NDID

มหาวิทยาลัยเชียงใหม่เปิดลงทะเบียนนักศึกษาใหม่ ทำให้กระบวนการลงทะเบียนนักศึกษาใหม่ในปีนี้สามารถทำผ่านระบบออนไลน์ได้ทั้งหมด ตั้งแต่การสร้างบัญชีผู้ใช้, การกรอกประวัติและส่งเอกสาร โดยไม่ต้องเดินทางไปลงทะเบียนที่จุดให้บริการของมหาวิทยาลัยเหมือนเดิม และการยืนยันตัวตนผ่าน NDID เช่นนี้ทำให้นักศึกษาสามารถยืนยันตัวตนได้หากเคยยืนยันตัวตนบนแอปพลิเคชั่นธนาคารใดก็ได้ใน 10 ธนาคารที่ให้บริการยืนยันตัวตนผ่าน NDID

หลังจากเกิดการระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 ไปทั่วโลก ในฝั่งการให้บริการ เริ่มมีการปรับตัวไปให้บริการในลักษณะออนไลน์มากขึ้น แต่ความท้าทายของการให้บริการออนไลน์คือการตรวจสอบตัวตน (Identity) ของผู้รับบริการ ซึ่งมักจะเรียกกันว่าการทำการรู้จักลูกค้า หรือ KYC (Know Your Customer) จากเดิมที่การตรวจสอบตัวตนอาจจะใช้การยืนยันตัวตนแบบพบเห็นหน้า (Face-to-Face) มาเป็นการทำการรู้จักลูกค้าแบบอิเล็กทรอนิกส์ (eKYC)

แต่อย่างไรก็ตาม ผู้ที่ทำการรู้จักลูกค้าแบบอิเล็กทรอนิกส์ก็ต้องมีความมั่นใจว่าผู้ที่มารับบริการ เป็นบุคคลนั้นจริง ๆ โดยจากประกาศของธนาคารแห่งประเทศไทย (อ้างอิง 1,2) ระบุว่าผู้ให้บริการทางการเงิน ที่ต้องการพิสูจน์ตัวตนแบบไม่พบเห็นหน้า (Non Face-To-Face) จะต้องมีวิธีการตรวจสอบที่ใช้มาตรฐานสากลหรือมาตรฐานที่ยอมรับโดยทั่วไปในการตรวจสอบใบหน้าของลูกค้าเทียบกับข้อมูลชีวมิติจากบัตรประจำตัวประชาชน เพื่อพิสูจน์ว่าเป็นลูกค้ารายนั้นจริง แทนการพบเห็นหน้า

โดยธนาคารแห่งประเทศไทยได้กำหนดให้ธุรกรรมที่มีความเสี่ยงสูงเช่นการจ่ายเงินหรือการโอนเงิน ภายใน/ระหว่างประเทศ จะต้องมีการยืนยันตัวตนที่ใช้การตรวจสอบบัตรประจำตัวประชาชน เช่นการเสียบบัตรกับเครื่องอ่านร่วมกับการตรวจสอบสถานะบัตร และ การตรวจสอบใบหน้าเทียบกับข้อมูลชีวมิติจากบัตรประจำตัวประชาชน ซึ่งเป็นการตรวจสอบตามระดับมาตรฐาน IAL2.3 ตามข้อกำหนดการพิสูจน์ตัวตนทางดิจิทัล ซึ่งเสนอโดยสำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์

ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน (Identity Assurance Level : IAL) เป็นระดับความเข้มงวดในกระบวนการพิสูจน์ตัวตนของบุคคล ซึ่งจะมีตั้งแต่ระดับ IAL1 (ความน่าเชื่อถือต่ำสุด) จนถึง IAL3 (ความน่าเชื่อถือสูงสุด) โดยในแต่ละระดับก็จะมีข้อกำหนดพื้นฐานที่ผู้ให้บริการต้องปฏิบัติ ตามรูปด้านล่าง


