การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน

ความก้าวหน้าทางเทคโนโลยีที่รวดเร็วส่งผลให้ภัยคุกคามทางไซเบอร์และความเสี่ยงด้านการละเมิดข้อมูลส่วนบุคคลมีความซับซ้อนมากขึ้น แพลนบีตระหนักดีว่าความมั่นคงปลอดภัยของระบบสารสนเทศเป็นรากฐานสำคัญในการป้องกันผลกระทบต่อการดำเนินธุรกิจ การปกป้องชื่อเสียง และการรักษาความเชื่อมั่นของผู้มีส่วนได้เสีย บริษัทจึงมุ่งมั่นบังคับใช้นโยบายการรักษาความปลอดภัยของข้อมูลและมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด พร้อมทั้งยกระดับความตระหนักรู้ของพนักงานอย่างต่อเนื่อง

SDGs 16 SDGs 17

เป้าหมายและผลการดำเนินงาน

เป้าหมายด้านความยั่งยืน ผลการดำเนินงานปี 2568
ระยะยาว (ปี 2569-2573) ระยะสั้น (ปี 2569)
รักษาสถิติข้อร้องเรียนด้านการละเมิดข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูลลูกค้าให้เป็นศูนย์ รักษาสถิติข้อร้องเรียนด้านการละเมิดข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูลลูกค้าให้เป็นศูนย์ ไม่มีข้อเรียกร้องจากหน่วยงานของรัฐ ลูกค้า หรือผู้เกี่ยวข้องอื่น ๆ ในการใช้ข้อมูลส่วนบุคคลโดยมิชอบ และไม่มีข้อมูลของลูกค้ารั่วไหล
ร้อยละ 100 ของพนักงานทุกระดับต้องผ่านการอบรมและทดสอบความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์เป็นประจำทุกปี ร้อยละ 100 ของพนักงานทุกระดับต้องผ่านการอบรมและทดสอบความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA) และความมั่นคงปลอดภัยทางไซเบอร์ พนักงานทุกคนได้รับการอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคล (PDPA) และมีการจัดอบรมเกี่ยวกับความปลอดภัยทางไซเบอร์ (Cybersecurity)
ยกระดับการป้องกันข้อมูลและเตรียมความพร้อมสู่การรับรองมาตรฐานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศระดับสากล เช่น ISO/IEC 27001 หรือ NIST ทบทวนและปรับปรุงนโยบายความมั่นคงปลอดภัยสารสนเทศให้ครอบคลุมและพร้อมรับมือกับภัยคุกคามทางไซเบอร์รูปแบบใหม่
เป้าหมายและผลการดำเนินงาน
ความมุ่งมั่นของเราในการขับเคลื่อนความยั่งยืนสะท้อนผ่านเป้าหมายและผลการดำเนินงานด้าน ESG

ความมุ่งมั่น ความท้าทาย และโอกาส

ความมุ่งมั่น

แพลนบีให้ความสำคัญสูงสุดกับความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล โดยดำเนินงานตามกฎหมายและมาตรฐานสากล กำหนดนโยบาย มาตรการ และอบรมพนักงานอย่างต่อเนื่อง เพื่อสร้างความเชื่อมั่นแก่ผู้มีส่วนได้เสียทุกกลุ่ม

ความท้าทาย
  • ภัยคุกคามไซเบอร์ที่ซับซ้อนและเปลี่ยนแปลงตลอดเวลา เช่น มัลแวร์ ฟิชชิ่ง แรนซัมแวร์ และการโจมตีรูปแบบใหม่ที่ยากต่อการคาดการณ์
  • ความเสี่ยงจากการรั่วไหลหรือโจรกรรมข้อมูลส่วนบุคคล อาจเกิดจากทั้งปัจจัยภายใน (Human Error) และภายนอก (การโจมตีจากแฮกเกอร์) ซึ่งส่งผลต่อความปลอดภัยและการปฏิบัติตามกฎหมาย
  • ผลกระทบต่อความเชื่อมั่นของลูกค้า คู่ค้า และพันธมิตรทางธุรกิจ หากเกิดเหตุการณ์ด้านไซเบอร์หรือข้อมูล อาจกระทบต่อชื่อเสียง ความไว้วางใจ และความต่อเนื่องทางธุรกิจในระยะยาว
โอกาส
  • การปฏิบัติตามกฎหมายและมาตรฐานสากลอย่างเคร่งครัด สร้างความเชื่อมั่นแก่ลูกค้าและคู่ค้า เพิ่มความได้เปรียบทางการแข่งขัน
  • การสร้างวัฒนธรรมตระหนักรู้ด้านความปลอดภัยไซเบอร์ ผ่านการอบรมและสื่อสารภายใน ช่วยให้พนักงานทุกระดับเข้าใจความเสี่ยงและมีส่วนร่วมในการป้องกันภัยคุกคามไซเบอร์

