ความมั่นคงปลอดภัยของระบบข้อมูลและความเป็นส่วนตัวของข้อมูล
การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน
ความก้าวหน้าทางเทคโนโลยีที่รวดเร็วส่งผลให้ภัยคุกคามทางไซเบอร์และความเสี่ยงด้านการละเมิดข้อมูลส่วนบุคคลมีความซับซ้อนมากขึ้น แพลนบีตระหนักดีว่าความมั่นคงปลอดภัยของระบบสารสนเทศเป็นรากฐานสำคัญในการป้องกันผลกระทบต่อการดำเนินธุรกิจ การปกป้องชื่อเสียง และการรักษาความเชื่อมั่นของผู้มีส่วนได้เสีย บริษัทจึงมุ่งมั่นบังคับใช้นโยบายการรักษาความปลอดภัยของข้อมูลและมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด พร้อมทั้งยกระดับความตระหนักรู้ของพนักงานอย่างต่อเนื่อง
เป้าหมายและผลการดำเนินงาน
| เป้าหมายด้านความยั่งยืน | ผลการดำเนินงานปี 2568 | |
|---|---|---|
| ระยะยาว (ปี 2569-2573) | ระยะสั้น (ปี 2569) | |
| รักษาสถิติข้อร้องเรียนด้านการละเมิดข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูลลูกค้าให้เป็นศูนย์ | รักษาสถิติข้อร้องเรียนด้านการละเมิดข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูลลูกค้าให้เป็นศูนย์ | ไม่มีข้อเรียกร้องจากหน่วยงานของรัฐ ลูกค้า หรือผู้เกี่ยวข้องอื่น ๆ ในการใช้ข้อมูลส่วนบุคคลโดยมิชอบ และไม่มีข้อมูลของลูกค้ารั่วไหล |
| ร้อยละ 100 ของพนักงานทุกระดับต้องผ่านการอบรมและทดสอบความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์เป็นประจำทุกปี | ร้อยละ 100 ของพนักงานทุกระดับต้องผ่านการอบรมและทดสอบความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA) และความมั่นคงปลอดภัยทางไซเบอร์ | พนักงานทุกคนได้รับการอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคล (PDPA) และมีการจัดอบรมเกี่ยวกับความปลอดภัยทางไซเบอร์ (Cybersecurity) |
| ยกระดับการป้องกันข้อมูลและเตรียมความพร้อมสู่การรับรองมาตรฐานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศระดับสากล เช่น ISO/IEC 27001 หรือ NIST | ทบทวนและปรับปรุงนโยบายความมั่นคงปลอดภัยสารสนเทศให้ครอบคลุมและพร้อมรับมือกับภัยคุกคามทางไซเบอร์รูปแบบใหม่ | |
เป้าหมายและผลการดำเนินงาน
ความมุ่งมั่น ความท้าทาย และโอกาส
ความมุ่งมั่น
แพลนบีให้ความสำคัญสูงสุดกับความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล โดยดำเนินงานตามกฎหมายและมาตรฐานสากล กำหนดนโยบาย มาตรการ และอบรมพนักงานอย่างต่อเนื่อง เพื่อสร้างความเชื่อมั่นแก่ผู้มีส่วนได้เสียทุกกลุ่ม
ความท้าทาย
- ภัยคุกคามไซเบอร์ที่ซับซ้อนและเปลี่ยนแปลงตลอดเวลา เช่น มัลแวร์ ฟิชชิ่ง แรนซัมแวร์ และการโจมตีรูปแบบใหม่ที่ยากต่อการคาดการณ์
- ความเสี่ยงจากการรั่วไหลหรือโจรกรรมข้อมูลส่วนบุคคล อาจเกิดจากทั้งปัจจัยภายใน (Human Error) และภายนอก (การโจมตีจากแฮกเกอร์) ซึ่งส่งผลต่อความปลอดภัยและการปฏิบัติตามกฎหมาย
