Testimonials FAQ Photo Gallery Contact Us Mail to Friend
Home Director Training Seminars & events News Join IOD IOD Members Projects Publications IOD Shop About IOD
จะมี Data Privacy ที่เข้มแข็งได้ ต้องเริ่มที่วัฒนธรรมองค์กร

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) มีผลบังคับใช้ในเดือนมิถุนายนที่ผ่านมา บทบาทหนึ่งของคณะกรรมการที่ตามมาก็คือการดูแลให้บริษัทมีมาตรการกำกับดูแลการเก็บ ใช้ และบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปตามข้อบังคับของกฎหมาย

ในบริบททางกฎหมาย การรักษาความเป็นส่วนตัวของข้อมูล หรือ Data Privacy ดูจะเป็นเรื่องของการทำตามกฎระเบียบเพื่อป้องกันความเสี่ยงที่บริษัทจะใช้ข้อมูลส่วนบุคคลโดยขัดกับสิทธิและความประสงค์ของเจ้าของข้อมูลมากกว่าสิ่งอื่น โดยเฉพาะอย่างยิ่งสำหรับอุตสาหกรรมที่ถูกกำกับดูแลเรื่องข้อมูลส่วนบุคคลอย่างเข้มงวด เช่น ภาคธุรกิจการเงิน แต่เมื่อพิจารณาในบริบททางธุรกิจแล้ว Data Privacy เป็นมากกว่าเรื่องของการทำตามกฎหมายและการป้องกันความเสี่ยง เนื่องจากมาตรการรักษาความเป็นส่วนตัวของข้อมูลที่เข้มแข็งย่อมทำให้ผู้มีส่วนได้เสียเกิดความเชื่อมั่นในบริษัทว่ามีการบริหารจัดการข้อมูลส่วนบุคคลอย่างถูกต้อง โปร่งใส และเป็นธรรม มาตรการที่เข้มแข็งยังช่วยให้บริษัทสามารถใช้ข้อมูลเพื่อสร้างมูลค่าที่สนับสนุนเป้าหมายทางกลยุทธ์ได้อย่างเต็มประสิทธิภาพ ขณะที่ยังอยู่ภายใต้กรอบของกฎหมายและหลักจริยธรรม จึงนับได้ว่า Data Privacy เป็นสิ่งที่จะช่วยสร้างประโยชน์และโอกาสให้กับธุรกิจในระยะยาว

แต่การกำหนดให้มีนโยบาย มีแนวปฏิบัติ มีการปรับปรุงเทคโนโลยี ระบบ และโครงสร้างภายในที่เกี่ยวข้องกับ Data Privacy ให้สอดคล้องกับกฎหมาย ถือว่าเพียงพอที่จะช่วยให้บริษัทรักษาความเป็นส่วนตัวของข้อมูลส่วนบุคคลได้แล้วหรือไม่ จากกรณีที่เกิดขึ้นจริงกับบริษัทจำนวนไม่น้อยที่ปรากฎอยู่บนหน้าข่าว เช่น Target ที่มีการลงทุนด้านการรักษาความมั่นคงปลอดภัยของระบบและข้อมูลจากภัยคุกคามทางไซเบอร์ (Cybersecurity) เป็นอย่างดี แต่กลับเกิดปัญหาข้อมูลลูกค้ากว่า 70 ล้านรายรั่วไหลหลังถูกเจาะระบบ ซึ่งเป็นผลมาจากความหละหลวมของคณะกรรมการ ฝ่ายจัดการ และบุคลากรที่ไม่สามารถดูแลให้มีการดำเนินตามมาตรการที่วางไว้ หรือกรณีของ Meta สมัยยังเป็น Facebook ที่บริษัทมีนโยบายการรักษาความเป็นส่วนตัวของข้อมูลสำหรับผู้ใช้ แต่การกำกับดูแลการบริหารจัดการข้อมูลส่วนบุคคลในความเป็นจริงกลับมีช่องโหว่และหละหลวม จนนำไปสู่การลักลอบนำข้อมูลส่วนบุคคลของสมาชิก Facebook กว่า 87 ล้านรายไปใช้อย่างไม่ถูกต้องโดย Cambridge Analytica ความเชื่อมั่นที่สั่นคลอนของสาธารณชน การฟ้องร้อง และค่าปรับจำนวนมหาศาลที่ตามมาในทั้งสองกรณี แสดงให้เห็นว่า Data Privacy ไม่ได้เป็นเพียงแค่เรื่องของการจัดทำนโยบายและแนวปฏิบัติที่สอดคล้องกับข้อบังคับทางกฎหมาย แต่ยังเป็นเรื่องของการดูแลให้บุคลากรทุกระดับมีความเชื่อร่วมกันว่าเหตุใดจึงต้องมีนโยบายและแนวปฏิบัติด้าน Data Privacy ตั้งแต่แรก และแปลงความเชื่อนั้นให้กลายเป็นค่านิยมและทัศนคติที่บุคลากรทุกระดับยึดถือเป็นหลักปฏิบัติ จนกลายเป็นส่วนหนึ่งของวัฒนธรรมองค์กรด้วย

