บทที่ 2 ธุรกิจออกใบรับรอง

บทที่ 2

ธุรกิจออกใบรับรอง

ในบทนี้ผู้วิจัยจะวิเคราะห์ถึงธุรกิจออกใบรับรองในด้านขอบเขตของสินค้าและบริการ โมเดลในการทำธุรกิจ โครงสร้างต้นทุน รายได้ บุคลากรและระดับการใช้เทคโนโลยีเพื่อเป็นข้อมูลพื้นฐานแก่ผู้สนใจ เนื่องจากธุรกิจดังกล่าวเป็นธุรกิจใหม่ ซึ่งยังไม่มีในประเทศไทย โดยจะใช้กรณีศึกษาของบริษัทผู้ประกอบการรายใหญ่ 2 แห่งคือบริษัท Verisign ของในสหรัฐและบริษัท Entrust ของแคนาดาเป็นหลัก³ นอกจากนี้ผู้วิจัยจะกล่าวถึงความเคลื่อนไหวของการยอมรับใบรับรองซึ่งกันและกัน (cross-certification) ซึ่งจะช่วยให้ใบรับรองที่ออกโดยองค์กร ออกใบรับรองแห่งหนึ่งสามารถใช้กับออกใบรับรองแห่งอื่นได้

2.1 สินค้าและบริการ

Verisign เป็นบริษัทที่แยกตัวมาจากบริษัท RSA Security Inc ซึ่งเป็นเจ้าของเทคโนโลยีกุญแจสาธารณะ RSA ซึ่งเป็นที่รู้จักทั่วไปเมื่อปี 1995 ส่วนบริษัท Entrust เป็นบริษัทที่แยกตัวมาจากบริษัท Nortel Network Corp. เมื่อปี 1998 บริษัททั้งสองเป็นธุรกิจสร้างความเชื่อถือ ในการสื่อสารในเครือข่ายอินเทอร์เน็ต (Internet-based trust service) หรือการเป็นองค์กรออกใบรับรองให้แก่ธุรกิจและบุคคลทั่วไป บริษัททั้งสองแห่งมีสินค้าและบริการที่แตกต่างกันพอสมควรกล่าวคือบริษัท Verisign จะเน้นหนักในการออกใบรับรองให้แก่ลูกค้า ในขณะที่บริษัท Entrust จะเน้นหนักในการขายซอฟต์แวร์และเทคโนโลยีในการรักษาความปลอดภัยของตน

บริการของบริษัท Verisign ได้แก่

การออกใบรับรองดิจิตัลแก่เว็บไซต์ของธุรกิจซึ่งส่วนใหญ่เป็นการรับรองเครื่องแม่ข่ายแบบ SSL ที่นิยมใช้ในการพาณิชย์อิเล็กทรอนิกส์ ระหว่างธุรกิจกับผู้บริโภค (B-to-C E-Commerce)
การออกใบรับรองดิจิตัลแก่เครื่องแม่ข่ายแบบ SSL ในเครือข่ายอินทราเน็ต (intranet) และเครือข่ายเอ็กซ์ทราเน็ต (extranet) ของบริษัทขนาดใหญ่เช่นบริษัทข้ามชาติและสถาบันการเงินต่างๆ ในการพาณิชย์อิเล็กทรอนิกส์ระหว่างธุรกิจกับธุรกิจ (B-to-B E-Commerce)
การออกใบรับรองดิจิตัลในนามหน่วยงานอื่นโดยบริการที่เรียกว่า Affiliate Certificate Service โดยหน่วยงานอื่นนั้นอาจเป็นเว็บไซต์ที่ เป็นพอร์ตอล (portal) หรือชุมชนอิเล็กทรอนิกส์ (community) ซึ่งต้องการให้สมาชิกของตนสามารถระบุตัวกันได้
การออกใบรับรองดิจิตัลแก่บุคคลทั่วไปหรือที่เรียกว่าใบรับรองเครื่องลูกข่าย (client certificate)
การให้บริการเสริมต่างๆ เช่นการทำเช่าพื้นที่ของเว็บไซต์ (Web hosting) การออกใบแจ้งหนี้ (billing) การจัดทำรายงานการใช้บริการ (report generation) ในลักษณะเดียวกับการให้บริการระบบ (system integration) ในธุรกิจคอมพิวเตอร์โดยทั่วไป

