ทบทวนการจัดการทำลายข้อมูลและอุปกรณ์อิเล็กทรอนิกส์ (ITAD): ความยุ่งยากที่ควรหลีกเลี่ยง

บางที ธุรกิจของคุณได้จัดซื้อโทรศัพท์หรือแล็ปท็อปใช้แล้วมาเพียงเพื่อพบว่าพวกมันเต็มไปด้วยข้อมูลส่วนบุคคลของผู้ใช้คนก่อนหน้า

หรือคุณอาจได้อ่านเกี่ยวกับธุรกิจยักษ์ใหญ่ระดับโลกที่ถูกปรับเป็นเงินหลายล้าน จากการจัดการกำจัดทรัพย์สินไอทีของพวกเขาผิดวิธี

หรือคุณอาจเคยเห็นรายงานข่าวเกี่ยวกับการฝังกลบขยะในประเทศพัฒนาแล้วที่มีขยะอิเล็กทรอนิกส์ถูกทิ้งไว้กองโต ส่งผลให้เกิดความกังวลไปทั่วทั้งภูมิภาค และยังทำให้ตกเป็นเป้าของกลุ่มอาชญากรไซเบอร์ที่รู้ว่ายังมีข้อมูลอันมีค่าเหลืออยู่ในขยะเหล่านั้น รอให้พวกเขาหยิบไปใช้อย่างง่ายดาย

ในขณะที่การรับเอาทรัพย์สินไอทีมาใช้นั้นคือข้อมุ่งเน้นหลักในกลยุทธ์ของธุรกิจที่อาศัยเทคโนโลยี สิ่งที่เกิดขึ้นเมื่อทรัพย์สินไอทีเหล่านั้นสิ้นอายุแต่ยังคงมีข้อมูลเกี่ยวกับธุรกิจและลูกค้า มักถูกมองว่าเป็นสิ่งที่คิดกันในภายหลังได้

การทบทวน IT Asset Disposition (ITAD) และทำให้มันเป็นเรื่องสำคัญนั้นสำคัญอย่างยิ่ง ในขณะที่วงจรผลิตภัณฑ์นั้นสั้นลง เทคโนโลยีพัฒนาด้วยความเร็วที่มากขึ้น และบริษัทที่หันมาใช้บริการคลาวด์ก็มีจำนวนมากขึ้น คุณจึงต้องรับมือกับปริมาณทรัพย์สินไอทีสิ้นอายุที่เพิ่มขึ้น และการเลือกสิ่งที่ถูกต้องสำหรับกลยุทธ์ ITAD ของคุณจะช่วยจำกัดความเสี่ยงทางธุรกิจและช่วยปกป้องสิ่งแวดล้อม

ขยะอิเล็กทรอนิกส์ – กระแสขยะที่เพิ่มปริมาณเร็วที่สุด

ในระดับโลก เราต่างสร้างขยะอิเล็กทรอนิกส์ราว 53 ล้านตันในแต่ละปี ซึ่งเป็นปริมาณที่คาดว่าจะเพิ่มเป็นสองเท่าภายในปี 2050 ตามข้อมูลของสหประชาชาติ นั่นทำให้ขยะอิเล็กทรอนิกส์เป็นกระแสขยะที่เพิ่มเร็วที่สุดในโลก ทั้งนี้ ไม่ใช่เพียงการใช้พลังงาน แต่ฮาร์ดแวร์ของไอทียังกลายเป็นส่วนสำคัญของรอยเท้าทางสิ่งแวดล้อมของเราในปัจจุบัน และสิ่งที่เป็นพิษอย่างโลหะหนัก (ปรอท ตะกั่ว แคดเมียมและอื่นๆ) อาจรั่วไหลออกจากอุปกรณ์และไปสู่ระบบนิเวศ ส่งผลให้เกิดประเด็นปัญหาอื่นๆ อีกมากมาย ดังนั้น จึงไม่ต้องแปลกใจเลยที่หลายประเทศต่างปฏิเสธการรับขยะอิเล็กทรอนิกส์กันมากขึ้น ซึ่งประเทศไทยก็เป็นประเทศล่าสุดที่แสดงท่าทีเมื่อเดือนกันยายน 2020