 

แนวปฏิบัติที่ดีสำหรับคณะกรรมการในการกำกับดูแลด้านเทคโนโลยีสารสนเทศ ของ IOD ได้ระบุไว้ว่า วัฒนธรรมองค์กรที่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Data Privacy) เป็นหนึ่งในปัจจัยสำเร็จของการนำเทคโนโลยีสารสนเทศและข้อมูลมาใช้สร้างมูลค่าทางธุรกิจ โดยบุคคลสำคัญที่สุดที่จะช่วยขับเคลื่อนวัฒนธรรมองค์กรได้ ก็คือคณะกรรมการนั่นเอง การดูแลให้วัฒนธรรมองค์กรเช่นนี้เกิดขึ้นจึงนับเป็นอีกบทบาทสำคัญที่ตามมากับการบังคับใช้ PDPA แม้วัฒนธรรมองค์กรอาจจะต้องอาศัยเวลาปลูกฝังกว่าจะเห็นผลสัมฤทธิ์ แต่ก็ไม่ใช่สิ่งที่ยากเกินไปที่จะเกิดขึ้น หากคณะกรรมการดูแลให้ในการขับเคลื่อนมี 4 สิ่งนี้

 

1. ความเข้าใจในความสำคัญของข้อมูลส่วนบุคคลและ Data Privacy ต่อความสำเร็จของบริษัท

ในการสร้างวัฒนธรรมองค์กรแบบใดก็ตาม การส่งสัญญาณจากผู้นำเพื่อแสดงเจตจำนงในการขับเคลื่อนวัฒนธรรมที่พึงประสงค์ หรือ “Tone at the Top” เป็นสิ่งสำคัญ ซึ่งการจะเกิด Tone at the Top ได้นั้น ต้องอาศัยความเชื่อของผู้นำในสิ่งที่จะขับเคลื่อนด้วย ความเชื่อดังกล่าวจะเกิดขึ้นได้จากการตระหนักถึงความสำคัญของข้อมูลส่วนบุคคคลและการรักษาความเป็นส่วนตัวของข้อมูลต่อความสำเร็จของกิจการ คณะกรรมการจึงควรดูแลให้ฝ่ายจัดการระบุให้ได้ว่าข้อมูลส่วนบุคคลสำคัญต่อการสร้างประโยชน์ทางธุรกิจและการดำเนินตามกลยุทธ์ของบริษัทอย่างไร ข้อมูลดังกล่าวมีอะไรบ้าง บริษัทรวบรวม เก็บ ใช้ และบริหารจัดการข้อมูลส่วนบุคคลเพื่อการนี้อย่างไร และใครคือผู้มีส่วนได้เสียและผู้มีส่วนเกี่ยวข้องทั้งภายในและภายนอกองค์กร ตลอดจนดูแลให้มีการประเมินโครงสร้างการกำกับดูแลและบริหารจัดการ นโยบาย ระบบและเทคโนโลยี และกระบวนการที่เกี่ยวข้องเทียบกับหลักกฎหมายและมาตรฐานที่ต้องปฏิบัติตามว่าสอดคล้องกันมากน้อยเพียงใด เพื่อจะได้เกิดความเข้าใจที่ตรงกันถึงเป้าหมายของการใช้ข้อมูลส่วนบุคคล ความสำคัญของ Data Privacy ต่อการบรรลุเป้าหมายดังกล่าวทั้งในแง่ของการป้องกันความเสี่ยงและในแง่ของการสร้างมูลค่าให้แก่กิจการ รวมถึงสามารถวางแนวทางปรับปรุงการดำเนินงานด้าน Data Privacy ของบริษัทให้สอดคล้องกับกฎหมาย เพื่อให้บริษัทสามารถเก็บ ใช้ และบริหารจัดการข้อมูลส่วนบุคคลเพื่อประโยชน์ทางธุรกิจโดยคำนึงถึงสิทธิของเจ้าของข้อมูลได้อย่างมีประสิทธิภาพ

