ความสำคัญและพันธกิจ
ในยุคที่เทคโนโลยีสารสนเทศและเศรษฐกิจดิจิทัลเข้ามามีบทบาทสำคัญในการยกระดับประสิทธิภาพการดำเนินงาน บริษัทฯตระหนักถึงโอกาสและความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ที่อาจส่งผลกระทบต่อข้อมูลสำคัญขององค์กร รวมถึงข้อมูลเชิงธุรกิจ ข้อมูลส่วนบุคคล และข้อมูลของผู้มีส่วนได้ส่วนเสียทุกกลุ่ม การรั่วไหลหรือสูญหายของข้อมูล ไม่ว่าจะเกิดจากความประมาทหรือจากการถูกโจมตีทางไซเบอร์ ล้วนมีความเสี่ยงต่อความต่อเนื่องทางธุรกิจ ชื่อเสียง และความเชื่อมั่นขององค์กร และเพื่อบริหารจัดการความเสี่ยงดังกล่าว บริษัทฯ ได้จัดทำนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ครอบคลุมการป้องกัน ควบคุม และบริหารจัดการระบบคอมพิวเตอร์ เครือข่าย ซอฟต์แวร์ และระบบสำคัญต่าง ๆ ตลอดจนมาตรการคุ้มครองข้อมูลจากภัยคุกคามทางไซเบอร์ โดยอ้างอิงตามกรอบข้อกำหนดและมาตรฐานสากลด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้การดำเนินงานด้านระบบสารสนเทศและการสื่อสารมีความปลอดภัย และมีประสิทธิภาพอย่างต่อเนื่อง
นอกจากนั้น บริษัทฯ ได้ดำเนินการวางมาตรการป้องกัน ตรวจจับ และตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ รวมถึงจัดทำแผนตอบสนองเหตุฉุกเฉินเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นต่อการดำเนินงานและผลประกอบการ พร้อมทั้งกำหนดให้มีการสื่อสาร สร้างความตระหนักรู้ และส่งเสริมความเข้าใจเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ให้แก่กรรมการ ผู้บริหาร และพนักงานทุกระดับ เพื่อให้สอดคล้องกับสภาวะภัยคุกคามที่เปลี่ยนแปลงอยู่ตลอดเวลา บริษัทฯ กำหนดให้มีการทบทวนนโยบายความมั่นคงปลอดภัยสารสนเทศอย่างน้อยปีละหนึ่งครั้ง เพื่อให้มั่นใจว่ากลไกการกำกับดูแลและการคุ้มครองข้อมูลขององค์กรมีความทันสมัยและมีประสิทธิผลอย่างต่อเนื่อง
นโยบายการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (ฉบับปรับปรุง ครั้งที่ 3)เป้าหมายและผลการดำเนินงาน
เป้าหมาย ประจำปี 2568
- จำนวนการละเมิดหรือการไม่ปฏิบัติตามด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ 0 ครั้ง
- ข้อร้องเรียนเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลของลูกค้า 0 เรื่อง
- การเกิดอุบัติการณ์ด้านโครงสร้างระบบเทคโนโลยีสารสนเทศ 0 ครั้ง
- จำนวนค่าปรับ/บทปรับจากการละเมิดความปลอดภัยของข้อมูล หรืออุบัติการณ์ด้านความปลอดภัยของข้อมูล 0 บาท

ผลการดำเนินงานที่สำคัญ
| การตรวจสอบการดำเนินงาน | หน่วย | ปี 2566 | ปี 2567 | ปี 2568 |
|---|---|---|---|---|