ส่วนสินค้าและบริการของบริษัท Entrust ได้แก่

ผลิตภัณฑ์ที่ใช้ในการบริหารองค์กรออกใบรับรอง (Authority and Administration Solution) โดยให้ลูกค้าเป็นผู้ติดตั้ง (install) และใช้ (maintain) ผลิตภัณฑ์เหล่านั้นเอง
การออกใบรับรองต่างๆ เช่นใบรับรองเครื่องแม่ข่ายและเครื่องลูกข่าย และบริการประทับเวลาอิเล็กทรอนิกส์ (timestamp)
ผลิตภัณฑ์ที่ช่วยรักษาความปลอดภัยให้แก่โปรแกรมประยุกต์ต่างๆ เช่นโปรแกรมไปรษณีย์อิเล็กทรอนิกส์

ตาางที่ 2.1 และ 2.2 แสดงอัตราค่าบริการในการออกใบรับรองของ Verisign และ Entrust ตามลำดับ

จากรายงานประจำปีต่อคณะกรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐ จนถึงเมื่อต้นปี 1999 บริษัท Versign ได้ออกใบรับรองให้แก่เว็บไซต์ ไปแล้วประมาณ 1 แสนแห่งและแก่ผู้ใช้ทั่วไปอีกประมาณ 3 ล้านคน ในขณะที่บริษัท Entrust ได้ให้สิทธิในการใช้ซอฟต์แวร์ด้านความปลอดภัย (software licensing) แก่หน่วยงานต่างๆ ไปแล้วกว่า 500 แห่ง

ตารางที่ 2.1 ค่าบริการในการออกใบรับรองประเภทต่างๆ ของบริษัท Verisign

ชื่อของ ใบรับรอง	ชนิดของ ใบรับรอง	แนวทางการตรวจสอบในการออกใบรับรอง	ค่าบริการ	ความรับผิดชอบ สูงสุด
Class 1	บุคคล	ตรวจสอบเลขที่ไปรษณีย์อิเล็กทรอนิกส์ (E-mail address) ของผู้ขอใบรับรองนั้น	$9.95 ต่อปี	$100
Class 2	บุคคล	ตรวจสอบผู้ขอใบรับรองโดยสืบค้นเทียบกับข้อมูลในฐานข้อมูล ผู้บริโภคเช่นฐานข้อมูลของ Equifax	$19.95 ต่อปี	$5,000
Class 3	บุคคล	ตรวจสอบผู้ขอใบรับรองโดยตรวจสอบภูมิหลัง (background check) และการสืบสวน (investigative service)	ปีแรก $290 ต่ออายุ $75	$100,000
Secure Server	แม่ข่าย	ตรวจสอบผู้ขอใบรับรองโดยตรวจสอบภูมิหลัง (background check) และการสืบสวน (investigative service)	ปีแรก $290 ต่ออายุ $75	$100,000

ที่มา: Verisign

ตารางที่ 2.2 ราคาของผลิตภัณฑ์และบริการของบริษัท Entrust

ผลิตภัณฑ์หรือบริการ	ราคา
ผลิตภัณฑ์ในการบริหารออกใบรับรอง (Entrust Authority and Admin)	$25,000 ต่อเครื่องแม่ข่าย
ผลิตภัณฑ์ด้านไดเร็กทอรี่ (Directory)	$3,000 ในกรณีที่ผู้ใช้น้อยกว่า 1,000 คน $3,000 และค่าบริการต่อหัวผู้ใช้ในกรณีที่ผู้ใช้มากกว่า 1,000 คน
บริการให้การรับรองแก่องค์กร	$159 ต่อจำนวนผู้ใช้ (เครื่องแม่ข่าย/ลูกข่าย) 1 ราย

ที่มา: Entrust

2.2 รายได้และต้นทุนในการประกอบการ

ตารางที่ 2.3 แสดงผลการประกอบการของบริษัททั้งสองในปี 1996-1998 จากตารางจะเห็นว่าบริษัททั้งสองยังคงขาดทุนอยู่อย่างต่อเนื่อง เนื่องจากมีค่าใช้จ่ายสูงกว่ารายได้⁴

ภาพที่ 2.1 แสดงตัวอย่างของโครงสร้างของค่าใช้จ่ายของทั้งสองบริษัทในปี 1998 จากภาพจะเห็นว่าบริษัททั้งสองแห่งมีต้นทุนในการประกอบการ ในรูปของต้นทุนทางตรงในการสร้างรายได้ (cost of revenue) จากการการออกใบรับรองไม่สูงนักคือเพียงประมาณร้อยละ 12.7 ในกรณีของ Entrust ซึ่งมีรายได้ส่วนใหญ่จากการจำหน่ายซอฟต์แวร์ และประมาณร้อยละ 31.3 ในกรณีของ Verisign ซึ่งมีรายได้ส่วนใหญ่จากการออก ใบรับรอง⁵ ต้นทุนส่วนอื่นๆ ที่เหลือส่วนใหญ่เป็นต้นทุนในการดำเนินงาน (operating cost) เช่น การขายและการตลาด การวิจัยและพัฒนา ตลอดจนต้นทุนอื่นๆ เช่นค่าใช้จ่ายพิเศษ (special charge) ในการซื้อกิจการอื่นๆ ซึ่งมีเทคโนโลยีในการรักษาความปลอดภัยของข้อมูล

