20220228_153153_6727

การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล

ความสำคัญ

              การยกระดับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎระเบียบด้านปัญญาประดิษฐ์ (Artificial Intelligence: AI) ที่เข้มงวดมากขึ้นทั่วโลก ประกอบกับภัยคุกคามทางไซเบอร์ที่ซับซ้อน ล้วนเป็นความท้าทายสำคัญต่อการดำเนินธุรกิจของ OR ในยุคดิจิทัล ผลกระทบเหล่านี้เกี่ยวข้องโดยตรงกับการจัดการข้อมูลของลูกค้าและผู้ใช้บริการ ซึ่งหากขาดมาตรการที่รัดกุม อาจส่งผลให้เกิดความเสียหายต่อธุรกิจ การละเมิดสิทธิความเป็นส่วนตัว และการสูญเสียความเชื่อมั่นของผู้มีส่วนได้เสีย ดังนั้น การยกระดับมาตรการด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลจึงสามารถยังสร้างผลกระทบเชิงบวก ผ่านการช่วยเสริมสร้างความเชื่อมั่นในองค์กร สนับสนุนการคุ้มครองข้อมูลส่วนบุคคล และเพิ่มศักยภาพในการแข่งขันทางธุรกิจในระยะยาว
              OR มีความมุ่งมั่นในการนำเทคโนโลยีดิจิทัลและ AI มาใช้ในการดำเนินธุรกิจ เพื่อเพิ่มประสิทธิภาพในการดำเนินธุรกิจและตอบสนองผู้บริโภคและลูกค้าได้อย่างทันท่วงที พร้อมตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Privacy) อาทิ Malware และ Phishing ซึ่งเป็นภัยคุกคามทางไซเบอร์ที่อาจสร้างความเสียหายทั้งต่อการดำเนินธุรกิจและชื่อเสียงของบริษัท ดังนั้น OR จึงต้องดำเนินการจัดการด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลอย่างมีประสิทธิภาพ เพื่อตอบสนองต่อความคาดหวังและส่งมอบคุณค่าผ่านสินค้าและบริการที่มีคุณภาพ ปลอดภัย และสร้างความมั่นใจให้แก่ลูกค้าและผู้มีส่วนได้เสียทุกกลุ่ม

เป้าหมาย ปี 2568

แนวทางการบริหารจัดการ (Management Approach)