| จำนวนการละเมิดหรือการไม่ปฏิบัติตามนโยบายและแนวปฏิบัติการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ | ครั้ง | 0 | 0 | 0 |
| การเกิดอุบัติการณ์ด้านโครงสร้างระบบเทคโนโลยีสารสนเทศ | ครั้ง | 0 | 0 | 0 |
| ข้อร้องเรียนเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล | เรื่อง | 0 | 0 | 0 |
| จำนวนเหตุการณ์ข้อมูลรั่วไหลหรือถูกนำไปเปิดเผย/ใช้โดยไม่รับอนุญาต | ครั้ง | 0 | 0 | 0 |
| จำนวนค่าปรับ/บทปรับจากการละเมิดความปลอดภัยของข้อมูล หรืออุบัติการณ์ด้านความปลอดภัยของข้อมูล | บาท | 0 | 0 | 0 |
แนวทางการบริหารจัดการ
โครงสร้างการบริหารงานด้านเทคโนโลยีสารสนเทศ
บริษัทฯ มุ่งมั่นเสริมสร้างความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศเพื่อรองรับการดำเนินธุรกิจในยุคดิจิทัล และเพื่อคุ้มครองข้อมูลขององค์กร ลูกค้า คู่ค้า และผู้มีส่วนได้ส่วนเสียทุกกลุ่มอย่างรอบด้าน โดยกำหนดโครงสร้างการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ที่ชัดเจน ครอบคลุมบทบาทของคณะกรรมการบริษัทฯ ผู้บริหาร และหน่วยงานปฏิบัติการ เพื่อให้การบริหารจัดการความเสี่ยงด้านไซเบอร์มีความเข้มแข็งและโปร่งใส โดยมีรายละเอียดดังนี้
| คณะกรรมการบริษัทฯ |
|
| คณะกรรมการตรวจสอบ / คณะกรรมการธรรมาภิบาลและบริหารความเสี่ยง |
|
| ฝ่ายจัดการ |
|
| คณะทำงานบริหารความเสี่ยง |
|
| ฝ่ายตรวจสอบภายใน |
|
| สายงานสนับสนุนองค์กร / ฝ่ายเทคโนโลยีสารสนเทศ |
|
การบริหารจัดการความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
บริษัทฯ ให้ความสำคัญต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและระบบสื่อสารขององค์กร โดยยึดหลักการรักษาความปลอดภัยของข้อมูลตามมาตรฐานสากล เพื่อให้มั่นใจว่าระบบสารสนเทศมีความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) อย่างต่อเนื่อง นอกจากนี้ยังคำนึงถึงคุณลักษณะสำคัญอื่น ๆ ได้แก่ ความถูกต้องแท้จริงของข้อมูล (Authenticity) ความรับผิดชอบในการดำเนินงาน (Accountability) การไม่สามารถปฏิเสธความรับผิดชอบ (Non-Repudiation) และความน่าเชื่อถือของระบบ (Reliability) และเพื่อสนับสนุนการบริหารจัดการความมั่นคงปลอดภัย บริษัทฯ ได้กำหนดแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ เป็นกรอบการดำเนินงานที่ครอบคลุมมาตรการป้องกัน ตรวจจับ และตอบสนองต่อความเสี่ยงด้านเทคโนโลยีสารสนเทศและภัยคุกคามไซเบอร์ แนวปฏิบัติดังกล่าวช่วยให้บริษัทฯ สามารถปกป้องข้อมูล ระบบสำคัญ และทรัพยากรดิจิทัล จากการคุกคามที่อาจเกิดขึ้น พร้อมรักษาความต่อเนื่องทางธุรกิจและเสริมสร้างความเชื่อมั่นให้แก่ผู้มีส่วนได้ส่วนเสียทุกกลุ่ม โดยองค์ประกอบของแนวปฏิบัติในการรักษาความมั่นคงของบริษัทฯ มีทั้งสิ้น 9 หมวด ตามรายละเอียดดังนี้