- ผลกระทบต่อความเชื่อมั่นของลูกค้า คู่ค้า และพันธมิตรทางธุรกิจ หากเกิดเหตุการณ์ด้านไซเบอร์หรือข้อมูล อาจกระทบต่อชื่อเสียง ความไว้วางใจ และความต่อเนื่องทางธุรกิจในระยะยาว
โอกาส
- การปฏิบัติตามกฎหมายและมาตรฐานสากลอย่างเคร่งครัด สร้างความเชื่อมั่นแก่ลูกค้าและคู่ค้า เพิ่มความได้เปรียบทางการแข่งขัน
- การสร้างวัฒนธรรมตระหนักรู้ด้านความปลอดภัยไซเบอร์ ผ่านการอบรมและสื่อสารภายใน ช่วยให้พนักงานทุกระดับเข้าใจความเสี่ยงและมีส่วนร่วมในการป้องกันภัยคุกคามไซเบอร์
การกำกับดูแลและการปฏิบัติตามกฎหมาย
บริษัทปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ตลอดจนข้อกำหนดอื่นๆ ที่เกี่ยวข้องกับการเก็บข้อมูล การบันทึกข้อมูล การใช้ข้อมูลตามวัตถุประสงค์ที่กำหนด การจัดเก็บรักษาข้อมูล รวมถึงการกำจัดข้อมูลภายหลังการใช้งาน โดยแพลนบีได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อรับผิดชอบประเด็นเรื่องความเป็นส่วนตัวต่างๆ ในปี 2565 บริษัทได้ยกระดับการดำเนินงานด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัวของข้อมูล ด้วยการเพิ่มการกำกับดูแลข้อมูลต่างๆ โดยบริษัทได้ทบทวนแนวปฏิบัติและนโยบายด้านเทคโนโลยีสารสนเทศเป็นประจำทุกปี เพื่อสร้างความมั่นใจว่าพนักงานทุกคนมีความรู้ ทักษะ และเครื่องมือที่เหมาะสมในการคุ้มครองข้อมูลของลูกค้า

การบริหารจัดการความเสี่ยงด้านข้อมูลส่วนบุคคล
การดำเนินงานของบริษัทมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียของบริษัทหลายกลุ่ม ได้แก่ ลูกค้า คู่ค้า พนักงาน เป็นต้น และเกี่ยวข้องกับบุคลากรของบริษัทในหลายหน่วยงาน ทำให้อาจเกิดการปฏิบัติที่ไม่ถูกต้อง ไม่ครบถ้วนตามมาตรการที่กำหนดไว้ในเรื่องต่าง ๆ เช่น การแจ้งนโยบายความเป็นส่วนตัวและขออนุญาตใช้ข้อมูลการดำเนินการตอบสนองตามสิทธิของเจ้าของข้อมูล การจัดการเมื่อเกิดการรั่วไหลของข้อมูล เป็นต้น จึงอาจก่อให้เกิดความเสี่ยงแก่บริษัทที่จะเกิดความเสียหายทั้งในด้านชื่อเสียงและการต้องชำระค่าเสียหายเป็นจำนวนมากหากมีการละเมิดข้อมูลส่วนบุคคลที่บริษัทได้มีการจัดเก็บ และโดยที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้มีผลบังคับใช้แล้วในวันที่ 1 มิถุนายน 2565 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”)

บริษัทจึงได้ตระหนักถึงความสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎระเบียบต่าง ๆ ที่ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกเพื่อเป็นแนวทางในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว โดยบริษัทได้ดำเนินการจัดตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคลเพื่อออกนโยบายและขั้นตอนการทำงานภายในบริษัทเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและระเบียบอื่นใดที่เกี่ยวข้อง