การกำกับดูแลและการปฏิบัติตามกฎหมาย

บริษัทปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ตลอดจนข้อกำหนดอื่นๆ ที่เกี่ยวข้องกับการเก็บข้อมูล การบันทึกข้อมูล การใช้ข้อมูลตามวัตถุประสงค์ที่กำหนด การจัดเก็บรักษาข้อมูล รวมถึงการกำจัดข้อมูลภายหลังการใช้งาน โดยแพลนบีได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อรับผิดชอบประเด็นเรื่องความเป็นส่วนตัวต่างๆ ในปี 2565 บริษัทได้ยกระดับการดำเนินงานด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัวของข้อมูล ด้วยการเพิ่มการกำกับดูแลข้อมูลต่างๆ โดยบริษัทได้ทบทวนแนวปฏิบัติและนโยบายด้านเทคโนโลยีสารสนเทศเป็นประจำทุกปี เพื่อสร้างความมั่นใจว่าพนักงานทุกคนมีความรู้ ทักษะ และเครื่องมือที่เหมาะสมในการคุ้มครองข้อมูลของลูกค้า

การกำกับดูแลและการปฏิบัติตามกฎหมาย

การบริหารจัดการความเสี่ยงด้านข้อมูลส่วนบุคคล

การดำเนินงานของบริษัทมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียของบริษัทหลายกลุ่ม ได้แก่ ลูกค้า คู่ค้า พนักงาน เป็นต้น และเกี่ยวข้องกับบุคลากรของบริษัทในหลายหน่วยงาน ทำให้อาจเกิดการปฏิบัติที่ไม่ถูกต้อง ไม่ครบถ้วนตามมาตรการที่กำหนดไว้ในเรื่องต่าง ๆ เช่น การแจ้งนโยบายความเป็นส่วนตัวและขออนุญาตใช้ข้อมูลการดำเนินการตอบสนองตามสิทธิของเจ้าของข้อมูล การจัดการเมื่อเกิดการรั่วไหลของข้อมูล เป็นต้น จึงอาจก่อให้เกิดความเสี่ยงแก่บริษัทที่จะเกิดความเสียหายทั้งในด้านชื่อเสียงและการต้องชำระค่าเสียหายเป็นจำนวนมากหากมีการละเมิดข้อมูลส่วนบุคคลที่บริษัทได้มีการจัดเก็บ และโดยที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้มีผลบังคับใช้แล้วในวันที่ 1 มิถุนายน 2565 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”)

การบริหารจัดการความเสี่ยงด้านข้อมูลส่วนบุคคล

บริษัทจึงได้ตระหนักถึงความสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎระเบียบต่าง ๆ ที่ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกเพื่อเป็นแนวทางในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว โดยบริษัทได้ดำเนินการจัดตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคลเพื่อออกนโยบายและขั้นตอนการทำงานภายในบริษัทเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและระเบียบอื่นใดที่เกี่ยวข้อง และเพื่อให้นโยบายและขั้นตอนการทำงานภายในมีการปรับปรุงแก้ไขให้เป็นปัจจุบันเสมอ รวมทั้งมีการวางระบบการจัดเก็บข้อมูลส่วนบุคคลสำหรับให้พนักงานของบริษัทและบริษัทย่อยใช้งานเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการรั่วไหลและสามารถบรรเทาความเสียหายที่อาจเกิดขึ้นได้ทันที ทั้งนี้ เพื่อให้กระบวนการจัดการข้อมูลเป็นไปอย่างเป็นระบบและโปร่งใส บริษัทได้ประกาศใช้ นโยบายการบันทึก การรายงาน และการเก็บรักษาข้อมูล (Recording, Reporting, and Data Retention Policy) เพื่อเป็นแนวทางให้พนักงานทราบถึงลักษณะการจัดเก็บ ระยะเวลาการเก็บรักษา และขั้นตอนการทำลายข้อมูลส่วนบุคคลอย่างถูกต้อง รวมถึงขั้นตอนการตอบสนองเมื่อเจ้าของข้อมูลใช้สิทธิขอให้ ลบ ทำลาย หรือแก้ไขข้อมูล ตลอดจนการแจ้งให้คู่ค้าและลูกค้าทราบถึงแผนการปฏิบัติงาน เพื่อให้การทำงานร่วมกันเป็นไปอย่างมีประสิทธิภาพตามแนวปฏิบัติของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