ภาพจาก [ETDA](https://standard.etda.or.th/wp-content/uploads/2021/10/Digital-ID-Infographic-IAL_V1.pdf)

ตัวอย่างเช่น IAL2.3 ซึ่งเป็นระดับต่ำสุดที่กำหนดโดยธนาคารแห่งประเทศไทยสำหรับผู้ให้บริการทางการเงิน จะต้องมีกระบวนการที่สอดคล้องกับข้อกำหนดทั้งในขั้นตอนการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ และ การตรวจสอบความเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์

โดยสำหรับการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ คือการตรวจสอบว่าบุคคลนั้นมีตัวตนอยู่จริงหรือไม่โดยการให้บุคคลนั้นนำเอาบัตรประจำตัวประชาชน หรือ เอกสารประจำตัวอื่นที่ออกโดยรัฐมาเสียบกับเครื่องอ่าน แล้วทำการตรวจสอบว่าบัตรประจำตัวประชาชนนั้นยังมีสถานะอยู่หรือไม่ ซึ่งเมื่อตรวจสอบแล้ว ก็จะทำการบันทึกอัตลักษณ์ของบุคคลนั้น เช่น ภาพถ่าย เข้าไปในระบบ โดยกระบวนการนี้จะทำโดยผู้พิสูจน์และยืนยันตัวตน (Identity Provider : IdP) แล้วเมื่อบุคคลนั้นต้องการยืนยันตัวตนผ่านทางการตรวจสอบเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์เมื่อต้องการเข้าใช้บริการใดจากผู้ให้บริการ หรือเรียกว่า ผู้อาศัยการยืนยันตัวตน (Relying Party : RP) ก็อาจจะทำการพิสูจน์ตัวตนแบบพบเห็นหน้าโดยการตรวจสอบใบหน้าเทียบกับรูปถ่ายในบัตร หรือ การทำการพิสูจน์ตัวตนแบบไม่พบเห็นหน้า โดยการใช้สิ่งยืนยันตนที่ได้จาก IdP ร่วมกับการตรวจสอบชีวมิติ เป็นต้น

สำหรับในระบบ NDID นั้น ผู้พิสูจน์และยืนยันตัวตนในปัจจุบัน ก็ประกอบไปด้วยธนาคารที่เข้าร่วมกับโครงการ Regulatory Sandbox ของธนาคารแห่งประเทศไทย รวมถึงบริษัทที่ไม่เช่นธนาคาร เช่น AIS ก็ร่วมเป็นผู้พิสูจน์และยืนยันตัวตน

โดยผู้ใช้ที่ต้องการลงทะเบียน จะต้องไปทำการเสียบบัตรประจำตัวประชาชนที่ธนาคาร ซึ่งมักจะทำอยู่แล้วในตอนที่ไปเปิดบัญชีธนาคาร แล้วธนาคารก็จะทำการบันทึกตัวตนของผู้ใช้ไว้ในระบบ และเมื่อผู้ใช้ต้องการยืนยันตัวตนกับผู้ให้บริการรายใด ก็จะสามารถแจ้งให้กับผู้ให้บริการว่า ต้องการยืนยันตัวตนโดยธนาคารใด ซึ่งผู้ให้บริการก็จะทำการร้องขอการยืนยันตัวไปยังธนาคาร แล้วธนาคารก็จะแจ้งไปยังผู้ใช้ว่ามีคำร้องขอยืนยันตัวตนเข้ามาในโมบายแอพพลิเคชันของธนาคาร โดยผู้ใช้สามารถทำการอนุญาต และ ยืนยันตัวตนโดยการใช้กล้องถ่ายรูปของโทรศัพท์มือถือในการยืนยันตัวตนได้เลย ซึ่งเมื่อทำการยืนยันตัวตนแล้ว ธนาคารก็จะส่งข้อมูลการยืนยันตัวตนมาให้ผู้ให้บริการเพื่อเป็นการยืนยันว่าผู้ใช้ที่มาขอรับบริการ เป็นบุคคลนั้นจริง