นโยบายด้านการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล

                      OR ให้ความสำคัญและมุ่งเน้นการบริหารจัดการงานให้สอดคล้องกับกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) และกฎหมายลำดับรองที่ออกภายใต้พระราชบัญญัติฯ ดังกล่าว จึงได้จัดทำนโยบายคุ้มครองข้อมูล (Data Privacy Policy) ของบริษัทฯ ซึ่งรวมโครงสร้าง นโยบาย และแนวปฏิบัติภายในของบริษัทฯ อันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคลโดยมีผลบังคับใช้กับการดำเนินงานทั้งหมดของบริษัท และพนักงาน (Employees) ผู้ปฏิบัติงาน (Operators) ลูกค้า (Customers) ผู้ค้า (Suppliers) ผู้รับจ้าง (Contractors) ตัวแทน (Agents) ผู้แทน (Representatives) กรรมการ (Directors) ผู้บริหาร (Executives) ตลอดจนบุคคลากรประเภทอื่นๆ ของบริษัทฯ
                      รวมถึง OR มีการออกประกาศและนโยบายความเป็นส่วนตัว จำแนกตามการใช้ประโยชน์ของกลุ่มผู้มีส่วนได้เสีย เป็น 4 กลุ่ม ดังนี้
                                          1. ประกาศความเป็นส่วนตัวสำหรับพันธมิตรทางธุรกิจ (Business Partner Privacy Notice)
                                          2. ประกาศความเป็นส่วนตัวสำหรับลูกค้า (Customer Privacy Notice)
                                          3. ประกาศความเป็นส่วนตัวสำหรับงานบริหารทรัพยากรบุคคล (Human Resources Privacy Notice)
                                          4. นโยบายความเป็นส่วนตัวสำหรับงานบริหารจัดการภายใน (Internal Privacy Policy) ซึ่งประกอบด้วยนโยบายย่อยต่าง ๆ ที่เกี่ยวข้องกับการดำเนินกิจการภายใน OR
                      โดยประกาศและนโยบายความเป็นส่วนตัวทั้งหมดนี้ OR ได้จัดการวางแผนและออกแบบกระบวนการแจ้งประกาศและนโยบายความเป็นส่วนตัว และการขอความยินยอมให้เหมาะสมกับผู้มีส่วนได้เสียแต่ละกลุ่ม [ศึกษาประกาศความเป็นส่วนตัวสำหรับพันธมิตรทางธุรกิจและสำหรับลูกค้าของ OR เพิ่มเติม กรุณาคลิก
                      จากประกาศและนโยบายความเป็นส่วนตัวดังกล่าว OR ได้แสดงออกถึงความมุ่งมั่นที่จะจัดการข้อมูลส่วนบุคคล โดยครอบคลุมมุมมองความเป็นส่วนตัวของบุคคลทั้งภายในและภายนอก ซึ่งรวมไปถึงธุรกิจที่ OR เป็นเจ้าของ/ดำเนินการเอง คู่ค้า และลูกค้าในธุรกิจต่าง ๆ เพื่อรักษาความปลอดภัย รวมถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล และสร้างความมั่นใจว่า OR จะมีเก็บรวบรวม ใช้ และเปิดเผยข้อมูลอย่างเหมาะสม ตรงตามวัตถุประสงค์ที่ได้มีการแจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล
                      อีกทั้ง OR ยังกำหนดนโยบายเทคโนโลยีสารสนเทศ ซึ่งเป็นนโยบายเกี่ยวกับการรักษาความลับ การเก็บรักษาข้อมูล และการใช้ข้อมูลภายใน และนโยบายการกำกับดูแลข้อมูลองค์กร (OR Enterprise Data Governance Policy) เพื่อให้มีการกำหนดทิศทางการบริหารจัดการและสนับสนุนงานด้านความมั่นคงปลอดภัยสารสนเทศและการสื่อสารสอดคล้องกับความต้องการทางธุรกิจและกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้องเพื่อให้พนักงานทุกคนรับทราบ รวมถึงมีคู่มือมาตรฐานดิจิทัลสำหรับ OR นอกเหนือจากนั้น OR มีการจัดทำนโยบายและกระบวนการอื่น ๆ เพิ่มเติม อาทิ กระบวนการ Consent Management มาตรฐานว่าด้วยการเก็บรักษาข้อมูล (Data Retention Standard) ขั้นตอนปฏิบัติงานสำหรับการบริหารจัดการกรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Incident Response Procedure) คู่มือ และนโยบาย เรื่อง การรายงานและการรับมือสถานการณ์เกี่ยวกับความมั่นคงปลอดภัยของข้อมูล (Data Security Incident Reporting and Response Policy) บันทึกรายการการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) และ แนวปฏิบัติสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและตัวแทน (Guidance on Data Protection Officer Representative) เป็นต้น

การกำกับดูแลการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล

                    โครงสร้างการกำกับดูแลเป็นไปตามหลัก Three Lines Model เพื่อเอื้ออำนวยต่อการทำหน้าที่ควบคุม กำกับ และตรวจสอบและมีการแบ่งแยกหน้าที่ (Segregation of Duty) อย่างชัดเจน โดย OR ได้แต่งตั้งคณะกรรมการดิจิทัลและธรรมาภิบาลข้อมูลโออาร์ (OR Digital & Data Governance Steering Committee: DGSC) ซึ่งมีรองประธานเจ้าหน้าที่บริหารด้านกลยุทธ์องค์กรและความยั่งยืน เป็นประธานกรรมการ และรองประธานเจ้าหน้าที่บริหารด้านธุรกิจดิจิทัลและโซลูชัน เป็นรองประธานกรรมการ และดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer: CISO) รับผิดชอบในการกำกับดูแลการดำเนินงานด้านเทคโนโลยีสารสนเทศและดิจิทัลให้สอดคล้องกับนโยบาย ทิศทาง และกลยุทธ์การดำเนินธุรกิจของ OR และบริษัทในกลุ่ม OR