ในไตรมาสแรกแรกของปี 1999 บริษัท Entrust เริ่มมีกำไรจากการประกอบการ ในขณะที่บริษัท Verisign ยังคงขาดทุนอย่างต่อเนื่องอยู่ อย่างไรก็ตามนักวิเคราะห์ส่วนใหญ่มีความเห็นว่า Verisign มีโมเดลในการดำเนินธุรกิจที่ดีกว่า Entrust กล่าวคือ Verisign มีรายได้ส่วนสำคัญ มาจากการรับบริการการรักษาความปลอดภัยให้แก่บริษัทลูกค้าซึ่งทำให้บริษัทมีรายได้จากค่าสมาชิกอย่างสม่ำเสมอ ในขณะที่ Entrust มีรายได้ส่วนใหญ่จากการจำหน่ายซอฟต์แวร์ ในการรักษาความปลอดภัยของเว็บไซต์ให้แก่ลูกค้าซึ่งเป็นรายได้ครั้งเดียว⁶

ตารางที่ 2.3 ผลการประกอบการของ Verisign และ Entrust ในระหว่างปี 1996-1998

(หน่วย: พันดอลลาร์สหรัฐ)

	Verisign			Entrust
	1996	1997	1998	1996	1997	1998
1. รายได้รวม	1,356	13,356	38,930	12,802	25,006	48,988
2. รวมค่าใช้จ่ายโดยตรง	2,791	9,689	19,454	3,550	4,916	9,531
3. ค่าใช้จ่ายในด้านการตลาด	4,885	11,826	22,943	3,858	11,193	26,802
4. ค่าวิจัยและพัฒนา	2,058	5,303	8,435	2,874	5,692	12,840
5. ค่าบริหาร	2,681	5,039	7,688	2,464	3,695	5,046
6. ค่าใช้จ่ายอื่นๆ	-	2,800	3,555	-	-	20,564
7. รวมค่าใช้จ่ายในการดำเนินงาน	12,415	34,657	62,075	9,196	20,580	65,252
8. รายได้จากการดำเนินงาน	(11,059)	(21,301)	(23,145)	56	(490)	(25,795)
9. รายได้อื่นๆ	(67)	1,174	2,120	-	723	1,807
10. รายได้ก่อนหักประโยชน์จากภาษี	(11,126)	(20,127)	(21,025)	56	233	(23,988)
11. ประโยชน์จากภาษีรายได้	838	1,538	1,282	331	281	160
12. รายได้สุทธิ	(10,288)	(18,589)	(19,743)	387	514	(23,828)

ที่มา: คณะกรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐ (Security Exchange Commission)

ภาพที่ 2.1 โครงสร้างต้นทุนของธุรกิจออกใบรับรอง

ที่มา:

สถาบันวิจัยเพื่อการพัฒนาประเทศไทย จากเอกสารรายงานคณะกรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐ (Security Exchange Commission)

ภาพที่ 2.2 โครงสร้างบุคลากรของธุรกิจออกใบรับรอง

ที่มา:

2.3 บุคลากรและระดับเทคโนโลยี

ภาพที่ 2.2 แสดงตัวอย่างของโครงสร้างบุคลากรปลายปี 1998 ของ Verisign และ Entrust ซึ่งมีพนักงานทั้งสิ้น 315 และ 456 คนตามลำดับ จากภาพจะเห็นว่าองค์กรออกใบรับรองทั้งสองแห่งมีพนักงานด้านขายและการตลาด (sales & marketing) ประมาณ 1 ใน 3 ของพนักงานทั้งหมด และเป็นกลุ่มที่ใหญ่ที่สุด รองลงมาคือพนักงานฝ่ายวิจัยและพัฒนา (R&D) หรือพนักงานที่ทำหน้าที่ให้ความช่วยเหลือลูกค้า (customer support) ซึ่งต้องมีความสามารถด้านเทคนิครวมกันอีกประมาณร้อยละ 50 ที่เหลือเป็นพนักงานด้านการเงินและธุรกิจ (finance & administration) และพนักงานอื่นๆ

