การรักษาข้อมูลลูกค้า
การรักษาข้อมูลลูกค้า
เพื่อสร้างความมั่นใจให้กับลูกค้าและผู้มีส่วนได้ส่วนเสีย บริษัทฯ จึงให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล การป้องกันการล่วงละเมิดสิทธิในข้อมูลส่วนบุคคล การควบคุมการใช้ข้อมูลส่วนบุคคล และการป้องกันการละเมิด หรือรั่วไหลของข้อมูลส่วนบุคคล โดยประกาศนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) รวมถึงขั้นตอนการปฏิบัติงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลมีเนื้อหา ครอบคลุม การเก็บรวบรวม การใช้ การเปิดเผย และการจัดเก็บข้อมูล รวมถึงการขอความยินยอมจากเจ้าของข้อมูล การให้ข้อมูลที่ชัดเจนเกี่ยวกับวัตถุประสงค์ในการใช้ข้อมูล และการจัดการกับข้อมูลส่วนบุคคลอย่างปลอดภัย เป็นต้น เพื่อให้บุคลากรของบริษัทฯ ยึดถือเป็นแนวปฏิบัติอย่างเคร่งครัด นอกจากนี้ บริษัทฯ ได้จัดทำแนวทาง ขั้นตอนการปฏิบัติ และกระบวนการจัดการปัญหา เมื่อเกิดการละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคล (Personal Data Breach Procedure) ซึ่งครอบคลุมถึงเหตุการณ์ละเมิดหรือการรั่วไหลของข้อมูลทั้งในรูปแบบอิเล็กทรอนิกส์และรูปแบบเอกสารกระดาษ มีการกำหนดบทบาทหน้าที่ของผู้ที่เกี่ยวข้องทั้งภายในและภายนอกอย่างชัดเจน ตลอดจนมาตรการในการสื่อสารและการเยียวยาแก้ไขการละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคล และการประสานงานแจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยมีการฝึกอบรมและฝึกซ้อมให้สอดคล้อง กับสถานการณ์ภัยคุกคามใหม่ๆ อย่างสม่ำเสมอ เพื่อนำมาปรับปรุงและพัฒนามาตรการต่างๆ อย่างต่อเนื่อง และสามารถบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปอย่างมีประสิทธิภาพและยั่งยืนเพื่อสร้างความเชื่อมั่นให้กับลูกค้า และผู้มีส่วนได้ส่วนเสียทุกกลุ่มในระยะยาว
เป้าหมายการดำเนินงาน
เป้าหมายการดำเนินงาน
การร้องทุกข์ที่ได้รับการพิสูจน์เกี่ยวกับการละเมิด
ความเป็นส่วนตัวของลูกค้า
ไม่มีกรณีการรั่วไหลการขโมยหรือการสูญหาย
ของข้อมูลลูกค้าที่ได้รับการเก็บรวบรวม
ไม่มีกรณีการร้องทุกข์จากบุคคลภายนอก
และ/หรือ จากหน่วยงานกำกับดูแล
ผลการดำเนินงาน
จำนวนการร้องทุกข์ที่ได้รับการพิสูจน์เกี่ยวกับการละเมิด
ความเป็นส่วนตัวของลูกค้า
ไม่มีกรณีการรั่วไหลการขโมยหรือการสูญหาย
ของข้อมูลลูกค้าที่ได้รับการเก็บรวบรวม
ไม่มีกรณีการร้องทุกข์จากบุคคลภายนอก
และ/หรือ จากหน่วยงานกำกับดูแล
เป้าหมายการดำเนินงาน
การร้องทุกข์ที่ได้รับการพิสูจน์เกี่ยวกับการละเมิด
ความเป็นส่วนตัวของลูกค้า
ไม่มีกรณีการรั่วไหลการขโมยหรือการสูญหาย
ของข้อมูลลูกค้าที่ได้รับการเก็บรวบรวม
ไม่มีกรณีการร้องทุกข์จากบุคคลภายนอก
และ/หรือ จากหน่วยงานกำกับดูแล
ผลการดำเนินงาน
จำนวนการร้องทุกข์ที่ได้รับการพิสูจน์เกี่ยวกับการละเมิด
ความเป็นส่วนตัวของลูกค้า
ไม่มีกรณีการรั่วไหลการขโมยหรือการสูญหาย
ของข้อมูลลูกค้าที่ได้รับการเก็บรวบรวม
ไม่มีกรณีการร้องทุกข์จากบุคคลภายนอก
และ/หรือ จากหน่วยงานกำกับดูแล
ผลการดำเนินงาน
การร้องทุกข์ที่ได้รับการพิสูจน์เกี่ยวกับการละเมิดความเป็นส่วนตัวของลูกค้า
นโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ ได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ที่สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) นโยบายดังกล่าวได้รับการบังคับใช้อย่างเคร่งครัด ภายในบริษัทฯ และขยายครอบคลุมถึงพันธมิตรทางธุรกิจ คู่ค้า และผู้ที่ได้รับมอบหมายให้ดำเนินการแทนบริษัทฯ การกำหนดนโยบาย ที่ครอบคลุมทุกมิติของการปฏิบัติงานเกี่ยวกับข้อมูลส่วนบุคคลนี้ มีเป้าหมายเพื่อให้มั่นใจว่าการดำเนินการทั้งหมด เป็นไปตามมาตรฐานที่กำหนดและสนับสนุนให้ทุกภาคส่วนขององค์กรมีส่วนร่วมในการปกป้องข้อมูลอย่างมีประสิทธิภาพ
บทบาทสำคัญของบริษัทฯ คือการเป็น “ผู้ควบคุมข้อมูล” (Data Controller) ซึ่งมีอำนาจและหน้าที่ในการกำหนด วัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล บริษัทฯ จึงต้องรับผิดชอบในการดำเนินมาตรการต่าง ๆ เพื่อให้ การกำกับดูแลเป็นไปอย่างมีประสิทธิภาพ สอดคล้องกับหลักการคุ้มครองข้อมูลภายใต้ PDPA การใช้ข้อมูลของลูกค้า จะดำเนินการตามวัตถุประสงค์ที่ได้รับความยินยอมจากลูกค้าเท่านั้น (Consent) หรือตามฐานทางกฎหมาย ที่กำหนด เพื่อให้มั่นใจว่าการใช้งานข้อมูลของลูกค้าจะเป็นไปตามขอบเขตที่ลูกค้าได้ให้ความยินยอมไว้เท่านั้น ทั้งนี้ บริษัทฯ ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO) ซึ่งมีหน้าที่ให้คำแนะนำเกี่ยวกับ การบริหารความเสี่ยงและแนวปฏิบัติที่ดีในการประมวลผลข้อมูลส่วนบุคคล รวมถึงการติดตามตรวจสอบ และรายงานความไม่สอดคล้องต่อฝ่ายบริหาร และ DPO ยังมีบทบาทในการประสานงานกับหน่วยงานภายนอกเพื่อให้ การประมวลผลข้อมูลเป็นไปตามกฎหมายและมาตรฐานที่เกี่ยวข้อง
เพื่อให้มั่นใจว่ามาตรการที่ใช้มีความยั่งยืน บริษัทฯ ได้วางแผนการฝึกอบรมและพัฒนาบุคลากรอย่างต่อเนื่อง เพื่อให้ พนักงานทุกคนมีความเข้าใจที่ชัดเจนเกี่ยวกับนโยบายและขั้นตอนการคุ้มครองข้อมูลรวมถึงการประเมินความเสี่ยงที่ อาจเกิดขึ้นในการประมวลผลข้อมูล
นอกจากนี้ การปฏิบัติตามนโยบายและข้อกำหนดภายใต้ PDPA โดย
- ประมวลผลข้อมูลตามวัตถุประสงค์ทางกฎหมายและมีมาตรการรักษาความปลอดภัยที่เหมาะสม
- แจ้งเจ้าของข้อมูลเมื่อได้รับข้อมูลส่วนบุคคลอย่างชัดเจนเมื่อมีการเก็บรวบรวมข้อมูล
- บริษัทจะบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลเพื่อการตรวจสอบ
- ประเมินผลกระทบต่อข้อมูลส่วนบุคคลกรณีเสี่ยงต่อสิทธิและเสรีภาพ
- ทำข้อตกลงกับผู้ประมวลผลข้อมูลเพื่อควบคุมความเสี่ยงตามกฎหมาย
- กำหนดให้มีช่องทางให้เจ้าของข้อมูลใช้สิทธิตามที่กฎหมายกำหนด
การกำกับดูแลข้อมูลองค์กร (Data Governance)
การกำกับดูแลข้อมูลองค์กร (Data Governance) เป็นแนวทางสำคัญในการบริหารจัดการข้อมูลโดยเฉพาะในยุคดิจิทัล ที่ข้อมูลมีบทบาทสำคัญต่อการดำเนินธุรกิจ การบริหารจัดการข้อมูลจึงจำเป็นต้องมีกลยุทธ์ที่ชัดเจน เพื่อช่วยให้องค์กร สามารถปรับปรุงบริการให้ตรงกับความต้องการของลูกค้าและใช้ข้อมูลในการวางกลยุทธ์และการบริหารความเสี่ยงได้ อย่างมีประสิทธิภาพ การกำกับดูแลข้อมูลของบริษัทฯ จึงมุ่งเน้นให้การจัดการข้อมูลขององค์กรมีความถูกต้อง ครบถ้วน เชื่อถือได้ และเป็นไปตามกฎหมายและข้อบังคับที่เกี่ยวข้อง
บริษัทฯ ได้กำหนดโครงสร้างการกำกับดูแลข้อมูลโดยใช้หลักการ “Three Lines of Defense” เพื่อการควบคุม กำกับ และตรวจสอบการปฏิบัติงานให้เป็นไปตามมาตรฐาน โดยมีการแบ่งหน้าที่ความรับผิดชอบอย่างชัดเจน ดังนี้
- ระดับที่ 1 (1st Line of Defense)
