ระบบการจัดการความปลอดภัยของข้อมูล
เอ็กโก กรุ๊ป ให้ความสำคัญต่อการปกป้องข้อมูลสารสนเทศขององค์กร และความเป็นส่วนตัวของพนักงาน ลูกค้า คู่ค้า และผู้มีส่วนได้เสียทุกฝ่าย ตลอดจนได้กำหนดแนวทางป้องกันการใช้ข้อมูลภายในอย่างเคร่งครัด โดยได้จัดทำและเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลให้บุคคลทั่วไปรับทราบ เพื่อให้การดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลขององค์กรมีความมั่นคง ปลอดภัย และน่าเชื่อถือ สอดคล้องกับกฎหมายที่เกี่ยวข้อง และได้รับความไว้วางใจจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เอ็กโก กรุ๊ป มีการกำหนดกลไกเพื่อให้มั่นใจว่าการปฏิบัติตามนโยบายฯ จะเป็นไปอย่างมีประสิทธิภาพ ดังนี้
การจัดการความเสี่ยงต่อความมั่นคงปลอดภัยและข้อมูลสารสนเทศ (Cybersecurity and Data Risk Management)
ความมั่นคงปลอดภัยและข้อมูลสารสนเทศเป็นความเสี่ยงระดับองค์กรซึ่งต้องมีการจัดการความเสี่ยงและติดตามดังนี้ (Cybersecurity and privacy policy system are embedded in group-wide key risk factor and management)
- การจัดการความเสี่ยงนับเป็นความรับผิดชอบร่วมกันของฝ่ายบริหารและพนักงานทุกระดับของเอ็กโก กรุ๊ป และจำเป็นต้องมีการดำเนินการอย่างต่อเนื่องแม้ว่าจะไม่สามารถกำจัดความเสี่ยงดังกล่าวออกไปได้ก็ตาม แต่การจัดการความเสี่ยงที่มีประสิทธิภาพนั้นจะช่วยให้องค์สามารถควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ และส่งผลให้องค์กรได้รับผลประโยชน์อย่างเหมาะสมอีกด้วย
- ความเสี่ยงด้านความปลอดภัยของข้อมูล (Information Security Risks) หมายถึง เหตุการณ์ใด ๆ ที่อาจเกิดขึ้นในอนาคตและส่งผลกระทบต่อการรักษาความลับ (Confidentiality) ความสมบูรณ์ (Integrity) หรือ ความพร้อมใช้งาน (Availability) ของระบบจัดการข้อมูลขององค์กร
- ความเสี่ยงด้านความปลอดภัยทางไซเบอร์ (Cyber Security Risks) หมายถึง เหตุการณ์ใด ๆ ที่อาจเกิดขึ้นในอนาคตจากภัยคุกคามทางไซเบอร์ที่ใช้จุดอ่อนและช่องว่างด้านความปลอดภัยทางไซเบอร์ในการโจมตีระบบ เทคโนโลยี อุปกรณ์ และระบบเครือข่ายภายใน ส่งผลเสียไปถึงระบบการให้บริการ และระบบการจัดการข้อมูลขององค์กร
กระบวนการจัดการความเสี่ยงประกอบด้วยขั้นตอนหลักต่อไปนี้:
- การระบุความเสี่ยงและผลกระทบที่อาจเกิดขึ้นต่อความปลอดภัยของข้อมูล
- การประเมินความเสี่ยง
- การจัดการความเสี่ยง
- การติดตามและรายงานความเสี่ยง
การปฏิบัติตามนโยบายความเป็นส่วนตัว (Privacy Policy Compliance)
เอ็กโก กรุ๊ป ได้จัดทำแนวปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Procedure) เพื่อใช้เป็นแนวทางในการรักษาข้อมูลส่วนบุคคลของหุ้นส่วน คู่ค้า พันธมิตรทางธุรกิจ พนักงาน และผู้มีส่วนได้เสียที่เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร (Personal Data Protection Policy) และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลปี 2562 ซึ่งสอดคล้องกับการประเมินความเสี่ยงของเอ็กโก กรุ๊ป โดยผู้รับผิดชอบที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคลจะได้รับคำแนะนำเกี่ยวกับกฎหมายที่เกี่ยวข้องและกรณีศึกษาที่เกิดขึ้น รวมถึงขั้นตอนการดำเนินงานในสถานการณ์ต่าง ๆ เพื่อให้ผู้รับผิดชอบสามารถรวบรวม ใช้งาน จัดการ เปิดเผย หรือกำจัดข้อมูลตามมาตรฐานที่อยู่ภายใต้การบังคับใช้ของกฎหมาย และเพื่อให้การดำเนินงานขององค์กรมีความมั่นคง ปลอดภัย น่าเชื่อถือ พร้อมทั้งรักษาความปลอดภัยให้เจ้าของข้อมูลส่วนบุคคล
แนวปฏิบัติตามกฏหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้มั่นใจว่า เอ็กโก กรุ๊ป มีการคุ้มครองความเป็นส่วนตัวของข้อมูลที่น่าเชื่อถือและสอดคล้องกับนโยบายความเป็นส่วนตัว (Privacy Policy) ขององค์กร เอ็กโก กรุ๊ป จึงได้ดำเนินการตรวจสอบเรื่องความเป็นส่วนตัวของข้อมูล โดยฝ่ายตรวจสอบภายในขององค์กรและผู้ตรวจสอบจากภายนอก