ความปลอดภัยและความท้าทายทางกฎหมาย

ขยะอิเล็กทรอนิกส์ก่อให้เกิดปัญหาด้านความปลอดภัยและประเด็นทางกฎหมาย มีรัฐถึง 25 รัฐในดิสทริก ออฟ โคลัมเบียที่นำกฎหมายที่กำหนดให้มีการรีไซเคิลอุปกรณ์อิเล็กทรอนิกส์มาใช้ และได้กำหนดพิกัดค่าปรับในกรณีพบการจัดการที่ผิดวิธี รัฐออนแทรีโอ ในประเทศแคนาดา ได้ริเริ่มบังคับใช้ข้อกำหนดด้านขยะอิเล็กทรอนิกส์ โดยมีเป้าหมายเพื่อบรรลุอัตราการรีไซเคิลที่ 70% ตลอดจนมีกฎหมายและข้อบังคับด้านความเป็นส่วนตัวและการปกป้องข้อมูลต่างๆ ที่เข้าถึงการกำจัดทรัพย์สินไอทีอย่างกว้างขวาง ซึ่งรวมถึงกฎหมายระดับนานาชาติ ยกตัวอย่าง บริษัทต่างๆ ที่อยู่ภายใต้ข้อกำหนด General Data Protection Regulation (GDPR) ต่างถูกปรับเป็นเงินจำนวนมากสำหรับการไม่ปฏิบัติตามข้อกำหนด ซึ่งอาจมากถึง 20 ล้านยูโร หรือ 4% ของรายได้ต่อปีในระดับโลก โดยขึ้นอยู่กับความรุนแรงและผลกระทบของการละเมิด

ITAD ทั่วไปและความผิดพลาด

ขั้นตอนที่ชัดเจนสำหรับ ITAD ที่ปลอดภัยและรัดกุมนั้นสำคัญอย่างยิ่ง แต่การทำผิดพลาดนั้นกลับเกิดขึ้นได้ง่ายดายเช่นกัน ต่อไปนี้คือตัวอย่างของข้อผิดพลาดทั่วไปที่ควรหลีกเลี่ยง

การทำอย่างง่ายเกินไป

มีธุรกิจมากมายที่มองว่าการกำจัดฮาร์ดแวร์ล้าสมัยนั้นไม่ต้องใช้ความพยายามใดมาก เพียงล้างข้อมูลออกจากอุปกรณ์แล้วขนไปทิ้ง โชคไม่ดีที่มันไม่ง่ายอย่างนั้น ความซับซ้อนของการล้างข้อมูล การทำลาย และการล้างเทปแม่เหล็ก ต้องอาศัยกระบวนการที่พิสูจน์ได้และประสิทธิภาพในทางปฏิบัติการ เพียงการลบ การฟอร์แมต หรือล้างค่าทิ้ง จึงอาจไม่สามารถลบข้อมูลออกได้จริง หากข้อมูลไม่ได้มีการลบอย่างเหมาะสม หรือสื่อไม่ถูกทำลายอย่างเหมาะสม ความเสี่ยงด้านการละเมิดข้อมูลก็จะเกิดขึ้น

ปล่อยให้ ITAD เป็นงานของฝ่ายไอที

ในขณะที่การมอบหมายความรับผิดชอบด้าน ITAD ให้แก่พนักงานอาจดูเป็นสิ่งที่สมเหตุสมผล แต่หากทำโดยขาดสัญชาตญาณ มันก็อาจไม่ได้ผลอย่างแม้จริง ขั้นตอนการกำจัดอุปกรณ์ไอทีอย่างปลอดภัยและรัดกุมนั้นมีแง่มุมทางเทคนิค กฎหมาย โลจิสติกส์และธุรการ ซึ่งฝ่ายไอทีของคุณอาจมีหรือไม่มีชุดทักษะจำเป็นที่เกี่ยวข้อง ซึ่งรวมถึง