หน่วยงานบริหารจัดการข้อมูลที่รับผิดชอบการจัดการข้อมูลของตนเองโดยปฏิบัติตามนโยบายและแนวปฏิบัติการกำกับดูแลข้อมูลองค์กร - ระดับที่ 2 (2nd Line of Defense)
หน่วยงานด้านบริหารความเสี่ยงข้อมูลและหน่วยงานกำกับการปฏิบัติตามกฎเกณฑ์ ทำหน้าที่สนับสนุนและ ให้คำปรึกษาเกี่ยวกับการจัดการความเสี่ยงด้านข้อมูล - ระดับที่ 3 (3rd Line of Defense)
หน่วยงานตรวจสอบภายในที่มีหน้าที่ตรวจสอบและทบทวนการปฏิบัติตามนโยบายและมาตรการการกำกับ ดูแลข้อมูล
นอกจากนี้ บริษัทฯ ได้มีการกำกับดูแลข้อมูลครอบคลุมการบริหารจัดการตลอดวงจรชีวิตของข้อมูล ตั้งแต่การสร้าง การใช้งาน การส่งต่อ การจัดเก็บ และการทำลายข้อมูล โดยมีการควบคุมเพื่อให้แน่ใจว่าการดำเนินงานเป็นไปตาม มาตรฐาน รวมถึงมีหลักเกณฑ์ในการกำหนดชั้นความลับของข้อมูล โดยมีการแบ่งระดับความลับของข้อมูลตาม ความสำคัญและความเสี่ยง เพื่อให้การจัดการข้อมูลมีประสิทธิภาพสูงสุด มีมาตรการรักษาความปลอดภัยข้อมูลตาม ระดับชั้นความลับ รวมถึงการใช้การเข้ารหัสและมาตรการควบคุมการเข้าถึงอย่างเคร่งครัด
บริษัทฯ ได้ให้ความสำคัญกับการนำข้อมูลมาใช้สนับสนุนการขับเคลื่อนนโยบายทางภาคธุรกิจ แต่ในปัจจุบันยังประสบ กับปัญหาและอุปสรรคในการดำเนินงานในด้านต่างๆ ที่เกี่ยวข้องกับการจัดการข้อมูลซึ่งเป็นปัญหาเชิงนโยบายและ ปฏิบัติ ดังนั้น บริษัทฯ จึงได้จัดให้มี “โครงการพัฒนาระบบบริหารจัดการข้อมูล (Data Management)” เพื่อตอบสนอง การบริหารจัดการด้านธุรกิจหลัก และการนำข้อมูลไปใช้บริหารงานให้มีประสิทธิภาพและคล่องตัวมากขึ้น โดยกำหนด กรอบทิศทางและแผนดำเนินงานที่สำคัญดังนี้
- จัดให้มีระบบการบริหารจัดการข้อมูล (Data Management) ที่สามารถควบคุมความปลอดภัยในการเข้าถึงข้อมูลมี ความสะดวกในการบำรุงรักษา การตรวจสอบการทำงาน การสำรองข้อมูลเพื่อรองรับต่อสถานการณ์ไม่ปกติต่าง ๆ
- จัดทำระบบที่ช่วยเพิ่มประสิทธิภาพในการสร้างรายงานในมิติต่างๆ ของบริษัทฯ ได้อย่างรวดเร็ว ทั้งในรูปแบบบตาราง แผนภูมิ หรือกราฟ ที่สามารถเข้าใจได้ง่าย และรองรับการนำข้อมูล ในรูปแบบต่าง ๆ มาใช้วิเคราะห์และสนับสนุน การช่วยตัดสินใจในภาคธุรกิจ เพื่อส่งเสริมกลยุทธ์ทางธุรกิจได้อย่างมีประสิทธิภาพและรวดเร็ว
- จัดให้มีระบบคลังข้อมูล (Data Warehouse) และคลังข้อมูลขนาดใหญ่ (Data Lake) ที่มีประสิทธิภาพ สามารถรองรับ การให้บริการได้อย่างต่อเนื่อง และเป็นระบบพื้นฐานสำหรับการวิเคราะห์ข้อมูลทางธุรกิจ
- จัดทำระบบกำกับดูแลด้านคุณภาพของข้อมูลให้มีความถูกต้อง และมีความน่าเชื่อถือสูง (Data Quality)
- มีการจัดทำคำอธิบายชุดข้อมูล (Meta Data) และ Data Catalog เพื่อสะดวกในการสืบค้นรายการข้อมูลได้อย่าง มีประสิทธิภาพและสะดวกต่อผู้ใช้ข้อมูล
การบริหารจัดการความเสี่ยงและการกำกับดูแลด้านเทคโนโลยีสารสนเทศ
เพื่อรับมือกับความท้าทายและภัยคุกคามทางไซเบอร์ที่มีการเปลี่ยนแปลงอย่างรวดเร็วและซับซ้อน บริษัทได้กำหนด กลยุทธ์การบริหารจัดการความเสี่ยงและการกำกับดูแลด้านเทคโนโลยีสารสนเทศที่ครอบคลุม โดยเน้นไปที่การป้องกัน การตอบสนอง และการฟื้นฟูจากเหตุการณ์ที่ไม่คาดคิด เพื่อรักษาความมั่นคงปลอดภัยของข้อมูลและการดำเนินธุรกิจ อย่างต่อเนื่อง กลยุทธ์นี้ประกอบไปด้วย 4 แนวทางหลัก ดังนี้
1. การกำกับดูแล การระบุประเด็นความเสี่ยง และกำหนดเป้าหมายอย่างมีประสิทธิภาพ (Governance and Risk identification)