- การเข้าถึงและการควบคุมการใช้งานสารสนเทศและระบบเทคโนโลยีสารสนเทศและการสื่อสาร
- การเข้า - ออก ศูนย์สารสนเทศ
- การใช้งานเครื่องคอมพิวเตอร์
- การใช้งานอินเทอร์เน็ตและจดหมายอิเล็กทรอนิกส์
- การบริหารจัดการสินทรัพย์และเครือข่าย
- การควบคุมความมั่นคงปลอดภัยสำหรับการปฏิบัติงาน
- การสำรองข้อมูลและการกู้คืนข้อมูล
- การประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศและการสื่อสาร
- การสร้างความตระหนักในเรื่องของการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
- การจัดหา พัฒนา และดูแลระบบเทคโนโลยีสารสนเทศ
- การใช้งานปัญญาประดิษฐ์นอกจากนั้น
บริษัทฯ ยังได้กำหนดบทลงโทษแก่ผู้ฝ่าฝืนหรือเพิกเฉยต่อการกระทำผิด ตามนโยบายการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ และ/หรือแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ จะต้องได้รับโทษทางวินัยของบริษัทฯ และตามที่กฏหมายกำหนดไว้
มาตรการการรับมือต่อเหตุฉุกเฉินของการคุกคามทางไซเบอร์
เพื่อเสริมสร้างความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและลดความเสี่ยงจากภัยคุกคามไซเบอร์ บริษัทฯ ได้กำหนดมาตรการและกระบวนการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศไว้อย่างรัดกุม โดยระบุในแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security Guidelines) ครอบคลุมถึงการป้องกัน การสำรองข้อมูล และการเตรียมความพร้อมต่อเหตุการณ์ฉุกเฉิน ดังนี้
มีระบบจัดเก็บและสำรองข้อมูลที่ปลอดภัยตามประเภทข้อมูล
ครอบคลุมโปรแกรมระบบปฏิบัติการ แอปพลิเคชัน คำสั่งงาน และข้อมูลสำคัญ โดยสำรองไว้อย่างน้อยหนึ่งชุดในสถานที่แยกต่างหาก เพื่อความปลอดภัยและรองรับการใช้งานอย่างต่อเนื่อง
กำหนดผู้รับผิดชอบด้านการสำรองข้อมูลโดยเฉพาะ
พร้อมมีการตรวจสอบความถูกต้องและความครบถ้วนของข้อมูลสำรองอย่างน้อยปีละหนึ่งครั้ง
กำหนดความถี่ในการสำรองข้อมูลอย่างเป็นระบบ
และดำเนินการสำรองข้อมูลตามรอบที่กำหนด โดยไม่น้อยกว่าปีละหนึ่งครั้ง เพื่อให้มั่นใจว่าข้อมูลสำคัญได้รับการปกป้องอย่างเพียงพอ
จัดทำแผนเตรียมความพร้อมและกู้คืนระบบในภาวะฉุกเฉิน (Disaster Recovery Plan)
เพื่อให้ระบบสามารถกลับมาทำงานได้ภายในระยะเวลาที่กำหนด รวมถึงมีการทบทวนแผนกู้คืนอย่างน้อยปีละหนึ่งครั้ง
จัดทำแผนสำรองการดำเนินงานในกรณีที่ไม่สามารถใช้ระบบอิเล็กทรอนิกส์ได้
เพื่อให้บริษัทฯ สามารถปฏิบัติงานได้อย่างต่อเนื่องแม้เกิดเหตุขัดข้องด้านเทคโนโลยี