นอกจากนี้ บริษัทใช้ระบบบริหารจัดการความยินยอม (CMS) เพื่อสนับสนุนการดำเนินธุรกิจให้สอดคล้องกับ PDPA โดยปัจจุบันบริษัทได้ใช้ระบบ CMS แล้ว โดยเว็บไซต์บริษัทได้ผนวกรวมเข้ากับระบบ CMS เป็นที่เรียบร้อยแล้ว ทั้งนี้ บริษัทมีการบริหารกระบวนการดำเนินธุรกิจที่เกี่ยวข้องกับการเก็บและใช้ข้อมูลส่วนบุคคลเพื่อบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (RoPA) ซึ่งช่วยให้ลูกค้ายื่นคำขอใช้สิทธิในฐานะเป็นเจ้าของข้อมูลได้โดยสะดวก โดยสามารถทำผ่านหัวข้อ “สิทธิของเจ้าของข้อมูล” ในระบบ CMS ทีมคุ้มครองข้อมูลส่วนบุคคลจะทำงานร่วมกับหน่วยงานที่เกี่ยวข้อง เพื่อจัดการฝึกอบรมให้กับเจ้าของข้อมูล ผู้กำกับดูแลข้อมูล (ตัวแทนจากทุกหน่วยธุรกิจ) และผู้ใช้งาน เพื่อให้มีความรู้ความเข้าใจในบทบาทความรับผิดชอบ กระบวนการ และระบบต่างๆ ซึ่งจะส่งผลให้บริษัทสามารถคุ้มครองข้อมูลส่วนบุคคลของลูกค้าและผู้มีส่วนเกี่ยวข้องได้อย่างมีประสิทธิภาพ

การใช้ข้อมูลอย่างมีจริยธรรมและการป้องกันข้อมูลรั่วไหล

บริษัทได้ติดตั้งระบบการป้องกันข้อมูลรั่วไหลเพื่อลดความเสี่ยงของการละเมิดข้อมูล และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต รวมถึงเพื่อยกระดับประสิทธิภาพและความมั่นคงปลอดภัยของโครงสร้างพื้นฐานทางเทคโนโลยีสารสนเทศให้สามารถรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที (Cyber Resilience) ควบคู่ไปกับการพัฒนาระบบรักษาความปลอดภัย

บริษัทได้ปลูกฝังวัฒนธรรมองค์กรที่เน้นการใช้ข้อมูลอย่างมีความรับผิดชอบผ่านการประกาศใช้นโยบายและแนวปฏิบัติด้านการใช้ข้อมูลอย่างมีจริยธรรม โดยคำนึงถึงหลักสิทธิมนุษยชนและความเป็นส่วนตัวของเจ้าของข้อมูลเป็นสำคัญ อีกทั้งยังเดินหน้าสร้างความตระหนักรู้เกี่ยวกับการป้องกันข้อมูล และสื่อสารความเคลื่อนไหวด้านเทคโนโลยีสารสนเทศ ตลอดจนแนวทางการรับมือกับภัยคุกคามรูปแบบใหม่ผ่านทางอีเมลอย่างสม่ำเสมอ เพื่อให้พนักงานทุกระดับมีส่วนร่วมและเป็นด่านหน้าในการรักษาความมั่นคงปลอดภัยของข้อมูลองค์กรอย่างยั่งยืน