สำหรับการรายงานตัวขึ้นทะเบียนเป็นนักศึกษาของมหาวิทยาลัยเชียงใหม่นั้น ได้ดำเนินการไปจนถึงระดับ IAL2.3 ตามแนวทางที่กำหนดโดยธนาคารแห่งประเทศไทย และมีการสอบทานข้อมูลของนักศึกษากับฐานข้อมูลทะเบียนราษฏร์ของกรมการปกครอง เพื่อให้มั่นใจว่า ข้อมูลของนักศึกษานั้นตรงกับข้อมูลของภาครัฐจริง ๆ

โดยการดำเนินการทั้งหมด ได้มีการตรวจสอบจากบริษัทภายนอกในการทำ Penetration Test ตามมาตรฐานที่กำหนดโดย NDID เพื่อให้มั่นใจว่าจะไม่มีช่องโหว่ให้สามารถปลอมแปลงอัตลักษณ์ส่วนบุคคลได้ และมีการออกแบบระบบคำนึงถึงการปกป้องข้อมูลส่วนบุคคลตั้งแต่แรก เช่น ไม่มีข้อมูลส่วนตัวของนักศึกษาส่งผ่านไปยังธนาคารผู้ยืนยันตัวบุคคล เป็นต้น ยิ่งไปกว่านั้นนักศึกษาที่ลงทะเบียนเข้าใช้ระบบ NDID แล้ว สามารถใช้การยืนยันตัวบุคคลในบริการอื่น ๆ เช่น การเปิดบัญชีธนาคารอื่น ๆ โดยไม่จำเป็นต้องเดินทางไปยังธนาคารนั้นได้อีกด้วย

การยืนยันตัวบุคคลโดยระบบ NDID จะเป็นแนวทางที่สำคัญของประเทศไทยในการยกระดับความน่าเชื่อถือในการยืนยันตัวบุคคลในการให้บริการแบบออนไลน์ และสอดคล้องกับการปกป้องข้อมูลส่วนบุคคล และในอนาคต คาดว่าน่าจะมีบริการอื่น ๆ ที่เข้าร่วมกับ NDID ซึ่งจะทำให้ผู้ใช้บริการมีความสะดวกมากยิ่งขึ้นอีกต่อไป

ที่มา:
เฟซบุ๊ครับเข้าศึกษาปริญญาตรี มช., NDID

ข้อมูลเปิดเผย: ผู้เขียนข่าวเป็นพนักงานมหาวิทยาลัยเชียงใหม่

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

อ่านแล้วยังงงๆ ว่า มช. เอา NDID ไปใช้กับกระบวนการไหนหว่า? คือตอนยื่นสมัครเรียนก็ได้ access เข้าระบบของนักศึกษาโดยไม่ต้องไปทำที่สำนักทะเบียน ม. งี้รึเปล่า?

ผมก็งงนะ แต่ไม่รู้เพราะว่าไม่เข้าใจหลักการ NDID เลยงงรึเปล่า
ถ้าจากข่าวที่งงคือ ใช้ NDID แล้วยังไงต่อ ทำให้ไม่ต้องกรอกฟอร์มหรอหรือต่างจากกรอกฟอร์ม online ยังไง
และทำไมต้องยืนยันตัวตนด้วยนะ แปลว่าหลังจากนี้ไม่ต้องใช้รหัสผ่านในบริการของมหาลัยแล้วรึเปล่า

สรุปเป็นคำถามแบบกำปั้นทุบดินคือ อือ ใช้ NDID แล้วยังไงต่อนะ

ถ้าไม่ใช้ NDID จะทำการยืนยันระดับ IAL2.3 ได้ยากครับ
ถ้าไม่ใช้มันก็ทำ Process ยืนยันได้แต่จะไม่ได้ ผ่านมาตรฐาน IAL2.3