มาตรการดังกล่าวสะท้อนถึงความมุ่งมั่นของบริษัทฯ ในการปกป้องข้อมูลสำคัญขององค์กรและผู้มีส่วนได้ส่วนเสีย รวมถึงการรักษาความต่อเนื่องของธุรกิจ (Business Continuity) ในสถานการณ์ที่อาจเกิดความเสี่ยงด้านไซเบอร์ ทั้งนี้บริษัทฯ จะทบทวนและพัฒนาแนวปฏิบัติดังกล่าวอย่างต่อเนื่องให้สอดคล้องกับภัยคุกคามที่เปลี่ยนแปลงไปและมาตรฐานสากลด้านความมั่นคงปลอดภัยข้อมูล
การสื่อสารภายในองค์กรเพื่อสร้างความตระหนัก
บริษัทฯ ให้ความสำคัญต่อการเสริมสร้างวัฒนธรรมความมั่นคงปลอดภัยทางไซเบอร์ภายในองค์กร โดยมุ่งเน้นให้พนักงานทุกระดับตระหนักถึงความสำคัญของการปกป้องข้อมูลและการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย บริษัทฯ ได้ดำเนินการประชาสัมพันธ์และจัดให้มีการฝึกอบรมเกี่ยวกับกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ รวมถึงพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ เพื่อให้พนักงานปฏิบัติตามข้อกำหนดได้อย่างถูกต้องและลดความเสี่ยงจากการใช้งานระบบที่ไม่เหมาะสม
นอกจากนี้ บริษัทฯ ยังพัฒนาหลักสูตรด้านเทคโนโลยีสารสนเทศบนระบบ Intranet ขององค์กร เพื่อให้พนักงานสามารถเข้าศึกษาและเรียนรู้ได้อย่างสะดวก หลักสูตรดังกล่าวช่วยยกระดับความเข้าใจของพนักงานเกี่ยวกับการป้องกันภัยคุกคามไซเบอร์ การรับผิดชอบต่อข้อมูล และแนวทางการใช้งานเทคโนโลยีสารสนเทศอย่างปลอดภัย ทั้งนี้ บริษัทฯ มุ่งมั่นส่งเสริมการเรียนรู้อย่างต่อเนื่อง เพื่อสร้างความพร้อมของบุคลากรในการเผชิญความเสี่ยงด้านไซเบอร์และสนับสนุนการดำเนินงานที่มีความมั่นคงปลอดภัยในระยะยาว
ในปี 2568 บริษัทฯ ได้กำหนดให้พนักงานใหม่ทุกรายจะต้องดำเนินการเข้าอบรมหลักสูตรการใช้งานสารสนเทศในงานปฏิบัติ เพื่อให้พนักงานใหม่ได้เรียนรู้ เข้าใจ และรับทราบนโยบายและแนวปฏิบัติด้านความปลอดภัยทางเทคโนโลยีสารสนเทศขององค์กร ตลอดจนแนวทางการใช้งานระบบสารสนเทศต่าง ๆ ภายในองค์กรอย่างปลอดภัยและมีประสิทธิภาพ เช่น ระบบ Intranet และ Microsoft 365 ซึ่งเป็นเครื่องมือสำคัญในการทำงานประจำวัน ทั้งนี้ผู้เรียนสามารถทดลองใช้งานจริงตามบทเรียน เพื่อเสริมสร้างความเข้าใจและทักษะการใช้งานได้อย่างมั่นใจ ซึ่งมีวัตถุประสงค์
- เพื่อให้ผู้เข้าอบรมสามารถใช้งานระบบสารสนเทศได้อย่างถูกต้องและปลอดภัย
- เพื่อเสริมสร้างทักษะการแก้ไขปัญหาเบื้องต้นที่เกี่ยวข้องกับระบบ IT
- เพื่อส่งเสริมการทำงานร่วมกันระหว่างฝ่าย IT และผู้ใช้งานในหน่วยงาน
- เพื่อเตรียมความพร้อมให้กับพนักงานใหม่หรือผู้ที่ได้รับมอบหมายงานด้านสารสนเทศ
- เพื่อเพิ่มประสิทธิภาพในการทำงานผ่านการใช้เทคโนโลยีสารสนเทศอย่างเหมาะสม