2. การยึดถือคุณค่าของ Data Privacy เป็นสิ่งสำคัญ

นโยบายและแนวปฏิบัติด้าน Data Privacy ที่ดีควรเชื่อมโยงความจำเป็นของการรักษาความเป็นส่วนตัวของข้อมูลเข้ากับเป้าหมายทางธุรกิจ เพื่อให้เห็นคุณค่าของ Data Privacy ชัดเจนว่าเป็นสิ่งสำคัญที่จะช่วยให้บริษัทสามารถสร้างประโยชน์ทางธุรกิจและทำให้บริษัทประสบความสำเร็จตามเป้าหมายอย่างไร คณะกรรมการควรดูแลให้ฝ่ายจัดการระบุความสำคัญและความเชื่อมโยงระหว่าง Data Privacy กับเป้าหมายทางธุรกิจให้ชัดเจนในกระบวนการจัดทำนโยบายและแนวปฏิบัติ เนื่องจากจะนำไปสู่การปฏิบัติตามนโยบายที่เป็นผลมาจากความเข้าใจในสาเหตุและความสำคัญ มากกว่าการปฏิบัติตามนโยบายที่เป็นผลมาจากความจำเป็นต้องปฏิบัติตาม

 

3. การสร้างความตระหนักเรื่องความสำคัญของ Data Privacy แก่บุคลากรทุกระดับ

เพื่อให้ Data Privacy กลายเป็นค่านิยมที่แทรกซึมในทุกระดับขององค์กร คณะกรรมการควรดูแลให้ฝ่ายจัดการมีกลไกการสื่อสารและสร้างความตระหนักรูปแบบต่างๆ ที่จะทำให้บุคลากรเข้าใจตรงกันถึงความสำคัญของการรักษาความเป็นส่วนตัวของข้อมูลต่อความสำเร็จของกิจการ ตระหนักว่าพฤติกรรมการเก็บ ใช้ และบริหารจัดการข้อมูลส่วนบุคคลแบบใดที่ถือว่าพึงประสงค์หรือขัดกับหลักปฏิบัติอันถูกอันควร รวมถึงรับรู้ได้ว่าผู้นำเห็นคุณค่าและให้ความสำคัญกับ Data Privacy เช่น

• บรรจุความสำคัญของข้อมูลส่วนบุคคลและ Data Privacy รวมถึงแนวปฏิบัติที่ดีด้านข้อมูลส่วนบุคคลไว้ในคู่มือพนักงาน การปฐมนิเทศพนักงานใหม่ และคู่มือจริยธรรมทางธุรกิจของบริษัท

• จัดให้การอบรมพัฒนาความรู้และทักษะเกี่ยวกับ Data Privacy เป็นส่วนหนึ่งของแผนพัฒนาบุคลากรทุกระดับ รวมถึงในระดับคณะกรรมการและผู้บริหารระดับสูง