บริษัทได้กำหนดโครงสร้างและหน้าที่ความรับผิดชอบในการบริหารความเสี่ยงและกำกับดูแลด้านเทคโนโลยี สารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์อย่างชัดเจนและเหมาะสม โดยแบ่งแยกตามหลัก 3 lines of defense ได้แก่ หน่วยงานผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศและผู้ใช้งานระบบเทคโนโลยีสารสนเทศ (1st line of defense) หน่วยงานที่ทำหน้าที่บริหารความเสี่ยงและกำกับกฎเกณฑ์ ด้านเทคโนโลยีสารสนเทศ (2nd line of defense) และหน่วยงานที่ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศ (3rd line of defense) โดยคณะกรรมการ บริษัททำหน้าที่ในการอนุมัตินโยบายการบริหารความเสี่ยง เพื่อให้การปฏิบัติงานสอดคล้องกับกรอบการบริหาร ความเสี่ยงขององค์กร และเพื่อเป็นแนวทางในการดำเนินการของบริษัทฯ และมอบหมายให้คณะกรรมการ กำกับความเสี่ยงทำหน้าที่ติดตามและกำกับดูแลให้มีการบริหารความเสี่ยงเป็นไปตามนโยบายดังกล่าว
บริษัทได้จัดทำนโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและแนวปฏิบัติที่ครอบคลุมกระบวนการรายงานระดับความเสี่ยง ผลการประเมิน และการบริหารความเสี่ยง โดยประเมินโอกาสและผลกระทบตามสถานการณ์ ที่อาจเกิดขึ้น (Scenario) รวมถึงความเสี่ยงที่อาจเกิดขึ้น (Risk Event) พร้อมกำหนดระดับความเสี่ยงเป้าหมาย (Target Risk) และระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) การประเมินความเสี่ยงจะพิจารณาตาม ความซับซ้อนของเทคโนโลยี เช่น ด้านปฏิบัติการ กลยุทธ์ ชื่อเสียง และกฎหมาย การบริหารความเสี่ยงนี้มีการ ประสานงานระหว่างหน่วยงานด้านเทคโนโลยีและผู้ใช้งานระบบเพื่อกำหนดมาตรการ ลดความเสี่ยงและควบคุม ภายในบริษัทใช้มาตรฐาน เช่น NIST Cybersecurity Framework และ ISO/IEC 27001:2022 พร้อมติดตาม สถานะความเสี่ยงด้านเทคโนโลยี (IT KRIs) อย่างต่อเนื่อง นอกจากนี้ บริษัทฯ ยังให้ความสำคัญในการบริการ จัดการความเสี่ยงครอบคลุมถึงผู้มีส่วนได้ส่วนเสีย จึงจัดให้มีการดำเนินการประเมินความเสี่ยงของผู้ให้บริการ ภายนอกด้านเทคโนโลยีสารสนเทศ โดยพิจารณาระดับความสำคัญและความเสี่ยงในการจัดจ้าง แบ่งระดับ ความเสี่ยงออกเป็น 3 ระดับ ได้แก่ ระดับความเสี่ยงสูง ปานกลาง และต่ำ เพื่อจัดลำดับความสำคัญของบริการและ ดำเนินการจัดการความเสี่ยงได้อย่างเหมาะสม
2. การป้องกัน การติดตามเฝ้าระวัง และรู้เท่าทันภัยคุกคามทางไซเบอร์ (Protect and Detect)
บริษัทใช้ระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention - DLP) และการเข้ารหัสข้อมูลทั้งในระหว่าง ส่งและจัดเก็บ (Data in transit และ Data at rest) เพื่อรักษาความปลอดภัยของข้อมูล รวมถึงมีการใช้เทคโนโลยี และอุปกรณ์ตรวจสอบระบบแบบเรียลไทม์เพื่อเฝ้าระวังเซิร์ฟเวอร์ อุปกรณ์เครือข่าย แอปพลิเคชัน และบริการต่าง ๆ ทำให้สามารถตอบสนองต่อปัญหาที่เกิดขึ้นได้อย่างรวดเร็ว และมีการวางแผนยกระดับความปลอดภัยผ่านการใช้ Zero Trust Network Access (ZTNA) ซึ่งจะช่วยควบคุมการเข้าถึงแอปพลิเคชันและป้องกันความเสี่ยงจากการ ทำงานระยะไกล คาดว่าแผนนี้จะเสร็จสมบูรณ์ในปีหน้าเพื่อเพิ่มความปลอดภัยในการทำงานแบบ Hybrid Work และการให้บริการที่มีประสิทธิภาพ นอกจากนี้บริษัทได้จัดทำ Cyber simulation เพื่อฝึกพนักงานให้ตระหนักรู้ เท่าทันและสามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างเหมาะสม