ความมั่นคงทางไซเบอร์และการปกป้องข้อมูลส่วนตัวของลูกค้า

บริษัทตระหนักถึงความสำคัญของความปลอดภัยทางไซเบอร์และเสถียรภาพของเครือข่ายข้อมูล ซึ่งมีความเสี่ยงต่อการถูกโจรกรรมข้อมูลและอาชญากรรมทางไซเบอร์ที่มีความหลากหลายและซับซ้อน และอาจส่งผลกระทบต่อความมั่นคงทั้งมิติเศรษฐกิจ สังคม และสิ่งแวดล้อม ตลอดจนความน่าเชื่อถือของคู่ค้าและลูกค้าที่มีต่อบริษัท รวมถึงการมองว่าความเสี่ยงด้านไซเบอร์เป็นหนึ่งในความเสี่ยงสำคัญระดับองค์กรที่ต้องมีการกำกับดูแลจากระดับคณะกรรมการ อีกทั้งยังเป็นการให้ความสำคัญต่อการปฏิบัติตามกฎหมายทั้งในประเทศและระดับสากลด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูลอย่างเคร่งครัดเพื่อป้องกันภัยทางไซเบอร์และลดผลกระทบจากการรั่วไหลของข้อมูลสู่สาธารณะที่อาจจะเกิดขึ้นได้ บริษัทจึงให้ความสำคัญในการดำเนินงานตามกฎหมายและมาตรฐานระดับสากลอย่างเคร่งครัด โดยได้ประกาศใช้นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Policy) เพื่อใช้เป็นกรอบนโยบายและแนวปฏิบัติในการเสริมสร้างความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างรอบด้าน ดังนี้

1. การจัดทำนโยบายความมั่นคงปลอดภัยสารสนเทศ

บริษัทจัดทำนโยบายความมั่นคงปลอดภัยสารสนเทศโดยขอบเขตการบังคับใช้นั้นครอบคลุมถึงพนักงานและผู้ที่เกี่ยวข้องที่ปฏิบัติงานในนามของบริษัท นโยบายฉบับนี้จัดทำขึ้นเพื่อเป็นกรอบในการกำหนดแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบริษัท เพื่อให้สอดคล้องกับข้อกำหนดกฎหมายและระเบียบปฏิบัติที่เกี่ยวข้อง โดยสาระสำคัญของนโยบาย ได้แก่

  • โครงสร้างความมั่นคงปลอดภัยสารสนเทศของบริษัท และการกำหนดบทบาทหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
  • ความปลอดภัยของบุคลากรและการบริหารจัดการทรัพย์สินข้อมูล
  • การควบคุมการเข้าถึงระบบและข้อมูล
  • การเข้ารหัสข้อมูล และการจัดการสิ่งแวดล้อมทางกายภาพ
  • การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ
  • การบริหารจัดการความต่อเนื่องทางธุรกิจ (BCM)

โดยนโยบายฉบับนี้จะได้รับการทบทวนและกำหนดให้มีการตรวจสอบความสอดคล้องตามข้อกำหนดโดยผู้ตรวจรับทั้งภายในและภายนอก

2. การจัดทำแผนความต่อเนื่องทางธุรกิจและแผนการกู้คืนข้อมูลทางสารสนเทศ

เพื่อให้มั่นใจในความพร้อมทางข้อมูลและการบริหารหลังจากการหยุดชะงักที่อาจเกิดขึ้นกับกระบวนการทางธุรกิจที่สำคัญเป็นอย่างยิ่ง

3. การจัดอบรมหลักสูตร “Cyber Securities & วิธีการป้องกันและการแก้ปัญหาคอมพิวเตอร์เบื้องต้น”

ให้แก่พนักงานในองค์กรทุกปี เพื่อให้พนักงานมีความรู้และความตระหนักถึงความสำคัญของความปลอดภัยทางไซเบอร์ ภัยไซเบอร์ และวิธีป้องกันและการแก้ปัญหาคอมพิวเตอร์เบื้องต้น

โดยในปี 2568 ที่ผ่านมามีการจัดอบรมดังกล่าวขึ้นในรูปแบบออนไลน์และมีผู้เข้าร่วมอบรมทั้งสิ้น 192 คน

4. การให้ความคุ้มครองความเป็นส่วนตัวของข้อมูลของผู้มีส่วนได้ส่วนเสียทุกกลุ่ม ทั้งลูกค้า พนักงาน คู่ค้า พันธมิตรทางธุรกิจ และผู้ถือหุ้น