ภาพที่ 2.3 เปรียบเทียบระดับการใช้เทคโนโลยีของบริษัททั้งสองกับบริษัทในธุรกิจการพาณิชย์อิเล็กทรอนิกส์อื่นๆ คือบริษัท Excite และ Infoseek ซึ่งอยู่ในธุรกิจพอร์ตอลบริษัท Geocities ซึ่งอยู่ในธุรกิจชุมชนอิเล็กทรอนิกส์ และบริษัท CD-Now ซึ่งอยู่ในธุรกิจค้าเพลงผ่านอินเทอร์เน็ต โดยใช้ดัชนี 2 ตัวคือ สัดส่วนของพนักงานด้านวิจัยและพัฒนาต่อจำนวนพนักงานทั้งหมดและจำนวนสิทธิบัตรที่ยื่นจดและได้รับในสหรัฐ โดยเชื่อว่าธุรกิจที่ใช้เทคโนโลยีระดับสูงจะมีค่าดัชนีทั้งสองอยู่ในระดับที่สูง⁷

เมื่อพิจารณาจากสัดส่วนของพนักงานด้านวิจัยและพัฒนาต่อหนักงานทั้งหมด ธุรกิจออกใบรับรองไม่แตกต่างจากของบริษัทในธุรกิจพอร์ตอล มากนัก กล่าวคือสัดส่วนดังกล่าวจะอยู่ระหว่างร้อยละ 20 ถึงร้อยละ 35 โดยบริษัท Entrust มีสัดส่วนดังกล่าวสูงกว่าบริษัท Verisign อย่างไรก็ตามสัดส่วนดังกล่าวของบริษัทในธุรกิจออกใบรับรองทั้งสองอยู่ในระดับที่สูงกว่าของบริษัท Geocities และบริษัท CD-Now ซึ่งไม่มีพนักงานด้านวิจัยและพัฒนาอย่างเห็นได้ชัด

เมื่อพิจารณาจากจำนวนสิทธิบัตรที่ได้รับ (granted patent) และสิทธิบัตรที่อยู่ในระหว่างการตรวจสอบ (pending patent) ของบริษัทต่างๆ จะพบว่าธุรกิจออกใบรับรองมีระดับของเทคโนโลยีที่สูงกว่าธุรกิจอื่นๆ อย่างเห็นได้ชัด นอกจากนี้บริษัท Entrust ยังมีจำนวนสิทธิบัตร มากกว่าบริษัท Verisign อีกด้วย ทั้งนี้เนื่องจากบริษัท Entrust มีธุรกิจหลักในการจำหน่ายซอฟต์แวร์และเทคโนโลยี ในขณะที่บริษัท Verisign มีธุรกิจหลักในการให้บริการ

ภาพที่ 2.3 ระดับการใช้เทคโนโลยีของบริษัทในธุรกิจออกใบรับรองเปรียบเทียบกับบริษัทในธุรกิจพาณิชย์อิเล็กทรอนิกส์อื่นๆ

ที่มา:

สถาบันวิจัยเพื่อการพัฒนาประเทศไทยจากเอกสารรายงานคณะกรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐ (Security Exchange Commission)

2.4 ธุรกิจออกใบรับรองในประเทศอื่นๆ

จากการสำรวจขององค์กรความร่วมมือด้านเศรษฐกิจและการพัฒนา (OECD) ซึ่งเป็นหน่วยงานความร่วมมือด้านวิชาการของประเทศพัฒนาแล้ว พบว่าในบรรดาประเทศสมาชิกขององค์กรดังกล่าวส่วนใหญ่ได้มีการจัดตั้งองค์กรออกใบรับรองและใช้ลายมือชื่ออิเล็กทรอนิกส์แล้ว กล่าวคือในบรรดาประเทศในการสำรวจ 17 ประเทศ มีถึง 14 ประเทศที่มีองค์กรออกใบรับรองที่ดำเนินการโดยรัฐหรือเอกชนเปิดให้บริการแล้ว โดยในจำนวนนี้มีถึง 11 ประเทศที่มีการใช้ลายมือชื่ออิเล็กทรอนิกส์ในกิจการที่เกี่ยวกับรัฐ ดังปรากฏในตารางที่ 2.4