โครงสร้างการกำกับดูแลความปลอดภัยของข้อมูล (Data Security) และความเป็นส่วนตัวของข้อมูล (Data Privacy)
Level Committee/Department Responsibility
ระดับผู้บริหาร คณะกรรมการดิจิทัลและธรรมาภิบาลข้อมูลโออาร์
  • กำหนดนโยบาย เป้าหมายและกลยุทธ์ด้านเทคโนโลยีสารสนเทศและดิจิทัล เพื่อให้สอดคล้องกับนโยบาย แผนกลยุทธ์ธุรกิจของ OR และกลุ่มบริษัท
  • ดูแลรับผิดชอบในการกำหนดและบังคับใช้นโยบายและมาตรฐานการปฏิบัติงานด้านเทคโนโลยีสารสนเทศตามกรอบความปลอดภัยทางไซเบอร์
  • กำกับดูแลและควบคุมการจัดการความเสี่ยงด้านสารสนเทศและเทคโนโลยีดิจิทัล เพื่อกำกับดูแลและจัดการความเสี่ยง
  • แก้ไขปัญหาที่เกี่ยวข้องกับการบริหารจัดการข้อมูล รวมถึงประเด็นที่เกี่ยวข้องกับความปลอดภัยทางด้านไซเบอร์ (Cybersecurity)
  • รายงานความก้าวหน้าในการดำเนินการต่อคณะกรรมการจัดการของบริษัท (ORMC) เป็นระยะเวลาตามความเหมาะสม
  • ติดตามการบริหารจัดการเกี่ยวกับวิกฤตการณ์การละเมิดข้อมูลส่วนบุคคล และสนับสนุนการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ระดับปฏิบัติการ 1st Line Model สนับสนุนการบริหารจัดการข้อมูลให้เป็นไปตามนโยบาย มาตรฐาน และแนวปฏิบัติด้าน Data Governance ประกอบไปด้วยผู้ที่มีบทบาทหลัก 5 กลุ่มในการกำกับดูแลข้อมูลองค์กร ดังนี้ เจ้าของข้อมูล (Data Owner), บริกรข้อมูล (Data Steward), ผู้สร้างข้อมูล (Data Creator), ผู้ใช้ข้อมูล (Data User) และผู้ดูแลข้อมูล (Data Custodian)
2nd Line Model
  • กำกับและกำหนดกรอบการบริหารจัดการข้อมูลขององค์กร โดยมีฝ่ายธรรมาภิบาลข้อมูล (Data Governance) ทบทวนนโยบายและมาตรฐาน และให้แนวทางการบริหารจัดการข้อมูลองค์กร
  • ฝ่ายบริหารความเสี่ยง (Risk Management) จัดทำกรอบและกระบวนการประเมินความเสี่ยงด้านข้อมูล พร้อมติดตามระดับความเสี่ยงข้อมูลให้เหมาะสม
  • ฝ่ายกฎหมาย (Legal) มีหน้าที่สื่อสารและให้คำปรึกษาประเด็นด้านข้อมูล เพื่อให้มั่นใจว่าบริษัทปฏิบัติตามกฎหมาย กฎเกณฑ์ และระเบียบต่าง ๆ ของ OR อย่างครบถ้วนและถูกต้อง
3rd Line Model ตรวจสอบการปฏิบัติงานและการบริหารความเสี่ยงด้านข้อมูล เพื่อให้มั่นใจว่าเป็นไปตามนโยบาย มาตรฐาน และแนวปฏิบัติด้านการกำกับดูแลข้อมูล พร้อมเสนอแนวทางป้องกันและปรับปรุง เพื่อสนับสนุนการกำกับดูแลข้อมูลให้มีประสิทธิภาพในระยะยาว ซึ่งดำเนินการโดยฝ่ายตรวจสอบภายใน (Internal Audit)

