เพื่อพิสูจน์ว่าข้อมูลของบุคคลดังกล่าวนั้นมีตัวตนอยู่จริง
- ตรวจสอบความเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์ เป็นกระบวนการที่ IdP จะตรวจสอบความเชื่อมโยงระหว่างบุคคลที่ทำการพิสูจน์ตัวตน กับข้อมูลของอัตลักษณ์ที่อ้างอิง เพื่อเป็นข้อพิสูจน์ว่าอัตลักษณ์ดังกล่าวเป็นของบุคคลที่ดำเนินการพิสูจน์ตัวตน
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน จะมีการแบ่งออกเป็นทั้งหมด 3 ระดับ ซึ่งจะมีความเข้มงวดในการพิสูจน์ที่แตกต่างกันไป ดังนี้
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL1
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL1 เป็นการรวบรวมข้อมูลเกี่ยวกับอัตลักษณ์เพื่อระบุตัวตน เพื่อยืนยันตัวตน (Self-asserted) โดยเฉพาะ เพื่อแยกแยะว่าอัตลักษณ์ว่ามีความเฉพาะเจาะจงเพียงอันเดียว แต่ IdP จะไม่จำเป็นต้องตรวจสอบข้อมูลของอัตลักษณ์ และไม่จำเป็นต้องตรวจสอบความเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์
ดังนั้น ระดับการพิสูจน์ตัวตน IAL1 จึงเหมาะกับบริการที่มีความเสี่ยงต่ำ ที่เน้นการให้บริการที่รวดเร็ว เช่น การรวบรวมข้อมูลของลูกค้าเพื่อทำการการตลาดในรูปแบบต่างๆ หรือการสร้างบัญชี Facebook, Instagram เป็นต้น
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL2
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL2 เป็นระดับในการพิสูจน์ตัวตนที่มีการขอหลักฐานการแสดงตน เพื่อทำการตรวจสอบข้อมูลของอัตลักษณ์ว่ามีตัวตนอยู่จริงๆ พร้อมทั้งตรวจสอบความเชื่อมโยงระหว่างบุคคลที่ทำการพิสูจน์ตัวตน และข้อมูลเกี่ยวกับอัตลักษณ์ โดยระดับ IAL2 สามารถทำได้แบบทั้ง พบเห็นต่อหน้า (face-to-face) หรือแบบไม่พบเห็นต่อหน้า (non face-to-face) เช่น การพิสูจน์ตัวตนผ่านแอปพลิเคชันของ IdP โดย IAL2 จะเหมาะกับธุรกิจที่มีความเสี่ยงต่ำ ถึงปานกลาง เช่น สถาบันการเงิน หรือธนาคาร ที่ต้องใช้เอกสารในการแสดงตนของลูกค้าที่ใช้บริการ เป็นต้น
โดยระดับ IAL2 จะสามารถแบ่งออกเป็น 3 ระดับย่อย ที่มีความเข้มงวดในการพิสูจน์ต่างกัน ดังนี้
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL2.1
กรณีใช้บัตรประชาชน ในการแสดงตน
- ตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์โดยใช้เครื่องอ่านบัตรประชาชน เพื่อเปรียบเทียบข้อมูลอัตลักษณ์กับข้อมูลบนชิปของบัตรประชาชน
- กรณีไม่ใช้เครื่องอ่านบัตรประชาชน IdP จะทำการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ โดยใช้ข้อมูลจากผลการยืนยันตัวตน IdP ที่เคยทำการพิสูจน์ตัวตนมาก่อนในระดับ IAL2.3 ขึ้นไป
- IdP ควรตรวจสอบช่องทางการติดต่อของบุคคลที่สมัครใช้บริการ เช่น การติดต่อด้วยรหัสผ่านที่ใช้ครั้งเดียว (OTP) ที่ส่งให้ทาง SMS หรืออีเมล
กรณีใช้หนังสือเดินทางในการแสดงตน
- IdP จะทำการตรวจสอบอัตลักษณ์ ด้วยการใช้เทคโนโลยีสื่อสารแบบไร้สายระยะใกล้ (near field communication: NFC) เพื่อเปรียบเทียบข้อมูลอัตลักษณ์ กับข้อมูลบนชิปของหนังสือเดินทาง
- IdP ตรวจสอบช่องทางการติดต่อของบุคคลที่สมัครใช้บริการ เช่น การติดต่อด้วยรหัสผ่านที่ใช้ครั้งเดียว (OTP) ที่ส่งให้ทาง SMS หรืออีเมล
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL2.2
กรณีใช้บัตรประชาชนในการแสดงตน
- ตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์โดยใช้เครื่องอ่านบัตรประชาชน เพื่อเปรียบเทียบข้อมูลอัตลักษณ์กับข้อมูลบนชิปของบัตรประชาชน