ในกลุ่มประเทศในเอซีย มีหลายประเทศที่มีองค์กรออกใบรับรองแล้วเช่น ญี่ปุ่น สิงคโปร์ เกาหลีใต้ มาเลเซีย เป็นต้น โดยในญี่ปุ่นมีองค์กร ออกใบรับรองที่ดำเนินการในเชิงพาณิชย์แล้วอย่างน้อย 3 แห่งคือ Verisign Japan ซึ่งก่อตั้งในปี 1996 CyberTrust Japan ซึ่งก่อตั้งเมื่อปี 1997 และ Japan Certificate ซึ่งก่อตั้งเมื่อปี 1997⁸ ส่วนสิงคโปร์มีองค์กรออกใบรับรองที่ดำเนินการในเชิงพาณิชย์แล้ว 2 แห่งคือ Netrust และอีกแห่งหนึ่งซึ่งเพิ่งได้รับการก่อตั้งขึ้นในปี 1999 โดยบริษัททั้งสองต่างเป็นบริษัทที่เกี่ยวข้องกับรัฐ (state-linked company)⁹

ส่วนในเกาหลีใต้ ในปัจจุบันมีองค์กรออกใบรับรองอย่างน้อย 2 แห่งคือ CrossCert ซึ่งก่อตั้งโดยบุคคลในวงการโทรคมนาคม และบริษัท SoftForum ซึ่งเป็นบริษัทลูกของบริษัทผู้ผลิตเครื่องมือทดสอบสารกึ่งตัวนำ บริษัททั้งสองแห่งเพิ่งได้รับการจัดตั้งขึ้นในปี 1999 ในอนาคต มีความเป็นไปได้ว่าจะมีผู้ประกอบการรายใหม่หลายรายโดยเฉพาะบริษัทด้าน SI ในกลุ่มของบริษัทขนาดใหญ่ (chaebol) ธนาคารหรือหน่วยงาน ที่ให้บริการด้านเครือข่ายการค้าหลักทรัพย์และเครือข่ายการชำระเงิน ตลอดจนหน่วยงานของรัฐที่ให้บริการด้านไปรษณีย์เข้าสู่ตลาด¹⁰

ตารางที่ 2.4 องค์กรออกใบรับรองและการใช้ลายมือชื่ออิเล็กทรอนิกส์ในกลุ่มประเทศ OECD

ประเทศ	เอกชนเปิดให้บริการองค์กรออกใบรับรองแล้ว	ใช้ลายมือชื่ออิเล็กทรอนิกส์ในกิจการที่เกี่ยวกับรัฐ
ออสเตรเลีย
ออสเตรีย	X	X
เบลเยี่ยม
สาธารณรัฐเช็ค
ฟินแลนด์		X
เยอรมัน
กรีซ	X	X
ญี่ปุ่น		X
เม็กซิโก
เนเธอร์แลนด์
นิวซีแลนด์	X
นอร์เวย์
โปแลนด์		X
สวีเดน
ตุรกี		X
สหราชอาณาจักร
สหรัฐอเมริกา

ที่มา: OECD, Inventory of Approaches to Authentication and Certification in a Global Networked Society, 1999

2.5 แนวโน้มของธุรกิจออกใบรับรอง

ในปัจจุบันบริษัทที่ให้บริการออกใบรับรองส่วนใหญ่ยังยังไม่สามารถสร้างรายได้จนถึงจุดคุ้มทุนได้ ในความคิดเห็นของผู้วิจัยปัญหาดังกล่าว น่าจะเกิดจากการที่การใช้ใบรับรองยังไม่แพร่หลายมากพอเนื่องจากการออกใบรับรองในปัจจุบันส่วนใหญ่เป็นการออกใบรับรองให้แก่ เครื่องแม่ข่าย (server certificate) โดยเฉพาะเครื่องแม่ข่ายที่ใช้โปรโตคอลรักษาความปลอดภัยแบบ SSL โดยมีการออกใบรับรองให้แก่ โปรแกรมประยุกต์ในเครื่องลูกข่าย (client certificate) น้อยมาก ทั้งนี้เนื่องจากกระบวนการในการขอใบรับรองยังคงยุ่งยากและผู้บริโภค ส่วนใหญ่ยังไม่เห็นความจำเป็นในการต้องมีใบรับรองเพราะเป็นการเพิ่มต้นทุนในการซื้อสินค้าผ่านการพาณิชย์อิเล็กทรอนิกส์โดยไม่เห็น ผลตอบแทนที่ชัดเจน นอกจากนี้ร้านค้าส่วนใหญ่ก็ยังไม่กล้าจำกัดการประกอบธุรกิจกับผู้บริโภคที่มีใบรับรองเท่านั้น เพราะจะทำให้ ฐานลูกค้าของตนเล็กลง แม้ว่าการใช้ใบรับรองในลักษณะดังกล่าวจะก่อให้เกิดความเสี่ยงในการประกอบธุรกรรมก็ตาม จนถึงปัจจุบัน ยังไม่ปรากฏว่ามีผู้ประกอบการรายใดได้รับความเสียหายขนานใหญ่จากการไม่สามารถระบุตัวผู้บริโภคได้