นอกจากนั้น ในยุคที่เทคโนโลยีดิจิทัลเข้ามามีบทบาทสำคัญในทุกการดำเนินงานขององค์กร ปัญญาประดิษฐ์ (Artificial Intelligence: AI) และความปลอดภัยไซเบอร์ (Cybersecurity) กลายเป็นหัวใจหลักที่ทุกคนต้องเข้าใจและใช้งานอย่างถูกต้อง AI ช่วยเพิ่มประสิทธิภาพในการทำงาน วิเคราะห์ข้อมูล และสนับสนุนการตัดสินใจ แต่ในขณะเดียวกันเทคโนโลยีเหล่านี้ก็เปิดโอกาสให้ภัยคุกคามไซเบอร์พัฒนาและซับซ้อนขึ้นตามไปด้วย ดังนั้น ปัจจัยเสี่ยงใหญ่ที่สุดขององค์กรไม่ใช่เทคโนโลยี แต่คือ พฤติกรรมของผู้ใช้งาน (Human Error) ดังนั้น การสร้างความรู้ความเข้าใจ เพื่อให้พนักงานสามารถใช้ AI ได้อย่างปลอดภัย พร้อมกับสามารถรับมือและป้องกันภัยไซเบอร์ได้ จึงเป็นสิ่งจำเป็นสำหรับทุกองค์กรที่ต้องการลดความเสี่ยงและยกระดับความมั่นคงปลอดภัยด้านข้อมูล ด้วยเหตุผลดังกล่าว บริษัทฯ จึงจัดให้มี หลักสูตร Cybersecurity and Artificial Intelligence Awareness ที่ถูกออกแบบมาเพื่อมอบความรู้พื้นฐานที่สำคัญ ผ่านระบบ E- Learning ในระบบ Intranet ซึ่งจะช่วยให้พนักงานทุกคนเข้าใจถึงโอกาสและความเสี่ยงที่มาพร้อมกับเทคโนโลยีดิจิทัล พร้อมสร้างทักษะที่จำเป็นในการปกป้องข้อมูล ใช้ AI อย่างมีจริยธรรม และส่งเสริมให้เกิดวัฒนธรรมด้านความปลอดภัยที่แข็งแรงภายในองค์กร โดยมีวัตถุประสงค์ของหลักสูตรของหลักสูตรงดังนี้
- เพื่อสร้างความตระหนักรู้ด้านความปลอดภัยไซเบอร์ ให้พนักงานเข้าใจภัยคุกคามที่พบได้จริงในองค์กร เช่น Phishing, Malware, Ransomware, Social Engineering และพฤติกรรมเสี่ยงของผู้ใช้งาน
- เพื่อให้พนักงานสามารถป้องกันตนเองจากภัยไซเบอร์ได้อย่างมีประสิทธิภาพ และรู้จักแนวทางปฏิบัติที่ปลอดภัย เช่น การตั้งรหัสผ่าน การใช้ MFA การตรวจสอบลิงก์และอีเมล การป้องกันข้อมูลรั่วไหล และการรายงานเหตุผิดปกติ
- เพื่อให้พนักงานเข้าใจพื้นฐานปัญญาประดิษฐ์ (AI) โดยมีความเข้าใจว่าระบบ AI คืออะไร ทำงานอย่างไร และสามารถนำไปใช้ในงานได้อย่างถูกต้องและปลอดภัย
- เพื่อให้พนักงานรู้เท่าทันความเสี่ยงจากการใช้ AI โดยรู้ว่ามีความเสี่ยงด้านข้อมูล ความเป็นส่วนตัว ความถูกต้องของข้อมูล Output และการใช้ AI อย่างเหมาะสมในบริบทองค์กร
- เพื่อส่งเสริมการใช้ AI อย่างมีประสิทธิภาพ โดยให้พนักงานสามารถใช้ AI เพื่อเพิ่มประสิทธิภาพ ลดเวลาในการทำงาน และช่วยตัดสินใจ แต่ยังอยู่ในกรอบความปลอดภัยที่กำหนด
- เพื่อยกระดับมาตรฐานความปลอดภัยขององค์กร ซึ่งจะลดโอกาสเกิดเหตุการณ์ Cyber Attack ที่เกิดจาก Human Error และสร้าง "Human Firewall" ให้เกิดขึ้นในองค์กร