- กรณีไม่ใช้เครื่องอ่านบัตรประชาชน IdP จะทำการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ โดยใช้ข้อมูลจากผลการยืนยันตัวตน IdP ที่เคยทำการพิสูจน์ตัวตนมาก่อนในระดับ IAL2.3 ขึ้นไป
- IdP จะตรวจสอบสถานะของบัตรประชาชน ด้วยระบบตรวจสอบโดยหน่วยงานรัฐ ด้วยการใช้หมายเลขชิป (chip number) กรณีที่มีเครื่องอ่านบัตรประชาชน หรือใช้หมายเลขหลังบัตรประชาชน (laser code) ในกรณีที่ไม่มีเครื่องอ่านบัตรประชาชน
- IdP ตรวจสอบช่องทางการติดต่อของบุคคลที่สมัครใช้บริการ เช่น การติดต่อด้วยรหัสผ่านที่ใช้ครั้งเดียว (OTP) ที่ส่งให้ทาง SMS หรืออีเมล
กรณีใช้หนังสือเดินทางในการแสดงตน
- IdP จะทำการตรวจสอบอัตลักษณ์ ด้วยการใช้เทคโนโลยีสื่อสารแบบไร้สายระยะใกล้ (near field communication: NFC) เพื่อเปรียบเทียบข้อมูลอัตลักษณ์ กับข้อมูลบนชิปของหนังสือเดินทาง
- IdP ตรวจสอบสถานะของหนังสือเดินทางจากแหล่งข้อมูลที่เชื่อถือได้ หรือตรวจสอบเอกสารสำคัญประจำตัวอื่นๆ ที่ออกโดยหน่วยงานของรัฐที่เจ้าของสัญชาติออกให้ เช่น ใบอนุญาต ใบขับขี่ เป็นต้น หรือตรวจสถานะของบัตรประชาชน ด้วยระบบตรวจสอบของหน่วยงานรัฐ โดยใช้หมายเลขหลังบัตรประชาชน (laser Code)
- IdP ควรตรวจสอบช่องทางการติดต่อของบุคคลที่สมัครใช้บริการ เช่น การติดต่อด้วยรหัสผ่านที่ใช้ครั้งเดียว (OTP) ที่ส่งให้ทาง SMS หรืออีเมล
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL2.3
กรณีใช้บัตรประชาชนในการแสดงตน
- ตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์โดยใช้เครื่องอ่านบัตรประชาชน เพื่อเปรียบเทียบข้อมูลอัตลักษณ์กับข้อมูลบนชิปของบัตรประชาชน
- กรณีไม่ใช้เครื่องอ่านบัตรประชาชน IdP จะทำการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ของบัตรด้วยระบบการตรวจสอบของหน่วยงานรัฐ ด้วยการใช้หมายเลขหลังบัตรประชาชน โดย IdP จะเปรียบเทียบข้อมูลในรูปแบบชีวมิติ (biometric comparison) หรือการจำแนกอัตลักษณ์ของบุคคล ด้วยการยืนยันตัวตนด้วยใบหน้าทางดิจิทัล (face verification service)
- IdP ตรวจสอบช่องทางการติดต่อของบุคคลที่สมัครใช้บริการ เช่น การติดต่อด้วยรหัสผ่านที่ใช้ครั้งเดียว (OTP) ที่ส่งให้ทาง SMS หรืออีเมล
กรณีใช้หนังสือเดินทางในการแสดงตน ใช้ข้อกำหนดเดียวกับ IAL2.2**
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL3
ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน IAL3 เป็นระดับในการพิสูจน์ตัวตนที่มีความเข้มงวด และมีความน่าเชื่อถือสูงที่สุด โดยจะเพิ่มข้อกำหนดจากระดับ IAL2 ด้วยการตรวจสอบการมีตัวตนอยู่จริงของอัตลักษณ์ โดยอิงจากแหล่งข้อมูลของหน่วยงานรัฐ และความเชื่อมโยงของบุคคลที่พิสูจน์ตัวตน และข้อมูลเกี่ยวกับชีวมิติ (biometric comparison) หรือการจำแนกอัตลักษณ์ของบุคคล เพื่อป้องการปลอมแปลงตัวตน หรือการลงทะเบียนซ้ำ ซึ่งการพิสูจน์ตัวตนระดับ IAL3 จะต้องทำเฉพาะแบบต่อหน้า (face-to-face) หรือการพูดคุยต่อหน้าอย่างการ VDO Call เท่านั้น
ดังนั้น IAL3 จึงเหมาะกับการบริการที่มีความเสี่ยงสูง เช่น ธนาคาร ที่ต้องทำธุรกรรมในการขอสินเชื่อต่างๆ, การทำประกันภัย หรือ การทำ E-Wallet ที่บุคคลสามารถทำได้เพียง 1 บัญชีเท่านั้น
ขอบคุณภาพประกอบจาก www.etda.or.th
การพิสูจน์ตัวตนมีบทบาทสำคัญอย่างยิ่งต่อการทำธุรกรรมต่างๆ ผ่านกระบวนการยืนยันตัวตนดิจิทัล (E-KYC) ในป้จจุบัน เพราะจะเป็นกระบวนการที่ช่วยคัดกรอง และป้องกันความเสี่ยง ที่จะถูกจารกรรม หรือการปลอมแปลงตัวตนเพื่อแสวงหาผลประโยชน์ที่ผิดกฎหมายได้ ซึ่งระดับในการพิสูจน์ตัวตน หรือ IAL ทั้ง 3 ระดับ ก็จะมีความเหมาะสมต่อการธุรกรรมที่มีความเสี่ยงมากน้อยที่แตกต่างกันไป