อย่างไรก็ตามในอนาคตมีความเป็นไปได้มากว่า การใช้ใบรับรองจะแพร่หลายมากขึ้นจากพัฒนาการในด้านต่างๆ ต่อไปนี้

การทำธุรกรรมทางการเงิน (financial transaction) เช่นการโอนเงินหรือการซื้อขายหลักทรัพย์ผ่านเครือข่ายอินเทอร์เน็ตที่แพร่หลาย มากขึ้นและมีมูลค่าของทำธุรกรรมมูลค่าสูงจะทำให้เกิดความจำเป็นในการใช้เทคโนโลยีใบรับรองเพิ่มขึ้น
การที่หน่วยงานรัฐหรือธนาคารพาณิชย์รายใหญ่เข้าร่วมในการออกใบรับรองจะช่วยให้เกิดความเชื่อมั่นต่อข้อมูลในใบรับรอง ซึ่งจะทำให้การใช้เทคโนโลยีดังกล่าวแพร่หลายมากขึ้น เนื่องจากรัฐและธนาคารพาณิชย์เป็นสถาบันที่สามารถตรวจสอบข้อมูลต่างๆ ที่มีความสำคัญสูงเช่น ข้อมูลทะเบียนราษฎร์ ทะเบียนนิติบุคคล ตลอดจนข้อมูลสถานะทางการเงินต่างๆ เช่นรายได้ของผู้ขอใบรับรอง เป็นต้น
การผนวกใบรับรองอิเล็กทรอนิกส์เข้าเป็นส่วนหนึ่งของโปรแกรมประยุกต์เช่นบราวเซอร์หรือโปรแกรมไปรษณีย์อิเล็กทรอนิกส์ โดยให้ผู้ใช้สามารถขอใบรับรองได้ในขณะติดตั้งโปรแกรมประยุกต์นั้น จะช่วยลดความยุ่งยากในการขอใบรับรองและจะทำให้ การใช้ใบรับรองมีความแพร่หลายมากขึ้น¹¹
ความแพร่หลายของการพาณิชย์อิเล็กทรอนิกส์ระหว่างธุรกิจและธุรกิจ (B-to-B E-Commerce) ผ่านเครือข่ายเอ็กซ์ทราเน็ต ตลอดจนการที่องค์กรต่างๆ เริ่มอนุญาตให้พนักงานของตนสามารถใช้งานเครื่องคอมพิวเตอร์จากนอกสำนักงาน (remote login) จะทำให้เกิดความจำเป็นในการใช้เทคโนโลยีใบรับรองเพื่อรักษาความปลอดภัยมากขึ้น

2.6 แนวโน้มในการรับรองซึ่งกันและกัน

ในอนาคตคงเป็นไปได้ยากที่จะมีองค์กรออกใบรับรองเหลือเพียงแห่งเดียว ปัญหาที่เกิดขึ้นจากการมีองค์กรออกใบรับรองหลายแห่งก็คือ องค์กรออกใบรับรองแต่ละแห่งอาจไม่ยอมรับใบรับรองที่ออกโดยองค์กรออกใบรับรองอื่นก็ได้ ทำให้ผู้ใช้ต้องขอรับใบรองหลายใบ ซึ่งเป็นการสร้างภาระที่ไม่จำเป็น การรับรองซึ่งกันและกัน (cross-certification) ขององค์กรออก ใบรับรองคือกระบวนการที่จะทำให้ ใบรับรองขององค์กรออกใบรับรองแห่งหนึ่งสามารถใช้ได้กับแห่งอื่นได้ด้วยหรือมีความสามารถในการใช้งานร่วมกันได้ (inter-operability) นั่นเอง

ในทางปฏิบัติการรับรองซึ่งกันและกันสามารถทำได้โดยองค์กรออกใบรับรองที่ต้องการรับรองซึ่งกันและกันต่างดำเนินการตรวจสอบ และเปรียบเทียบแนวทางในการออกใบรับรองของอีกฝ่ายหนึ่ง ทั้งการเปรียบเทียบนโยบายในการออกใบรับรอง การตรวจสอบสถานที่ และสำรวจระบบที่เกี่ยวข้องเพื่อให้แน่ใจว่ามีมาตรฐานในการรักษาความปลอดภัยที่ใกล้เคียงกัน หลังจากนั้นก็จะตกลงกันในประเด็น ทางกฎหมายในการแบ่งรับหน้าที่และความรับผิดชอบ และการแบ่งผลประโยชน์กัน (ดูรายละเอียดในภาคผนวกที่ 2)