• จัดตั้ง “Champion” ด้าน Data Privacy สำหรับแต่ละฝ่ายงานของบริษัท โดยเฉพาะอย่างยิ่งฝ่ายงานที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล Champion คือคนทำงานที่มีความเชื่อในวัฒนธรรมองค์กรและพร้อมจะสนับสนุนการขับเคลื่อนวัฒนธรรมที่ดีให้เกิดขึ้นจริง จึงจะเป็นคนที่ช่วยสื่อสารความสำคัญของ Data Privacy และสร้างแรงกระเพื่อมให้ค่านิยมและพฤติกรรมด้าน Data Privacy ที่ดีเกิดขึ้นในระดับปฏิบัติการได้

• สื่อสารเกี่ยวกับ Data Privacy อย่างสม่ำเสมอ ไม่ว่าจะเป็นสารจากประธานกรรมการและกรรมการผู้จัดการใหญ่ การประกาศเกียรติคุณให้กับพนักงานที่มีพฤติกรรมด้าน Data Privacy ที่ดี ไปจนถึงการจัดกิจกรรม Data Privacy Day ประจำปี

 

4. การติดตามผลและปรับปรุงอย่างต่อเนื่อง

เพื่อให้การรักษาความเป็นส่วนตัวของข้อมูลผนวกเป็นส่วนหนึ่งของวัฒนธรรมองค์กรอย่างยั่งยืน คณะกรรมการควรดูแลให้มีการกำหนดตัวชี้วัดควบคู่กับกระบวนการรายงานผลการดำเนินงานด้าน Data Privacy เพื่อคณะกรรมการและฝ่ายจัดการจะได้มีส่วนสนับสนุน รวมถึงได้ประเมินประสิทธิภาพ เฝ้าระวังโอกาสที่จะเกิดปัญหาด้านวัฒนธรรมองค์กร และพิจารณาแนวทางปรับปรุงอยู่เสมอ ตัวชี้วัดอาจครอบคลุมในด้าน

• การเงิน: ตัวชี้วัดที่สำคัญคือ ROI จากการลงทุนด้าน Data Privacy ซึ่งวัดได้จากจากดัชนีความเชื่อมั่นของลูกค้าที่สูงขึ้นอันเป็นผลมาจากการมีนโยบายและมาตรการด้าน Data Privacy ความเชื่อมั่นที่เพิ่มขึ้นยังอาจสะท้อนอยู่ในยอดการเข้าใช้งานเว็บไซต์อีคอมเมิร์ซ การทำธุรกรรมทางออนไลน์ หรือการดาวน์โหลดแอปพลิเคชันที่เพิ่มขึ้น สำหรับประโยชน์ทางการเงินที่เกิดขึ้น อาจวัดได้จากค่าปรับที่บริษัทไม่ต้องเสียซึ่งเป็นผลมาจากการปรับปรุงกระบวนการภายในให้สอดคล้องกับกฎหมาย และต้นทุนที่ใช้ในการดำเนินโครงการ Data Privacy เมื่อเทียบกับบริษัทอื่นในอุตสาหกรรม ซึ่งช่วยชี้ให้เห็นประสิทธิภาพของการใช้งบประมาณของบริษัทได้

• ลูกค้าและผู้มีส่วนได้เสีย: การตอบรับในทางที่ดีจากลูกค้าและผู้มีส่วนได้เสียเป็นตัวชี้วัดชื่อเสียงและมูลค่าของบริษัทที่สำคัญ โดยจะสะท้อนอยู่ในอันดับเครดิต ค่าความนิยม และราคาหลักทรัพย์ นอกจากนี้ยังวัดได้จากระดับความเชื่อมั่นของลูกค้าและผู้มีส่วนได้เสีย รวมถึงยอดขายและกำไรเปรียบเทียบระหว่างช่วงก่อนและหลังการปฏิบัติตามนโยบายและมาตรการ Data Privacy เนื่องจากนโยบายและมาตรการที่เข้มแข็งสามารถส่งผลให้ผู้มีส่วนได้เสียมีความมั่นใจที่จะทำธุรกรรมกับบริษัทมากขึ้น