และเพื่อให้นโยบายและขั้นตอนการทำงานภายในมีการปรับปรุงแก้ไขให้เป็นปัจจุบันเสมอ รวมทั้งมีการวางระบบการจัดเก็บข้อมูลส่วนบุคคลสำหรับให้พนักงานของบริษัทและบริษัทย่อยใช้งานเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการรั่วไหลและสามารถบรรเทาความเสียหายที่อาจเกิดขึ้นได้ทันที ทั้งนี้ เพื่อให้กระบวนการจัดการข้อมูลเป็นไปอย่างเป็นระบบและโปร่งใส บริษัทได้ประกาศใช้ นโยบายการบันทึก การรายงาน และการเก็บรักษาข้อมูล (Recording, Reporting, and Data Retention Policy) เพื่อเป็นแนวทางให้พนักงานทราบถึงลักษณะการจัดเก็บ ระยะเวลาการเก็บรักษา และขั้นตอนการทำลายข้อมูลส่วนบุคคลอย่างถูกต้อง รวมถึงขั้นตอนการตอบสนองเมื่อเจ้าของข้อมูลใช้สิทธิขอให้ ลบ ทำลาย หรือแก้ไขข้อมูล ตลอดจนการแจ้งให้คู่ค้าและลูกค้าทราบถึงแผนการปฏิบัติงาน เพื่อให้การทำงานร่วมกันเป็นไปอย่างมีประสิทธิภาพตามแนวปฏิบัติของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
นอกจากนี้ บริษัทใช้ระบบบริหารจัดการความยินยอม (CMS) เพื่อสนับสนุนการดำเนินธุรกิจให้สอดคล้องกับ PDPA โดยปัจจุบันบริษัทได้ใช้ระบบ CMS แล้ว โดยเว็บไซต์บริษัทได้ผนวกรวมเข้ากับระบบ CMS เป็นที่เรียบร้อยแล้ว ทั้งนี้ บริษัทมีการบริหารกระบวนการดำเนินธุรกิจที่เกี่ยวข้องกับการเก็บและใช้ข้อมูลส่วนบุคคลเพื่อบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (RoPA) ซึ่งช่วยให้ลูกค้ายื่นคำขอใช้สิทธิในฐานะเป็นเจ้าของข้อมูลได้โดยสะดวก โดยสามารถทำผ่านหัวข้อ “สิทธิของเจ้าของข้อมูล” ในระบบ CMS ทีมคุ้มครองข้อมูลส่วนบุคคลจะทำงานร่วมกับหน่วยงานที่เกี่ยวข้อง เพื่อจัดการฝึกอบรมให้กับเจ้าของข้อมูล ผู้กำกับดูแลข้อมูล (ตัวแทนจากทุกหน่วยธุรกิจ) และผู้ใช้งาน เพื่อให้มีความรู้ความเข้าใจในบทบาทความรับผิดชอบ กระบวนการ และระบบต่างๆ ซึ่งจะส่งผลให้บริษัทสามารถคุ้มครองข้อมูลส่วนบุคคลของลูกค้าและผู้มีส่วนเกี่ยวข้องได้อย่างมีประสิทธิภาพ
การใช้ข้อมูลอย่างมีจริยธรรมและการป้องกันข้อมูลรั่วไหล
บริษัทได้ติดตั้งระบบการป้องกันข้อมูลรั่วไหลเพื่อลดความเสี่ยงของการละเมิดข้อมูล และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต รวมถึงเพื่อยกระดับประสิทธิภาพและความมั่นคงปลอดภัยของโครงสร้างพื้นฐานทางเทคโนโลยีสารสนเทศให้สามารถรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที (Cyber Resilience) ควบคู่ไปกับการพัฒนาระบบรักษาความปลอดภัย
บริษัทได้ปลูกฝังวัฒนธรรมองค์กรที่เน้นการใช้ข้อมูลอย่างมีความรับผิดชอบผ่านการประกาศใช้นโยบายและแนวปฏิบัติด้านการใช้ข้อมูลอย่างมีจริยธรรม โดยคำนึงถึงหลักสิทธิมนุษยชนและความเป็นส่วนตัวของเจ้าของข้อมูลเป็นสำคัญ อีกทั้งยังเดินหน้าสร้างความตระหนักรู้เกี่ยวกับการป้องกันข้อมูล และสื่อสารความเคลื่อนไหวด้านเทคโนโลยีสารสนเทศ ตลอดจนแนวทางการรับมือกับภัยคุกคามรูปแบบใหม่ผ่านทางอีเมลอย่างสม่ำเสมอ เพื่อให้พนักงานทุกระดับมีส่วนร่วมและเป็นด่านหน้าในการรักษาความมั่นคงปลอดภัยของข้อมูลองค์กรอย่างยั่งยืน
