การรักษาข้อมูลส่วนบุคคลและความปลอดภัยทางไซเบอร์

การรักษาข้อมูลส่วนบุคคลและความปลอดภัยทางไซเบอร์

        บริษัทฯ ตระหนักดีว่าความไว้วางใจของลูกค้าและผู้มีส่วนได้ส่วนเสียเป็นหัวใจสำคัญของการดำเนินธุรกิจที่ยั่งยืน จึงมุ่งมั่นดำเนินงานภายใต้นโยบายการคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวด สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เพื่อปกป้องสิทธิความเป็นส่วนตัวและป้องกันการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคลในทุกมิติ
        เพื่อให้การบริหารจัดการข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ บริษัทฯ ได้กำหนดแนวปฏิบัติที่ครอบคลุมตั้งแต่กระบวนการพิจารณาการเก็บรวบรวมข้อมูลส่วนบุคคลตามกฎหมาย การบริหารจัดการข้อมูลส่วนบุคคลที่ใช้ในการประมวลผลข้อมูลส่วนบุคคล การจัดเก็บรักษาตามมาตรการรักษาความปลอดภัยของข้อมูล ทั้งนี้ บริษัทฯ ได้วางโครงสร้างการกำกับดูแลผ่านมาตรการสำคัญ ดังนี้ 

  • การทำลายข้อมูลส่วนบุคคล: มีกระบวนการกำกับและตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลอย่างถูกวิธีและปลอดภัย เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเมื่อข้อมูลดังกล่าวไม่มีความเกี่ยวข้องและเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม เพื่อลดความเสี่ยงและสร้างความมั่นใจว่าบริษัทฯ ถือครองข้อมูลเฉพาะเท่าที่จำเป็นตามกฎหมายเท่านั้น โดยในปี 2568 ได้ริเริ่มโครงการศึกษาแนวทางการบริหารจัดการข้อมูลส่วนบุคคลที่ครบระยะเวลาการจัดเก็บข้อมูลเพื่อดำเนินการการลบทำลายหรือทำให้เป็นข้อมูลนิรนามให้สอดคล้องตามที่กฎหมายกำหนด
  • การจัดการเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Procedure): บริษัทฯ ได้จัดทำขั้นตอนการปฏิบัติที่ชัดเจนเพื่อรองรับกรณีที่มีการละเมิดข้อมูลส่วนบุคคลหรือข้อมูลรั่วไหล ครอบคลุมทั้งข้อมูลรูปแบบอิเล็กทรอนิกส์และเอกสารกระดาษ โดยมีการกำหนดบทบาทหน้าที่ของผู้ที่เกี่ยวข้องมาตรการเยียวยาและกระบวนการประสานงานแจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างทันท่วงที
  • การพัฒนาและปรับปรุงอย่างต่อเนื่อง: มุ่งเน้นการสร้างความตระหนักรู้แก่พนักงานผ่านการฝึกอบรมและซ้อมเผชิญเหตุ (Drill) เพื่อให้เท่าทันต่อภัยคุกคามรูปแบบใหม่ ๆ อย่างสม่ำเสมอ เพื่อยกระดับมาตรฐานความปลอดภัยของข้อมูลให้มีความยั่งยืนและสร้างความเชื่อมั่นแก่ผู้มีส่วนได้ส่วนเสียทุกกลุ่มในระยะยาว

     

เป้าหมายการดำเนินงาน

เป้าหมายการดำเนินงาน

การร้องทุกข์ที่ได้รับการพิสูจน์เกี่ยวกับการละเมิด ความเป็นส่วนตัวของลูกค้า

ไม่มีกรณีการรั่วไหล การขโมย หรือการสูญหายของข้อมูลลูกค้าที่ได้รับการเก็บรวบรวม

ไม่มีกรณีการร้องทุกข์ จากบุคคลภายนอก และ/หรือ จากหน่วยงานกำกับดูแล

ผลการดำเนินงาน

จำนวนการร้องทุกข์ที่ได้รับการพิสูจน์เกี่ยวกับการละเมิด ความเป็นส่วนตัวของลูกค้า

ไม่มีกรณีการรั่วไหล การขโมย หรือการสูญหายของข้อมูลลูกค้าที่ได้รับการเก็บรวบรวม

ไม่มีกรณีการร้องทุกข์จากบุคคลภายนอก และ/หรือ จากหน่วยงานกำกับดูแล

ผลการดำเนินงาน

การร้องทุกข์ที่ได้รับการพิสูจน์เกี่ยวกับการละเมิดความเป็นส่วนตัวของลูกค้า

นโยบายการคุ้มครองข้อมูลส่วนบุคคลและการกำกับดูแล

  1. นโยบายและขอบเขตการบังคับใช้ บริษัทฯ ประกาศใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ที่สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยมีเจตนารมณ์เพื่อให้การดำเนินธุรกิจเป็นไปตามมาตรฐานกฎหมายและหลักธรรมาภิบาล ทั้งนี้ บริษัทฯ ได้ขยายขอบเขตการกำกับดูแลให้ครอบคลุมไม่เพียงแต่หน่วยงานภายในองค์กร แต่ยังรวมถึงพันธมิตรทางธุรกิจ คู่ค้า และผู้รับจ้างดำเนินการ (Data Processors) เพื่อให้มั่นใจว่าตลอดห่วงโซ่คุณค่า (Value Chain) ของบริษัทฯ มีมาตรการปกป้องข้อมูลที่มีประสิทธิภาพและเป็นมาตรฐานเดียวกัน
  2. บทบาทหน้าที่และความรับผิดชอบ เพื่อให้การกำกับดูแลเป็นไปอย่างมีประสิทธิผล บริษัทฯ ได้กำหนดโครงสร้างความรับผิดชอบที่ชัดเจน ดังนี้
    •    ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller): บริษัทฯ ปฏิบัติหน้าที่ในฐานะผู้ควบคุมข้อมูล โดยรับผิดชอบในการกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลอย่างโปร่งใส การใช้ข้อมูลของลูกค้าจะเกิดขึ้นภายใต้ฐานทางกฎหมายที่ถูกต้องหรือตามวัตถุประสงค์ที่ได้รับความยินยอม (Consent) จากลูกค้าเท่านั้น เพื่อให้มั่นใจว่าการใช้ข้อมูลเป็นไปตามขอบเขตและเจตนารมณ์ของเจ้าของข้อมูลอย่างแท้จริง 
    •    เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO): บริษัทฯ ได้แต่งตั้ง DPO เพื่อทำหน้าที่ให้คำแนะนำ และตรวจสอบการดำเนินงานให้สอดคล้องกับกฎหมาย การบริหารความเสี่ยงที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล รวมถึงการติดตามตรวจสอบ และรายงานความไม่สอดคล้องต่อฝ่ายบริหาร นอกจากนี้ DPO ยังมีบทบาทในการประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และหน่วยงานภายนอก เพื่อให้มั่นใจว่าบริษัทฯ ปฏิบัติตามกฎหมายและมาตรฐานที่เกี่ยวข้องอย่างครบถ้วน
โครงสร้างและบทบาทหน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคล.png