• นวัตกรรม: ในแง่นวัตกรรมด้านกระบวนการ ระบบเทคโนโลยีสารสนเทศของบริษัทควรสอดคล้องกับนโยบาย Data Privacy เพื่อจะได้สนับสนุนกิจกรรมทางธุรกิจได้อย่างมีประสิทธิภาพ ดังนั้น ตัวชี้วัดในด้านนี้จึงควรครอบคลุมจำนวนของระบบเทคโนโลยีสารสนเทศที่ได้รับการปรับปรุงเพื่อให้สอดคล้องกับนโยบาย ไปจนถึงระดับความสอดรับกันระหว่างเครื่องมือด้าน Cybersecurity และเครื่องมือด้าน Data Privacy ซึ่งเป็นตัวสะท้อนว่าบริษัทมีความพร้อมที่จะรับมือกับเหตุทางไซเบอร์ที่อาจส่งผลกระทบต่อข้อมูลส่วนบุคคลดีเพียงใด

• กระบวนการภายใน: นอกจากจำนวนของนโยบายที่สอดคล้องกับข้อบังคับทางกฎหมายแล้ว สัดส่วนของบุคลากรที่มีความรู้และทักษะเรื่อง Data Privacy ก็เป็นอีกตัวชี้วัดที่สะท้อนให้เห็นความพร้อมด้าน Data Privacy ขององค์กร โดยสามารถพิจารณาได้จากจำนวนพนักงานที่เข้ารับการอบรม อีกตัวชี้วัดหนึ่งที่สำคัญคือการเปลี่ยนแปลงของ Risk Profile ขององค์กร การปรับปรุงมาตรการควบคุมต่างๆ ตามนโยบายด้าน Data Privacy จะส่งผลให้ Risk Profile พัฒนาไปในทางที่ดีขึ้น ซึ่งสะท้อนให้เห็นว่าบริษัทสามารถบริหารจัดการความเสี่ยงได้มีประสิทธิภาพเพียงใด

หลายท่านคงเคยได้ยินคำกล่าวเกี่ยวกับการใช้เทคโนโลยีสารสนเทศในการดำเนินธุรกิจว่าไม่ได้เป็นเพียงแค่เรื่องของฝ่าย IT แต่เป็นเรื่องของทุกฝ่ายในองค์กร เช่นเดียวกัน Data Privacy ก็ไม่ได้เป็นเพียงแค่เรื่องของหน่วยงาน Compliance หรือฝ่ายกฎหมาย เพราะปัจจัยสำเร็จสำคัญของการนำเทคโนโลยีและข้อมูลใดก็ตามมาใช้สร้างประโยชน์ให้แก่ธุรกิจก็คือ “คน” นั่นเอง ในการปรับตัวองค์กรเพื่อให้สอดรับกับ PDPA ทาง IOD จึงหวังว่าคณะกรรมการจะได้นำเรื่องวัฒนธรรมองค์กรมาพูดคุยกันในห้องประชุมด้วย
 

ข้อมูลอ้างอิง:
• Aaron Weller and Emily Leach, “How to Build a 'Culture of Privacy',” The International Association of Privacy Professionals, 25 February 2020.
• Deloitte Thailand, Deloitte Thailand’s PDPA Readiness Survey, January 2022.
• Muhammad Asif Qureshi, “Building a Privacy Culture,” ISACA Journal, 2 September 2020.
• สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย, แนวปฏิบัติที่ดีสำหรับคณะกรรมการในการกำกับดูแลด้านเทคโนโลยีสารสนเทศ, 2022.


นางสาวจาร์รวี จีระมะกร
Senior CG Analyst – Curriculum and Facilitators
สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย (IOD)

 



Articles Previous Next
 
ข้อกำหนดและเงื่อนไข | นโยบายความเป็นส่วนตัว | ผังเว็บไซต์ | Share to
Copyright © 2010 Thai Institute Of Directors. Site by Redlab
Our
Sponsors
SCBx BBL IVL Kbank BCP CPF GPSC IRPC PTT PTTEP PTTGC PTTOR SCG Singha TISCO TOP
Our
Partners
CAC SET SEC OECD CBNC CG Thailand