ความสำคัญและพันธกิจ

ในยุคที่เทคโนโลยีสารสนเทศและเศรษฐกิจดิจิทัลเข้ามามีบทบาทสำคัญในการยกระดับประสิทธิภาพการดำเนินงาน บริษัทฯตระหนักถึงโอกาสและความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ที่อาจส่งผลกระทบต่อข้อมูลสำคัญขององค์กร รวมถึงข้อมูลเชิงธุรกิจ ข้อมูลส่วนบุคคล และข้อมูลของผู้มีส่วนได้ส่วนเสียทุกกลุ่ม การรั่วไหลหรือสูญหายของข้อมูล ไม่ว่าจะเกิดจากความประมาทหรือจากการถูกโจมตีทางไซเบอร์ ล้วนมีความเสี่ยงต่อความต่อเนื่องทางธุรกิจ ชื่อเสียง และความเชื่อมั่นขององค์กร และเพื่อบริหารจัดการความเสี่ยงดังกล่าว บริษัทฯ ได้จัดทำนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ครอบคลุมการป้องกัน ควบคุม และบริหารจัดการระบบคอมพิวเตอร์ เครือข่าย ซอฟต์แวร์ และระบบสำคัญต่าง ๆ ตลอดจนมาตรการคุ้มครองข้อมูลจากภัยคุกคามทางไซเบอร์ โดยอ้างอิงตามกรอบข้อกำหนดและมาตรฐานสากลด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้การดำเนินงานด้านระบบสารสนเทศและการสื่อสารมีความปลอดภัย และมีประสิทธิภาพอย่างต่อเนื่อง

นอกจากนั้น บริษัทฯ ได้ดำเนินการวางมาตรการป้องกัน ตรวจจับ และตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ รวมถึงจัดทำแผนตอบสนองเหตุฉุกเฉินเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นต่อการดำเนินงานและผลประกอบการ พร้อมทั้งกำหนดให้มีการสื่อสาร สร้างความตระหนักรู้ และส่งเสริมความเข้าใจเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ให้แก่กรรมการ ผู้บริหาร และพนักงานทุกระดับ เพื่อให้สอดคล้องกับสภาวะภัยคุกคามที่เปลี่ยนแปลงอยู่ตลอดเวลา บริษัทฯ กำหนดให้มีการทบทวนนโยบายความมั่นคงปลอดภัยสารสนเทศอย่างน้อยปีละหนึ่งครั้ง เพื่อให้มั่นใจว่ากลไกการกำกับดูแลและการคุ้มครองข้อมูลขององค์กรมีความทันสมัยและมีประสิทธิผลอย่างต่อเนื่อง

นโยบายการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (ฉบับปรับปรุง ครั้งที่ 3)

เป้าหมายและผลการดำเนินงาน

เป้าหมาย ประจำปี 2568

  • จำนวนการละเมิดหรือการไม่ปฏิบัติตามด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ 0 ครั้ง
  • ข้อร้องเรียนเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลของลูกค้า 0 เรื่อง
  • การเกิดอุบัติการณ์ด้านโครงสร้างระบบเทคโนโลยีสารสนเทศ 0 ครั้ง
  • จำนวนค่าปรับ/บทปรับจากการละเมิดความปลอดภัยของข้อมูล หรืออุบัติการณ์ด้านความปลอดภัยของข้อมูล 0 บาท

ผลการดำเนินงานที่สำคัญ

การตรวจสอบการดำเนินงาน หน่วย ปี 2566 ปี 2567 ปี 2568
จำนวนการละเมิดหรือการไม่ปฏิบัติตามนโยบายและแนวปฏิบัติการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ ครั้ง 0 0 0
การเกิดอุบัติการณ์ด้านโครงสร้างระบบเทคโนโลยีสารสนเทศ ครั้ง 0 0 0
ข้อร้องเรียนเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล เรื่อง 0 0 0
จำนวนเหตุการณ์ข้อมูลรั่วไหลหรือถูกนำไปเปิดเผย/ใช้โดยไม่รับอนุญาต ครั้ง 0 0 0
จำนวนค่าปรับ/บทปรับจากการละเมิดความปลอดภัยของข้อมูล หรืออุบัติการณ์ด้านความปลอดภัยของข้อมูล บาท 0 0 0