                  OR มีขั้นตอนการรายงานที่ชัดเจนซึ่งพนักงานสามารถปฏิบัติตามได้ในกรณีที่มีข้อสังเกตอันน่าสงสัยเกิดขึ้น OR จัดให้มีบุคคลหรือหน่วยงานเพื่อทำหน้าที่รับแจ้งเหตุการณ์ (Point of Contact) ซึ่งเกี่ยวกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล และความปลอดภัยทางไซเบอร์ มีวิธีการแจ้งและรายงานเหตุการณ์ที่ชัดเจน ซึ่งพนักงานสามารถรับทราบและปฏิบัติตามวิธีการแจ้งเหตุดังกล่าวในกรณีที่พบเหตุการณ์อันก่อให้เกิดความเสี่ยงต่อหน่วยงานผู้รับผิดชอบโดยไม่ชักช้าเมื่อเกิดเหตุดังกล่าว ซึ่งผู้รับผิดชอบมีหน้าที่รายงานเหตุการณ์ต่อคณะผู้บริหารหรือผู้เกี่ยวข้องให้ทราบและดำเนินการวิเคราะห์และบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ภายใต้กรอบการบริหารความเสี่ยงขององค์กร
                  ทั้งนี้ OR ดำเนินการตรวจสอบภายใน (Internal Audit) ในปี 2568 ซึ่งเป็นการตรวจสอบการปฏิบัติตามนโยบายความเป็นส่วนตัวของบริษัท เพื่อให้มั่นใจว่าเป็นไปตามนโยบาย มาตรฐาน และระเบียบวิธีปฏิบัติที่เกี่ยวข้องกับการกำกับดูแลข้อมูล โดยการตรวจสอบการดำเนินการจะทำการสุ่มตรวจโดยพิจารณาจากกลุ่มของเจ้าของข้อมูลส่วนบุคคลและกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก
                  การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล และความปลอดภัยทางไซเบอร์ เป็นส่วนหนึ่งของการประเมินผลการปฏิบัติงานของพนักงานและการดำเนินการทางวินัย (Disciplinary Actions) OR ประเมินผลการปฏิบัติงานของพนักงานด้านความปลอดภัยทางไซเบอร์โดยใช้การทดสอบอีเมลฟิชชิ่งสำหรับพนักงานทุกคน เพื่อให้เป็นไปตามนโยบายของบริษัท บุคลากรของ OR ต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยของเทคโนโลยีสารสนเทศ นโยบายการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศ และนโยบายความปลอดภัยทางไซเบอร์ นอกจากนี้ OR ยังจัดอบรมพนักงานใหม่เพื่อให้เข้าใจถึงนโยบาย กฎ ระเบียบ ข้อบังคับ แนวปฏิบัติ และมาตรฐาน ในการรักษาความปลอดภัยข้อมูลของบริษัท ซึ่งรวมถึง ความเข้าใจเกี่ยวกับกฎหมายที่เกี่ยวข้องกับพระราชบัญญัติว่าด้วยอาชญากรรมคอมพิวเตอร์ การคุกคาม บทลงโทษ และผลที่ตามมาของการใช้ในทางที่ผิดและการใช้ระบบสารสนเทศอย่างไม่เหมาะสม
                  ศึกษาเพิ่มเติมได้ที่ แนวทางการบริหารจัดการแบบกลุ่ม OR ประจำปี 2568 
                  และ คู่มือการกำกับดูแลกิจการ มาตรฐานทางจริยธรรม และจรรยาบรรณทางธุรกิจปี 2568

การประเมินและระบุความเสี่ยง

               OR มีการระบุตัวบ่งชี้ความเสี่ยงองค์กร (Key Risk Indicator: KRI) ประเด็น IT Infrastructure Instability และ Cybersecurity เพื่อการติดตามผลการดำเนินงานที่เป็นระบบและมั่นใจว่าธุรกิจมีการเฝ้าระวังและติดตามความเสี่ยงที่อาจเกิดจากประเด็นความปลอดภัยและความเป็นส่วนตัวของข้อมูล
               หน่วยงานทุกหน่วยงานมีการจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities) เพื่อเป็นฐานข้อมูลของแต่ละหน่วยงานและองค์กรที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล ทำให้ง่ายต่อการติดตาม และตรวจสอบความถูกต้องว่าเป็นไปตามวัตถุประสงค์การใช้งาน รวมถึงสอดคล้องกับฐานกฎหมายที่เกี่ยวข้อง ซึ่งการจัดทำ Records of Processing Activities เป็นการจัดทำตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล และไซเบอร์