 3.  กรอบการดำเนินงานเพื่อความสอดคล้องตามกฎหมาย บริษัทฯ ยึดมั่นการปฏิบัติตามข้อกำหนด PDPA ผ่านกระบวนการทำงานที่เป็นระบบ ดังนี้
       •    Lawfulness & Security: ประมวลผลข้อมูลตามฐานทางกฎหมายที่เหมาะสม พร้อมจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล (Data Security) ที่ได้มาตรฐาน
       •    Transparency: แจ้งนโยบายความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์และรายละเอียดการประมวลผลอย่างชัดเจนก่อนหรือในขณะเก็บรวบรวมข้อมูล
       •    Records of Processing Activities (RoPA): จัดทำและปรับปรุงบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อความพร้อมในการตรวจสอบ
       •    Risk Management (DPIA): ดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment - DPIA) ในกรณีที่มีการประมวลผลข้อมูลที่มีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
       •    Third-Party Management: จัดทำข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) กับคู่ค้าหรือผู้ให้บริการภายนอก เพื่อควบคุมความเสี่ยงและกำหนดขอบเขตความรับผิดชอบตามกฎหมาย
       •    Data Subject Rights: จัดเตรียมช่องทางและกระบวนการรองรับการใช้สิทธิของเจ้าของข้อมูล (Data Subject Rights Request) ให้เป็นไปตามกรอบระยะเวลาและเงื่อนไขที่กฎหมายกำหนด

รับรางวัล PRIVACY SELF-ASSESSMENT EXCELLENCE.png

BAM รับรางวัล PRIVACY SELF-ASSESSMENT EXCELLENCE AWARD 2025
โดย BAM เป็น 1 ใน 3 ของหน่วยงานภาคเอกชน ที่ได้รับรางวัล
จากการเข้าร่วมโครงการของหน่วยงานภาครัฐและภาคเอกชน ทั้งหมด 142 หน่วยงาน 

 

การกำกับดูแล ประเมินความเสี่ยงเทคโนโลยีและระบบสารสนเทศใหม่

        สำหรับโครงการหรือระบบใหม่ที่บริษัทมีการนำไปใช้งาน บริษัทต้องจัดให้มีการกำกับดูแลและการบริหารความเสี่ยงที่ชัดเจน รวมถึงการประเมินความเสี่ยงก่อนการนำใช้และการติดตามผลหลังดำเนินการ เพื่อให้มั่นใจว่าระบบดังกล่าวสนับสนุนเป้าหมายเชิงกลยุทธ์ขององค์กร ทั้งนี้ บริษัทได้มีการประเมินความเสี่ยงเทคโนโลยีใหม่ที่เกี่ยวข้องกับการใช้งานปัญญาประดิษฐ์ (AI) จำนวน 1 โครงการ โดยการประเมินครอบคลุมความเสี่ยงที่อาจเกิดจากการพัฒนาและนำเทคโนโลยี AI มาใช้งาน ซึ่งอาจส่งผลกระทบต่อการดำเนินงานและก่อให้เกิดความเสี่ยงใหม่ที่บริษัทจำเป็นต้องติดตามและบริหารอย่างต่อเนื่อง โดยกระบวนการประเมินความเสี่ยงด้าน AI ครอบคลุมปัจจัยสำคัญ 5 ด้าน ได้แก่
        1)    บุคคลและสังคม (People and Social)
        2)    บริบททางเศรษฐกิจ (Economic Context)
        3)    ข้อมูลและอินพุต (Data and Input)
        4)    แบบจำลองปัญญาประดิษฐ์ (AI Model)
        5)    งานและผลลัพธ์ (Task and Output)
        ทั้งนี้ เพื่อให้มั่นใจว่าการนำเทคโนโลยี AI มาใช้งานในการสนับสนุนการดำเนินงานของบริษัทเป็นไปอย่างปลอดภัย มีประสิทธิภาพ และสอดคล้องกับเป้าหมายเชิงกลยุทธ์ขององค์กร รวมถึงสามารถระบุและควบคุมความเสี่ยงที่อาจเกิดขึ้นในแต่ละด้าน พร้อมแนวทางในการจัดการความเสี่ยงได้อย่างเหมาะสม
        นอกจากนี้ บริษัทจัดให้ประเมินความเสี่ยงของระบบสารสนเทศของบริษัทในคณะทำงานด้านการบริหารจัดการการเปลี่ยนแปลงระบบสารสนเทศ โดยมีระบบที่อยู่ภายใต้การติดตามจำนวน 19 ระบบ และได้ดำเนินการ Go-Live แล้ว จำนวน 9 ระบบ โดยกระบวนการบริหารความเสี่ยงของระบบงานครอบคลุมการประเมินเหตุการณ์ความเสี่ยง (Risk Scenario) ผลกระทบ (Impact) โอกาสเกิด (Likelihood) และระดับความเสี่ยง (Risk Level) พร้อมทั้งระบุมาตรการในการลดผลกระทบหากมีการนำระบบดังกล่าวมาใช้งาน
 

การบริหารจัดการความเสี่ยงและการกำกับดูแลด้านเทคโนโลยีสารสนเทศ

        บริษัทให้ความสำคัญต่อการบริหารความเสี่ยงและกำกับกฎเกณฑ์ด้านเทคโนโลยีสารสนเทศ โดยมุ่งหวังการยกระดับและพัฒนากระบวนการทำงานให้สอดคล้องกับกลยุทธ์ของบริษัท จึงพิจารณาจัดให้มีนโยบาย แนวปฏิบัติ มาตรการและกระบวนการทำงานขึ้น พร้อมทั้งจัดให้มีกระบวนการทบทวนความสอดคล้องอย่างเป็นประจำและต่อเนื่อง เพื่อให้บริษัทมีการบริหารจัดการที่เหมาะสมและเท่าทันต่อเหตุการณ์ที่อาจเกิดขึ้น และสอดคล้องตามมาตรฐานสากล ในการนี้บริษัทจึงได้กำหนดกลยุทธ์ในการบริหารความเสี่ยงและกำกับกฎเกณฑ์ด้านเทคโนโลยีสารสนเทศ โดยมุ่งเป้าไปที่การประยุกต์ใช้เทคโนโลยี และการรับมือต่อภัยคุกคามทางไซเบอร์ใหม่ ๆ ที่อาจเกิดขึ้น อันเนื่องจากการนำปัญญาประดิษฐ์ที่มาใช้งานอย่างแพร่หลายในชีวิตประจำวัน โดยมีแนวทางดำเนินการ 4 ขั้นตอน ดังนี้

cyber risk management.png

1.    การกำกับดูแล การระบุประเด็นความเสี่ยง และกำหนดเป้าหมายอย่างมีประสิทธิภาพ (Governance and Risk identification)