แนวทางการบริหารจัดการ

โครงสร้างการบริหารงานด้านเทคโนโลยีสารสนเทศ

บริษัทฯ มุ่งมั่นเสริมสร้างความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศเพื่อรองรับการดำเนินธุรกิจในยุคดิจิทัล และเพื่อคุ้มครองข้อมูลขององค์กร ลูกค้า คู่ค้า และผู้มีส่วนได้ส่วนเสียทุกกลุ่มอย่างรอบด้าน โดยกำหนดโครงสร้างการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ที่ชัดเจน ครอบคลุมบทบาทของคณะกรรมการบริษัทฯ ผู้บริหาร และหน่วยงานปฏิบัติการ เพื่อให้การบริหารจัดการความเสี่ยงด้านไซเบอร์มีความเข้มแข็งและโปร่งใส โดยมีรายละเอียดดังนี้

คณะกรรมการบริษัทฯ
  • กำกับดูแลระบบบริหารความเสี่ยงและการควบคุมภายในให้มีประสิทธิภาพ
คณะกรรมการตรวจสอบ / คณะกรรมการธรรมาภิบาลและบริหารความเสี่ยง
  • กำกับดูแลความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ
  • ทบทวนความเพียงพอของมาตรการควบคุมความเสี่ยง
  • ตรวจสอบความถูกต้องและความครบถ้วนของข้อมูลรายงาน
ฝ่ายจัดการ
  • จัดทำแผนและกำกับการดำเนินงานตามระบบการควบคุมและมาตรการด้านความปลอดภัยของระบบสารสนเทศ
คณะทำงานบริหารความเสี่ยง
  • ประเมินความเสี่ยงขององค์กรเกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ
  • เสนอแผนและแนวทางบริหารความเสี่ยงต่อคณะกรรมการที่เกี่ยวข้อง
ฝ่ายตรวจสอบภายใน
  • ตรวจประเมินประสิทธิภาพและความเพียงพอของมาตรการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ
  • ตรวจสอบสิทธิ์การเข้าถึงโปรแกรมและข้อมูลตามหลักการควบคุมภายใน กระบวนการบริหารจัดการสิทธิ์การเข้าถึงโปรแกรมและข้อมูล (Access to Program and Data) ซึ่งครอบคลุมการจัดการบัญชีผู้ใช้งาน การแก้ไขสิทธิ์เข้าถึง (User Access Modification) และการยกเลิกสิทธิ์ผู้ใช้งาน (User Revocation)
สายงานสนับสนุนองค์กร / ฝ่ายเทคโนโลยีสารสนเทศ
  • กำหนดแผน เป้าหมาย และระเบียบปฏิบัติในการดำเนินการตามแผนงานด้านความมั่นคงปลอดภัยสารสนเทศ
  • เฝ้าระวัง ติดตาม และปรับปรุงมาตรการรักษาความปลอดภัยของระบบอย่างต่อเนื่อง
  • บริหารจัดการสิทธิ์การเข้าถึงโปรแกรมและข้อมูลให้สอดคล้องกับหน้าที่ความรับผิดชอบของผู้ใช้งาน
  • สนับสนุนการพัฒนาและปรับปรุงระบบเทคโนโลยีสารสนเทศเพื่อเพิ่มประสิทธิภาพการดำเนินงานขององค์กร

การบริหารจัดการความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ

บริษัทฯ ให้ความสำคัญต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและระบบสื่อสารขององค์กร โดยยึดหลักการรักษาความปลอดภัยของข้อมูลตามมาตรฐานสากล เพื่อให้มั่นใจว่าระบบสารสนเทศมีความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) อย่างต่อเนื่อง นอกจากนี้ยังคำนึงถึงคุณลักษณะสำคัญอื่น ๆ ได้แก่ ความถูกต้องแท้จริงของข้อมูล (Authenticity) ความรับผิดชอบในการดำเนินงาน (Accountability) การไม่สามารถปฏิเสธความรับผิดชอบ (Non-Repudiation) และความน่าเชื่อถือของระบบ (Reliability) และเพื่อสนับสนุนการบริหารจัดการความมั่นคงปลอดภัย บริษัทฯ ได้กำหนดแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ เป็นกรอบการดำเนินงานที่ครอบคลุมมาตรการป้องกัน ตรวจจับ และตอบสนองต่อความเสี่ยงด้านเทคโนโลยีสารสนเทศและภัยคุกคามไซเบอร์ แนวปฏิบัติดังกล่าวช่วยให้บริษัทฯ สามารถปกป้องข้อมูล ระบบสำคัญ และทรัพยากรดิจิทัล จากการคุกคามที่อาจเกิดขึ้น พร้อมรักษาความต่อเนื่องทางธุรกิจและเสริมสร้างความเชื่อมั่นให้แก่ผู้มีส่วนได้ส่วนเสียทุกกลุ่ม โดยองค์ประกอบของแนวปฏิบัติในการรักษาความมั่นคงของบริษัทฯ มีทั้งสิ้น 9 หมวด ตามรายละเอียดดังนี้