- เพื่อให้พนักงานเข้าใจนโยบายด้าน Cybersecurity และ AI ขององค์กร และให้ทุกคนปฏิบัติตามมาตรฐานเดียวกัน ทั้งด้านความปลอดภัย ข้อมูลส่วนบุคคล (PDPA) และการใช้เครื่องมือ AI
การคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้มีส่วนได้ส่วนเสียทุกกลุ่ม ทั้งลูกค้า คู่ค้า ผู้ให้บริการ ผู้สมัครงาน พนักงาน นักศึกษาฝึกงาน ผู้มาติดต่อ กรรมการ และนักลงทุน โดยยึดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพื่อคุ้มครองสิทธิและความเป็นส่วนตัวของเจ้าของข้อมูลอย่างเหมาะสม เพื่อให้การดำเนินงานขององค์กรเป็นไปตามข้อกำหนดทางกฎหมาย บริษัทฯ ได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล ที่กำหนดแนวทางปฏิบัติให้แก่หน่วยงานและพนักงานที่เกี่ยวข้องในการจัดการข้อมูลส่วนบุคคลอย่างถูกต้องและสอดคล้องกับวัตถุประสงค์ทางธุรกิจของบริษัทฯ นโยบายดังกล่าวครอบคลุมตั้งแต่ขั้นตอนการเก็บรวบรวม การจัดเก็บ การใช้ การเปิดเผย ตลอดจนการทำลายข้อมูลส่วนบุคคลอย่างเป็นระบบ เพื่อป้องกันการเข้าถึงหรือการใช้ข้อมูลโดยมิชอบ และเพื่อให้เกิดตระหนักถึงผลกระทบที่อาจเกิดจากการละเมิดข้อมูลส่วนบุคคล จึงได้กำหนดมาตรการบริหารจัดการข้อมูลส่วนบุคคล (Data Protection Measures) เพื่อคุ้มครองเจ้าของข้อมูล (Data Subject) อย่างครบถ้วน มาตรการเหล่านี้รวมถึงการควบคุมการเข้าถึงข้อมูล การรักษาความมั่นคงปลอดภัยของข้อมูล การติดตามตรวจสอบ และการจัดการเหตุการณ์ละเมิดข้อมูลหากเกิดขึ้น เพื่อให้มั่นใจว่าการดำเนินงานเป็นไปอย่างโปร่งใส มีความรับผิดชอบ และให้ความคุ้มครองแก่เจ้าของข้อมูลตามหลักมาตรฐานสากล การดำเนินการดังกล่าวสะท้อนถึงความมุ่งมั่นของบริษัทฯ ในการบริหารจัดการข้อมูลอย่างมีจริยธรรม รักษาความไว้วางใจของผู้มีส่วนได้ส่วนเสีย และสนับสนุนการดำเนินงานด้านความยั่งยืนขององค์กรในระยะยาว และเพื่อเพิ่มประสิทธิภาพการปฏิบัติงานภายในที่สอดคล้องและเป็นไปตามกฎหมาย ในปี 2568 นี้ คณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดให้พนักงานใหม่ทุกคน (ร้อยละ 100) จะต้องเข้าร่วมหลักสูตรการปฐมนิเทศ เรื่อง การปกป้องข้อมูลส่วนบุคคล นอกจากนั้น ยังได้กำหนดให้มีการแต่งตั้งตัวแทนของแต่ละหน่วยงาน (Change Agent) เพื่อช่วยทำหน้าที่ขับเคลื่อน ตรวจสอบ ให้คำแนะนำและคำปรึกษาต่อการประมวลผลข้อมูลส่วนบุคคลภายในหน่วยงานตนเอง พร้อมทั้งจัดให้มีการอบรมหลักสูตร “การขอความยินยอมตาม PDPA ภาคปฏิบัติ (Consent Management Workshop)” เพื่อให้ตัวแทนของแต่ละหน่วยงานได้เข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลและหลักการจัดการความยินยอม (Consent) ข้อกำหนดและข้อยกเว้นที่เกี่ยวข้อง