อย่างไรก็ตามมีข้อสังเกตว่าในปัจจุบันยังมีการรับรองซึ่งกันและกันระหว่างองค์กรออกใบรับรองต่างๆ น้อยมาก¹² ทั้งนี้อาจเนื่องมาจากเหตุผล ต่างๆ หลายประการคือ

ธุรกิจออกใบรับรองยังอยู่ขั้นเริ่มต้นและการใช้ใบรับรองยังไม่แพร่หลายนัก ความต้องการของตลาดที่จะให้ใบรับรองที่ออกโดยองค์กร ออกใบรับรองแห่งหนึ่งสามารถใช้ได้กับองค์กรออกใบรับรองแห่งอื่นจึงยังไม่เกิดขึ้นมากนัก
มาตรฐานต่างๆ ในการดำเนินงานเช่นนโยบายการออกใบรับรอง หรือมาตรฐานในการรักษาความปลอดภัยขององค์กรออกใบรับรอง แต่ละแห่ง ยังมีความแตกต่างกันพอสมควร ซึ่งจะเป็นอุปสรรคในการรับรองซึ่งกันและกัน
ยังไม่มีแนวทางที่ชัดเจนในการแบ่งความรับผิดชอบ (liability) ระหว่างองค์กรออกใบรับรองที่รับรองซึ่งกันและกัน และการแบ่ง ความรับผิดชอบระหว่างองค์กรดังกล่าวกับผู้บริโภคและผู้ที่เกี่ยวข้องอื่นๆ ทั้งนี้มีสาเหตุส่วนหนึ่งเนื่องมาจากกฎหมายของประเทศต่างๆ ยังมีแนวทางในการกำหนดความรับผิดชอบของฝ่ายต่างๆ ที่แตกต่างกัน
โมเดลด้านธุรกิจ (business model) ในการรับรองซึ่งกันและกันยังไม่มีความชัดเจน เช่น ในการตรวจสอบว่าองค์กรออกใบรับรอง อีกแห่งหนึ่งปฏิบัติตามนโยบายในการออกใบรับรองหรือไม่นั้นจำเป็นต้องตรวจสอบสถานที่และวิธีการออกใบรับรองขององค์กร ออกใบรับรองนั้นอย่างละเอียด ซึ่งเป็นขั้นตอนที่มีต้นทุนสูงโดยเฉพาะในกรณีที่องค์กรออกใบรับรองทั้งสองอยู่คนละประเทศ โมเดลทางธุรกิจที่จะเกิดขึ้นจะต้องกำหนดแนวทางในการแบ่งรับค่าใช้จ่าย และผลประโยชน์ที่จะได้ในอนาคต
การรับรองซึ่งกันและกันเป็นกระบวนการตกลงแบบทวิภาคี (bilateral agreement) ซึ่งหมายถึงองค์กรออกใบรับรองสองแห่ง ที่จะรับรองซึ่งกันและกันจะต้องทำสัญญารับรองกันเป็นคู่ๆ ซึ่งเป็นสิ่งที่ยุ่งยากมากในกรณีที่มีองค์กรออกใบรับรองหลายแห่ง นอกจากนี้คงเป็นการยากที่จะทำให้การทำสัญญาดังกล่าวมีลักษณะถ่ายทอด (transitive) ซึ่งจะทำให้องค์กรออกใบรับรองแห่งหนึ่ง ยอมรับใบรับรองของออกใบรับรองอีกแห่งหนึ่งเพียงเพราะว่าออกใบรับรองทั้งสองแห่งต่างทำสัญญารับรองซึ่งกันและกัน กับออกใบรับรองแห่งเดียวกันอีกแห่งหนึ่ง

จากปัญหาในการรับรองซึ่งกันและกันมากมายดังที่กล่าวมาข้างต้น ผู้เชี่ยวชาญหลายคนเริ่มมีความเชื่อว่า การรับรองซึ่งกันและกัน แทบจะเป็นสิ่งที่เป็นไปไม่ได้เลยในทางปฏิบัติ โดยเฉพาะการยอมรับใบรับรองซึ่งออกโดยออกใบรับรองในต่างประเทศ เนื่องจากจะมีต้นทุนสูง ในการตรวจสอบและต้นทุนในการทำธุรกรรมอื่นๆ สูงมาก ข้อเสนอในระยะหลังจึงมีแนวโน้มไปสู่การยอมรับใบรับรองที่ออกโดย ออกใบรับรองในต่างประเทศแทนในลักษณะการปฏิบัติเยี่ยงคนชาติ (national treatment) ดังที่จะกล่าวถึงต่อไปในบทที่ 4