  1. การเข้าถึงและการควบคุมการใช้งานสารสนเทศและระบบเทคโนโลยีสารสนเทศและการสื่อสาร
  2. การเข้า - ออก ศูนย์สารสนเทศ
  3. การใช้งานเครื่องคอมพิวเตอร์
  4. การใช้งานอินเทอร์เน็ตและจดหมายอิเล็กทรอนิกส์
  5. การบริหารจัดการสินทรัพย์และเครือข่าย
  6. การควบคุมความมั่นคงปลอดภัยสำหรับการปฏิบัติงาน
  7. การสำรองข้อมูลและการกู้คืนข้อมูล
  8. การประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศและการสื่อสาร
  9. การสร้างความตระหนักในเรื่องของการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
  10. การจัดหา พัฒนา และดูแลระบบเทคโนโลยีสารสนเทศ
  11. การใช้งานปัญญาประดิษฐ์นอกจากนั้น

บริษัทฯ ยังได้กำหนดบทลงโทษแก่ผู้ฝ่าฝืนหรือเพิกเฉยต่อการกระทำผิด ตามนโยบายการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ และ/หรือแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ จะต้องได้รับโทษทางวินัยของบริษัทฯ และตามที่กฏหมายกำหนดไว้

มาตรการการรับมือต่อเหตุฉุกเฉินของการคุกคามทางไซเบอร์

เพื่อเสริมสร้างความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและลดความเสี่ยงจากภัยคุกคามไซเบอร์ บริษัทฯ ได้กำหนดมาตรการและกระบวนการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศไว้อย่างรัดกุม โดยระบุในแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security Guidelines) ครอบคลุมถึงการป้องกัน การสำรองข้อมูล และการเตรียมความพร้อมต่อเหตุการณ์ฉุกเฉิน ดังนี้

มีระบบจัดเก็บและสำรองข้อมูลที่ปลอดภัยตามประเภทข้อมูล

ครอบคลุมโปรแกรมระบบปฏิบัติการ แอปพลิเคชัน คำสั่งงาน และข้อมูลสำคัญ โดยสำรองไว้อย่างน้อยหนึ่งชุดในสถานที่แยกต่างหาก เพื่อความปลอดภัยและรองรับการใช้งานอย่างต่อเนื่อง

กำหนดผู้รับผิดชอบด้านการสำรองข้อมูลโดยเฉพาะ

พร้อมมีการตรวจสอบความถูกต้องและความครบถ้วนของข้อมูลสำรองอย่างน้อยปีละหนึ่งครั้ง

กำหนดความถี่ในการสำรองข้อมูลอย่างเป็นระบบ

และดำเนินการสำรองข้อมูลตามรอบที่กำหนด โดยไม่น้อยกว่าปีละหนึ่งครั้ง เพื่อให้มั่นใจว่าข้อมูลสำคัญได้รับการปกป้องอย่างเพียงพอ

จัดทำแผนเตรียมความพร้อมและกู้คืนระบบในภาวะฉุกเฉิน (Disaster Recovery Plan)

เพื่อให้ระบบสามารถกลับมาทำงานได้ภายในระยะเวลาที่กำหนด รวมถึงมีการทบทวนแผนกู้คืนอย่างน้อยปีละหนึ่งครั้ง