3. ความสามารถในการเยียวยาฟื้นฟูจากเหตุฉุกเฉิน (Response and Recovery)
บริษัทได้จัดการทดสอบแผนการตอบสนองต่อเหตุการณ์ฉุกเฉินทางไซเบอร์ เช่น การถูกโจมตีหรือ การละเมิดข้อมูล (Data Breach) โดยมีกระบวนการ Incident Response เพื่อให้ทีมเผชิญเหตุสามารถจัดการ และแก้ไขปัญหาได้อย่างรวดเร็ว ลดความเสียหายให้อยู่ในวงจำกัดและประสานงานได้อย่างมีประสิทธิภาพ นอกจากนี้ บริษัทได้จัดทำและทดสอบ แผนฟื้นฟูจากภัยพิบัติ (Disaster Recovery Plan - DRP) เป็นระยะ เพื่อให้สามารถรองรับภัยคุกคามใหม่ๆ และกู้คืนระบบให้กลับคืนสู่สภาพปกติภายในเวลาที่กำหนด
การประเมินความพร้อมยังครอบคลุมถึงการจัดการกับเหตุการณ์ที่มีผลกระทบสำคัญต่อการดำเนินงาน เช่น ระบบล่มหรือขัดข้อง โดยมีการประเมินความเสี่ยงการตรวจสอบการใช้งานระบบและการบริหารจัดการความ ต่อเนื่องทางธุรกิจเพื่อให้มั่นใจว่าบริษัทมีมาตรการที่เหมาะสมในการรับมือกับสถานการณ์ฉุกเฉินได้อย่าง มีประสิทธิภาพ
4. การสร้างวัฒนธรรมองค์กรด้านไซเบอร์ที่เหมาะสม (Cyber Behavior and Culture Awareness)
บริษัทได้กำหนดวัตถุประสงค์ เป้าหมาย และกลยุทธ์ในการขับเคลื่อนองค์กรให้มีความเติบโตอย่างยั่งยืน โดยประยุกต์ใช้เทคโนโลยีและนวัตกรรมเพื่อปรับกระบวนการทำงานให้มีความคล่องตัวและสามารถรองรับ การทำงานในรูปแบบ Digital Transformation มากยิ่งขึ้น บริษัทมุ่งมั่นสร้างวัฒนธรรมองค์กรด้านไซเบอร์ ที่แข็งแกร่ง โดยส่งเสริมการเรียนรู้ทางดิจิทัล (Digital Literacy) และการให้ความรู้เกี่ยวกับความปลอดภัย ทางไซเบอร์ให้กับพนักงานทุกระดับผ่านการใช้ e-Learning platforms และการจัดกิจกรรม Cybersecurity Awareness อย่างต่อเนื่องเพื่อให้พนักงานทุกระดับมีความรู้และทักษะในการป้องกันภัยคุกคามทางไซเบอร์ ได้อย่างมีประสิทธิภาพ
นอกจากนี้ ในปี 2567 บริษัทฯ ให้ความสำคัญกับการดำเนินธุรกิจด้วยการใช้เทคโนโลยี ดังนี้
- การขับเคลื่อนองค์กรสู่ Data-Driven Organization
บริษัทฯ ได้ผลักดันโครงการบริหารจัดการข้อมูล (Data Management) เพื่อใช้ข้อมูลและเทคโนโลยีอย่างเต็มที่ โดยการเก็บรวบรวมและวิเคราะห์ข้อมูลผ่านกระบวนการ Advanced Analytics ซึ่งช่วยให้บริษัทฯ สามารถสร้าง Customer Profile และ Customer Segmentation ที่แม่นยำมากขึ้น ข้อมูลเหล่านี้เป็นรากฐานสำคัญ ในการพัฒนาการบริการและตอบสนองความต้องการของลูกค้าได้อย่างมีประสิทธิภาพมากยิ่งขึ้น - การยกระดับโครงสร้างพื้นฐานด้านความปลอดภัยด้วย Zero Trust
บริษัทฯ ได้ยกระดับความปลอดภัยทางเทคโนโลยีสารสนเทศ ผ่านการนำเทคโนโลยี Zero Trust Network Access (ZTNA) มาใช้ ซึ่งช่วยควบคุมการเข้าถึงแอปพลิเคชันและสร้างความปลอดภัยในการทำงานแบบ Hybrid Work โดยเน้นการป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการทำงานระยะไกลรวมถึงเพิ่มความมั่นใจการให้บริการ ที่ปลอดภัยและมีประสิทธิภาพ - การปรับปรุงกระบวนการทำงานและการเพิ่มทักษะด้านเทคโนโลยี
บริษัทฯ มุ่งเน้นการพัฒนาทักษะด้านดิจิทัลของพนักงาน (Digital Literacy) เพื่อสนับสนุนการดำเนินงาน ที่ทันสมัยและคล่องตัว ทั้งในด้านการบริหารจัดการ NPLs และ NPAs โดยการนำเทคโนโลยีและวิธีการทำงานใหม่ๆ มาปรับใช้ พนักงานได้รับการอบรมและพัฒนาทักษะใหม่ ๆ อย่างต่อเนื่อง เพื่อให้สามารถใช้งานเทคโนโลยีดิจิทัล ได้อย่างมีประสิทธิภาพและตอบสนองต่อการเปลี่ยนแปลงของธุรกิจ
