AIS ชี้แจงแล้ว!! กรณีพนักงานถือวิสาสะขโมยข้อมูลส่วนตัวของลูกค้า
สวัสดีค่ะเพื่อนๆ หลังจากที่เราได้นำเสนอประเด็นร้อนกระทู้บทความหนึ่งในเว็บไซต์พันทิป กรณีพนักงาน AIS ถือวิสาสะขโมยข้อมูลลูกค้าไปขายให้บุคคลภายนอกซึ่งเป็นผู้มีอิทธิพลคนหนึ่ง โดยถือวิสาสะขโมยบันทึกข้อมูลการโทรเข้าโทรออกรวมไปถึงพิกัดสถานที่ของเบอร์โทรศัพท์ส่วนตัวของลูกค้า ทำให้ลูกค้ารู้สึกว่าตนเองถูกคุมคาม และรู้สึกว่าไม่มีความปลอดภัยในชีวิต (ชมบทความ) ล่าสุดทางด้าน AIS ได้ออกมาแถลงการณ์ถึงกรณีดังกล่าวแล้ว ดังนี้
นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ AIS เปิดเผยว่า “จากการที่มีลูกค้า AIS โพสต์ลงเว็ปไซต์พันทิป เรื่องพนักงาน AIS อาศัยอำนาจหน้าที่ที่ตนได้รับมอบหมายนำข้อมูลรายละเอียดการโทรเข้า-ออกของลูกค้าไปให้กับบุคคลภายนอก
ซึ่งเป็นการกระทำผิดของพนักงานต่อ “นโยบายการคุ้มครองสิทธิและการรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ” และ “ประมวลจริยธรรมทางธุรกิจ” ของบริษัท ซึ่ง AIS รู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น และเมื่อทราบเรื่องดังกล่าวบริษัทฯ ก็มิได้นิ่งนอนใจ ได้ดำเนินการตรวจสอบอย่างเข้มข้นทันที
บริษัทฯ ขอยืนยันว่าการปกป้องและรักษาข้อมูลส่วนบุคคลของลูกค้าเป็นเรื่องที่บริษัทให้ความสำคัญอย่างสูงสุดมาโดยตลอด โดยปัจจุบันบริษัทฯได้กำหนดให้มี “นโยบายการคุ้มครองสิทธิและการรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ” “นโยบายความปลอดภัยข้อมูลและระบบสารสนเทศ” และ “ประมวลจริยธรรมทางธุรกิจ”
ที่ระบุถึงความสำคัญของการคุ้มครองและรักษาข้อมูลส่วนบุคคลของลูกค้า ความหมายของข้อมูลส่วนบุคคล ช่องทางการรับข้อร้องเรียน กระบวนการตรวจสอบเมื่อมีการละเมิด บทลงโทษ และการคุ้มครองผู้ให้ข้อมูล รวมทั้งการมีคณะกรรมการกำกับดูแลเรื่องความปลอดภัยข้อมูลและระบบสารสนเทศ
ซึ่งประกอบด้วยผู้บริหารระดับสูงจากแต่ละสายงานที่เกี่ยวข้อง, การอบรมให้ความรู้ด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศกับผู้พัฒนาระบบตามมาตรฐานการพัฒนาซอฟแวร์อย่างปลอดภัย (Secure Software Development Life Cycle :SSDLC)) การรักษาข้อมูลส่วนบุคคลของลูกค้าโดยพนักงานจะต้องทำแบบทดสอบภายหลังการฝึกอบรม และการสร้างจิตสำนึกเรื่องจริยธรรมทางธุรกิจให้แก่พนักงานตั้งแต่วันปฐมนิเทศ
และสิ่งสำคัญในกระบวนการทำงาน คือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าตามอำนาจหน้าที่ความรับผิดชอบ และกำหนดให้มีรหัสผ่านในการเข้าถึงข้อมูลทุกครั้ง, การยกระดับความปลอดภัยของระบบสารสนเทศตามมาตรฐาน ISO270001 ที่ดาต้าเซ็นเตอร์ และการจัดให้มีการตรวจสอบโดยส่วนงานตรวจสอบภายในและโดยผู้เชี่ยวชาญอิสระจากภายนอกเป็นประจำ
อย่างไรก็ตาม จากเหตุการณ์ที่เกิดขึ้นแม้จะเป็นความผิดจากตัวบุคคลซึ่งใช้สิทธิในการเข้าถึงข้อมูลดังกล่าวเพื่อปฏิบัติหน้าที่ประจำวันไปในทางมิชอบ บริษัทฯก็มิได้นิ่งนอนใจ ได้มีการทบทวนและยกระดับการควบคุมการทำงานภายในเพื่อป้องกันการกระทำผิดและการทุจริตในองค์กร รวมถึงการเพิ่มมาตรการรักษาระบบรักษาความปลอดภัยทางด้านสารสนเทศของบริษัท เพื่อป้องกันไม่ให้เกิดเหตุการณ์ในลักษณะนี้ขึ้นอีกในอนาคต
โดยในขั้นแรกบริษัทฯได้กำหนดให้ดำเนินการ อาทิ ในการเข้าถึงข้อมูลบนระบบสารสนเทศซึ่งเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าแต่ละครั้ง ให้พนักงานผู้มีสิทธิจำนวน 2 คนกรอกรหัสผ่านในการเข้าสู่ระบบ (Double Password) จากเดิมที่พนักงานผู้มีสิทธิสามารถใช้รหัสของตนเองเข้าถึงข้อมูลได้
ปรับปรุงให้ระบบการทำงานของผู้ที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของลูกค้ามีลักษณะการทำงานแบบปิด (Close working environment) กล่าวคือ กำหนดให้พนักงานห้ามนำโทรศัพท์เคลื่อนที่ อุปกรณ์บันทึกข้อมูล เช่น USB Thumb drive เข้าไปในบริเวณสถานที่ปฏิบัติงาน เป็นต้น
สำหรับมาตรการในขั้นถัดไป บริษัทจะพิจารณาเพิ่มเรื่องการป้องกันทั้งในด้านบุคคลากร กระบวนการทำงานทั้งภายในและภายนอกองค์กร และระบบรักษาความปลอดภัย ระบบตรวจสอบความผิดปกติในการทำงานที่อาจนำไปสู่การละเมิดข้อมูลส่วนบุคคลของลูกค้า และขอให้ลูกค้าทุกท่านมั่นใจว่าบริษัทฯ จะทำทุกวิถีทางเพื่อดูแลความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า” นางวิไล กล่าวสรุป
Leave a Reply