นับเป็นสิ่งหนึ่งที่แพลนบีให้ความสำคัญเป็นอย่างยิ่ง โดยบริษัทได้จัดทำนโยบายความเป็นส่วนตัวเพื่อประกาศแจ้งการให้ความคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคลขององค์กรให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตลอดจนมีการจัดการฝึกอบรมเกี่ยวกับข้อกำหนดในกฎระเบียบดังกล่าวเพื่อเพิ่มความตระหนักรู้แก่พนักงาน และบริษัทได้มีการจัดหลักสูตรอบรมดังกล่าวแก่คณะกรรมการบริษัทได้เตรียมพร้อมและเพิ่มพูนความรู้ให้พร้อมสำหรับการบังคับใช้กฎหมายอีกด้วย

ทั้งนี้ แพลนบีจะใช้ข้อมูลของลูกค้าเพื่อวัตถุประสงค์ที่ได้แจ้งไว้ในนโยบายความเป็นส่วนตัวและ/หรือที่ได้รับความยินยอมสำหรับวัตถุประสงค์ที่กฎหมายกำหนดให้ต้องได้รับความยินยอมเท่านั้น

โครงสร้างการกำกับดูแลด้านความมั่นคงทางไซเบอร์และการปกป้องข้อมูลส่วนตัวของคู่ค้าและลูกค้า

กระบวนการตอบสนองและรับมือเหตุการณ์ฉุกเฉิน

เมื่อเกิดเหตุการณ์ตามเกณฑ์ข้างต้น บริษัทได้กำหนดขั้นตอนการปฏิบัติงานที่เป็นมาตรฐาน เพื่อระงับเหตุและควบคุมความเสียหายอย่างทันท่วงที ดังนี้

กระบวนการตอบสนองและรับมือเหตุการณ์ฉุกเฉิน

ผลการดำเนินงานด้านความมั่นคงปลอดภัยของข้อมูล

จากความมุ่งมั่นของบริษัทในการพัฒนาระบบและการบริหารจัดการความปลอดภัยของข้อมูลอย่างต่อเนื่อง เพื่อยกระดับขีดความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ ส่งผลให้บริษัทสามารถบรรลุเป้าหมายด้านการปกป้องข้อมูลได้อย่างสมบูรณ์แบบ โดยรักษาสถิติความสำเร็จในการป้องกันการละเมิดข้อมูลได้ร้อยละ 100 ตามเป้าหมายที่วางไว้

ตลอดระยะเวลาการดำเนินงานที่ผ่านมา บริษัทไม่มีรายงานเหตุการณ์ที่เกี่ยวข้องกับการรั่วไหลของข้อมูล (Data Leakage) การถูกโจรกรรมข้อมูล (Cyber Theft) หรือการสูญหายของข้อมูลสำคัญ ทั้งในส่วนของข้อมูลองค์กรและข้อมูลส่วนบุคคลของผู้มีส่วนได้เสีย ซึ่งผลลัพธ์เชิงประจักษ์นี้สะท้อนถึงประสิทธิภาพของมาตรการควบคุมเชิงรุก (Proactive Controls) ความแข็งแกร่งของโครงสร้างพื้นฐานทางเทคโนโลยี และความสำเร็จในการสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ (Cybersecurity Culture) ทั่วทั้งองค์กรอย่างแท้จริง

ผลการดำเนินงาน 2566 2567 2568
จำนวนคำร้องเรียนจากบุคคลภายนอกองค์กรและได้รับการยืนยันจากบุคคลในองค์กร 0 0 0
จำนวนคำร้องเรียนจากหน่วยงานกำกับดูแล 0 0 0
จำนวนกรณีที่ข้อมูลของลูกค้ารั่วไหล ถูกโจรกรรม หรือสูญหาย 0 0 0

ผู้มีส่วนได้เสียที่ได้รับผลกระทบโดยตรง

ลูกค้า
ลูกค้า
คู่ค้า
คู่ค้า
พนักงาน
พนักงาน
ผู้ถือหุ้น
ผู้ถือหุ้น
หน่วยงานกำกับดูแลและภาครัฐ
หน่วยงานกำกับดูแลและภาครัฐ
ชุมชน
ชุมชน