การสร้างวัฒนธรรมและพฤติกรรม การรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Security Behavior and Culture Program: SBCPs)
บริษัทฯ ให้ความสำคัญในการใช้งานเทคโนโลยีดิจิทัลให้มีความปลอดภัยและเหมาะสม จึงมีการกำหนดกลยุทธ์ ในด้านการเรียนรู้และการพัฒนาด้านเทคโนโลยีดิจิทัล (Digital Literacy) ของพนักงาน อีกทั้งยังเสริมสร้างวัฒนธรรม และพฤติกรรมการรักษาความปลอดภัย (Security Behavior and Culture Program: SBCPs) เพื่อพัฒนาบุคลากร ให้ก้าวทันการเปลี่ยนแปลงในด้านเทคโนโลยีซึ่งจะช่วยสนับสนุนองค์กรในการขับเคลื่อนพัฒนากระบวนการทำงานให้ทัน สมัยและมีประสิทธิภาพ รองรับการเติบโตอย่างยั่งยืน โดยมีแนวทางในการสร้างความตระหนักประกอบด้วย 3 ขั้นตอน ได้แก่ การจำลองสถานการณ์เสมือนจริง (Simulation Testing) การสื่อสารและการเรียนรู้ฝึกอบรม (Communication and Training) และการประเมินผลและการพัฒนาปรับปรุงอย่างต่อเนื่อง (Evaluation and Continuous Improvement)
การประเมินความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) สำหรับด้านเทคโนโลยี
สำหรับความเสี่ยงที่เกิดขึ้นใหม่ในปี 2567 ที่เป็นความเสี่ยงด้านเทคโนโลยี (Technological) ที่อาจเกิดขึ้นและ ส่งผลกระทบต่อบริษัทในระยะสั้นและระยะยาวได้ ทั้งการใช้งานเทคโนโลยีดิจิทัลที่ไม่เหมาะสมจนนำไปสู่การได้รับข้อมูลเท็จ และการบิดเบือนของข้อมูล (Misinformation and Disinformation) ที่พนักงานอาจส่งข้อมูลอันเป็นเท็จโดยไม่รู้ว่า ข้อมูลที่ได้รับเป็นข้อมูลจริงหรือเท็จ และผลลัพธ์ที่เกิดจากการใช้งานเทคโนโลยี AI (Adverse Outcomes of AI) ซึ่งอาจเกิดผลกระทบต่อข้อมูลสำคัญในบริษัทฯ ที่อาจส่งผลกระทบต่อการรั่วไหลของข้อมูลสำคัญของบริษัทได้ ดังนั้นจึงต้องมีการประเมินความเสี่ยงที่เกิดขึ้นใหม่ในด้านเทคโนโลยี (Emerging Risk) ดังต่อไปนี้
ความเสี่ยงจากการรับรู้ข้อมูลผิดๆ และการบิดเบือนข้อมูล (Misinformation and Disinformation)
ในยุคดิจิทัลที่ทุกคนสามารถเป็นทั้งผู้รับและผู้สร้างข่าวสารได้ การเผยแพร่และแชร์ข้อมูลเกิดขึ้นได้อย่างรวดเร็ว ไม่ว่าจะเป็นข้อมูลที่เป็นความจริงหรือข้อมูลที่ผิดพลาดหรือข้อมูลที่เป็นเพียงความคิดเห็นส่วนตัวอาจสร้าง ความเข้าใจผิดและเกิดเป็นความเสี่ยง ซึ่งบริษัทให้ความสำคัญในการจัดการความเสี่ยงจากการรับรู้ข้อมูลผิด ๆ (Misinformation) และการบิดเบือนข้อมูล (Disinformation) ที่อาจเกิดจากแหล่งข้อมูลที่หลากหลาย ไม่ว่าจะเป็นข่าวลือจากสื่อออนไลน์ หรือการเผยแพร่ข้อมูลโดยมีเจตนาที่ไม่ดี เช่น การสร้างข่าวลวง เป็นต้น
กระบวนการบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล
- Data Protection by Design and by Default
การประเมินการใช้ข้อมูล ให้สอดคล้องตามกฎหมาย โดยประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA) และกำาหนดมาตรการ ความปลอดภัยและควบคุมข้อมูลเป็นค่าเริ่มต้นตั้งแต่ ขั้นตอนการออกแบบ - Data Protection Governance
การกากับติดตามและควบคุม ดูแลตั้งแต่การเก็บรวบรวม เข้าถึง ใช้เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูล การจัดเก็บรักษา และทําลาย รวมถึงมาตรการ รักษาความมั่นคงปลอดภัย ของข้อมูลและการบริหาร ความเสี่ยงด้านข้อมูล - Privacy Notice