              ความมุ่งมั่นในการดำเนินธุรกิจภายใต้แนวคิด Digital Driven Organization ทำให้ OR มีการเตรียมความพร้อมสำหรับความเสี่ยงที่เกิดจากความปลอดภัยและความเป็นส่วนตัวของข้อมูล และภัยทางด้านไซเบอร์ สอดคล้องตามมาตรฐาน ISO/IEC 27001:2022 และกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) ครอบคลุมตั้งแต่การระบุทรัพย์สินสารสนเทศ การประเมินความเสี่ยง และการกำกับดูแลผ่านระบบบริหารสินทรัพย์ (เช่น IT Asset Management) และระบบประเมินความเสี่ยง (Identify: ID.AM, ID.RA, ID.GV) การป้องกันด้วยมาตรการควบคุมการเข้าถึง เช่น Identity Provider (IDP) สำหรับAuthentication/Authorization การใช้ Two-Factor Authentication การเข้ารหัสข้อมูล (เช่น AES-256, TLS 1.2/1.3), การจัดประเภทข้อมูล (Data Classification Tools), ระบบป้องกันการรั่วไหลของข้อมูล  (DLP) รวมถึง Firewall และ Perimeter Protection และระบบป้องกันมัลแวร์ (Antivirus,EDR) (Protect: PR.AC, PR.DS, PR.PT) การตรวจจับเหตุการณ์ผ่านระบบ Monitoring และ Log Management (SIEM) เพื่อระบุพฤติกรรมผิดปกติและภัยคุกคามแบบเรียลไทม์ (Detect: DE.CM, DE.AE) การตอบสนองต่อเหตุการณ์ผ่าน Incident Response Plan ระบบจัดการเหตุการณ์ (ระบบ ITSM) ขั้นตอนสืบสวนและกักกันเหตุการณ์ด้วย EDR และการสื่อสารกับผู้เกี่ยวข้อง (Respond: RS.RP, RS.MI, RS.CO) รวมถึงการฟื้นฟูระบบด้วยแผนการกู้คืนและสำรองข้อมูล (Backup Tools) และการทบทวนเพื่อปรับปรุงกระบวนการหลังเหตุการณ์ (Recover: RC.RP, RC.IM) เพื่อให้องค์กรสามารถให้บริการได้อย่างต่อเนื่องและปลอดภัยตามมาตรฐานสากล
              การรักษาความปลอดภัยและความเป็นส่วนตัวของลูกค้าของ OR มีนโยบายที่ชัดเจน ซึ่งสอดคล้องเป็นไปตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) โดย OR มีการจัดตั้งคุกกี้เพื่อจัดเก็บหรือติดตามข้อมูลเกี่ยวกับการใช้เว็บไซต์ และนำมาใช้ในการวิเคราะห์กระแสความนิยม (Trend) การบริหารจัดการเว็บไซต์ ติดตามการเคลื่อนไหวการใช้เว็บไซต์ของผู้ใช้บริการ หรือเพื่อจดจำการตั้งค่าของผู้ใช้บริการ ทั้งนี้ OR มีการติดตามและบันทึกการใช้ข้อมูลของลูกค้า ให้เป็นไปตามนโยบายความเป็นส่วนตัวของลูกค้าที่ประกาศใช้
              เพื่อให้มั่นใจว่าระบบสารสนเทศได้รับการทดสอบความปลอดภัย OR จึงมีขั้นตอนสำหรับทดสอบความปลอดภัย (Security Testing) และมีหน่วยงานภายนอกเข้ามาทดสอบระบบความปลอดภัยสารสนเทศ โดยจำลองสถานการณ์การเจาะระบบเครือข่ายคอมพิวเตอร์ของ OR (Third-party Vulnerability Analysis) เช่น Penetration Testing เป็นต้น อีกทั้ง OR ยังมีการพัฒนาแผนปฏิบัติการในกรณีฉุกเฉิน (Disaster Recovery Plan) สำหรับเป็นแนวทางให้ผู้บริหารและผู้ที่เกี่ยวข้องทราบถึงบทบาท