        บริษัทกำหนดโครงสร้างการบริหารความเสี่ยงและการกำกับดูแลด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยที่ชัดเจนและเหมาะสม โดยแบ่งแยกหน้าที่และความรับผิดชอบตามหลัก 3 lines Model ได้แก่ หน่วยงานผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศและผู้ใช้งานระบบเทคโนโลยีสารสนเทศ (1st line) หน่วยงานที่ทำหน้าที่บริหารความเสี่ยงและกำกับกฎเกณฑ์ด้านเทคโนโลยีสารสนเทศ (2nd line) และหน่วยงานที่ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศ (3rd line) โดยคณะกรรมการบริษัททำหน้าที่ในการอนุมัตินโยบายการบริหารความเสี่ยง เพื่อให้การปฏิบัติงานสอดคล้องกับกรอบการบริหารความเสี่ยงขององค์กร และเพื่อเป็นแนวทางในการดำเนินการของบริษัทและมอบหมายให้คณะกรรมการกำกับความเสี่ยงทำหน้าที่กำกับดูแลและติดตามให้มีการบริหารความเสี่ยงเป็นไปตามนโยบายดังกล่าว
        บริษัทได้จัดทำนโยบายและแนวปฏิบัติการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศที่ครอบคลุมกระบวนการรายงานระดับความเสี่ยง ผลการประเมิน และการบริหารความเสี่ยง โดยประเมินโอกาสและผลกระทบตามเหตุการณ์ความเสี่ยงที่อาจเกิดขึ้น (Risk Scenario) พร้อมกำหนดระดับความเสี่ยงเป้าหมาย (Target Risk) และระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) การประเมินความเสี่ยงจะพิจารณาตามความซับซ้อนของเทคโนโลยี เช่น ด้านปฏิบัติการ กลยุทธ์ ชื่อเสียง และกฎหมาย เป็นต้น การบริหารความเสี่ยงนี้มีการประสานงานระหว่างหน่วยงานผู้ปฏิบัติงานด้านเทคโนโลยีและผู้ใช้งานระบบเพื่อกำหนดมาตรการลดความเสี่ยงและควบคุมภายใน ตามมาตรฐานสากล เช่น NIST Cybersecurity Framework และ ISO/IEC 27001:2022 พร้อมติดตามสถานะความเสี่ยงด้านเทคโนโลยี (IT KRIs) อย่างต่อเนื่อง และจัดให้มีการประเมินความเสี่ยงตั้งต้นขององค์กร (Inherent Risk : IR) และการประเมินความสามารถในการบริหารจัดการความเสี่ยงภายในองค์กร (Risk Management Capability : RMC) โดยครอบคลุม 6 ด้าน ได้แก่ ด้านกลยุทธ์ (Strategic risk) ด้านการปฏิบัติงาน (Operational risk) ด้านเทคโนโลยีที่นำมาใช้ (Technology risk) ด้านชื่อเสียงขององค์กร (Reputation risk) ด้านภัยคุกคามทางไซเบอร์ (Cyber risk) และด้านกฎหมายและกฎระเบียบ (Compliance risk) พร้อมประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ แนวโน้มความเสี่ยงและแนวทางในการปรับปรุงกระบวนการที่ใช้ในการติดตามและประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศที่สำคัญ (IT Key Risks Indicators : IT KRIs) ขององค์กร และจากผลการทบทวนดัชนีชี้วัดความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT KRIs) ประจำปี 2568 ที่ได้รับอนุมัติโดยคณะกรรมการกำกับความเสี่ยง ประกอบด้วย 6 ดัชนี ได้แก่
        •    KRI 1: ความสำเร็จในการบริหารจัดการโครงการด้าน IT
        •    KRI 2: ความสามารถในการป้องกันการโจมตี
        •    KRI 3: ระยะเวลาในการกู้คืนระบบธุรกรรมหลัก
        •    KRI 4: จำนวนครั้งในการแก้ไขปัญหาให้แล้วเสร็จตามระยะเวลามาตรฐาน (SLA)
        •    KRI 5: อัตราการหยุดทำงานของระบบงานสำคัญ
        •    KRI 6: การละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคลที่เป็นอิเล็กทรอนิกส์
        นอกจากนี้ พัฒนาและการนำปัญญาประดิษฐ์ (AI) มาใช้ในการปฏิบัติงานอาจก่อให้เกิดผลกระทบและความเสี่ยงใหม่ๆ บริษัทจึงได้ดำเนินการติดตามและบริหารความเสี่ยงอย่างใกล้ชิด เพื่อให้บริษัทมีการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ พร้อมกำหนดมาตรการที่เหมาะสมในการควบคุมความเสี่ยงที่เกิดขึ้นตลอดวงจรชีวิตของ AI โดยมีการประเมินความเสี่ยงจากปัจจัยที่ครอบคลุมทั้งมิติของบุคคล สังคม เศรษฐกิจ ข้อมูล แบบจำลอง AI และผลลัพธ์ที่เกิดจากการใช้งาน เพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้
        ในปี 2568 บริษัทดำเนินการกำกับ ติดตาม และให้คำแนะนำในการประเมินความเสี่ยงที่เกี่ยวข้องตามมาตรฐานสากล ISO/IEC 27001:2022 ประจำปี 2568 โดยการทบทวนความเสี่ยงให้สอดคล้องกับเกณฑ์การประเมินที่ครอบคลุมเหตุการณ์ความเสี่ยง (Risk Scenario) พร้อมกำหนดมาตรการจัดการความเสี่ยงตามระดับความเสี่ยงที่เหมาะสม ทั้งนี้ ยังมีการติดตามแผนการปรับปรุงร่วมกับหน่วยงานที่เกี่ยวข้องอย่างต่อเนื่อง เพื่อให้ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของบริษัทเป็นไปตามมาตรฐานที่กำหนดอย่างมีประสิทธิภาพ
    นอกจากนี้ บริษัทยังให้ความสำคัญในการบริการจัดการความเสี่ยงครอบคลุมถึงผู้มีส่วนได้ส่วนเสีย จึงจัดให้มีการดำเนินการประเมินความเสี่ยงของผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ โดยพิจารณาตามระดับความสำคัญและความเสี่ยงในการจัดจ้าง โดยแบ่งระดับความเสี่ยงเป็น 3 ระดับ ได้แก่ ระดับความเสี่ยงสูง ปานกลาง และต่ำ เพื่อจัดลำดับความสำคัญของบริการและดำเนินการจัดการความเสี่ยงได้อย่างเหมาะสม