• การประสานงานกับบุคคลและฝ่ายงานที่ต้องอาศัยข้อมูลนั้นๆ รวมถึงอุปกรณ์ที่สิ้นอายุ
• การนำขั้นตอนเฉพาะเพื่อการลบข้อมูลใดๆ ที่เหลืออยู่โดยสมบูรณ์ไปใช้งาน
• การประเมินว่าห่วงโซ่แห่งความคุ้มครองมีการบันทึกอย่างถูกต้อง (การติดตามว่าบุคคลใดได้เข้าถึงอุปกรณ์และได้เข้าถึงเมื่อใด)
• การวิเคราะห์หลักฐานรับรองความปลอดภัยทางสิ่งแวดล้อมและข้อมูลของผู้ให้บริการบุคคลที่สาม

ดังนั้น จึงชัดเจนว่าฝ่ายไอทีนั้นมีบทบาท และเช่นเดียวกันกับเจ้าหน้าที่ธุรการ ฝ่ายงานต่างๆ และฝ่ายบริหารอาวุโส

การประเมินหน้าที่ทางกฎหมายของคุณไว้ต่ำเกินไป

ในขณะที่ปริมาณขยะอิเล็กทรอนิกส์เพิ่มขึ้น กฎหมายและข้อบังคับที่ใช้ควบคุมก็เช่นกัน ตลอดจนค่าปรับในการไม่ปฏิบัติตามข้อกำหนด เมื่อเร็วๆ นี้ ผู้ให้บริการด้านการเงินรายหนึ่งถูกปรับเป็นเงิน 60 ล้านเหรียญจากการจัดการปลดระวางศูนย์ข้อมูลสองแห่งอย่างผิดวิธี ซึ่งแตกต่างจากรายอื่นที่ยอมรับค่าใช้จ่ายในการจัดการอย่างถูกต้องตั้งแต่แรก

และมันไม่ได้มีเพียงกฎหมายและข้อกำหนดที่ควบคุมขยะอิเล็กทรอนิกส์โดยเฉพาะที่คุณต้องคำนึง ดังที่ได้ระบุไว้ข้างต้น ขยะอิเล็กทรอนิกส์อยู่ภายในขอบเขตของข้อกำหนด GDPR ตลอดจนมาตรฐานอุตสาหกรรม เช่น PCI-DSS และกฎหมายด้านความเป็นส่วนตัวประจำรัฐ เช่น California Consumer Privacy Act (CCPA) และข้อบังคับอื่นที่กว้างขึ้น เช่น HIPAA, the MEGABYTE Act และ Sarbanes-Oxley (SOX)

การพึ่งพาบริการฟรี

หลายๆ บริษัทที่ให้บริการ ITAD ฟรี หรือในราคาที่ต่ำมากนั้นมักอ้างว่าพวกเขาได้ครอบคลุมต้นทุนต่างๆ ไว้ในการนำอุปกรณ์ของคุณออกจำหน่าย ซึ่งก็เช่นเดียวกับทุกสิ่งคือ คุณย่อมได้รับในสิ่งที่คุณจ่าย การพึ่งพาผู้ให้บริการ ITAD แบบฟรีหรือมีค่าใช้จ่ายต่ำมากก็ไม่อาจเป็นข้อยกเว้น และมักส่งผลให้ผู้ให้บริการต้องทำสิ่งต่อไปนี้อย่างไม่อาจหลีกเลี่ยงได้