หน้าที่และวิธีการปฏิบัติงานหากเกิดภัยทางด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูล OR มีการบริหารความต่อเนื่องธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security of Business Continuity Management) โดยมีการตรวจสอบมาตรการเพื่อความต่อเนื่องในความมั่นคงปลอดภัยสารสนเทศที่จัดตั้งขึ้นและผลการดำเนินการของมาตรการนั้นเป็นประจำอย่างน้อยปีละ 2 ครั้ง
              การตรวจประเมินการดำเนินการที่สอดคล้องกับนโยบายความปลอดภัยของข้อมูลส่วนบุคคลและการตรวจประเมินความปลอดภัยทางไซเบอร์ของ OR ได้รับการตรวจสอบโดยหน่วยงานภายในองค์กร (Internal Audit) รวมถึงหน่วยงานภายนอก (Third-party Audit) ที่มีการตรวจประเมินและรับรองระบบฯ ของ OR เป็นประจำทุกปี ซึ่งสอดคล้องกับมาตรฐาน ISO/IEC 27001: 2022 โดยผลการดำเนินงานที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Privacy) รวมถึงภัยทางด้านไซเบอร์ (Cybersecurity) จะถูกบันทึกและ ถูกนำมาวิเคราะห์ถึงความเป็นไปได้ในการปรับปรุงแก้ไขระบบการจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูล รวมไปถึงระบุเป็นแผนงานสำหรับการดำเนินธุรกิจในอนาคต
              ภาพรวมของการตรวจประเมินภายใน (Internal audits) ของปี 2568 สำหรับการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลนั้น อ้างอิงตามหลักการและข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายลำดับรอง และประกาศอื่นๆ ที่เกี่ยวข้อง สำหรับหัวข้อการตรวจประเมิน แบ่งออกเป็น 2 ส่วน ได้แก่ การเตรียมความพร้อมด้านกฎหมาย (Legal) และการเตรียมความพร้อมในด้านบุคลากรและกระบวนการ (Organization) โดยหัวข้อหลักของการตรวจประเมิน ได้แก่
              1. การขอความยินยอม
              2. การประมวลผลข้อมูลส่วนบุคคล (การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล)
              3. การแจ้งรายละเอียดและวัตถุประสงค์ต่อเจ้าของข้อมูล
              4. ฐานที่ใช้ในการประมวลผลข้อมูล
              5. การส่งหรือโอนข้อมูลไปต่างประเทศ
              6. สิทธิของเจ้าของข้อมูลส่วนบุคคล
              7. หน้าที่ผู้ควบคุมข้อมูล
              8. การบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
              9. หน้าที่ผู้ประมวลผลข้อมูล / สัญญาในการประมวลผลข้อมูลส่วนบุคคล
              จากการตรวจประเมิน พบว่า OR มีการเตรียมความพร้อมเพื่อให้องค์กร บุคลากร และกระบวนการที่เกี่ยวข้องสามารถดำเนินธุรกิจได้อย่างเหมาะสมตามข้อกำหนดของกฎหมาย โดย OR มีแผนการตรวจประเมินภายในเป็นประจำทุกปี เพื่อให้มั่นใจว่าองค์สามารถดำเนินธุรกิจสอดคล้องตามกฎหมายที่เกี่ยวข้องดังกล่าว