จัดทำแผนสำรองการดำเนินงานในกรณีที่ไม่สามารถใช้ระบบอิเล็กทรอนิกส์ได้

เพื่อให้บริษัทฯ สามารถปฏิบัติงานได้อย่างต่อเนื่องแม้เกิดเหตุขัดข้องด้านเทคโนโลยี

มาตรการดังกล่าวสะท้อนถึงความมุ่งมั่นของบริษัทฯ ในการปกป้องข้อมูลสำคัญขององค์กรและผู้มีส่วนได้ส่วนเสีย รวมถึงการรักษาความต่อเนื่องของธุรกิจ (Business Continuity) ในสถานการณ์ที่อาจเกิดความเสี่ยงด้านไซเบอร์ ทั้งนี้บริษัทฯ จะทบทวนและพัฒนาแนวปฏิบัติดังกล่าวอย่างต่อเนื่องให้สอดคล้องกับภัยคุกคามที่เปลี่ยนแปลงไปและมาตรฐานสากลด้านความมั่นคงปลอดภัยข้อมูล

การสื่อสารภายในองค์กรเพื่อสร้างความตระหนัก

บริษัทฯ ให้ความสำคัญต่อการเสริมสร้างวัฒนธรรมความมั่นคงปลอดภัยทางไซเบอร์ภายในองค์กร โดยมุ่งเน้นให้พนักงานทุกระดับตระหนักถึงความสำคัญของการปกป้องข้อมูลและการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย บริษัทฯ ได้ดำเนินการประชาสัมพันธ์และจัดให้มีการฝึกอบรมเกี่ยวกับกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ รวมถึงพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ เพื่อให้พนักงานปฏิบัติตามข้อกำหนดได้อย่างถูกต้องและลดความเสี่ยงจากการใช้งานระบบที่ไม่เหมาะสม

นอกจากนี้ บริษัทฯ ยังพัฒนาหลักสูตรด้านเทคโนโลยีสารสนเทศบนระบบ Intranet ขององค์กร เพื่อให้พนักงานสามารถเข้าศึกษาและเรียนรู้ได้อย่างสะดวก หลักสูตรดังกล่าวช่วยยกระดับความเข้าใจของพนักงานเกี่ยวกับการป้องกันภัยคุกคามไซเบอร์ การรับผิดชอบต่อข้อมูล และแนวทางการใช้งานเทคโนโลยีสารสนเทศอย่างปลอดภัย ทั้งนี้ บริษัทฯ มุ่งมั่นส่งเสริมการเรียนรู้อย่างต่อเนื่อง เพื่อสร้างความพร้อมของบุคลากรในการเผชิญความเสี่ยงด้านไซเบอร์และสนับสนุนการดำเนินงานที่มีความมั่นคงปลอดภัยในระยะยาว

ในปี 2568 บริษัทฯ ได้กำหนดให้พนักงานใหม่ทุกรายจะต้องดำเนินการเข้าอบรมหลักสูตรการใช้งานสารสนเทศในงานปฏิบัติ เพื่อให้พนักงานใหม่ได้เรียนรู้ เข้าใจ และรับทราบนโยบายและแนวปฏิบัติด้านความปลอดภัยทางเทคโนโลยีสารสนเทศขององค์กร ตลอดจนแนวทางการใช้งานระบบสารสนเทศต่าง ๆ ภายในองค์กรอย่างปลอดภัยและมีประสิทธิภาพ เช่น ระบบ Intranet และ Microsoft 365 ซึ่งเป็นเครื่องมือสำคัญในการทำงานประจำวัน ทั้งนี้ผู้เรียนสามารถทดลองใช้งานจริงตามบทเรียน เพื่อเสริมสร้างความเข้าใจและทักษะการใช้งานได้อย่างมั่นใจ ซึ่งมีวัตถุประสงค์

  • เพื่อให้ผู้เข้าอบรมสามารถใช้งานระบบสารสนเทศได้อย่างถูกต้องและปลอดภัย
  • เพื่อเสริมสร้างทักษะการแก้ไขปัญหาเบื้องต้นที่เกี่ยวข้องกับระบบ IT
  • เพื่อส่งเสริมการทำงานร่วมกันระหว่างฝ่าย IT และผู้ใช้งานในหน่วยงาน
  • เพื่อเตรียมความพร้อมให้กับพนักงานใหม่หรือผู้ที่ได้รับมอบหมายงานด้านสารสนเทศ
  • เพื่อเพิ่มประสิทธิภาพในการทำงานผ่านการใช้เทคโนโลยีสารสนเทศอย่างเหมาะสม