• เก็บรายได้ส่วนใหญ่ที่ได้จากการรีไซเคิลอุปกรณ์ของคุณไว้เอง จึงถือว่าบริการไม่ใช่ของฟรีโดยสิ้นเชิง
• ตระหนี่ในบางสิ่ง เช่น ห่วงโซ่แห่งความคุ้มครองที่ปลอดภัย หรือยืนยันความถูกต้องโดยสมบูรณ์ว่าข้อมูลในอุปกรณ์ทุกชิ้นได้ถูกทำลายเรียบร้อยแล้ว กำจัดอุปกรณ์ของคุณด้วยวิธีที่มีความรับผิดชอบต่อสิ่งแวดล้อม (เช่น ส่งออกไปนอกประเทศ หรือทิ้งลงในที่ฝังกลบภายในประเทศ)

โดยสรุป คุณอาจประหยัดเงินได้ในระยะสั้น แต่คุณอาจทำให้ธุรกิจของคุณต้องเสี่ยง ทั้งยังมีส่วนในการส่งผลกระทบด้านลบอย่างยิ่งต่อสิ่งแวดล้อม ซึ่งการรีไซเคิลมุ่งหวังที่จะหลีกเลี่ยง

ละเลยห่วงโซ่แห่งความคุ้มครอง

โดยธรรมชาติ คุณอาจไม่ได้เชื่อมโยงแนวคิดทางกฎหมาย เช่น ห่วงโซ่แห่งความคุ้มครอง เข้ากับ ITAD แต่ที่จริงแล้ว มันคือกุญแจสู่การปฏิบัติอย่างถูกต้อง ไม่ว่าคุณจะบรรลุผลด้าน ITAD ด้วยตัวเองหรือโดยการพึ่งพาบุคคลที่สาม คุณต้องมีบันทึกอันครบถ้วนที่ระบุว่าทรัพย์สินไอทีของคุณถูกส่งไปยังที่ใดและถึงใคร เพื่อยืนยันว่าขั้นตอน ITAD ของคุณนั้นมีความรับผิดชอบและตรงตามข้อกำหนด ทั้งทางด้านสิ่งแวดล้อมและจากมุมมองของความปลอดภัยทางข้อมูล นอกจากนี้ แนวทางปฏิบัติด้านห่วงโซ่แห่งความคุ้มครองยังมีประโยชน์เพิ่มเติมอีกประการในการป้องกันการโจรกรรม เนื่องจากการโจรกรรมอุปกรณ์ในขั้นตอน ITAD อาจกลายเป็นปัญหาร้ายแรง ยิ่งสิ่งของมีขนาดเล็กและมีมูลค่าสูง มันก็ยิ่งสูญหายได้มากขึ้น และหัวขโมยก็มักจะไม่พยายามขโมยทรัพย์สินที่พวกเขารู้ว่ามีการติดตาม

สิ่งเหล่านี้คือหลุมพรางที่อาจกระตุ้นให้เกิดความผิดพลาดแม้ในองค์กรที่มีเจตนาดี แต่หลุมพรางที่ใหญ่ที่สุดกลับเป็นการทำให้การกำจัดทรัพย์สินไอทีเป็นแนวคิดที่เกิดขึ้นภายหลัง

ดังนั้น จึงควรมองว่ามันเป็นส่วนสำคัญในวงจรที่ดำเนินไปอย่างต่อเนื่องของคุณในการบริหารข้อมูล ซึ่งสำคัญต่อการปกป้องข้อมูลที่อ่อนไหวของคุณ ตลอดจนสิ่งแวดล้อม

บรูคส์ ฮอฟฟ์มัน เป็นหนึ่งในสมาชิกทีมบริหารผลิตภัณฑ์ งานบริการ Secure IT Asset Disposition (“SITAD”) ของ Iron Mountain ก่อนร่วมงานกับ Iron Mountain เขาเคยเป็นผู้ร่วมก่อตั้งและ CFO ของ LifeSpan บริษัทกำจัดทรัพย์สินไอทีที่มีสำนักงานใหญ่ในเมืองเดนเวอร์ โคโลราโด