การแจ้งให้ลูกค้าทราบถึง เงื่อนไข วัตถุประสงค์ ของการเก็บรวบรวมข้อมูล ประเภท ขอบเขต ระยะเวลา และการให้รับความยินยอม จากลูกค้าที่ชัดเจน รวมถึงสิทธิของเจ้าของข้อมูล - Employee Training & Awareness
การสื่อสาร การอบรม ให้ความรู้และการสร้าง ความตระหนักแก่พนักงาน ตลอดจนการแลกเปลี่ยน เรียนรู้ร่วมกันระหว่าง หน่วยงาน - Data Protection Assurance
การตรวจสอบกิจกรรมการ ประมวลผลข้อมูลส่วนบุคคล ให้เป็นไปตาม PDPA และ นโยบายการคุ้มครองข้อมูล ส่วนบุคคล ตลอดจนการให้ ค่าปรึกษาและข้อเสนอแนะ กับหน่วยงานของบริษัท - Data Breach Management
การตรวจสอบ ติดตาม เฝ้าระวัง และเตรียม ความพร้อมรับมือกรณีเกิดเหตุการณ์ ละเมิดข้อมูลส่วนบุคคล
การดำเนินงานเพื่อคุ้มครองข้อมูลส่วนบุคคล
- การอบรมและสร้างสร้างความตระหนักด้านการคุ้มครองข้อมูลส่วนบุคคล
- Data Protection Training 100% ของพนักงาน ที่เข้ารับการฝึกอบรมด้านการ คุ้มครอง ข้อมูลส่วนบุคคล
บริษัทฯ สนับสนุนและส่งเสริมให้พนักงานมีความรู้และความเข้าใจ ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยจัดฝึกอบรมผ่านหลักสูตร “Data Protection Awareness” ในรูปแบบ E-Learning เพื่อให้พนักงานปฏิบัติตามนโยบายด้านการคุ้มครองข้อมูลและข้อกำหนดของกฎหมาย PDPA ที่เกี่ยวข้องได้อย่างถูกต้องและมีประสิทธิภาพ - Data Protection Awareness จำนวนสื่อ 12 บทความที่เผยแพร่ต่อเนื่อง เป็นประจำทุกเดือน
บริษัทฯ สื่อสารความรู้และสร้างความเข้าใจให้พนักงานทุกคนเกี่ยวกับแนวทาง การปฏิบัติงานด้านการคุ้มครองข้อมูลและความเสี่ยงในการประมวลผล ข้อมูลส่วนบุคคลที่อาจเกิดขึ้น ผ่านรูปแบบ Infographics และ VDO Clip เพื่อให้พนักงานสามารถปฏิบัติตามนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล ได้อย่างมีประสิทธิภาพ
- Data Protection Training 100% ของพนักงาน ที่เข้ารับการฝึกอบรมด้านการ คุ้มครอง ข้อมูลส่วนบุคคล
- การบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล 100% ของการทบทวนและจัด ทำบันทึกกิจกรรมกาประมวลผลข้อมูลส่วนบุคคล
บริษัทฯ มีการทบทวนและจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities: RoPA) อย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการประมวลผลและการเปิดเผยข้อมูลส่วนบุคคลเป็นไปอย่างถูกต้องตามกรอบการดำเนินการและกฎเกณฑ์ที่กฎหมายกำหนด
- การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล จำนวน 2 โครงการใหม่ ที่ผ่านการประเมิน DPIA
เมื่อบริษัทฯ ริเริ่มกิจกรรมลักษณะใหม่หรือเปลี่ยนแปลงลักษณะการดำเนินการที่ สำคัญของกิจกรรมที่มีการประมวลผลข้อมูลสวนบุคคล จะทำการประเมิน Data Protection Impact Assessment (DPIA) เพื่อประเมินความเสี่ยงที่อาจเกิด การละเมิดสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
- การให้คำปรึกษาและยกระดับความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล จำนวน 19 ประเด็น การให้คำปรึกษา/คำแนะนำ