นอกจากนั้น ในยุคที่เทคโนโลยีดิจิทัลเข้ามามีบทบาทสำคัญในทุกการดำเนินงานขององค์กร ปัญญาประดิษฐ์ (Artificial Intelligence: AI) และความปลอดภัยไซเบอร์ (Cybersecurity) กลายเป็นหัวใจหลักที่ทุกคนต้องเข้าใจและใช้งานอย่างถูกต้อง AI ช่วยเพิ่มประสิทธิภาพในการทำงาน วิเคราะห์ข้อมูล และสนับสนุนการตัดสินใจ แต่ในขณะเดียวกันเทคโนโลยีเหล่านี้ก็เปิดโอกาสให้ภัยคุกคามไซเบอร์พัฒนาและซับซ้อนขึ้นตามไปด้วย ดังนั้น ปัจจัยเสี่ยงใหญ่ที่สุดขององค์กรไม่ใช่เทคโนโลยี แต่คือ พฤติกรรมของผู้ใช้งาน (Human Error) ดังนั้น การสร้างความรู้ความเข้าใจ เพื่อให้พนักงานสามารถใช้ AI ได้อย่างปลอดภัย พร้อมกับสามารถรับมือและป้องกันภัยไซเบอร์ได้ จึงเป็นสิ่งจำเป็นสำหรับทุกองค์กรที่ต้องการลดความเสี่ยงและยกระดับความมั่นคงปลอดภัยด้านข้อมูล ด้วยเหตุผลดังกล่าว บริษัทฯ จึงจัดให้มี หลักสูตร Cybersecurity and Artificial Intelligence Awareness ที่ถูกออกแบบมาเพื่อมอบความรู้พื้นฐานที่สำคัญ ผ่านระบบ E- Learning ในระบบ Intranet ซึ่งจะช่วยให้พนักงานทุกคนเข้าใจถึงโอกาสและความเสี่ยงที่มาพร้อมกับเทคโนโลยีดิจิทัล พร้อมสร้างทักษะที่จำเป็นในการปกป้องข้อมูล ใช้ AI อย่างมีจริยธรรม และส่งเสริมให้เกิดวัฒนธรรมด้านความปลอดภัยที่แข็งแรงภายในองค์กร โดยมีวัตถุประสงค์ของหลักสูตรของหลักสูตรงดังนี้

  • เพื่อสร้างความตระหนักรู้ด้านความปลอดภัยไซเบอร์ ให้พนักงานเข้าใจภัยคุกคามที่พบได้จริงในองค์กร เช่น Phishing, Malware, Ransomware, Social Engineering และพฤติกรรมเสี่ยงของผู้ใช้งาน
  • เพื่อให้พนักงานสามารถป้องกันตนเองจากภัยไซเบอร์ได้อย่างมีประสิทธิภาพ และรู้จักแนวทางปฏิบัติที่ปลอดภัย เช่น การตั้งรหัสผ่าน การใช้ MFA การตรวจสอบลิงก์และอีเมล การป้องกันข้อมูลรั่วไหล และการรายงานเหตุผิดปกติ
  • เพื่อให้พนักงานเข้าใจพื้นฐานปัญญาประดิษฐ์ (AI) โดยมีความเข้าใจว่าระบบ AI คืออะไร ทำงานอย่างไร และสามารถนำไปใช้ในงานได้อย่างถูกต้องและปลอดภัย
  • เพื่อให้พนักงานรู้เท่าทันความเสี่ยงจากการใช้ AI โดยรู้ว่ามีความเสี่ยงด้านข้อมูล ความเป็นส่วนตัว ความถูกต้องของข้อมูล Output และการใช้ AI อย่างเหมาะสมในบริบทองค์กร
  • เพื่อส่งเสริมการใช้ AI อย่างมีประสิทธิภาพ โดยให้พนักงานสามารถใช้ AI เพื่อเพิ่มประสิทธิภาพ ลดเวลาในการทำงาน และช่วยตัดสินใจ แต่ยังอยู่ในกรอบความปลอดภัยที่กำหนด
  • เพื่อยกระดับมาตรฐานความปลอดภัยขององค์กร ซึ่งจะลดโอกาสเกิดเหตุการณ์ Cyber Attack ที่เกิดจาก Human Error และสร้าง "Human Firewall" ให้เกิดขึ้นในองค์กร
  • เพื่อให้พนักงานเข้าใจนโยบายด้าน Cybersecurity และ AI ขององค์กร และให้ทุกคนปฏิบัติตามมาตรฐานเดียวกัน ทั้งด้านความปลอดภัย ข้อมูลส่วนบุคคล (PDPA) และการใช้เครื่องมือ AI

การคุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้มีส่วนได้ส่วนเสียทุกกลุ่ม ทั้งลูกค้า คู่ค้า ผู้ให้บริการ ผู้สมัครงาน พนักงาน นักศึกษาฝึกงาน ผู้มาติดต่อ กรรมการ และนักลงทุน โดยยึดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพื่อคุ้มครองสิทธิและความเป็นส่วนตัวของเจ้าของข้อมูลอย่างเหมาะสม เพื่อให้การดำเนินงานขององค์กรเป็นไปตามข้อกำหนดทางกฎหมาย บริษัทฯ ได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล ที่กำหนดแนวทางปฏิบัติให้แก่หน่วยงานและพนักงานที่เกี่ยวข้องในการจัดการข้อมูลส่วนบุคคลอย่างถูกต้องและสอดคล้องกับวัตถุประสงค์ทางธุรกิจของบริษัทฯ นโยบายดังกล่าวครอบคลุมตั้งแต่ขั้นตอนการเก็บรวบรวม การจัดเก็บ การใช้ การเปิดเผย ตลอดจนการทำลายข้อมูลส่วนบุคคลอย่างเป็นระบบ เพื่อป้องกันการเข้าถึงหรือการใช้ข้อมูลโดยมิชอบ และเพื่อให้เกิดตระหนักถึงผลกระทบที่อาจเกิดจากการละเมิดข้อมูลส่วนบุคคล จึงได้กำหนดมาตรการบริหารจัดการข้อมูลส่วนบุคคล (Data Protection Measures) เพื่อคุ้มครองเจ้าของข้อมูล (Data Subject) อย่างครบถ้วน มาตรการเหล่านี้รวมถึงการควบคุมการเข้าถึงข้อมูล การรักษาความมั่นคงปลอดภัยของข้อมูล การติดตามตรวจสอบ และการจัดการเหตุการณ์ละเมิดข้อมูลหากเกิดขึ้น เพื่อให้มั่นใจว่าการดำเนินงานเป็นไปอย่างโปร่งใส มีความรับผิดชอบ และให้ความคุ้มครองแก่เจ้าของข้อมูลตามหลักมาตรฐานสากล การดำเนินการดังกล่าวสะท้อนถึงความมุ่งมั่นของบริษัทฯ ในการบริหารจัดการข้อมูลอย่างมีจริยธรรม รักษาความไว้วางใจของผู้มีส่วนได้ส่วนเสีย และสนับสนุนการดำเนินงานด้านความยั่งยืนขององค์กรในระยะยาว และเพื่อเพิ่มประสิทธิภาพการปฏิบัติงานภายในที่สอดคล้องและเป็นไปตามกฎหมาย ในปี 2568 นี้ คณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดให้พนักงานใหม่ทุกคน (ร้อยละ 100) จะต้องเข้าร่วมหลักสูตรการปฐมนิเทศ เรื่อง การปกป้องข้อมูลส่วนบุคคล นอกจากนั้น ยังได้กำหนดให้มีการแต่งตั้งตัวแทนของแต่ละหน่วยงาน (Change Agent) เพื่อช่วยทำหน้าที่ขับเคลื่อน ตรวจสอบ ให้คำแนะนำและคำปรึกษาต่อการประมวลผลข้อมูลส่วนบุคคลภายในหน่วยงานตนเอง พร้อมทั้งจัดให้มีการอบรมหลักสูตร “การขอความยินยอมตาม PDPA ภาคปฏิบัติ (Consent Management Workshop)” เพื่อให้ตัวแทนของแต่ละหน่วยงานได้เข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลและหลักการจัดการความยินยอม (Consent) ข้อกำหนดและข้อยกเว้นที่เกี่ยวข้อง