ช่องทางการร้องเรียน 

(GRI 418-1)

             OR มีช่องทางร้องเรียนในกรณีที่เกิดเหตุรั่วไหลของข้อมูลส่วนตัว ผ่านช่องทาง 1365 Contact Center หรือช่องทางอีเมล์ dpo@pttor.com โดยข้อร้องเรียนดังกล่าว จะถูกรายงานให้กับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer, DPO) และหน่วยงานที่เกี่ยวข้องรับทราบ ข้อมูลจะถูกวิเคราะห์พร้อมจัดให้มีแผนการแก้ไขและเยียวยาเหตุการณ์ที่เกิดขึ้นอย่างเหมาะสม ตามที่ระบุไว้ใน Incident Response Procedure
             ในกรณีที่ OR พบการรั่วไหลของข้อมูลส่วนบุคคล OR ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งรวมถึงกรณีที่การละเมิดดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูล ส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า และแจ้งเหตุแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ผลการดำเนินงาน

               ภาพรวมของการบริหารจัดการด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลในปี 2568 OR พบเหตุการณ์การรั่วไหลของข้อมูล 1 ครั้ง ซึ่งเป็นข้อมูลคู่ค้าทั่วไป ไม่ส่งผลกระทบกับเจ้าของข้อมูลส่วนบุคคล โดยมีกระบวนการควบคุมและยับยั้งเหตุการณ์ รวมถึงมาตรการในการดำเนินการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการเกิดเหตุซ้ำในอนาคต
               โดยเมื่อเกิดหรือได้รับแจ้งเหตุที่อาจเข้าข่ายข้อมูลส่วนบุคคลรั่วไหล หน่วยงานผู้รับผิดชอบจะประเมินสถานการณ์และควบคุมเหตุโดยเร่งด่วน เช่น ระงับบัญชีผู้ใช้ รีเซ็ตรหัสผ่าน และตัดการเข้าถึงระบบ จากนั้นตรวจสอบสาเหตุและขอบเขตข้อมูลที่ได้รับผลกระทบ พร้อมจัดทำรายงาน แจ้ง DPO เพื่อแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระยะเวลาที่กฎหมายกำหนด และแจ้งเจ้าของข้อมูลที่เกี่ยวข้อง ก่อนดำเนินการปรับปรุงมาตรการควบคุมระบบอย่างถาวร เช่น การเพิ่มการยืนยันตัวตนหลายขั้นตอน MFA และสรุปบทเรียนเพื่อป้องกันไม่ให้เกิดเหตุซ้ำในอนาคต

               บริษัทจึงได้รับการยืนยันว่าไม่พบข้อร้องเรียนเกี่ยวกับการละเมิดความเป็นส่วนตัวของลูกค้าจากบุคคลภายนอก รวมถึงไม่พบข้อร้องเรียนจากหน่วยงานกำกับดูแล
               ในปี 2568 OR ไม่มีการร้องเรียนการละเมิดความเป็นส่วนตัวของลูกค้าและการสูญเสียข้อมูลลูกค้าเพื่อวัตถุประสงค์อื่น ๆ (Secondary Purpose)

              1. การอบรมและทดสอบ Cyber Security Awareness Training ของพนักงาน OR
              เป็นการอบรมรูปแบบ E-learning เพื่อให้เข้าใจในการให้บริการด้านดิจิตอล นโยบาย ระเบียบ ข้อบังคับ แนวปฏิบัติ มาตรฐาน ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของบริษัท ตลอดจนกฎหมายที่เกี่ยวข้องกับ พ.ร.บ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคาม และผลลัพธ์อันเกิดจากการใช้งานระบบสารสนเทศที่ไม่ถูกต้องและไม่เหมาะสม โดยเนื้อหา ประกอบไปด้วย อาทิ Password Security, Phishing E-mail, Malware Protection, Internet Using Security เป็นต้น ซึ่งจะมาในรูปแบบ Animation เพื่อเพิ่มความน่าสนใจให้กับเนื้อหา นอกจากนี้ยังมีหลักสูตร Refreshment ซึ่งเป็นการจัดสอบด้าน Cyber Security Awareness ที่จัดขึ้นสำหรับพนักงานที่ทำงานมาแล้วระยะหนึ่ง เพื่อทำการทบทวนและสร้างความตระหนักถึงนโยบายบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยในปี 2568 มีผู้ผ่านการทดสอบ คิดเป็น 98.55% และยังมอบหมายให้พนักงาน Contractor ที่ปฏิบัติงานให้กับ OR มีการทดสอบความรู้ ความตระหนักด้าน Cyber Security Awareness โดยในปี 2568 มีผู้ผ่านการทดสอบ คิดเป็น 100%