2.7 การจัดตั้งองค์กรออกใบรับรองในประเทศไทย

ที่ผ่านมาการจัดตั้งองค์กรออกใบรับรองในประเทศไทยเป็นเรื่องที่ได้รับการกล่าวถึงมาก โดยมักมีข้อเสนอให้รัฐเป็นผู้จัดตั้งและให้บริการ ออกใบรับรอง โดยอ้างว่าธุรกิจออกใบรับรองเป็นธุรกิจที่ใช้เทคโนโลยีชั้นสูง ต้องอาศัยการวิจัยและพัฒนามากและมีระยะเวลาในการถึงจุด
คุ้มทุนช้าทำให้เอกชนไม่สนใจที่จะลงทุน ในขณะที่ธุรกิจดังกล่าวเป็นโครงสร้างพื้นฐานทางสารสนเทศที่สำคัญที่จะช่วยให้การพาณิชย์ อิเล็กทรอนิกส์ในประเทศไทยเติบโตและพัฒนาต่อไป ในความเห็นของผู้วิจัย เหตุผลสนับสนุนให้ภาครัฐเป็นผู้ให้บริการออกใบรับรองที่กล่าว มาบางประการเป็นเหตุผลที่ถูกต้องทั้งการที่ธุรกิจดังกล่าวเป็นธุรกิจที่ลงทุนสูงต้องอาศัยการวิจัยและพัฒนามาก และการที่องค์กรออกใบรับรอง เป็นโครงสร้างพื้นฐานในการพัฒนาการพาณิชย์อิเล็กทรอนิกส์ในประเทศไทย

อย่างไรก็ตามจากที่กล่าวมาในหัวข้อ 2.5 จะเห็นว่าสาเหตุสำคัญของการที่ธุรกิจออกใบรับรองยังไม่ถึงจุดคุ้มทุนเป็นปัญหาด้านอุปสงค์ (demand) ไม่ใช่ปัญหาด้านอุปทาน (supply) กล่าวคือ ความต้องการบริการดังกล่าวยังมีไม่มากเพียงพอในขณะที่มีผู้ให้บริการหลายราย แม้ว่าผู้ให้บริการ ออกใบรับรองทั้งหมดจะอยู่ในต่างประเทศก็ตาม ผู้บริโภคในประเทศไทยก็สามารถเข้าถึงบริการดังกล่าวผ่านเครือข่ายอินเทอร์เน็ต ได้โดยไม่ประสบปัญหาแต่อย่างใด ข้อเสนอให้รัฐเป็นผู้ให้บริการดังกล่าวจึงยังมีน้ำหนักไม่เพียงพอ นอกจากจะสามารถพิสูจน์ได้ว่า หากรัฐเข้าร่วมในการให้บริการแล้วผู้บริโภคในประเทศจะได้รับบริการในราคาที่ถูกลงหรือมีคุณภาพที่ดีขึ้น นอกจากนี้ในส่วนของตลาด ที่มีความต้องการความปลอดภัยสูง เช่น การทำธุรกรรมทางการเงิน ภาคเอกชนเช่นธนาคารพาณิชย์บางแห่งก็เริ่มแสดงความสนใจที่จะ ประกอบธุรกิจดังกล่าว ซึ่งชี้ให้เห็นว่ากลไกลตลาดไม่ได้มีความล้มเหลวแต่อย่างใด¹³

จากที่กล่าวมาข้างต้น ผู้วิจัยจึงสรุปว่าไม่มีเหตุผลด้านเศรษฐศาสตร์ที่ชี้ว่ารัฐควรเป็นผู้ให้บริการธุรกิจออกใบรับรองเอง อย่างไรก็ตาม อาจมีเหตุผลอื่นเช่นเหตุผลด้านความมั่นคงที่รัฐจำเป็นต้องเป็นผู้ให้บริการเองในการใช้งานในภาครัฐที่ต้องการความปลอดภัยสูง นอกจากนี้รัฐยังมีเหตุผลในด้านเศรษฐศาสตร์ในการให้การสนับสนุนผู้ประกอบธุรกิจดังกล่าวในกิจกรรมที่มีผลกระทบภายนอก (externality) เช่นการวิจัยและพัฒนาตลอดจนการพัฒนาทรัพยากรมนุษย์ที่เกี่ยวข้องเป็นต้น