การตรวจสอบภายใน (Internal Audits of the Privacy Policy Compliance) ฝ่ายตรวจสอบภายในขององค์กร (Internal Audit Division) จะตรวจสอบความเพียงพอและความเหมาะสม ของระบบการควบคุมภายใน รวมถึงติดตามการปฏิบัติตามนโยบายความเป็นส่วนตัว (Privacy Policy Compliance) อย่างสม่ำเสมอเพื่อเป็นการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (PDPA) และรายงานผลการตรวจสอบไปยังคณะกรรมการตรวจสอบ (Audit Committee) เพื่อขอการอนุมัติก่อนนำเสนอให้คณะกรรมการบริษัทรับทราบต่อไป
ในปี 2566 ฝ่ายตรวจสอบภายในได้ปฏิบัติงานตรวจสอบภายในการปฏิบัติตามกฎหมาย PDPA ให้แก่บริษัทในกลุ่ม ประกอบด้วย บริษัท ผลิตไฟฟ้าขนอม (KEGCO) บริษัท เอ็กโก เอ็นจิเนียริ่ง เซอร์วิส (ESCO) กลุ่มธุรกิจโรงไฟฟ้า 1 (PB1) กลุ่มธุรกิจโรงไฟฟ้า 2 (PB2) กลุ่มธุรกิจโรงไฟฟ้า 3 (PB3) บริษัท คลองหลวง ยูทิลิตี้ (KLU) บริษัท บ้านโป่ง ยูทิลิตี้ (BPU) บริษัท เอ็กโกโคเจนเนอเรชั่น (EGCO Cogen) บริษัท ร้อยเอ็ด กรีน (RG) โดยการตรวจสอบภายในครอบคลุมถึงการบริหารจัดการข้อมูลส่วนบุคคล การรักษาความมั่นคงปลอดภัยทางสารสนเทศของ เอ็กโก กรุ๊ป และการติดตามการปรับปรุงแก้ไขตามข้อเสนอแนะจากรายงานผลการตรวจสอบกระบวนการบริหารจัดการ ข้อมูลส่วนบุคคล (PDPA) โดยบริษัท อีวายคอร์ปอเรท เซอร์วิสเซส (EY Corporate Services Limited) ปี 2565
สรุปข้อสังเกตจากการตรวจสอบภายในเพื่อการปรับปรุงระบบการควบคุมภายใน:
- การติดตามผลการปรับปรุงแก้ไขตามข้อเสนอแนะของที่ปรึกษา
- การตรวจติดตามการดำเนินการให้เป็นไปตามนโยบายของ เอ็กโก กรุ๊ป และการควบคุมผู้รับจ้างให้ปฏิบัติตามสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement DPA)
- แนวปฏิบัติในการกำหนดหลักเกณฑ์ด้านการแจ้งเหตุละเมิดตามประกาศของกฎหมาย
- การจัดเก็บข้อมูลส่วนบุคคลตามแนวปฏิบัติ
- การรับรู้และประสบการณ์ของพนักงาน เกี่ยวกับนโยบายและแนวปฏิบัติ PDPA ของ เอ็กโก กรุ๊ป มีระดับการรับรู้ในเกณฑ์ที่ดี
การตรวจสอบภายนอก (Third-Party Audits of the Privacy Policy Compliance) เอ็กโก กรุ๊ป กำหนดให้มีการประเมินการดำเนินงานโดยผู้เชี่ยวชาญจากภายนอก โดยในปี 2565 มีการตรวจสอบจากหน่วยงานภายนอก (บริษัท อีวาย คอร์ปอเรท เซอร์วิสเซส จำกัด) เพื่อดำเนินการตรวจสอบการจัดการความปลอดภัยข้อมูลส่วนบุคคล โดยขอบเขตการตรวจสอบครอบคลุมเรื่อง การกำกับดูแลข้อมูลส่วนบุคคล (Personal Data Governance) การประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing) การจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล (Personal Data Subject Rights Management) การจัดการการเหตุละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management) การเปิดเผยข้อมูลส่วนบุคคล (Personal Data Disclosures) และการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security) โดยการตรวจสอบภายนอกได้รวบรวมข้อมูลจากการสัมภาษณ์ผู้มีส่วนได้เสีย และตรวจสอบเอกสารที่เกี่ยวข้อง เพื่อเข้าใจถึงการจัดการความปลอดภัยข้อมูลส่วนบุคคลที่มีอยู่ในปัจจุบันของ เอ็กโก กรุ๊ป แล้วนำมาเปรียบเทียบกับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลปี 2562 และกฎหมายที่เกี่ยวข้อง เพื่อระบุข้อสังเกตและข้อเสนอแนะสำหรับการปรับปรุงประสิทธิภาพการจัดการความปลอดภัยข้อมูลส่วนบุคคล นอกจากนี้ เอ็กโก กรุ๊ป ได้จัดให้มีการทวนสอบความปลอดภัยของข้อมูลเป็นประจำทุกปี โดยเป็นส่วนหนึ่งของการรับรองข้อมูลตามเกณฑ์ของมาตรฐาน Global Reporting Initiative (GRI) โดยหน่วยงานอิสระจากภายนอก (External Independent Assurance) ว่าด้วยรายงานการร้องเรียนที่มีหลักฐานเกี่ยวกับการละเมิดความเป็นส่วนตัวของลูกค้าและการสูญเสียข้อมูลของลูกค้า (GRI 418-1) (Substantiated Complaints Concerning Breaches of Customer Privacy and Losses of Customer Data) เพื่อตรวจสอบระดับการปฏิบัติตามมาตรการและข้อกำหนดของกฎระเบียบต่าง ๆ ภายใน เอ็กโก กรุ๊ป
สรุปข้อสังเกตจากการตรวจสอบภายนอกเพื่อการปรับปรุง:
- การบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลให้ครบถ้วนและเป็นปัจจุบันตามกิจกรรมการประมวลผลข้อมูลส่วนบุคคล