            2. การอบรมการคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงาน
            การอบรมคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานในปี 2568 ประกอบด้วย หลักสูตร พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 PDPA ในรูปแบบ Online ซึ่งเป็นหลักสูตรสำหรับพนักงานจากหน่วยงานที่มีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้า โดยมีวัตถุประสงค์ให้พนักงานมีความรู้ความเข้าใจในการจัดเก็บข้อมูลส่วนบุคคลตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) รวมทั้งวิธีการปฏิบัติที่เหมาะสมกรณีการเกิดเหตุการรั่วไหลของข้อมูลส่วนบุคคล เพื่อให้พนักงานนำความรู้ไปปฏิบัติงานให้สอดคล้องกับกฎหมาย

          3. การป้องกันภัยคุกคาม Spear Phishing ที่ใช้ AI
          OR เสริมสร้างความตระหนักด้านความปลอดภัยไซเบอร์ โดยเผยแพร่แนวทางป้องกัน Spear Phishing ที่ใช้ AI ผ่านการให้ความรู้แก่บุคลากรในการตรวจสอบอีเมล สังเกตคำเตือน “External” และรายงานเหตุผิดปกติผ่านช่องทาง Service Desk ตลอด 24 ชั่วโมง พร้อมรณรงค์ไม่กดลิงก์หรือเปิดไฟล์แนบที่น่าสงสัย การดำเนินการดังกล่าวช่วยเพิ่มทักษะการเฝ้าระวังเชิงรุกและลดความเสี่ยงจากภัยคุกคามต่อระบบสารสนเทศของบริษัท

          4. การอบรม AI Governance: การกำกับดูแลการใช้งานปัญญาประดิษฐ์
          การอบรม AI Governance: การกำกับดูแลการใช้งานปัญญาประดิษฐ์ หรือ ธรรมาภิบาล AI ในปี 2568 เป็นหลักสูตรอบรมในรูปแบบ Online E-learning บนระบบ OR LMS ซึ่งประกอบไปด้วย 3 หัวข้อหลัก ได้แก่ 1. What is AI 2. AI Risk และ 3. AI Governance โดยมีวัตถุประสงค์เพื่อสร้างความรู้ความเข้าใจพื้นฐานเกี่ยวกับ AI ให้พนักงาน พร้อมทั้งกรอบแนวคิด ความเสี่ยง ตลอดจนถึงแนวปฏิบัติที่องค์กรสามารถนำไปใช้เพื่อควบคุมการพัฒนาและการใช้งาน AI ได้อย่างเหมาะสมและปลอดภัย

เอกสารที่เกี่ยวข้อง

คำสั่งแต่งตั้งคณะกรรมการดิจิทัลและธรรมาภิบาลข้อมูล OR (Appointment Order for the Digital and Data Governance Committee of OR)

Information Security Management Programs

Attestation Letter (ISO/IEC 27001: 2022)

  • เกี่ยวกับเรา
  • ข้อมูลองค์กร
  • ร่วมงานกับเรา
  • ธุรกิจน้ำมัน
  • - ธุรกิจพลังงานค้าปลีก
  • - ธุรกิจน้ำมันเชิงพาณิชย์
  • ธุรกิจค้าปลีก
  • บริการอื่น ๆ
  • ธุรกิจต่างประเทศ
  • โอกาสทางธุรกิจ
  • การพัฒนาที่ยั่งยืน
  • ข่าวสาร
  • ติดต่อเรา
ติดตามเราที่
Facebook-f Youtube
บริษัท ปตท. น้ำมันและการค้าปลีก จำกัด (มหาชน)
555/2 ศูนย์เอนเนอร์ยี่คอมเพล็กซ์ อาคารบี ชั้นที่ 12 ถนนวิภาวดีรังสิต แขวงจตุจักร เขตจตุจักร กรุงเทพฯ 10900
© 2024 OR เบอร์โทร : 02 196 5959
เกี่ยวกับเรา
ข้อมูลองค์กร
ร่วมงานกับเรา
ธุรกิจน้ำมัน
  • ธุรกิจพลังงานค้าปลีก
  • ธุรกิจน้ำมันเชิงพาณิชย์
ธุรกิจค้าปลีก
บริการอื่นๆ
ธุรกิจต่างประเทศ
โอกาสทางธุรกิจ
การพัฒนาที่ยั่งยืน
ข่าวสาร
ติดต่อเรา