เดาว่าเค้าตั้ง baseline ไว้ว่าจะเอาระดับ IAL2.2 เพื่อสร้างความน่าเชื่อถือของการยืนยันตัวตน ซึ่งมันมีกระบวนการที่ต้องทำคือ พบเจอตัวจริง หรือเลือกไปผูกกับระบบ Identity Provider ที่ผ่าน IAL2.3 มาแล้ว ในที่นี้คือ NNID ของธนาคารครับ

เนื้อข่าวก็เขียน ชัดเจนนะครับ
การจะทำ การยืนยันตัวตนให้ผ่าน มาตรฐานระดับ IAL2.3 ทำได้ยากถ้าไม่ใช้NDID
ซึ่งถ้านักศึกษาคนไหนได้ทำ NDID มาก่อนแล้ว
ทางมหาวิทยาลัยเชียงใหม่ก็มี Process ให้เชื่อม NDID ซึ่งอำนวยความสะดวกกับคนที่มี NDID
ลดขั้นตอน การรายงานตัว
ส่วนเด็กที่ไม่มี NDID ก็ใช้ช่องทางปกติ

ถ้าลองอ่านคู่มือจากลิงค์ข่าว ในเอกสารแทบจะไม่พูดถึงกรณี NDID เลยนอกจากมีปุ่มให้กดน่ะครับ พ้นตรงนั้นไปก็มีแต่อธิบายเรื่องเอกสาร รูปถ่าย ฯลฯ ก็เลยไม่เข้าใจว่าถ้าเลือกจะทำ NDID แทนการทำตามกระบวนการปกติมันจะช่วยลดขั้นตอนอะไรไปได้บ้างน่ะครับ

หลักๆ คือไม่ต้องไปตรวจสอบอีกทีครับ ระบบอื่นๆ ต่อให้ออนไลน์ยังไงก็ต้อง "แสดงตัว" เพื่อยืนยันว่าเราเป็นคนที่อ้างจริงๆ (ระบบอัตโนมัติตรวจได้อย่างมากก็เช็คอีเมล เช็ตไม่ได้ว่าผมชื่อนี่ เลขบัตรประชาชนนี้)

อย่างที่หลายคนพูด คือบางระบบให้เรายืนยันตัวตนด้วยการถ่ายรูปบัตรประชาชน + ถ่ายหน้าตัวเอง แบบนั้นก็ใช้งานได้บางประเภท แต่มีความเสี่ยงโดนปลอมตัวแน่อยู่ เราก็ถือว่าใช้งานได้หากธุรกรรมมีความเสี่ยงต่ำ กรณีการรับนักศึกษาถือว่ามีความเสี่ยงสูงพอสมควร (ปลอมตัวเข้ามาเรียนแทนคนอื่น) พวกนี้ต้องตรวจสอบให้แน่ใจยิ่งขึ้นว่าคนที่อ้างนั้นเป็นตัวจริง

ใช้ NDID นี่คือมหาวิทยาลัยไปอิงกับการตรวจสอบของธนาคารเลย ว่าข้อมูลที่กรอกๆ มา ส่วนของชื่อ, เลขบัตรประชาชน (ผมไม่น่ใจว่ามีอย่างอื่นอะไรอีกบ้าง) ตรวจสอบแล้วว่าเป็นข้อมูลตรงตามเอกสารราชการ ความน่าเชื่อถือค่อนข้างสูง

เดาว่าเค้าตั้ง baseline ไว้ว่าจะเอาระดับ IAL2.2 เพื่อสร้างความน่าเชื่อถือของการยืนยันตัวตน ซึ่งมันมีกระบวนการที่ต้องทำคือ พบเจอตัวจริง หรือเลือกไปผูกกับระบบ Identity Provider ที่ผ่าน IAL2.3 มาแล้ว ในที่นี้คือ NNID ของธนาคารครับ