2.    การป้องกัน การติดตามเฝ้าระวัง และรู้เท่าทันภัยคุกคามทางไซเบอร์ (Protect and Detect)

        บริษัทมีมาตรการในการป้องกันความเสี่ยงต่อภัยคุกคามทางไซเบอร์ของบริษัท ทั้งเรื่องการป้องกันความเสี่ยงจากองค์กร ความเสี่ยงจากการใช้งานทรัพย์สินสารสนเทศ การควบคุมการเข้าถึง (Access Control) ทางเทคนิคและกายภาพ เช่น การใช้ MFA เป็นต้น การกำหนดสิทธิ์เข้าถึงระบบงานตามบทบาทหน้าที่ การรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงการป้องกันความเสี่ยงจากปัจจัยภายนอกที่อาจกระทบต่อบริษัท อาทิ ความเสี่ยงอันเนื่องจากการปฏิบัติงานของผู้ให้บริการบุคคลภายนอก โดยมีการประเมินความเสี่ยงจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing) ความเสี่ยงอันเนื่องจากช่องโหว่จากผู้ไม่หวังดี โดยบริษัทได้จัดให้มีการตรวจประเมินช่องโหว่ (Vulnerability Assessment) และจัดให้มีการทดสอบเจาะระบบเครือข่ายทั้งภายในและภายนอก (Penetration Testing) ประจำปี 2568 เพื่อค้นหาภัยคุกคามเชิงรุก และยกระดับความสามารถในการตรวจจับเหตุผิดปกติอย่างต่อเนื่อง
        นอกจากนี้ บริษัทยกระดับความปลอดภัยสำหรับป้องกันและเฝ้าระวังภัยคุกคามอย่างต่อเนื่อง โดยจัดให้มีเครื่องมือหรืออุปกรณ์ Zero Trust Network Access ในการช่วยควบคุมการเข้าถึงระบบและป้องกันความเสี่ยงที่มีการตรวจจับภัยคุกคามที่อาจเกิดขึ้น ควบคู่กับมาตรการรักษาความปลอดภัยของข้อมูล เช่น การเข้ารหัส ระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention - DLP) รวมถึงการจัดให้มีระบบจัดเก็บและรวบรวมข้อมูลจากระบบงานสำคัญและตรวจจับความผิดปกติแบบเรียลไทม์ เช่น SIEM เป็นต้น เพื่อให้บริษัทสามารถตรวจจับและรับมือภัยคุกคามที่เกิดขึ้นได้อย่างรวดเร็ว และลดผลกระทบที่อาจเกิดขึ้นต่อผู้มีส่วนเกี่ยวข้องทุกภาคส่วนให้ได้รับผลกระทบน้อยที่สุด

3.    ความสามารถในการเยียวยาฟื้นฟูจากเหตุฉุกเฉิน (Response and Recovery)

        เพื่อเตรียมความพร้อมในการรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยและประเมินผลกระทบต่อเหตุการณ์ผิดปกติที่อาจเกิดขึ้น ซึ่งส่งผลกระทบต่อการดำเนินงานทางธุรกิจขององค์กร บริษัทจึงจัดให้มีการทดสอบแผนการตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cyber Drill) โดยเหตุการณ์ทดสอบเป็นการถูกโจมตีทางไซเบอร์ (Phishing Simulation) จำนวน 2 ครั้ง โดยยกระดับความเข้มข้นของการทดสอบด้วยเนื้อหาอีเมลที่มีความสมจริงมากขึ้น เพื่อให้สอดคล้องกับภัยคุกคามในปัจจุบัน
        อีกทั้งดำเนินการทดสอบการรับมือภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Incident Response) ตามแผนปฏิบัติงาน เพื่อให้บริษัทสามารถบริหารจัดการและสามารถแก้ไขปัญหาและเหตุการณ์ที่ไม่คาดคิดได้อย่างรวดเร็ว ลดความเสียหายให้อยู่ในวงจำกัดและประสานงานได้อย่างมีประสิทธิภาพ ตลอดจนการเฝ้าระวังและติดตามอย่างต่อเนื่องเพื่อไม่ให้เกิดขึ้นซ้ำอีก โดยการทดสอบกรณีเกิดเหตุการณ์ภัยคุกคามทางไซเบอร์ในลักษณะของ APT (Advanced Persistent Threat) ซึ่งเริ่มจากการส่ง Phishing Email ลวงให้ผู้ใช้งานเปิดไฟล์แนบ ส่งผลให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงระบบภายใน สามารถควบคุมระบบได้บางส่วนกระจาย Ransomware ภายในเครือข่าย ทำให้สามารถขโมยและส่งออกข้อมูลสำคัญ (Data Breach) เปิดเผยไปภายนอก
        นอกจากนี้ บริษัทจัดให้ดำเนินการทดสอบแผนฟื้นฟูจากภัยพิบัติ (Disaster Recovery Plan : DRP) ประจำปี 2568 เพื่อให้รองรับภัยคุกคามใหม่ และสามารถกู้คืนระบบให้สามารถพร้อมใช้งานได้ตามปกติภายในระยะเวลาที่กำหนด โดยมีรายละเอียดการทดสอบดังนี้
        •    รูปแบบการทดสอบ : Simulation
        •    สถานการณ์จำลอง : เกิดแผ่นดินไหวที่สำนักงานใหญ่ (Data Center) ทำให้ไม่สามารถใช้งานระบบงานได้ จำเป็นต้องย้ายการทำงานไปยังศูนย์สำรองระบบ (DR Site) 
        โดยการประเมินความพร้อมยังครอบคลุมถึงการบริหารจัดการต่อเหตุการณ์ผิดปกติที่อาจส่งผลกระทบต่อการดำเนินงาน เช่น ระบบขัดข้องหรือล่ม ระบบไม่พร้อมใช้งาน เป็นต้น โดยมีการประเมินความเสี่ยง ตรวจสอบการใช้งานของระบบ และการบริหารจัดการความต่อเนื่องทางธุรกิจ เพื่อให้มั่นใจว่าบริษัทมีมาตรการที่เหมาะสมในการรับมือกับสถานการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพ

4.    การสร้างวัฒนธรรมองค์กรด้านไซเบอร์ที่เหมาะสม (Cyber Behavior and Culture Awareness)

        มีการกำหนดวัตถุประสงค์ เป้าหมายการดำเนินงานในการขับเคลื่อนองค์กรให้เติบโตอย่างยั่งยืน โดยมีการประยุกต์ใช้เทคโนโลยีและนวัตกรรมเพื่อปรับกระบวนการทำงานให้มีความคล่องตัวและสามารถรองรับการทำงานในรูปแบบ Digital Transformation มากยิ่งขึ้น บริษัทมุ่งมั่นสร้างวัฒนธรรมองค์กรด้านไซเบอร์ที่แข็งแกร่ง โดยส่งเสริมการเรียนรู้ทางดิจิทัล (Digital Literacy) และมีการจัดกิจกรรม Cybersecurity Awareness อย่างต่อเนื่อง เพื่อให้พนักงานทุกระดับมีความรู้และทักษะในการป้องกันภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ ผ่านกิจกรรมส่งเสริมการเรียนรู้ต่าง ๆ อาทิ

        •    โครงการสร้างวัฒนธรรมและพฤติกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Security Behavior and Culture Program: SBCPs)
              บริษัทฯ จัดทำโครงการสนับสนุนการดำเนินงานตามแผนงานด้านความยั่งยืนของบริษัทฯ ให้พนักงานผ่าน เกม Cyber Playground แบบ E-learning interactive ที่ผสมผสานการไขปริศนาและการเรียนรู้ โดยให้ผู้เล่นรับบทเป็นพนักงานที่เผชิญสถานการณ์จำลองภัยคุกคามทางไซเบอร์ (รูปที่ 1)
 

cyber playground.png
รูปที่ 1 เกม Cyber Playground

ระบบ Cyber playground ประกอบด้วย 2 สถานี (Stations) ได้แก่
        •    Station 1: Phishing Defense
             สอนวิธีสังเกตอีเมลผิดปกติและเทคนิคการตั้งรหัสผ่าน (Password) ที่ปลอดภัย (รูปที่ 2) ผู้เล่นฝึกระบุอีเมลปลอมที่มีเนื้อหาสมจริงและบริหารจัดการรหัสผ่าน พร้อมทำแบบทดสอบประเมินความเข้าใจ เพื่อลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ และส่งเสริมพฤติกรรมรักษาความปลอดภัยข้อมูล
 

phising defense.png
รูปที่ 2 สถานี Phishing Defense

        •    Station 2: Secure Data Handling
             ครอบคลุมการจัดชั้นความลับของข้อมูล (Data Classification) การแบ่งประเภทของข้อมูลส่วนบุคคล (Personal Data) และผลกระทบจากการละเมิดข้อมูลส่วนบุคคล (Data Breach) (รูปที่ 3) เพื่อให้พนักงานเข้าใจวิธีปฏิบัติที่ถูกต้องในการจัดการข้อมูลส่วนบุคคลลดความเสี่ยง และสร้างวัฒนธรรมการคุ้มครองข้อมูลส่วนบุคคลในองค์กร
 

Secure data handling.png
รูปที่ 3 สถานี Secure Data Handling

        •    การจัดอบรมด้านการบริหารจัดการความเสี่ยงเทคโนโลยีใหม่ (New Technology Management Training)
              การจัดอบรมด้านการบริหารจัดการความเสี่ยงเทคโนโลยีใหม่ ครอบคลุมการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศแก่พนักงานทุกระดับและผู้มีส่วนได้เสีย โดยเชิญวิทยากรที่มีความรู้ความเชี่ยวชาญในด้านต่าง ๆ รวมถึงเทคโนโลยีในโลกยุคใหม่ อาทิ
              1)    หลักสูตรเกี่ยวกับบริหารจัดการความเสี่ยงเทคโนโลยีใหม่ ในหัวข้อ “AI & ME: The Next Prompt – พร้อมใช้งาน” ดังรูปที่ 4 เพื่อเสริมสร้างความตระหนักและความรู้ความเข้าใจด้านการรักษาความปลอดภัยในการใช้งานเทคโนโลยีดิจิทัล และการรับมือต่อเหตุการณ์ที่บริษัทอาจเผชิญในปัจจุบันและภัยใหม่ ๆ ที่อาจเกิดขึ้นในอนาคต พร้อมเสริมสร้างความรู้พื้นฐานในการใช้งานและความเสี่ยงที่อาจส่งผลกระทบต่อองค์กรจากการใช้งาน Generative AI
 

ai and me the next prompt.jpg
รูปที่ 4 การอบรมหัวข้อ “AI & ME : The Next Prompt – พร้อมใช้งาน”

              2)    หลักสูตร “Cyber Security Awareness” หัวข้อ Cyber Survivor : เอาชีวิตรอดจากโลกไซเบอร์ ดังรูปที่ 5 เพื่อแลกเปลี่ยนประสบการณ์ทำงานของผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ รวมทั้งการสื่อสารขั้นตอนการปฏิบัติงานที่เหมาะสมในการป้องกัน และรับมือภัยคุกคามให้กับบุคลากรของบริษัท โดยมุ่งหวังให้บุคลากรมีความรู้เท่าทันการหลอกลวง และมีส่วนร่วมในการยับยั้งภัยคุกคามที่อาจส่งผลกระทบต่อบริษัทได้ เช่น วิธีการสังเกต และขั้นตอนการแจ้งเหตุภัยคุกคาม หรือการร้องขอให้มีการตรวจสอบพฤติกรรมที่อาจสงสัยว่าเป็นภัยคุกคามทางไซเบอร์ เป็นต้น
 

cyber survivor.png

 

การสร้างวัฒนธรรมและพฤติกรรม การรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Security Behavior and Culture Program: SBCPs)