ความมั่นคงทางไซเบอร์และการปกป้องข้อมูลส่วนตัวของลูกค้า
บริษัทตระหนักถึงความสำคัญของความปลอดภัยทางไซเบอร์และเสถียรภาพของเครือข่ายข้อมูล ซึ่งมีความเสี่ยงต่อการถูกโจรกรรมข้อมูลและอาชญากรรมทางไซเบอร์ที่มีความหลากหลายและซับซ้อน และอาจส่งผลกระทบต่อความมั่นคงทั้งมิติเศรษฐกิจ สังคม และสิ่งแวดล้อม ตลอดจนความน่าเชื่อถือของคู่ค้าและลูกค้าที่มีต่อบริษัท รวมถึงการมองว่าความเสี่ยงด้านไซเบอร์เป็นหนึ่งในความเสี่ยงสำคัญระดับองค์กรที่ต้องมีการกำกับดูแลจากระดับคณะกรรมการ อีกทั้งยังเป็นการให้ความสำคัญต่อการปฏิบัติตามกฎหมายทั้งในประเทศและระดับสากลด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูลอย่างเคร่งครัดเพื่อป้องกันภัยทางไซเบอร์และลดผลกระทบจากการรั่วไหลของข้อมูลสู่สาธารณะที่อาจจะเกิดขึ้นได้ บริษัทจึงให้ความสำคัญในการดำเนินงานตามกฎหมายและมาตรฐานระดับสากลอย่างเคร่งครัด โดยได้ประกาศใช้นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Policy) เพื่อใช้เป็นกรอบนโยบายและแนวปฏิบัติในการเสริมสร้างความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างรอบด้าน ดังนี้
1. การจัดทำนโยบายความมั่นคงปลอดภัยสารสนเทศ
บริษัทจัดทำนโยบายความมั่นคงปลอดภัยสารสนเทศโดยขอบเขตการบังคับใช้นั้นครอบคลุมถึงพนักงานและผู้ที่เกี่ยวข้องที่ปฏิบัติงานในนามของบริษัท นโยบายฉบับนี้จัดทำขึ้นเพื่อเป็นกรอบในการกำหนดแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบริษัท เพื่อให้สอดคล้องกับข้อกำหนดกฎหมายและระเบียบปฏิบัติที่เกี่ยวข้อง โดยสาระสำคัญของนโยบาย ได้แก่
- โครงสร้างความมั่นคงปลอดภัยสารสนเทศของบริษัท และการกำหนดบทบาทหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
- ความปลอดภัยของบุคลากรและการบริหารจัดการทรัพย์สินข้อมูล
- การควบคุมการเข้าถึงระบบและข้อมูล
- การเข้ารหัสข้อมูล และการจัดการสิ่งแวดล้อมทางกายภาพ
- การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ
- การบริหารจัดการความต่อเนื่องทางธุรกิจ (BCM)
โดยนโยบายฉบับนี้จะได้รับการทบทวนและกำหนดให้มีการตรวจสอบความสอดคล้องตามข้อกำหนดโดยผู้ตรวจรับทั้งภายในและภายนอก
2. การจัดทำแผนความต่อเนื่องทางธุรกิจและแผนการกู้คืนข้อมูลทางสารสนเทศ
เพื่อให้มั่นใจในความพร้อมทางข้อมูลและการบริหารหลังจากการหยุดชะงักที่อาจเกิดขึ้นกับกระบวนการทางธุรกิจที่สำคัญเป็นอย่างยิ่ง
3. การจัดอบรมหลักสูตร “Cyber Securities & วิธีการป้องกันและการแก้ปัญหาคอมพิวเตอร์เบื้องต้น”
