ปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้า

ในยุคปัจจุบันเทคโนโลยีสารสนเทศได้พัฒนาไปอย่างรวดเร็ว ปรับเปลี่ยนวิถีการติดต่อสื่อสารทั้งในการใช้งานส่วนบุคคลและในเชิงธุรกิจก่อให้เกิดการแลกเปลี่ยนข้อมูลการทำธุรกรรมต่าง ๆ บนโลกออนไลน์อย่างมหาศาลและเชื่อมโยงกันทั่วโลก ส่งผลให้ผู้ใช้บริการมีความเสี่ยงต่อการโจมตีด้านไซเบอร์ที่มีความซับซ้อน จึงสร้างความกังวลให้แก่ลูกค้าถึงความปลอดภัยของข้อมูลและระบบ ดังนั้นเพื่อรับมือกับความท้าทายและโอกาสดังกล่าว เอไอเอสมุ่งมั่นยกระดับทั้งระบบสารสนเทศและบุคลากรให้มีความพร้อมรับมือกับภัยคุกคามด้านไซเบอร์ที่หลากหลาย เพื่อให้ผู้ใช้บริการโครงข่ายมือถือและบริการดิจิทัลของเอไอเอสได้รับประโยชน์ ควบคู่ไปกับความปลอดภัยและการคำนึงถึงการปกป้องข้อมูลส่วนบุคคลของลูกค้าตามสิทธิที่ลูกค้าพึงมี

แนวทางการดำเนินงาน

เอไอเอสกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์และนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อกำกับดูแลกระบวนการและระบบบริหารจัดการสำหรับทุกหน่วยงานตลอดทั้งองค์กร บริษัทมีการตรวจสอบภายในอย่างเป็นระบบอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการบริหารจัดการและการปฏิบัติงานที่เกี่ยวกับการปกป้องข้อมูลส่วนบุคคลและการรักษาความปลอดภัยไซเบอร์เป็นไปตามนโยบาย มาตรฐาน และกรอบการทำงานของบริษัท

การคุ้มครองข้อมูลส่วนบุคคลของลูกค้า

กำหนดมาตรการสำหรับการปกป้องความเป็นส่วนตัวของข้อมูลลูกค้าไปจนถึงการจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อน เอไอเอสยังรวมเอาหลัก Privacy by Design และ Privacy by Default ไว้ในบริการและผลิตภัณฑ์ตามความเหมาะสม การตั้งค่าข้อกำหนดสำหรับกระบวนการรับส่งข้อมูล ตลอดจนส่งเสริมความตระหนัก ความรู้ และความเข้าใจเกี่ยวกับการปกป้องข้อมูลของลูกค้าแก่บุคลากรและพันธมิตรทั้งหมด นอกจากนั้น เรายังสร้างระบบและเพิ่มประสิทธิภาพของกระบวนการตามคำขอของลูกค้าตามกระบวนการดังต่อไปนี้

สำหรับการจัดการคำขอข้อมูล บริษัทให้ข้อมูลลูกค้าแก่หน่วยงานราชการตามกฎหมายและเป็นธรรม โดยคำนึงถึงหลักสิทธิมนุษยชนของเจ้าของข้อมูลตามเงื่อนไขทางกฎหมาย ขั้นตอนการประเมิน และตอบสนองต่อการบังคับใช้กฎหมายหรือคำขอข้อมูลของรัฐบาล โดยมีกระบวนการดังนี้ :

การรักษาความปลอดภัยทางไซเบอร์

เอไอเอสมีโครงสร้างพื้นฐาน ระบบ และกำหนดข้อปฏิบัติเพื่อบริหารจัดการทดสอบรวมถึงเฝ้าระวังในการรักษาความมั่นคงความปลอดภัยไซเบอร์ โดยมีการจัดทำและปรับปรุงนโยบายรวมถึงแนวทางการปฏิบัติอย่างสม่ำเสมอ เพื่อให้สอดคล้องกับแนวทางการปฏิบัติสากลรวมถึงข้อบังคับที่เกี่ยวข้อง

กรอบการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์

เอไอเอสนำกรอบการดำเนินงานด้านการรักษาความมั่นคงและปลอดภัยทางไซเบอร์ (National Institute of Standards and Technology: NIST) มาประยุกต์ใช้ในการออกแบบกระบวนการในการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ ประกอบด้วยขั้นตอน ดังนี้

สำหรับการรับมือกับภัยคุกคามทางไซเบอร์และกระบวนการยกระดับการบริหารจัดการ (escalation process) เอไอเอสได้ประยุกต์ใช้ Cyber Incident Response Framework โดย NIST ในการปฏิบัติงานประจำวัน มีขั้นตอนดังนี้

เอไอเอสได้รับการรับรองมาตรฐานต่างๆ เป็นการตอกย้ำความมุ่งมั่นในการรักษาความปลอดภัยของบริการและข้อมูลของลูกค้า ได้แก่

ตารางสรุปผลการดำเนินงาน

หัวข้อ	หน่วย	2562	2563	2564	2565
ด้านการคุ้มครองข้อมูลส่วนบุคคล
จำนวนคำร้องเรียนที่ได้รับในการละเมิดความเป็นส่วนตัวและข้อมูลสูญหาย
คำร้องเรียนจากบุคคล หรือหน่วยงานทั่วไป ¹	กรณี	124	560	7	7
คําร้องเรียนจากหน่วยงานกำกับดูแลต่าง ๆ	กรณี	47	23	20	11
กรณีข้อมูลรั่วไหล ถูกขโมยหรือสูญหาย	กรณี	0	0	0	2
จำนวนคำร้องขอข้อมูลส่วนบุคคลของผู้ใช้บริการที่ได้รับจากหน่วยงานภาครัฐที่มีอำนาจตามกฏหมาย ²	กรณี	28,334	24,453	25,442	19,454
ร้อยละของจำนวนคำร้องขอทั้งหมด	ร้อยละ	-	92	70	91.45
ด้านระบบเครือข่าย
ความถี่เฉลี่ยกรณีระบบเครือข่ายขัดข้อง	หน่วย	0.05	0.07	0.18	0.07
ระยะเวลาเฉลี่ยสำหรับกรณีระบบเครือข่ายขัดข้อง	นาที	12	39	54	38

หมายเหตุ :

¹ ข้อมูลจำนวนคำร้องเรียนที่ได้รับในปี 2565 มีการจำแนกประเภทข้อมูลที่ละเอียดมากขึ้น จึงรายงานคำร้องเรียนที่ได้รับการตรวจสอบว่าสมเหตุสมผลเท่านั้น
² บริษัทมีการให้ข้อมูลการใช้บริการของผู้ใช้บริการแก่หน่วยงานของรัฐต่าง ๆ ตามอำนาจหน้าที่ที่กฎหมายกำหนดไว้ ได้แก่ ศาลยุติธรรม สำนักงานตารวจแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน เป็นต้น

เอกสารที่เกี่ยวข้อง

สามารถอ่านรายละเอียดเพิ่มเติม ได้ที่หัวข้อ การปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้า ในรายงานการพัฒนาธุรกิจอย่างยั่งยืนประจำปี 2565