คิดว่าใช่ครับ พูดง่ายๆ คือยืมมือธนาคารรับรองตัวตนผู้สมัคร เพื่อยกระดับความน่าเชื่อถือ ก่อนที่จะนำไปดำเนินการทำธุรกรรมอื่นของมหาลัยต่อไป

คิดว่าใช้แทน ขั้นตอนที่ต้องส่งสำเนาบัตรประชาชนครับ
ผมเคยใช้ NDID สมัครบัญชีหุ้นแบบออนไลน์อยู่
ปกติต้อง scan ส่งสำเนาบัตรประชาชนไปด้วย
แต่ถ้าใช้ NDID ไม่ต้องส่งเอกสารราชการอะไรเลย
อารมณ์แบบ Single sign on

ส่งสำเนานี่ผลพลอยได้ครับ ประเด็นสำคัญคือ บัญชีออนไลน์เราจะรู้ได้ยังไงว่าเป็นคนในบัตรจริง

ถ้าบัญชีหุ้นแล้วเปิดบัญชีผ่านแอปธนาคาร อาจจะยังพอบอกได้ว่าเราไปยืนยันตัวตนกับธนาคารแล้ว

สุดท้ายมันต้องมี "แหล่งความน่าเชื่อถือ" อยู่ ซึ่งปกติจะเป็นการตรวจบัตรประชาชนว่าเป็นของจริง + มองหน้าของเราที่ไปแสดงตัวว่าเป็นตัวจริง

มันจะมี request resource access ให้เรา accept
push มาทาง app ของ provider (ของผมเป็น NDID ของกสิกร) ด้วยน่ะครับ
เราก็ใช้ biometric (ใบหน้า) ยืนยันอีกที
เหมือน Single sign on เป๊ะ เปลี่ยนจาก password เป็น biometric แทน
ผมคิดว่าจะเป็น provider ได้ก็ต้องมีน่าเชื่อถือระดับหนึ่ง (อย่างธนาคาร)
ซึ่งตรงนี้ provider ตรวจให้แล้วว่าเป็นของจริงครับ

ที่ผมไม่บอกตอนแรกนั้นเพราะ มันเป็น process ของ provider น่ะครับ

ถ้าใครอยากลองใช้ NDID ผมมีที่ให้ลองใช้เล่นอยู่
https://efiling.rd.go.th/rd-efiling-web/authen/MTA2

ไม่น่าจะเป็น SSO ครับ

กระบวนการนี้ มช. เป็น RP (Relying Party) เป็นผู้ร้องขอการใช้บริการ
ขอยืนยันการพิสูจน์ตัวตนไปที่ IdP (Identity Provider) กรณีนี้คือ 10 ธนาคาร เพื่อให้ช่วยยินยันว่า เลขบัตรประชาชนที่ RP ร้องขอไป มีตัวตนจริงๆ และเป็นผู้ที่ทำรายการเองใหม ทาง IdP ก็จะตรวจสอบว่าเป็นบุคคลนั้นจริง ๆ ผ่าน app ของธนาคารเองและ verify ให้ตาม IAL ที่ RP ร้องขอไป

หลังจากที่ IdP ยืนยันเรียบร้อย RP จะสามารถร้องขอข้อมูลของบุคคลนั้นๆ จาก AS (Authoritative Source) ทาง AS (อาจจะเป็นคนเดียวกับ IdP ได้) ก็จะส่งข้อมูลโดยตรงกลับไปให้ RP ครับ

ทั้งนี้ NDID platform จะไม่เห็นข้อมูลส่วนตัวใดๆ จะเห็นแค่ log การ request ต่างๆ และเก็บลง blockchain แค่นั้นครับ

กรณีนี้มช. ก็จะมั่นใจได้ว่า นศ ที่เข้าทำรายการ เป็นคนเดียวกับคนที่เข้าเรียนในมหาวิทยาลัยจริงๆ และสามารถทำกระบวนการต่อไป เช่น การออก account สำหรับมหาวิทยาลัย, การออก Virtual Card, การออก Didital Signature ให้กับนักศีกษาครับ