ในยุคปัจจุบัน เทคโนโลยีสารสนเทศได้พัฒนาไปอย่างรวดเร็ว ปรับเปลี่ยนวิถีการติดต่อสื่อสารทั้งในการใช้้งานส่วนบุคคลและในเชิงธุรกิจก่อให้้เกิดการแลกเปลี่ยนข้อมูลการทำธุรกรรมต่าง ๆ บนโลกออนไลน์อย่างมหาศาลและเชื่อมโยงกันทั่วโลก ส่งผลให้้ผู้ใช้้บริการมีความเสี่ยงต่ออาชญากรรมในโลกไซเบอร์เพิ่มขึ้น หน่วยงานกำกับดูแลทั่วโลกต่างก็ให้ความสำคัญกับความปลอดภัยของระบบข้อมูลข่าวสารและการปกป้องข้อมูลส่วนบุคคล ในฐานะที่เอไอเอสเป็นผู้ให้บริการดิจิทัล บริษัทมีหน้าที่บริหารจัดการระบบข้อมูลสารสนเทศจำนวนมหาศาล ทั้งข้อมูลจากกระบวนการดำเนินธุรกิจและข้อมูลส่วนบุคคลของผู้ใช้บริการ เอไอเอสตระหนักว่าการปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้าให้ปลอดภัย และการกำกับดูแลการดำเนินการงานให้สอดคล้องกับกฎหมายที่เกี่ยวข้องจะช่วยป้องกันผลกระทบต่อผู้ใช้บริการจากการรั่วไหลของข้อมูลส่วนบุคคลรวมถึงลดความเสี่ยงต่อบริษัทในด้านการเงินและด้านชื่อเสีียง นอกจากนี้ เอไอเอสยังเล็งเห็นโอกาสที่จะคิดค้นและพัฒนาบริการด้านการรักษาความปลอดภัยไซเบอร์์อย่างครบวงจร เพื่อตอบโจทย์การใช้้งานและส่งเสริมศักยภาพในการดำเนินธุรกิจให้้แก่ลูกค้าองค์์กร เราตอบสนองต่อประเด็นนี้อย่างไรเอไอเอสกำกับดูแล กำหนดนโยบาย กระบวนการ และระบบการบริหารจัดการสำหรับทุกหน่วยงานตลอดทั้งองค์กร เพื่อให้ลูกค้าสามารถไว้วางใจว่า เอไอเอสมีการดำเนินการอย่างโปร่งใสในด้านการปกป้องระบบสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า รวมถึงระบุให้หัวข้อการปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้าไว้้ในการจัดการความเสี่ยงขององค์กร โดยมีคณะกรรมการตรวจสอบและกำกับความเสี่ยงเป็นผู้กำกับดูแลความเสี่ยง เอไอเอสยังบังคับใช้นโยบายความปลอดภัยทางไซเบอร์และนโยบายความเป็นส่วนตัวของข้อมูลสำหรับสำนักงานทุกแห่ง และขยายไปยังองค์กรภายนอกที่เกี่ยวข้องด้วย บริษัทดำเนินการตรวจสอบภายในอย่างเป็นระบบอย่างสม่ำเสมอเพื่อให้มั่นใจว่าการจัดการความเป็นส่วนตัวของข้อมูลและความปลอดภัยทางไซเบอร์และการดำเนินการที่เกี่ยวข้องเป็นไปตามนโยบาย มาตรฐาน และกรอบการทำงาน เพื่อแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องความเป็นส่วนตัวของข้อมูลและความปลอดภัยของข้อมูลของลูกค้า เราตั้งเป้าหมายต่อไปนี้ในปี 2567:
การดำเนินการเพื่อให้แน่ใจว่าการปกป้องข้อมูลของลูกค้ามีตั้งแต่การกำหนดมาตรการสำหรับการปกป้องความเป็นส่วนตัวของข้อมูลลูกค้าไปจนถึงการจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อน เอไอเอสยังรวมเอาหลัก Privacy by Design และ Privacy by Default ไว้ในบริการและผลิตภัณฑ์ตามความเหมาะสม การตั้งค่าข้อกำหนดสำหรับกระบวนการรับส่งข้อมูล ตลอดจนส่งเสริมความตระหนัก ความรู้ และความเข้าใจเกี่ยวกับการปกป้องข้อมูลของลูกค้าแก่บุคลากรและพันธมิตรทั้งหมด นอกจากนั้น เรายังสร้างระบบและเพิ่มประสิทธิภาพของกระบวนการตามคำขอของลูกค้าตามกระบวนการดังต่อไปนี้ สำหรับการจัดการคำขอข้อมูล บริษัทให้ข้อมูลลูกค้าแก่หน่วยงานราชการตามกฎหมายและเป็นธรรม โดยคำนึงถึงหลักสิทธิมนุษยชนของเจ้าของข้อมูลตามเงื่อนไขทางกฎหมาย ขั้นตอนการประเมิน และตอบสนองต่อการบังคับใช้กฎหมายหรือคำขอข้อมูลของรัฐบาล โดยมีกระบวนการดังนี้ : เอไอเอสมีโครงสร้างพื้นฐาน ระบบ และกำหนดข้อปฏิบัติเพื่อบริหารจัดการทดสอบรวมถึงเฝ้าระวังในการรักษาความมั่นคงความปลอดภัยไซเบอร์ โดยมีการจัดทำและปรับปรุงนโยบายรวมถึงแนวทางการปฏิบัติอย่างสม่ำเสมอ เพื่อให้สอดคล้องกับแนวทางการปฏิบัติสากลรวมถึงข้อบังคับที่เกี่ยวข้อง เอไอเอสนำกรอบการดำเนินงานด้านการรักษาความมั่นคงและปลอดภัยทางไซเบอร์ (National Institute of Standards and Technology: NIST) มาประยุกต์ใช้ในการออกแบบกระบวนการในการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ ประกอบด้วยขั้นตอน ดังนี้ แหล่งที่มา: National Institute of standards and Technology สำหรับการรับมือกับภัยคุกคามทางไซเบอร์และกระบวนการยกระดับการบริหารจัดการ (escalation process) เอไอเอสได้ประยุกต์ใช้ Cyber Incident Response Framework โดย NIST ในการปฏิบัติงานประจำวัน มีขั้นตอนดังนี้ แหล่งที่มา : Computer Security Incident Handling Guide โดย National Institute of Standards and Technology การดำเนินงานขององค์กรเอไอเอสได้ร่วมมือกับพันธมิตรที่หลากหลาย รวมทั้งได้รับการรับรองมาตรฐานต่างๆ เป็นการตอกย้ำความมุ่งมั่นในการรักษาความปลอดภัยของบริการและข้อมูลของลูกค้า ได้แก่ การประสานงานกับหน่วยงานกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เอไอเอสลงนามในบันทึกความเข้าใจ (MoU) เพื่อร่วมศึกษาและจัดตั้งศูนย์ประสานงานด้านไซเบอร์ของภาคธุรกิจโทรคมนาคม (Thai Telecommunication Computer Emergency Response Team: TTC CERT) ที่มีจุดประสงค์เพื่อส่งเสริมการประสานงาน การแบ่งปันข้อมูล การบริหารและจัดการเมื่อเกิดเหตุภัยคุกคามทางไซเบอร์ ระหว่างหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและหน่วยงานกำกับดูแล สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์
นอกจากนี้ พนักงานของ AIS ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์และฟังก์ชั่นที่เกี่ยวข้องกับความเป็นส่วนตัวของข้อมูลได้รับการฝึกอบรมและได้รับประกาศนียบัตรในด้านต่างๆ เพื่อให้ปฏิบัติงานได้ตามมาตรฐาน เช่น ด้าน Ethical hacking และ Penetration test การบริหารจัดการเมื่อเกิดเหตุการณ์ผิดปกติ (incident management) และ forensic รวมถึงการอบรมในด้านการบริหารความมั่นคงและความปลอดภัยของระบบเทคโนโลยีสารสนเทศ เป็นต้น ตารางสรุปผลการดำเนินงานหัวข้อหน่วย2561256225632564ด้านการคุ้มครองข้อมูลส่วนบุคคลจำนวนคำร้องเรียนที่ได้รับ ในการละเมิดความเป็นส่วนตัวและข้อมูลสูญหายคำร้องเรียนจากบุคคล หรือหน่วยงานทั่วไป 1กรณี1311245607คำร้องเรียนจากหน่วยยงานกำกับดูแลต่างๆกรณี47472320กรณีข้อมูลรั่วไหล ถูกขโมยหรือสูญหายกรณี0000ตำนวนคำร้องขอข้อมูลส่วนบุคคลของผู้ใช้บริการที่ได้รับจากหน่วยงานภาครัฐที่มีอำนาจตามกฏหมาย 2กรณี28,27028,33424,45325,442ร้อยละของจำนวนคำร้องขอทั้งหมดร้อยละ--92%70% 1 ข้อมูลจํานวนคําร้องเรียนที่ได้รับในปี 2564 มีการจําแนกประเภทข้อมูลที่ละเอียดมากขึ้น จึงรายงานคําร้องเรียนที่ได้รับการตรวจสอบว่าสมเหตุสมผลเท่านั้น 2 บริษัทมีการให้ข้อมูลการใช้บริการของผู้ใช้บริการแก่หน่วยงานของรัฐต่าง ๆ ตามอํานาจหน้าที่ที่กฎหมายกําหนดไว้ ได้แก่ ศาลยุติธรรม สํานักงานตํารวจแห่งชาติ สํานักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน เป็นต้น นโยบายที่เกี่ยวข้องนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ ชี้แจงรายละเอียดเกี่ยวกับหน้าที่และความรับผิดชอบขององค์กรเกี่ยวกับความปลอดภัยข้อมูลสารสนเทศ นโยบายการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคล ชี้แจงรายละเอียดเกี่ยวกับการเก็บรวบรวม การเก็บรักษา การเปิดเผยและการประมวลผลข้อมูลของลูกค้า เอไอเอสได้กำหนดมาตรการคุ้มครองข้อมูลผู้ใช้บริการ เพื่อชี้แจงให้ผู้ใช้บริการเข้าใจถึงระเบียบและข้อปฏิบัติของบริษัทที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จุดประสงค์ของการเก็บและการใช้งานข้อมูล เป็นต้น |