ให้แก่พนักงานในองค์กรทุกปี เพื่อให้พนักงานมีความรู้และความตระหนักถึงความสำคัญของความปลอดภัยทางไซเบอร์ ภัยไซเบอร์ และวิธีป้องกันและการแก้ปัญหาคอมพิวเตอร์เบื้องต้น
โดยในปี 2568 ที่ผ่านมามีการจัดอบรมดังกล่าวขึ้นในรูปแบบออนไลน์และมีผู้เข้าร่วมอบรมทั้งสิ้น 192 คน
4. การให้ความคุ้มครองความเป็นส่วนตัวของข้อมูลของผู้มีส่วนได้ส่วนเสียทุกกลุ่ม ทั้งลูกค้า พนักงาน คู่ค้า พันธมิตรทางธุรกิจ และผู้ถือหุ้น
นับเป็นสิ่งหนึ่งที่แพลนบีให้ความสำคัญเป็นอย่างยิ่ง โดยบริษัทได้จัดทำนโยบายความเป็นส่วนตัวเพื่อประกาศแจ้งการให้ความคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคลขององค์กรให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตลอดจนมีการจัดการฝึกอบรมเกี่ยวกับข้อกำหนดในกฎระเบียบดังกล่าวเพื่อเพิ่มความตระหนักรู้แก่พนักงาน และบริษัทได้มีการจัดหลักสูตรอบรมดังกล่าวแก่คณะกรรมการบริษัทได้เตรียมพร้อมและเพิ่มพูนความรู้ให้พร้อมสำหรับการบังคับใช้กฎหมายอีกด้วย
ทั้งนี้ แพลนบีจะใช้ข้อมูลของลูกค้าเพื่อวัตถุประสงค์ที่ได้แจ้งไว้ในนโยบายความเป็นส่วนตัวและ/หรือที่ได้รับความยินยอมสำหรับวัตถุประสงค์ที่กฎหมายกำหนดให้ต้องได้รับความยินยอมเท่านั้น
โครงสร้างการกำกับดูแลด้านความมั่นคงทางไซเบอร์และการปกป้องข้อมูลส่วนตัวของคู่ค้าและลูกค้า
กระบวนการตอบสนองและรับมือเหตุการณ์ฉุกเฉิน
เมื่อเกิดเหตุการณ์ตามเกณฑ์ข้างต้น บริษัทได้กำหนดขั้นตอนการปฏิบัติงานที่เป็นมาตรฐาน เพื่อระงับเหตุและควบคุมความเสียหายอย่างทันท่วงที ดังนี้
ผลการดำเนินงานด้านความมั่นคงปลอดภัยของข้อมูล
จากความมุ่งมั่นของบริษัทในการพัฒนาระบบและการบริหารจัดการความปลอดภัยของข้อมูลอย่างต่อเนื่อง เพื่อยกระดับขีดความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ ส่งผลให้บริษัทสามารถบรรลุเป้าหมายด้านการปกป้องข้อมูลได้อย่างสมบูรณ์แบบ โดยรักษาสถิติความสำเร็จในการป้องกันการละเมิดข้อมูลได้ร้อยละ 100 ตามเป้าหมายที่วางไว้
ตลอดระยะเวลาการดำเนินงานที่ผ่านมา บริษัทไม่มีรายงานเหตุการณ์ที่เกี่ยวข้องกับการรั่วไหลของข้อมูล (Data Leakage) การถูกโจรกรรมข้อมูล (Cyber Theft) หรือการสูญหายของข้อมูลสำคัญ ทั้งในส่วนของข้อมูลองค์กรและข้อมูลส่วนบุคคลของผู้มีส่วนได้เสีย ซึ่งผลลัพธ์เชิงประจักษ์นี้สะท้อนถึงประสิทธิภาพของมาตรการควบคุมเชิงรุก (Proactive Controls) ความแข็งแกร่งของโครงสร้างพื้นฐานทางเทคโนโลยี และความสำเร็จในการสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ (Cybersecurity Culture) ทั่วทั้งองค์กรอย่างแท้จริง
| ผลการดำเนินงาน | 2566 | 2567 | 2568 |
|---|---|---|---|
| จำนวนคำร้องเรียนจากบุคคลภายนอกองค์กรและได้รับการยืนยันจากบุคคลในองค์กร | 0 | 0 | 0 |
| จำนวนคำร้องเรียนจากหน่วยงานกำกับดูแล | 0 | 0 | 0 |
| จำนวนกรณีที่ข้อมูลของลูกค้ารั่วไหล ถูกโจรกรรม หรือสูญหาย | 0 | 0 | 0 |