บริษัทฯ ให้ความสำคัญในการใช้งานเทคโนโลยีดิจิทัลให้มีความปลอดภัยและเหมาะสม จึงมีการกำหนดกลยุทธ์ ในด้านการเรียนรู้และการพัฒนาด้านเทคโนโลยีดิจิทัล (Digital Literacy) ของพนักงาน อีกทั้งยังเสริมสร้างวัฒนธรรม และพฤติกรรมการรักษาความปลอดภัย (Security Behavior and Culture Program: SBCPs) เพื่อพัฒนาบุคลากร ให้ก้าวทันการเปลี่ยนแปลงในด้านเทคโนโลยีซึ่งจะช่วยสนับสนุนองค์กรในการขับเคลื่อนพัฒนากระบวนการทำงานให้ทัน สมัยและมีประสิทธิภาพ รองรับการเติบโตอย่างยั่งยืน โดยมีแนวทางในการสร้างความตระหนักประกอบด้วย 3 ขั้นตอน ได้แก่  การจำลองสถานการณ์เสมือนจริง (Simulation Testing) การสื่อสารและการเรียนรู้ฝึกอบรม (Communication and Training) และการประเมินผลและการพัฒนาปรับปรุงอย่างต่อเนื่อง (Evaluation and Continuous Improvement)

การประเมินความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) สำหรับด้านเทคโนโลยี

        ในปี 2568 บริษัทเผชิญความเสี่ยงด้านเทคโนโลยีใหม่ ๆ (Emerging Technological Risks) ที่อาจส่งผลกระทบทั้งระยะสั้นและระยะยาว ได้แก่ การโจรกรรมทางไซเบอร์ ซึ่งผู้ไม่หวังดีอาจเข้าถึงข้อมูลสำคัญของบริษัทโดยไม่ได้รับอนุญาต การใช้งานเทคโนโลยีใหม่อย่างไม่ถูกต้องของพนักงาน ส่งผลให้เกิดการสร้างข้อมูลที่ผิดพลาด นำไปสู่การรับส่งข้อมูลอันเป็นเท็จและการบิดเบือนของข้อมูล (Misinformation and Disinformation) รวมถึงผลลัพธ์จากการใช้งานเทคโนโลยี AI แม้จะเป็นความเสี่ยงระยะยาว แต่มีแนวโน้มเพิ่มขึ้นเมื่อเทคโนโลยีก้าวหน้า ซึ่งความเสี่ยงเหล่านี้เป็น Emerging Risk ที่อาจกระทบต่อข้อมูลสำคัญของบริษัทและก่อให้เกิดการรั่วไหลของข้อมูลได้ ดังนั้นบริษัทจึงต้องมีการบริหารจัดการความเสี่ยงที่เกิดขึ้นใหม่ในด้านเทคโนโลยี (Emerging Technological Risks) ดังนี้

1.    ความเสี่ยงจากการโจรกรรมข้อมูล (Cyber espionage)
       ผลกระทบต่อบริษัท:
       เกิดการสูญเสียข้อมูลสำคัญหรือข้อมูลที่มีความละเอียดอ่อนของลูกค้า เช่น Username Password เป็นต้น และปรากฏบน Dark web หรือไฟล์ที่มีการเผยแพร่ทางอินเทอร์เน็ต ถือว่าเป็นการละเมิดหรือรั่วไหลของข้อมูลสำคัญของบริษัท นอกจากนี้ยังกระทบต่อความเชื่อมั่นของลูกค้า บริษัทอาจเผชิญกับค่าปรับและบทลงโทษทางกฎหมายจากการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล
       แนวทางการดำเนินการแก้ไข:
       บริษัทมีการกำหนด มาตรการและแนวปฏิบัติสำหรับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศและไซเบอร์ที่เหมาะสม มีการบริหารจัดการสิทธิ์ในการเข้าถึง (Access Control) ตรวจสอบช่องโหว่ของระบบอย่างสม่ำเสมอ พร้อมทั้งสร้างความตระหนักให้กับพนักงานเกี่ยวกับความสำคัญของการรักษาความปลอดภัยข้อมูล

2.    ความเสี่ยงจากข้อมูลเท็จและการบิดเบือนข้อมูล (Misinformation and Disinformation)
       ผลกระทบต่อบริษัท:
       การสร้างข้อมูลไม่ถูกต้องหรือข้อมูลอันเป็นเท็จ และมีเนื้อหาบิดเบือน อาจส่งผลให้ลูกค้าหรือ ผู้มีส่วนได้เสียได้รับข้อมูลที่คลาดเคลื่อน เข้าใจผิด ซึ่งอาจนำไปสู่การตัดสินใจที่ผิดพลาด และการนำข้อมูลอันเป็นเท็จไปเผยแพร่ อาจส่งผลกระทบต่อการดำเนินงานของบริษัท นอกจากนี้อาจทำให้เกิดความเสียหายในด้านภาพลักษณ์ขององค์กร และทำให้ขาดความเชื่อมั่นของลูกค้าและผู้มีส่วนได้เสีย
       แนวทางการดำเนินการแก้ไข:
       บริษัทมีการจัดฝึกอบรมแก่พนักงานเกี่ยวกับการบริหารจัดการข้อมูล รวมถึงระมัดระวังการใช้งานข้อมูล โดยเน้นการตรวจสอบความถูกต้องของข้อมูลก่อนนำไปใช้หรือเผยแพร่ และพัฒนาเครื่องมือสื่อการเรียนรู้ในรูปแบบใหม่ เพื่อเพิ่มความเข้าใจในการประเมินความถูกต้อง ตรวจสอบแหล่งที่มาและความน่าเชื่อถือของข้อมูลทุกครั้งก่อนเผยแพร่หรือใช้ในการทำงาน

3.    ความเสี่ยงจากผลลัพธ์จากการใช้งานเทคโนโลยี AI (Adverse outcomes of AI)
       ผลกระทบต่อบริษัท:
       การนำผลลัพธ์จากเทคโนโลยี AI ที่ได้จาก Generative AI (Gen-AI) โดยไม่มีการตรวจสอบหรือประเมินความถูกต้องของข้อมูล อาจได้รับข้อมูลที่บิดเบือนหรือข้อมูลอันเป็นเท็จส่งผลต่อการตัดสินใจที่ผิดพลาด รวมถึงความถูกต้องของข้อมูลที่นำไปใช้กับการดำเนินงานของบริษัท
       นอกจากนี้ การนำข้อมูลที่เป็นความลับหรือข้อมูลที่ใช้ภายในบริษัท เช่น ข้อมูลลูกค้า เอกสารภายใน เป็นต้น ไปใช้งานผ่านบัญชี Gen-AI ที่เป็นบัญชีส่วนตัว อาจทำให้เกิดความเสี่ยงที่ทำให้ข้อมูลรั่วไหล ถูกนำไปฝึกโมเดล หรือถูกนำไปใช้โดยบุคคลภายนอกได้โดยไม่ได้ตั้งใจ ความเสี่ยงเหล่านี้อาจส่งผลกระทบต่อด้านความมั่นคงปลอดภัยสารสนเทศ การคุ้มครองข้อมูลส่วนบุคคล รวมถึงด้านชื่อเสียงและภาพลักษณ์
       แนวทางการดำเนินการแก้ไข:
       บริษัทได้กำหนดแนวปฏิบัติด้านการใช้งานเทคโนโลยี Generative AI เพื่อเป็นแนวทางให้พนักงานสามารถใช้งานเทคโนโลยี Gen-AI ได้อย่างเหมาะสม ปลอดภัย และสอดคล้องตามหลักจริยธรรม โดยเน้นย้ำความรับผิดชอบในการตรวจสอบความถูกต้องของผลลัพธ์ก่อนนำไปใช้ในงานจริง รวมถึงห้ามนำข้อมูลภายในบริษัท ข้อมูลลูกค้า หรือข้อมูลที่มีความอ่อนไหวใดๆ ไปใช้กับเทคโนโลยี AI ที่อยู่นอกเหนือการควบคุมของบริษัท 
       นอกจากนี้ บริษัทได้จัดให้มีการอบรมการบริหารจัดการความเสี่ยงจากการใช้เทคโนโลยี Gen-AI เพื่อเสริมสร้างความรู้ และความเข้าใจเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นจากการใช้งานเทคโนโลยีดังกล่าว อันจะเป็นการช่วยลดความเสี่ยงที่อาจเกิดจากการใช้งานอย่างเหมาะสมและปลอดภัยยิ่งขึ้น
 

กระบวนการบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล

  • Data Protection by Design and by Default
              การประเมินการใช้ข้อมูลให้สอดคล้องตามกฎหมาย โดยประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA) และกำหนดมาตรการความปลอดภัยและควบคุมข้อมูลเป็นค่าเริ่มต้นตั้งแต่ขั้นตอนการออกแบบ  
  • Data Protection Governance
              การกากับติดตามและควบคุม ดูแลตั้งแต่การเก็บรวบรวม เข้าถึง ใช้เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูล การจัดเก็บรักษา และทําลาย รวมถึงมาตรการ รักษาความมั่นคงปลอดภัย ของข้อมูลและการบริหาร ความเสี่ยงด้านข้อมูล
  • Privacy Notice
              การแจ้งให้ลูกค้าทราบถึง เงื่อนไข วัตถุประสงค์ ของการเก็บรวบรวมข้อมูล ประเภท ขอบเขต ระยะเวลา และการให้รับความยินยอม จากลูกค้าที่ชัดเจน รวมถึงสิทธิของเจ้าของข้อมูล
  • Employee Training & Awareness
              การสื่อสาร การอบรม ให้ความรู้และการสร้าง ความตระหนักแก่พนักงาน ตลอดจนการแลกเปลี่ยน เรียนรู้ร่วมกันระหว่าง หน่วยงาน
  • Data Protection Assurance
              การตรวจสอบกิจกรรมการ ประมวลผลข้อมูลส่วนบุคคล ให้เป็นไปตาม PDPA และ นโยบายการคุ้มครองข้อมูล ส่วนบุคคล ตลอดจนการให้ ค่าปรึกษาและข้อเสนอแนะ กับหน่วยงานของบริษัท
  • Data Breach Management
              การตรวจสอบ ติดตาม เฝ้าระวัง และเตรียม ความพร้อมรับมือกรณีเกิดเหตุการณ์ ละเมิดข้อมูลส่วนบุคคล

การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล

  1. การอบรมและสร้างความตระหนักด้านการคุ้มครองข้อมูลส่วนบุคคล
    1)    การทดสอบมาตรฐานความรู้  
           พนักงานเข้าร่วมการทดสอบความรู้ ครอบคลุมร้อยละ 85.46 ของกลุ่มเป้าหมาย เพื่อให้มั่นใจว่าพนักงานมีความเข้าใจที่ถูกต้องในการปฏิบัติงาน บริษัทฯ ได้จัดให้มีการทดสอบความรู้ ผ่านระบบ Cyber Playground ภายใต้หัวข้อ “Secure Data Handling” เพื่อเป็นการประเมินศักยภาพและความพร้อมของพนักงานในการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามมาตรฐานขององค์กร
    2)    การส่งเสริมความตระหนักรู้ด้านการคุ้มครองข้อมูล  
            เผยแพร่สื่อประชาสัมพันธ์ จำนวน 12 ชิ้นงาน (โดยสื่อสารต่อเนื่องเป็นประจำทุกเดือน) เพื่อให้พนักงานตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล บริษัทฯ ได้ดำเนินการเผยแพร่องค์ความรู้เกี่ยวกับแนวทางการปฏิบัติงานและการบริหารความเสี่ยงอย่างต่อเนื่อง ผ่านช่องทางสื่อสารที่หลากหลาย เช่น สื่ออินโฟกราฟิก (Infographics) และ คลิปวิดีโอ (Video Clips) เพื่อสร้างความเข้าใจที่ชัดเจนและส่งเสริมให้พนักงานทุกระดับสามารถปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลได้อย่างเคร่งครัด
     
  2. การทบทวนและปรับปรุงบันทึกกิจกรรมการประมวลผล
           กิจกรรมการประมวลผลข้อมูลส่วนบุคคลได้รับการทบทวนและบันทึกข้อมูลอย่าง ครบถ้วนร้อยละ 100 บริษัทฯ ให้ความสำคัญกับการทบทวนและปรับปรุง บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities : RoPA) ให้มีความถูกต้องและเป็นปัจจุบันอยู่เสมอ เพื่อให้มั่นใจว่าทุกขั้นตอนการประมวลผลและการเปิดเผยข้อมูลส่วนบุคคล เป็นไปอย่างโปร่งใสและสอดคล้องกับข้อกำหนดของกฎหมาย 
     
  3. การประเมินความเสี่ยงและผลกระทบ (DPIA)
            โครงการใหม่ จำนวน 2 โครงการ ผ่านเกณฑ์การประเมินผลกระทบ (DPIA) ครบถ้วน บริษัทฯ ให้ความสำคัญกับการบริหารความเสี่ยงก่อนเริ่มดำเนินการ โดยกำหนดให้มีการทำแบบประเมินผลกระทบ (DPIA) สำหรับทุกโครงการใหม่หรือเมื่อมีการเปลี่ยนแปลงกระบวนการประมวลผลข้อมูลที่มีนัยสำคัญ ทั้งนี้ เพื่อวิเคราะห์และป้องกันความเสี่ยงที่อาจส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลให้มีประสิทธิภาพสูงสุด
     
  4. การให้คำปรึกษาและส่งเสริมองค์ความรู้
            ดำเนินการให้คำปรึกษาและข้อแนะนำด้านการคุ้มครองข้อมูลส่วนบุคคล รวม 12 กรณี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ดำเนินการให้คำปรึกษาเชิงรุกแก่หน่วยงานต่างๆ เพื่อป้องกันความเสี่ยงด้านข้อมูลส่วนบุคคล พร้อมทั้งรวบรวมกรณีศึกษาและข้อซักถามที่น่าสนใจ มาพัฒนาเป็นสื่อการเรียนรู้ (Knowledge Sharing) ในรูปแบบ Infographics และ Q&A Series ผ่านระบบสื่อสารภายใน เพื่อสร้างความชัดเจนและยกระดับมาตรฐานการทำงานของพนักงานอย่างต่อเนื่อง
     
  5. การเตรียมความพร้อมเพื่อตอบสนองต่อสถานการณ์ฉุกเฉินด้านข้อมูล (Data Breach)
            ความสำเร็จในการดำเนินการฝึกซ้อมตามแผนประจำปี คิดเป็น ร้อยละ 100 เพื่อให้มั่นใจว่าบริษัทฯ มีความพร้อมในการปกป้องข้อมูลส่วนบุคคลในทุกสถานการณ์ บริษัทฯ ได้กำหนดแผนบริหารจัดการความต่อเนื่องและแผนรองรับเหตุข้อมูลรั่วไหล (Data Breach) โดยจัดให้มีการจำลองสถานการณ์ (Drill) เพื่อทดสอบความเข้าใจและความพร้อมของพนักงานในการบริหารจัดการเหตุวิกฤต (Crisis Management) ให้เป็นไปตามมาตรฐานสากล
     
  6. การบริหารจัดการและติดตามผลด้วย Key Indicators Dashboard
            ดำเนินการรายงาน ครบถ้วนร้อยละ 100 ตามแผนงานประจำปี เพื่อประสิทธิภาพในการติดตามและสอบทานการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทฯ ได้จัดทำรายงานตัวชี้วัดสำคัญ (Key Indicators Dashboard) เพื่อใช้ติดตามความคืบหน้าของกิจกรรมการประมวลผลข้อมูลในส่วนงานที่สำคัญ เครื่องมือดังกล่าวทำหน้าที่แสดงผลการดำเนินงานเทียบกับเกณฑ์มาตรฐานตามกฎหมายและนโยบายบริษัทฯ ช่วยให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และผู้บริหารสามารถกำกับดูแลและบริหารความเสี่ยงด้านข้อมูลส่วนบุคคลได้อย่างมีประสิทธิผล
     
  7. การกำกับดูแลและการสอบทานการปฏิบัติตามกฎหมาย
            ความสำเร็จในการดำเนินการสอบทานตามแผนงานประจำปี คิดเป็น 100% บริษัทฯ ให้ความสำคัญกับการกำกับดูแลกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลอย่างใกล้ชิด โดยเฉพาะในกระบวนการสำคัญ อาทิ งานลูกค้าสัมพันธ์ และงานบริหารจัดการงานคดี โดยดำเนินการสอบทานให้สอดคล้องกับข้อกำหนดของกฎหมาย ระเบียบ และนโยบายความเป็นส่วนตัวของบริษัทฯ อย่างเคร่งครัด
     
  8. ด้านความร่วมมือและสร้างเครือข่ายด้านการคุ้มครองข้อมูลส่วนบุคคลภายนอก
            เข้าร่วมโครงการความร่วมมือกับหน่วยงานกำกับดูแล จำนวน 2 โครงการ บริษัทฯ มุ่งมั่นยกระดับมาตรฐานการกำกับดูแลข้อมูลส่วนบุคคล โดยได้เข้าร่วมโครงการสำคัญภายใต้การกำกับดูแลของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้แก่ โครงการประเมินระดับการคุ้มครองข้อมูลส่วนบุคคล (Privacy Maturity Model) และการจัดทำตัวชี้วัด (Privacy Index) รวมถึงเข้าร่วมสัมมนาเพื่อรับทราบแนวทางปฏิบัติตามมาตรฐานกฎหมาย
            นอกจากนี้ ในปี 2568 บริษัทฯ ได้ดำเนินการประเมินความพร้อมขององค์กร (Self-Assessment) เพื่อเตรียมความพร้อมสำหรับการยื่นขอรับรองเครื่องหมายมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA Certification Mark) ซึ่งมีเป้าหมายที่จะได้รับรองภายในปี 2569

แนวทางสำหรับการดำเนินงานในอนาคตที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

  1. การเตรียมความพร้อมสำหรับ “โครงการส่งเสริมมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล”: มุ่งเน้นการปรับปรุงกระบวนการทำงานเพื่อเตรียมความพร้อมในการขอรับตราสัญลักษณ์หรือการรับรองมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Certification) ในอนาคต  
  2. การบริหารจัดการข้อมูลผู้ให้บริการภายนอก (Third-Party Risk Management): ขยายขอบเขตการกำกับดูแลความปลอดภัยไปยังห่วงโซ่อุปทาน โดยการเพิ่มมาตรการตรวจสอบและประเมินความเสี่ยงด้านข้อมูลของผู้ให้บริการภายนอก (Third-Party) ที่มีการเชื่อมต่อหรือประมวลผลข้อมูลร่วมกับ BAM เพื่อปิดความเสี่ยงจากภายนอก
  3. การเตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคลในยุค AI :
         •    วิเคราะห์แนวโน้มและความเสี่ยง (Risk Analysis) : ศึกษาและประเมินผลกระทบของเทคโนโลยีปัญญาประดิษฐ์ (AI) ที่มีต่อสิทธิมนุษยชนและข้อมูลส่วนบุคคล
         •    สร้างมาตรฐานการใช้งานที่โปร่งใส (Fair & Transparent Policy) : จัดทำกรอบนโยบายการใช้งานปัญญาประดิษฐ์ (AI) โดยระบุข้อกำหนดการใช้ AI ที่เป็นธรรมและโปร่งใส 
         •    ส่งเสริมและสนับสนุนการนำ AI มาใช้ ด้วยความรับผิดชอบ (Responsible AI Development): ผสานแนวคิด “Privacy by Design” และ “Ethical AI” เข้าสู่กระบวนการพัฒนาตั้งแต่เริ่มต้น (By Default) เพื่อความปลอดภัยสูงสุดของข้อมูล
ข้อมูลส่วนบุคคลยุค AI.png