บริษัทฯ กำหนดให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เป็นศูนย์กลาง ในการให้คำปรึกษาและข้อเสนอแนะเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่หน่วยงานภายใน หากมีประเด็นที่อาจกระทบสิทธิส่วนบุคคล จะมีการจัดทำสื่อในรูปแบบ Infographics หรือ Q&A PDPA ผ่านอีเมล เพื่อยกระดับความรู้และให้พนักงาน ปฏิบัติงานได้อย่างถูกต้อง
- การฝึกซ้อมและทดสอบกรณีที่มีการละเมิดข้อมูลส่วนบุคคลหรือข้อมูลรั่วไหล (Data Breach) 100 % ตามแผนการ ทดสอบประจำปี
บริษัทฯ ได้จัดทำแผนรองรับกรณีการละเมิดข้อมูลส่วนบุคคลหรือข้อมูลรั่วไหล (Data Breach) พร้อมทั้งดำเนินการฝึกซ้อมและทดสอบเพื่อเตรียมความพร้อม ในการตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้นโดยมุ่งเน้นให้พนักงานและผู้ที่เกี่ยวข้องสามารถตอบสนองได้อย่างมีประสิทธิภาพและเป็นไปตามขั้นตอนที่กำหนด
- การติดตามและสอบทานภายใน และการจัดทำรายงานตัวชี้วัดสำคัญ (Compliance check and Monitoring) 100 % ตามแผนการ ติดตามและสอบทาน ภายในประจำปี
บริษัทฯ ติดตามและสอบทานกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูล ส่วนบุคคลที่สำคัญ โดยใช้แนวทางตามข้อกำหนดของกฎหมาย ระเบียบ นโยบาย และแนวปฏิบัติของบริษัทฯ พร้อมจัดทำรายงานตัวชี้วัดสำคัญ (Key Indicators Dashboard) สำหรับ DPO และผู้บริหารเพื่อติดตามผลการบริหารงานด้านการ คุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ บริษัทฯ ยังเข้าร่วมกิจกรรมตรวจแนะนำการ กำกับการคุ้มครองข้อมูลส่วนบุคคล 10 ด้าน (PDPC Regulator Checklist) จัดโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อเพิ่มประสิทธิภาพ ในการกำกับดูแลและป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล
แนวทางสำหรับการดำเนินงานในอนาคตที่เกี่ยวข้องกับ การคุ้มครองข้อมูลส่วนบุคคล
การศึกษาผลกระทบของปัญญาประดิษฐ์ (AI) ที่มีต่อการคุ้มครองข้อมูลส่วนบุคคล
- การวิเคราะห์แนวโน้มความเสี่ยงและผลกระทบของปัญญาประดิษฐ์ (AI) ที่มีต่อการคุ้มครองข้อมูลส่วนบุคคล และการปกป้องสิทธิส่วนบุคคล
- จัดทำกรอบนโยบายการใช้งานปัญญาประดิษฐ์ (AI) โดยระบุข้อกำหนดการใช้ AI ที่เป็นธรรมและโปร่งใส
- การผสานนโยบาย "Privacy by Design" และ "Ethical AI" ในขั้นตอนของการพัฒนา AI เพื่อให้การออกแบบ และการทำงานของ AI เป็นไปตามแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
การจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลกับผู้ให้บริการภายนอก
- จัดทำกระบวนการประเมินความเสี่ยงและสอบทานผู้ให้บริการภายนอก (Third Party) โดยเน้น ผู้ให้บริการด้านเทคโนโลยีสารสนเทศที่เข้าถึงข้อมูลสำคัญและระบบของบริษัทฯ
- ประเมินความสอดคล้องของผู้ให้บริการภายนอกกับข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) และการปฏิบัติตามมาตรการความปลอดภัยตาม PDPA
การสร้างความรู้และความตระหนักรู้ในองค์กร
- จัดทำโครงการฝึกอบรมและสร้างความตระหนักให้กับพนักงานในทุกระดับเกี่ยวกับการคุ้มครองข้อมูลส่วน บุคคลและความปลอดภัยด้านสารสนเทศ เพื่อให้พนักงานเข้าใจบทบาทและความรับผิดชอบในการปฏิบัติงาน ตามข้อกำหนด PDPA
- ส่งเสริมวัฒนธรรมการรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นส่วนหนึ่งของวัฒนธรรมองค์กร
- การทดสอบมาตรการคุ้มครองข้อมูลในสถานการณ์จำลองที่ใกล้เคียงกับเหตุการณ์จริง เพื่อให้มั่นใจว่ามาตรการต่าง ๆ สามารถรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ.