ความปลอดภัยทางไซเบอร์

ด้วยความซับซ้อนและความเชื่อมโยงของโครงสร้างพื้นฐานหลักของธนาคารเพื่อเปลี่ยนผ่านไปสู่นวัตกรรมดิจิทัลเทคโนโลยี (Digital Transformation) ส่งผลให้ธนาคารต้องให้ความสำคัญอย่างยิ่งต่อระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์เพื่อเสถียรภาพและความปลอดภัยของระบบและการดำเนินงานของธนาคาร ตลอดจนเพื่อบรรเทาความเสี่ยงด้ายภัยคุกคามทางไซเบอร์ซึ่งอาจส่งผลให้เกิดความสูญเสียทางการเงินและชื่อเสียง นอกจากนี้ ระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ยังเป็นพื้นฐานที่สำคัญของระบบธนาคารที่ช่วยสร้างและรักษาความเชื่อมั่นของลูกค้า

ธนาคารมีโครงสร้างการบริหารงานผ่านคณะกรรมการและคณะผู้บริหารในการกำกับดูแลทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล โดยในระดับคณะกรรมการ ได้มีการแต่งตั้งคณะกรรมการกำกับเทคโนโลยีสารสนเทศขึ้นเพื่อให้การดำเนินงานตามกลยุทธ์ของธนาคารเป็นไปอย่างมีประสิทธิภาพ โดยคณะกรรมการกำกับเทคโนโลยีสารสนเทศทำหน้าที่กำกับดูแลการบริหารจัดการเกี่ยวกับเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล
นอกจากนี้ ในระดับบริหาร ยังมีคณะกรรมการ 2 ชุด ทำหน้าที่ในการกำหนดกลยุทธ์ ทิศทาง และแนวทางในการขับเคลื่อนผลการดำเนินงานทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล ซึ่งรวมไปถึงภัยคุกคามทางไซเบอร์ โดยคณะกรรมการกำกับการลงทุนโครงการทำหน้าที่ควบคุมโครงสร้างพื้นฐานทางด้านไอที ตลอดจนการบริหารจัดการ การพัฒนาสมรรถภาพ และการประยุกต์ใช้ ในขณะที่คณะกรรมการความเสี่ยงทางด้าน non-financial risk ทำหน้าที่บริหารความมั่นคงปลอดภัยของข้อมูลและภัยคุกคามทางไซเบอร์ เพื่อรับประกันความปลอดภัยสูงสุดของระบบและการดำเนินธุรกิจของธนาคาร ทั้งนี้ เพื่อให้เกิดความมั่นใจว่าการดำเนินงานของธนาคารสอดคล้องกับนโยบายและมาตรฐานต่างๆ หน่วยงานตรวจสอบยังได้ดำเนินการทวนสอบผลการดำเนินงานทางด้านภัยคุกคามทางไซเบอร์และให้คำแนะนำเพื่อการปรับปรุงต่อไป

โครงสร้างพื้นฐานและระบบด้านไอทีคือแกนหลักของธนาคาร ซึ่งได้รับการตรวจสอบ พัฒนา และรักษาสภาพเพื่อความมีประสิทธิภาพอยู่อย่างสม่ำเสมอ นอกจากนี้ ธนาคารยังได้ฝึกซ้อมแผนความต่อเนื่องทางธุรกิจเป็นประจำทุกปีเพื่อทดสอบการบริหารสถานการณ์และระยะเวลาเป้าหมายที่ใช้ในการกู้คืนเมื่อเกิดการหยุดชะงัก โดยในปี 2652 ธนาคารได้จัดการฝึกซ้อมแผนความต่อเนื่องทางธุรกิจขึ้น 2 ครั้ง ซึ่งบรรลุเป้าหมายเป็นอย่างดี ทั้งนี้ ธนาคารยังมุ่งปรับปรุงเสถียรภาพของเทคโนโลยีเพื่อให้สามารถรับมือกับภัยคุกคามต่างๆ และให้บริการลูกค้าได้อย่างต่อเนื่อง โดยธนาคารได้กำหนดมาตรฐานขั้นต่ำในการเตรียมตัวและการปรับตัวต่อการเปลี่ยนแปลงทางด้านไอที (IT Resilience Minimum Standard) ขึ้น เพื่อให้มั่นใจว่าระบบไอทีของธนาคารจะไม่หยุดชะงัก

ธนาคารมีระบบในการป้องกัน ตรวจจับ และตอบโต้การโจมตีทางไซเบอร์ โดยมีกรอบการดำเนินงานด้านภัยคุกคามทางไซเบอร์ของธนาคารอ้างอิงจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology – NIST) ประกอบไปด้วย 5 ส่วน ได้แก่ การระบุ การป้องกัน การตรวจจับ การตอบโต้ และการกู้คืน ทั้งยังมีเครือข่ายความมั่นคงอีกหลายชั้นเพื่อการป้องกันสูงสุด โดยธนาคารยังติดตามตรวจสอบผลการดำเนินงานตามกรอบดังกล่าวอย่างสม่ำเสมอและนำเสนอรายงานรายไตรมาสต่อคณะกรรมการย่อย นอกจากนี้ ธนาคารยังได้ทดสอบการตอบโต้ในสถานการณ์ฉุกเฉินเป็นประจำทุกปี เพื่อทดสอบระบบความปลอดภัยและตรวจหาจุดที่ต้องปรับปรุงต่อไป

ธนาคารได้พัฒนามาตรฐานขั้นต่ำขึ้น 2 มาตรฐาน ในปี 2562 ได้แก่ มาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลง (Cybersecurity and Resilience Minimum Standard) และมาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอที (IT Security Monitoring Minimum Standard)  โดยมาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงมุ่งเน้นการติดตามตรวจสอบเกี่ยวกับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงและประสิทธิภาพในการดำเนินงานอย่างทันท่วงที ซึ่งเป็นการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในปัจจุบันและอนาคต ตลอดจนภัยคุกคามที่คาดไม่ถึงหรือไม่เคยเกิดขึ้นมาก่อน ในขณะที่มาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอทีมีวัตถุประสงค์เพื่อกำหนดข้อบังคับในการควบคุมที่เกี่ยวข้องกับการตรวจตราความมั่นคงปลอดภัยทางไอที ซึ่งประกอบไปด้วย การตรวจสอบความสอดคล้องทางเทคนิค การตรวจสอบหาช่องโหว่ การทดสอบการเจาะระบบ การทบทวนรหัสความปลอดภัย และการติดตามตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย

ธนาคารได้พัฒนาโปรแกรมการฝึกอบรมออนไลน์ (e-learning) ในหัวข้อเกี่ยวกับภัยคุกคามทางไซเบอร์เพื่อสร้างความตระหนักและความเข้าใจ ตลอดจนให้ความรู้เกี่ยวกับวิธีการในการป้องกันการโจมตีทางไซเบอร์และการคุกคามทางไซเบอร์แก่พนักงาน โดยธนาคารได้กำหนดให้พนักงานทุกคนต้องผ่านการฝึกอบรมทางด้านความเสี่ยงของข้อมูล เพื่อให้พนักงานทุกคนตระหนักถึงความเสี่ยงของข้อมูลและการป้องกันภัยคุกคามทางไซเบอร์ต่างๆ เช่น มัลแวร์ พิชชิ่ง และสื่อสังคมออนไลน์ ทั้งนี้ คณะกรรมการธนาคารก็ผ่านการฝึกอบรมด้านภัยคุกคามทางไซเบอร์จากหน่วยงานภายนอก ซึ่งมีเนื้อหาครอบคลุมหลักการพื้นฐานในการบริหารภัยคุกคามทางไซเบอร์และการบริหารความเสี่ยงทางไซเบอร์ สถานภาพความปลอดภัย โลกาภิวัฒน์ของอาชญากรรมทางไซเบอร์ สถิติการละเมิดข้อมูล และการคุกคามทางไซเบอร์ในรูปแบบต่างๆ

 


คุ้มครองข้อมูลส่วนบุคคล

ในยุคดิจิทัล ข้อมูลของลูกค้าจำนวนมหาศาลได้ถูกสร้าง จัดเก็บ และแบ่งปันอย่างรวดเร็วทั้งในรูปแบบที่มีโครงสร้างชัดเจนและไม่ชัดเจน ซึ่งส่งผลให้เกิดความเสี่ยงในการแพร่กระจายของข้อมูลและความปลอดภัยทางไซเบอร์ที่เพิ่มมากขึ้นอย่างมีนัยสำคัญ ทั้งนี้ ด้วยตระหนักดีว่าข้อมูลของลูกค้ามีความสำคัญต่อการคิดค้นและพัฒนานวัตกรรมผลิตภัณฑ์เพื่อตอบสนองความต้องการของลูกค้า ธนาคารจึงยังคงยกให้เรื่องความเป็นส่วนตัวของข้อมูลลูกค้าเป็นวาระสำคัญที่จะต้องยึดมั่น โดยธนาคารให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนตัวของลูกค้าและยึดมั่นในการปกป้องความเป็นส่วนตัวและรักษาความลับของข้อมูลส่วนตัวของลูกค้า สอดคล้องกับกรอบการกำกับดูแลข้อมูลของธนาคาร ตลอดจนกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง

 

 

สถาบันการเงินได้รับความไว้วางใจในการเก็บข้อมูลจำนวนมหาศาลของลูกค้า ซึ่งทำให้กรอบการกำกับดูแลและกลยุทธ์การบรรเทาความเสี่ยงในรูปแบบเดิมไม่เพียงพออีกต่อไป การกำกับดูแลข้อมูลมีความสำคัญอย่างยิ่งในการจัดการและประมวลผลข้อมูลอย่างปลอดภัยและมีประสิทธิภาพ จึงมีความจำเป็นที่จะต้องมีการกำหนดโครงสร้างการกำกับดูแลข้อมูลในระดับองค์กร ธนาคารได้พัฒนาโครงสร้างการกำกับดูแลข้อมูลอย่างเหมาะสมภายใต้พื้นฐานหลักการกำกับดูแล 3 ชั้น ควบคุมโดยโครงสร้างองค์กรที่มีการจัดสรรหน้าที่และความรับผิดชอบที่ชัดเจน และอยู่ภายใต้การดูแลของผู้บริหารระดับสูงของธนาคารผ่านการประชุมอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการดำเนินงานจะเป็นไปในทิศทางเดียวกันในทุกขั้นตอนในการดำเนินธุรกิจ ยิ่งไปกว่านั้น การกำกับดูแลข้อมูลยังเป็นองค์ประกอบสำคัญในการสร้างความปลอดภัยควบคู่กับการสร้างมาตรการรักษาความปลอดภัยเพื่อตรวจจับ สืบสวน บริหาร และยับยั้งภัยคุกคามความปลอดภัยที่อาจจะเกิดขึ้นหรือกิจกรรมที่น่าสงสัย โดยมาตรการเหล่านี้ประกอบด้วยการบริหารจัดการภัยคุกคามทางไซเบอร์ การควบคุมการเข้าถึงข้อมูลตามบทบาทหน้าที่ ระบบการตรวจสอบในสภาพแวดล้อมทางไอที การตรวจตราปฏิกิริยาและการควบคุม และกระบวนการบริหารจัดการการละเมิดข้อมูล

กลไกในการรักษาความเป็นส่วนตัวของข้อมูลที่ธนาคารดำเนินการนั้นตั้งอยู่บนพื้นฐานของการปกป้องการใช้ข้อมูลของลูกค้าและการปฏิบัติตามระเบียบและกฎหมายที่เกี่ยวข้อง โดยลูกค้าจะต้องให้ความยินยอมในการนำข้อมูลไปใช้และมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ ทั้งนี้ ธนาคารได้วางแผนที่จะนำแบบฟอร์มแสดงความยินยอมที่ได้รับการปรับปรุงใหม่มาใช้ในทุกจุดของการให้บริการ ทั้งที่สำนักงานสาขา การทำธุรกรรมผ่านโทรศัพท์มือถือและการทำธุรกรรมออนไลน์ ภายในปี 2563 เพื่อสร้างมาตรฐานที่ดีขึ้นในการเก็บและบริหารจัดการข้อมูล ในขณะเดียวกัน ธนาคารยังได้นำเสนอประกาศเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการปกป้องข้อมูลให้กับลูกค้าเพื่อความโปร่งใส อันจะทำให้ลูกค้าสามารถใช้สิทธิของตนเองได้อย่างเป็นอิสระ (เพิกถอนความยินยอม การเข้าถึง และการแก้ไขข้อมูลส่วนตัว) นอกจากนี้ การดำเนินงานทางด้านการปกป้องความเป็นส่วนตัวของข้อมูลของธนาคารยังครอบคลุมถึงห่วงโซ่อุปทานของธนาคาร โดยจริยธรรมสำหรับคู่ค้าธุรกิจและนโยบายการจัดจ้างหน่วยงานภายนอกมีข้อกำหนดเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูล รวมทั้งยังมีหลักเกณฑ์ในการคัดเลือกคู่ค้าที่เข้มงวดและกำหนดให้มีการรับรองเกี่ยวกับการบริหารจัดการข้อมูลในภาคผนวกแนบท้ายเพื่อป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การเปิดเผย หรือการละเมิดข้อมูล

การสร้างความตระหนักรู้เกี่ยวกับการบริหารจัดการความเป็นส่วนตัวของข้อมูลให้กับพนักงานผ่านการสื่อสารและการฝึกอบรมให้ความรู้ยังเป็นมาตรการหนึ่งที่มีประสิทธิภาพในการบริหารจัดการความเป็นส่วนตัวของข้อมูลของธนาคาร ธนาคารได้จัดการฝึกอบรมพนักงานเดี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการปกป้องข้อมูล (เช่น การเข้าถึงข้อมูลตามบทบาทหน้าที่ การรั่วไหลของข้อมูล ฯลฯ) และครอบคลุมเนื้อหาที่เกี่ยวข้องกับการบริหารความเสี่ยงทางด้านข้อมูล การป้องกันการโจมตีทางไซเบอร์ การใช้สื่อสังคมออนไลน์ การรั่วไหลของข้อมูล และความเป็นส่วนตัวของข้อมูล

ด้วยปริมาณของข้อมูลจำนวนมหาศาลที่ธนาคารจัดเก็บในการดำเนินธุรกิจประจำวัน คุณภาพของข้อมูลยังมีความสำคัญไม่ยิ่งหย่อนไปกว่าการกำกับดูแลข้อมูลและการปกป้องความเป็นส่วนตัวของข้อมูล เพราะคุณภาพช่วยประเมินจะเป็นประโยชน์ต่อการนำไปใช้ในบริบทต่างๆ ได้อย่างเหมาะสม ธนาคารจึงให้ความสำคัญกับคุณภาพของข้อมูล (กำหนดโดยความแม่นยำ ความตรงต่อเวลา ความสมบูรณ์ และความน่าเชื่อถือ) และการตรวจสอบย้อนกลับข้อมูล (โดยใช้ข้อมูลรายละเอียดที่อธิบายถึงความเป็นมาของข้อมูลเพื่อให้สามารถอ่านข้อมูลได้อย่างชัดเจนทั่วทุกกลุ่มในระดับเล็กที่สุด) โดยธนาคารมีระบบการตรวจสอบและถ่วงดุลเพื่อรับรองความเหมาะสมในการบริหารจัดการข้อมูลที่สอดคล้องกับกฎระเบียบภายในและเป็นไปตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง อันได้แก่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลักเกณฑ์ด้านความเป็นส่วนตัวของข้อมูลในประกาศธนาคารแห่งประเทศไทย เรื่องการบริหารจัดการด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 นอกจากนี้ ธนาคารยังได้แต่งตั้งเจ้าหน้าที่ปกป้องข้อมูลเพื่อให้คำแนะนำและตรวจสอบการดำเนินงานของธนาคารอย่างเป็นอิสระ ตลอดจนทำหน้าที่ในการเป็นจุดศูนย์กลางเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูลเพื่อให้ธนาคารสามารถบริหารจัดการคุณภาพของข้อมูลได้อย่างยั่งยืน

เพื่อให้มั่นใจว่าการจัดการข้อมูลเป็นไปตามมาตรฐานสากล ธนาคารมีการจัดการวงจรชีวิตของข้อมูล (data lifecycle management) ซึ่งเป็นกระบวนการการจัดการข้อมูลตั้งแต่การเก็บรวบรวม การจัดเก็บ และทำลายเมื่อถึงเวลาที่ข้อมูลไม่มีความจำเป็นอีกต่อไป ทั้งนี้ เมื่อใดที่ธนาคารมีการประมวลผลข้อมูลส่วนบุคคล มาตรการความเป็นส่วนตัวจะถูกนำไปใช้ ซึ่งประกอบด้วย 5 ขั้นตอนดังแสดงในแผนภาพ นอกจากนี้หลักการการจัดเก็บข้อมูลเฉพาะที่จำเป็นและการจำกัดวัตถุประสงค์ของข้อมูลที่ต้องเก็บจะถูกนำมาพิจารณาในการประมวลผลข้อมูลเช่น การเก็บรวบรวม การใช้งานและการเปิดเผย

 

 

ความปลอดภัยทางไซเบอร์

ด้วยความซับซ้อนและความเชื่อมโยงของโครงสร้างพื้นฐานหลักของธนาคารเพื่อเปลี่ยนผ่านไปสู่นวัตกรรมดิจิทัลเทคโนโลยี (Digital Transformation) ส่งผลให้ธนาคารต้องให้ความสำคัญอย่างยิ่งต่อระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์เพื่อเสถียรภาพและความปลอดภัยของระบบและการดำเนินงานของธนาคาร ตลอดจนเพื่อบรรเทาความเสี่ยงด้ายภัยคุกคามทางไซเบอร์ซึ่งอาจส่งผลให้เกิดความสูญเสียทางการเงินและชื่อเสียง นอกจากนี้ ระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ยังเป็นพื้นฐานที่สำคัญของระบบธนาคารที่ช่วยสร้างและรักษาความเชื่อมั่นของลูกค้า

ธนาคารมีโครงสร้างการบริหารงานผ่านคณะกรรมการและคณะผู้บริหารในการกำกับดูแลทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล โดยในระดับคณะกรรมการ ได้มีการแต่งตั้งคณะกรรมการกำกับเทคโนโลยีสารสนเทศขึ้นเพื่อให้การดำเนินงานตามกลยุทธ์ของธนาคารเป็นไปอย่างมีประสิทธิภาพ โดยคณะกรรมการกำกับเทคโนโลยีสารสนเทศทำหน้าที่กำกับดูแลการบริหารจัดการเกี่ยวกับเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล
นอกจากนี้ ในระดับบริหาร ยังมีคณะกรรมการ 2 ชุด ทำหน้าที่ในการกำหนดกลยุทธ์ ทิศทาง และแนวทางในการขับเคลื่อนผลการดำเนินงานทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล ซึ่งรวมไปถึงภัยคุกคามทางไซเบอร์ โดยคณะกรรมการกำกับการลงทุนโครงการทำหน้าที่ควบคุมโครงสร้างพื้นฐานทางด้านไอที ตลอดจนการบริหารจัดการ การพัฒนาสมรรถภาพ และการประยุกต์ใช้ ในขณะที่คณะกรรมการความเสี่ยงทางด้าน non-financial risk ทำหน้าที่บริหารความมั่นคงปลอดภัยของข้อมูลและภัยคุกคามทางไซเบอร์ เพื่อรับประกันความปลอดภัยสูงสุดของระบบและการดำเนินธุรกิจของธนาคาร ทั้งนี้ เพื่อให้เกิดความมั่นใจว่าการดำเนินงานของธนาคารสอดคล้องกับนโยบายและมาตรฐานต่างๆ หน่วยงานตรวจสอบยังได้ดำเนินการทวนสอบผลการดำเนินงานทางด้านภัยคุกคามทางไซเบอร์และให้คำแนะนำเพื่อการปรับปรุงต่อไป

โครงสร้างพื้นฐานและระบบด้านไอทีคือแกนหลักของธนาคาร ซึ่งได้รับการตรวจสอบ พัฒนา และรักษาสภาพเพื่อความมีประสิทธิภาพอยู่อย่างสม่ำเสมอ นอกจากนี้ ธนาคารยังได้ฝึกซ้อมแผนความต่อเนื่องทางธุรกิจเป็นประจำทุกปีเพื่อทดสอบการบริหารสถานการณ์และระยะเวลาเป้าหมายที่ใช้ในการกู้คืนเมื่อเกิดการหยุดชะงัก โดยในปี 2652 ธนาคารได้จัดการฝึกซ้อมแผนความต่อเนื่องทางธุรกิจขึ้น 2 ครั้ง ซึ่งบรรลุเป้าหมายเป็นอย่างดี ทั้งนี้ ธนาคารยังมุ่งปรับปรุงเสถียรภาพของเทคโนโลยีเพื่อให้สามารถรับมือกับภัยคุกคามต่างๆ และให้บริการลูกค้าได้อย่างต่อเนื่อง โดยธนาคารได้กำหนดมาตรฐานขั้นต่ำในการเตรียมตัวและการปรับตัวต่อการเปลี่ยนแปลงทางด้านไอที (IT Resilience Minimum Standard) ขึ้น เพื่อให้มั่นใจว่าระบบไอทีของธนาคารจะไม่หยุดชะงัก

ธนาคารมีระบบในการป้องกัน ตรวจจับ และตอบโต้การโจมตีทางไซเบอร์ โดยมีกรอบการดำเนินงานด้านภัยคุกคามทางไซเบอร์ของธนาคารอ้างอิงจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology – NIST) ประกอบไปด้วย 5 ส่วน ได้แก่ การระบุ การป้องกัน การตรวจจับ การตอบโต้ และการกู้คืน ทั้งยังมีเครือข่ายความมั่นคงอีกหลายชั้นเพื่อการป้องกันสูงสุด โดยธนาคารยังติดตามตรวจสอบผลการดำเนินงานตามกรอบดังกล่าวอย่างสม่ำเสมอและนำเสนอรายงานรายไตรมาสต่อคณะกรรมการย่อย นอกจากนี้ ธนาคารยังได้ทดสอบการตอบโต้ในสถานการณ์ฉุกเฉินเป็นประจำทุกปี เพื่อทดสอบระบบความปลอดภัยและตรวจหาจุดที่ต้องปรับปรุงต่อไป

ธนาคารได้พัฒนามาตรฐานขั้นต่ำขึ้น 2 มาตรฐาน ในปี 2562 ได้แก่ มาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลง (Cybersecurity and Resilience Minimum Standard) และมาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอที (IT Security Monitoring Minimum Standard)  โดยมาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงมุ่งเน้นการติดตามตรวจสอบเกี่ยวกับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงและประสิทธิภาพในการดำเนินงานอย่างทันท่วงที ซึ่งเป็นการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในปัจจุบันและอนาคต ตลอดจนภัยคุกคามที่คาดไม่ถึงหรือไม่เคยเกิดขึ้นมาก่อน ในขณะที่มาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอทีมีวัตถุประสงค์เพื่อกำหนดข้อบังคับในการควบคุมที่เกี่ยวข้องกับการตรวจตราความมั่นคงปลอดภัยทางไอที ซึ่งประกอบไปด้วย การตรวจสอบความสอดคล้องทางเทคนิค การตรวจสอบหาช่องโหว่ การทดสอบการเจาะระบบ การทบทวนรหัสความปลอดภัย และการติดตามตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย

ธนาคารได้พัฒนาโปรแกรมการฝึกอบรมออนไลน์ (e-learning) ในหัวข้อเกี่ยวกับภัยคุกคามทางไซเบอร์เพื่อสร้างความตระหนักและความเข้าใจ ตลอดจนให้ความรู้เกี่ยวกับวิธีการในการป้องกันการโจมตีทางไซเบอร์และการคุกคามทางไซเบอร์แก่พนักงาน โดยธนาคารได้กำหนดให้พนักงานทุกคนต้องผ่านการฝึกอบรมทางด้านความเสี่ยงของข้อมูล เพื่อให้พนักงานทุกคนตระหนักถึงความเสี่ยงของข้อมูลและการป้องกันภัยคุกคามทางไซเบอร์ต่างๆ เช่น มัลแวร์ พิชชิ่ง และสื่อสังคมออนไลน์ ทั้งนี้ คณะกรรมการธนาคารก็ผ่านการฝึกอบรมด้านภัยคุกคามทางไซเบอร์จากหน่วยงานภายนอก ซึ่งมีเนื้อหาครอบคลุมหลักการพื้นฐานในการบริหารภัยคุกคามทางไซเบอร์และการบริหารความเสี่ยงทางไซเบอร์ สถานภาพความปลอดภัย โลกาภิวัฒน์ของอาชญากรรมทางไซเบอร์ สถิติการละเมิดข้อมูล และการคุกคามทางไซเบอร์ในรูปแบบต่างๆ

 


คุ้มครองข้อมูลส่วนบุคคล

ในยุคดิจิทัล ข้อมูลของลูกค้าจำนวนมหาศาลได้ถูกสร้าง จัดเก็บ และแบ่งปันอย่างรวดเร็วทั้งในรูปแบบที่มีโครงสร้างชัดเจนและไม่ชัดเจน ซึ่งส่งผลให้เกิดความเสี่ยงในการแพร่กระจายของข้อมูลและความปลอดภัยทางไซเบอร์ที่เพิ่มมากขึ้นอย่างมีนัยสำคัญ ทั้งนี้ ด้วยตระหนักดีว่าข้อมูลของลูกค้ามีความสำคัญต่อการคิดค้นและพัฒนานวัตกรรมผลิตภัณฑ์เพื่อตอบสนองความต้องการของลูกค้า ธนาคารจึงยังคงยกให้เรื่องความเป็นส่วนตัวของข้อมูลลูกค้าเป็นวาระสำคัญที่จะต้องยึดมั่น โดยธนาคารให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนตัวของลูกค้าและยึดมั่นในการปกป้องความเป็นส่วนตัวและรักษาความลับของข้อมูลส่วนตัวของลูกค้า สอดคล้องกับกรอบการกำกับดูแลข้อมูลของธนาคาร ตลอดจนกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง

 

 

สถาบันการเงินได้รับความไว้วางใจในการเก็บข้อมูลจำนวนมหาศาลของลูกค้า ซึ่งทำให้กรอบการกำกับดูแลและกลยุทธ์การบรรเทาความเสี่ยงในรูปแบบเดิมไม่เพียงพออีกต่อไป การกำกับดูแลข้อมูลมีความสำคัญอย่างยิ่งในการจัดการและประมวลผลข้อมูลอย่างปลอดภัยและมีประสิทธิภาพ จึงมีความจำเป็นที่จะต้องมีการกำหนดโครงสร้างการกำกับดูแลข้อมูลในระดับองค์กร ธนาคารได้พัฒนาโครงสร้างการกำกับดูแลข้อมูลอย่างเหมาะสมภายใต้พื้นฐานหลักการกำกับดูแล 3 ชั้น ควบคุมโดยโครงสร้างองค์กรที่มีการจัดสรรหน้าที่และความรับผิดชอบที่ชัดเจน และอยู่ภายใต้การดูแลของผู้บริหารระดับสูงของธนาคารผ่านการประชุมอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการดำเนินงานจะเป็นไปในทิศทางเดียวกันในทุกขั้นตอนในการดำเนินธุรกิจ ยิ่งไปกว่านั้น การกำกับดูแลข้อมูลยังเป็นองค์ประกอบสำคัญในการสร้างความปลอดภัยควบคู่กับการสร้างมาตรการรักษาความปลอดภัยเพื่อตรวจจับ สืบสวน บริหาร และยับยั้งภัยคุกคามความปลอดภัยที่อาจจะเกิดขึ้นหรือกิจกรรมที่น่าสงสัย โดยมาตรการเหล่านี้ประกอบด้วยการบริหารจัดการภัยคุกคามทางไซเบอร์ การควบคุมการเข้าถึงข้อมูลตามบทบาทหน้าที่ ระบบการตรวจสอบในสภาพแวดล้อมทางไอที การตรวจตราปฏิกิริยาและการควบคุม และกระบวนการบริหารจัดการการละเมิดข้อมูล

กลไกในการรักษาความเป็นส่วนตัวของข้อมูลที่ธนาคารดำเนินการนั้นตั้งอยู่บนพื้นฐานของการปกป้องการใช้ข้อมูลของลูกค้าและการปฏิบัติตามระเบียบและกฎหมายที่เกี่ยวข้อง โดยลูกค้าจะต้องให้ความยินยอมในการนำข้อมูลไปใช้และมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ ทั้งนี้ ธนาคารได้วางแผนที่จะนำแบบฟอร์มแสดงความยินยอมที่ได้รับการปรับปรุงใหม่มาใช้ในทุกจุดของการให้บริการ ทั้งที่สำนักงานสาขา การทำธุรกรรมผ่านโทรศัพท์มือถือและการทำธุรกรรมออนไลน์ ภายในปี 2563 เพื่อสร้างมาตรฐานที่ดีขึ้นในการเก็บและบริหารจัดการข้อมูล ในขณะเดียวกัน ธนาคารยังได้นำเสนอประกาศเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการปกป้องข้อมูลให้กับลูกค้าเพื่อความโปร่งใส อันจะทำให้ลูกค้าสามารถใช้สิทธิของตนเองได้อย่างเป็นอิสระ (เพิกถอนความยินยอม การเข้าถึง และการแก้ไขข้อมูลส่วนตัว) นอกจากนี้ การดำเนินงานทางด้านการปกป้องความเป็นส่วนตัวของข้อมูลของธนาคารยังครอบคลุมถึงห่วงโซ่อุปทานของธนาคาร โดยจริยธรรมสำหรับคู่ค้าธุรกิจและนโยบายการจัดจ้างหน่วยงานภายนอกมีข้อกำหนดเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูล รวมทั้งยังมีหลักเกณฑ์ในการคัดเลือกคู่ค้าที่เข้มงวดและกำหนดให้มีการรับรองเกี่ยวกับการบริหารจัดการข้อมูลในภาคผนวกแนบท้ายเพื่อป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การเปิดเผย หรือการละเมิดข้อมูล

การสร้างความตระหนักรู้เกี่ยวกับการบริหารจัดการความเป็นส่วนตัวของข้อมูลให้กับพนักงานผ่านการสื่อสารและการฝึกอบรมให้ความรู้ยังเป็นมาตรการหนึ่งที่มีประสิทธิภาพในการบริหารจัดการความเป็นส่วนตัวของข้อมูลของธนาคาร ธนาคารได้จัดการฝึกอบรมพนักงานเดี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการปกป้องข้อมูล (เช่น การเข้าถึงข้อมูลตามบทบาทหน้าที่ การรั่วไหลของข้อมูล ฯลฯ) และครอบคลุมเนื้อหาที่เกี่ยวข้องกับการบริหารความเสี่ยงทางด้านข้อมูล การป้องกันการโจมตีทางไซเบอร์ การใช้สื่อสังคมออนไลน์ การรั่วไหลของข้อมูล และความเป็นส่วนตัวของข้อมูล

ด้วยปริมาณของข้อมูลจำนวนมหาศาลที่ธนาคารจัดเก็บในการดำเนินธุรกิจประจำวัน คุณภาพของข้อมูลยังมีความสำคัญไม่ยิ่งหย่อนไปกว่าการกำกับดูแลข้อมูลและการปกป้องความเป็นส่วนตัวของข้อมูล เพราะคุณภาพช่วยประเมินจะเป็นประโยชน์ต่อการนำไปใช้ในบริบทต่างๆ ได้อย่างเหมาะสม ธนาคารจึงให้ความสำคัญกับคุณภาพของข้อมูล (กำหนดโดยความแม่นยำ ความตรงต่อเวลา ความสมบูรณ์ และความน่าเชื่อถือ) และการตรวจสอบย้อนกลับข้อมูล (โดยใช้ข้อมูลรายละเอียดที่อธิบายถึงความเป็นมาของข้อมูลเพื่อให้สามารถอ่านข้อมูลได้อย่างชัดเจนทั่วทุกกลุ่มในระดับเล็กที่สุด) โดยธนาคารมีระบบการตรวจสอบและถ่วงดุลเพื่อรับรองความเหมาะสมในการบริหารจัดการข้อมูลที่สอดคล้องกับกฎระเบียบภายในและเป็นไปตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง อันได้แก่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลักเกณฑ์ด้านความเป็นส่วนตัวของข้อมูลในประกาศธนาคารแห่งประเทศไทย เรื่องการบริหารจัดการด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 นอกจากนี้ ธนาคารยังได้แต่งตั้งเจ้าหน้าที่ปกป้องข้อมูลเพื่อให้คำแนะนำและตรวจสอบการดำเนินงานของธนาคารอย่างเป็นอิสระ ตลอดจนทำหน้าที่ในการเป็นจุดศูนย์กลางเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูลเพื่อให้ธนาคารสามารถบริหารจัดการคุณภาพของข้อมูลได้อย่างยั่งยืน

เพื่อให้มั่นใจว่าการจัดการข้อมูลเป็นไปตามมาตรฐานสากล ธนาคารมีการจัดการวงจรชีวิตของข้อมูล (data lifecycle management) ซึ่งเป็นกระบวนการการจัดการข้อมูลตั้งแต่การเก็บรวบรวม การจัดเก็บ และทำลายเมื่อถึงเวลาที่ข้อมูลไม่มีความจำเป็นอีกต่อไป ทั้งนี้ เมื่อใดที่ธนาคารมีการประมวลผลข้อมูลส่วนบุคคล มาตรการความเป็นส่วนตัวจะถูกนำไปใช้ ซึ่งประกอบด้วย 5 ขั้นตอนดังแสดงในแผนภาพ นอกจากนี้หลักการการจัดเก็บข้อมูลเฉพาะที่จำเป็นและการจำกัดวัตถุประสงค์ของข้อมูลที่ต้องเก็บจะถูกนำมาพิจารณาในการประมวลผลข้อมูลเช่น การเก็บรวบรวม การใช้งานและการเปิดเผย

 

 

ความปลอดภัยทางไซเบอร์

ด้วยความซับซ้อนและความเชื่อมโยงของโครงสร้างพื้นฐานหลักของธนาคารเพื่อเปลี่ยนผ่านไปสู่นวัตกรรมดิจิทัลเทคโนโลยี (Digital Transformation) ส่งผลให้ธนาคารต้องให้ความสำคัญอย่างยิ่งต่อระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์เพื่อเสถียรภาพและความปลอดภัยของระบบและการดำเนินงานของธนาคาร ตลอดจนเพื่อบรรเทาความเสี่ยงด้ายภัยคุกคามทางไซเบอร์ซึ่งอาจส่งผลให้เกิดความสูญเสียทางการเงินและชื่อเสียง นอกจากนี้ ระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ยังเป็นพื้นฐานที่สำคัญของระบบธนาคารที่ช่วยสร้างและรักษาความเชื่อมั่นของลูกค้า

ธนาคารมีโครงสร้างการบริหารงานผ่านคณะกรรมการและคณะผู้บริหารในการกำกับดูแลทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล โดยในระดับคณะกรรมการ ได้มีการแต่งตั้งคณะกรรมการกำกับเทคโนโลยีสารสนเทศขึ้นเพื่อให้การดำเนินงานตามกลยุทธ์ของธนาคารเป็นไปอย่างมีประสิทธิภาพ โดยคณะกรรมการกำกับเทคโนโลยีสารสนเทศทำหน้าที่กำกับดูแลการบริหารจัดการเกี่ยวกับเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล
นอกจากนี้ ในระดับบริหาร ยังมีคณะกรรมการ 2 ชุด ทำหน้าที่ในการกำหนดกลยุทธ์ ทิศทาง และแนวทางในการขับเคลื่อนผลการดำเนินงานทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล ซึ่งรวมไปถึงภัยคุกคามทางไซเบอร์ โดยคณะกรรมการกำกับการลงทุนโครงการทำหน้าที่ควบคุมโครงสร้างพื้นฐานทางด้านไอที ตลอดจนการบริหารจัดการ การพัฒนาสมรรถภาพ และการประยุกต์ใช้ ในขณะที่คณะกรรมการความเสี่ยงทางด้าน non-financial risk ทำหน้าที่บริหารความมั่นคงปลอดภัยของข้อมูลและภัยคุกคามทางไซเบอร์ เพื่อรับประกันความปลอดภัยสูงสุดของระบบและการดำเนินธุรกิจของธนาคาร ทั้งนี้ เพื่อให้เกิดความมั่นใจว่าการดำเนินงานของธนาคารสอดคล้องกับนโยบายและมาตรฐานต่างๆ หน่วยงานตรวจสอบยังได้ดำเนินการทวนสอบผลการดำเนินงานทางด้านภัยคุกคามทางไซเบอร์และให้คำแนะนำเพื่อการปรับปรุงต่อไป

โครงสร้างพื้นฐานและระบบด้านไอทีคือแกนหลักของธนาคาร ซึ่งได้รับการตรวจสอบ พัฒนา และรักษาสภาพเพื่อความมีประสิทธิภาพอยู่อย่างสม่ำเสมอ นอกจากนี้ ธนาคารยังได้ฝึกซ้อมแผนความต่อเนื่องทางธุรกิจเป็นประจำทุกปีเพื่อทดสอบการบริหารสถานการณ์และระยะเวลาเป้าหมายที่ใช้ในการกู้คืนเมื่อเกิดการหยุดชะงัก โดยในปี 2652 ธนาคารได้จัดการฝึกซ้อมแผนความต่อเนื่องทางธุรกิจขึ้น 2 ครั้ง ซึ่งบรรลุเป้าหมายเป็นอย่างดี ทั้งนี้ ธนาคารยังมุ่งปรับปรุงเสถียรภาพของเทคโนโลยีเพื่อให้สามารถรับมือกับภัยคุกคามต่างๆ และให้บริการลูกค้าได้อย่างต่อเนื่อง โดยธนาคารได้กำหนดมาตรฐานขั้นต่ำในการเตรียมตัวและการปรับตัวต่อการเปลี่ยนแปลงทางด้านไอที (IT Resilience Minimum Standard) ขึ้น เพื่อให้มั่นใจว่าระบบไอทีของธนาคารจะไม่หยุดชะงัก

ธนาคารมีระบบในการป้องกัน ตรวจจับ และตอบโต้การโจมตีทางไซเบอร์ โดยมีกรอบการดำเนินงานด้านภัยคุกคามทางไซเบอร์ของธนาคารอ้างอิงจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology – NIST) ประกอบไปด้วย 5 ส่วน ได้แก่ การระบุ การป้องกัน การตรวจจับ การตอบโต้ และการกู้คืน ทั้งยังมีเครือข่ายความมั่นคงอีกหลายชั้นเพื่อการป้องกันสูงสุด โดยธนาคารยังติดตามตรวจสอบผลการดำเนินงานตามกรอบดังกล่าวอย่างสม่ำเสมอและนำเสนอรายงานรายไตรมาสต่อคณะกรรมการย่อย นอกจากนี้ ธนาคารยังได้ทดสอบการตอบโต้ในสถานการณ์ฉุกเฉินเป็นประจำทุกปี เพื่อทดสอบระบบความปลอดภัยและตรวจหาจุดที่ต้องปรับปรุงต่อไป

ธนาคารได้พัฒนามาตรฐานขั้นต่ำขึ้น 2 มาตรฐาน ในปี 2562 ได้แก่ มาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลง (Cybersecurity and Resilience Minimum Standard) และมาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอที (IT Security Monitoring Minimum Standard)  โดยมาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงมุ่งเน้นการติดตามตรวจสอบเกี่ยวกับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงและประสิทธิภาพในการดำเนินงานอย่างทันท่วงที ซึ่งเป็นการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในปัจจุบันและอนาคต ตลอดจนภัยคุกคามที่คาดไม่ถึงหรือไม่เคยเกิดขึ้นมาก่อน ในขณะที่มาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอทีมีวัตถุประสงค์เพื่อกำหนดข้อบังคับในการควบคุมที่เกี่ยวข้องกับการตรวจตราความมั่นคงปลอดภัยทางไอที ซึ่งประกอบไปด้วย การตรวจสอบความสอดคล้องทางเทคนิค การตรวจสอบหาช่องโหว่ การทดสอบการเจาะระบบ การทบทวนรหัสความปลอดภัย และการติดตามตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย

ธนาคารได้พัฒนาโปรแกรมการฝึกอบรมออนไลน์ (e-learning) ในหัวข้อเกี่ยวกับภัยคุกคามทางไซเบอร์เพื่อสร้างความตระหนักและความเข้าใจ ตลอดจนให้ความรู้เกี่ยวกับวิธีการในการป้องกันการโจมตีทางไซเบอร์และการคุกคามทางไซเบอร์แก่พนักงาน โดยธนาคารได้กำหนดให้พนักงานทุกคนต้องผ่านการฝึกอบรมทางด้านความเสี่ยงของข้อมูล เพื่อให้พนักงานทุกคนตระหนักถึงความเสี่ยงของข้อมูลและการป้องกันภัยคุกคามทางไซเบอร์ต่างๆ เช่น มัลแวร์ พิชชิ่ง และสื่อสังคมออนไลน์ ทั้งนี้ คณะกรรมการธนาคารก็ผ่านการฝึกอบรมด้านภัยคุกคามทางไซเบอร์จากหน่วยงานภายนอก ซึ่งมีเนื้อหาครอบคลุมหลักการพื้นฐานในการบริหารภัยคุกคามทางไซเบอร์และการบริหารความเสี่ยงทางไซเบอร์ สถานภาพความปลอดภัย โลกาภิวัฒน์ของอาชญากรรมทางไซเบอร์ สถิติการละเมิดข้อมูล และการคุกคามทางไซเบอร์ในรูปแบบต่างๆ

 


คุ้มครองข้อมูลส่วนบุคคล

ในยุคดิจิทัล ข้อมูลของลูกค้าจำนวนมหาศาลได้ถูกสร้าง จัดเก็บ และแบ่งปันอย่างรวดเร็วทั้งในรูปแบบที่มีโครงสร้างชัดเจนและไม่ชัดเจน ซึ่งส่งผลให้เกิดความเสี่ยงในการแพร่กระจายของข้อมูลและความปลอดภัยทางไซเบอร์ที่เพิ่มมากขึ้นอย่างมีนัยสำคัญ ทั้งนี้ ด้วยตระหนักดีว่าข้อมูลของลูกค้ามีความสำคัญต่อการคิดค้นและพัฒนานวัตกรรมผลิตภัณฑ์เพื่อตอบสนองความต้องการของลูกค้า ธนาคารจึงยังคงยกให้เรื่องความเป็นส่วนตัวของข้อมูลลูกค้าเป็นวาระสำคัญที่จะต้องยึดมั่น โดยธนาคารให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนตัวของลูกค้าและยึดมั่นในการปกป้องความเป็นส่วนตัวและรักษาความลับของข้อมูลส่วนตัวของลูกค้า สอดคล้องกับกรอบการกำกับดูแลข้อมูลของธนาคาร ตลอดจนกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง

 

 

สถาบันการเงินได้รับความไว้วางใจในการเก็บข้อมูลจำนวนมหาศาลของลูกค้า ซึ่งทำให้กรอบการกำกับดูแลและกลยุทธ์การบรรเทาความเสี่ยงในรูปแบบเดิมไม่เพียงพออีกต่อไป การกำกับดูแลข้อมูลมีความสำคัญอย่างยิ่งในการจัดการและประมวลผลข้อมูลอย่างปลอดภัยและมีประสิทธิภาพ จึงมีความจำเป็นที่จะต้องมีการกำหนดโครงสร้างการกำกับดูแลข้อมูลในระดับองค์กร ธนาคารได้พัฒนาโครงสร้างการกำกับดูแลข้อมูลอย่างเหมาะสมภายใต้พื้นฐานหลักการกำกับดูแล 3 ชั้น ควบคุมโดยโครงสร้างองค์กรที่มีการจัดสรรหน้าที่และความรับผิดชอบที่ชัดเจน และอยู่ภายใต้การดูแลของผู้บริหารระดับสูงของธนาคารผ่านการประชุมอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการดำเนินงานจะเป็นไปในทิศทางเดียวกันในทุกขั้นตอนในการดำเนินธุรกิจ ยิ่งไปกว่านั้น การกำกับดูแลข้อมูลยังเป็นองค์ประกอบสำคัญในการสร้างความปลอดภัยควบคู่กับการสร้างมาตรการรักษาความปลอดภัยเพื่อตรวจจับ สืบสวน บริหาร และยับยั้งภัยคุกคามความปลอดภัยที่อาจจะเกิดขึ้นหรือกิจกรรมที่น่าสงสัย โดยมาตรการเหล่านี้ประกอบด้วยการบริหารจัดการภัยคุกคามทางไซเบอร์ การควบคุมการเข้าถึงข้อมูลตามบทบาทหน้าที่ ระบบการตรวจสอบในสภาพแวดล้อมทางไอที การตรวจตราปฏิกิริยาและการควบคุม และกระบวนการบริหารจัดการการละเมิดข้อมูล

กลไกในการรักษาความเป็นส่วนตัวของข้อมูลที่ธนาคารดำเนินการนั้นตั้งอยู่บนพื้นฐานของการปกป้องการใช้ข้อมูลของลูกค้าและการปฏิบัติตามระเบียบและกฎหมายที่เกี่ยวข้อง โดยลูกค้าจะต้องให้ความยินยอมในการนำข้อมูลไปใช้และมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ ทั้งนี้ ธนาคารได้วางแผนที่จะนำแบบฟอร์มแสดงความยินยอมที่ได้รับการปรับปรุงใหม่มาใช้ในทุกจุดของการให้บริการ ทั้งที่สำนักงานสาขา การทำธุรกรรมผ่านโทรศัพท์มือถือและการทำธุรกรรมออนไลน์ ภายในปี 2563 เพื่อสร้างมาตรฐานที่ดีขึ้นในการเก็บและบริหารจัดการข้อมูล ในขณะเดียวกัน ธนาคารยังได้นำเสนอประกาศเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการปกป้องข้อมูลให้กับลูกค้าเพื่อความโปร่งใส อันจะทำให้ลูกค้าสามารถใช้สิทธิของตนเองได้อย่างเป็นอิสระ (เพิกถอนความยินยอม การเข้าถึง และการแก้ไขข้อมูลส่วนตัว) นอกจากนี้ การดำเนินงานทางด้านการปกป้องความเป็นส่วนตัวของข้อมูลของธนาคารยังครอบคลุมถึงห่วงโซ่อุปทานของธนาคาร โดยจริยธรรมสำหรับคู่ค้าธุรกิจและนโยบายการจัดจ้างหน่วยงานภายนอกมีข้อกำหนดเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูล รวมทั้งยังมีหลักเกณฑ์ในการคัดเลือกคู่ค้าที่เข้มงวดและกำหนดให้มีการรับรองเกี่ยวกับการบริหารจัดการข้อมูลในภาคผนวกแนบท้ายเพื่อป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การเปิดเผย หรือการละเมิดข้อมูล

การสร้างความตระหนักรู้เกี่ยวกับการบริหารจัดการความเป็นส่วนตัวของข้อมูลให้กับพนักงานผ่านการสื่อสารและการฝึกอบรมให้ความรู้ยังเป็นมาตรการหนึ่งที่มีประสิทธิภาพในการบริหารจัดการความเป็นส่วนตัวของข้อมูลของธนาคาร ธนาคารได้จัดการฝึกอบรมพนักงานเดี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการปกป้องข้อมูล (เช่น การเข้าถึงข้อมูลตามบทบาทหน้าที่ การรั่วไหลของข้อมูล ฯลฯ) และครอบคลุมเนื้อหาที่เกี่ยวข้องกับการบริหารความเสี่ยงทางด้านข้อมูล การป้องกันการโจมตีทางไซเบอร์ การใช้สื่อสังคมออนไลน์ การรั่วไหลของข้อมูล และความเป็นส่วนตัวของข้อมูล

ด้วยปริมาณของข้อมูลจำนวนมหาศาลที่ธนาคารจัดเก็บในการดำเนินธุรกิจประจำวัน คุณภาพของข้อมูลยังมีความสำคัญไม่ยิ่งหย่อนไปกว่าการกำกับดูแลข้อมูลและการปกป้องความเป็นส่วนตัวของข้อมูล เพราะคุณภาพช่วยประเมินจะเป็นประโยชน์ต่อการนำไปใช้ในบริบทต่างๆ ได้อย่างเหมาะสม ธนาคารจึงให้ความสำคัญกับคุณภาพของข้อมูล (กำหนดโดยความแม่นยำ ความตรงต่อเวลา ความสมบูรณ์ และความน่าเชื่อถือ) และการตรวจสอบย้อนกลับข้อมูล (โดยใช้ข้อมูลรายละเอียดที่อธิบายถึงความเป็นมาของข้อมูลเพื่อให้สามารถอ่านข้อมูลได้อย่างชัดเจนทั่วทุกกลุ่มในระดับเล็กที่สุด) โดยธนาคารมีระบบการตรวจสอบและถ่วงดุลเพื่อรับรองความเหมาะสมในการบริหารจัดการข้อมูลที่สอดคล้องกับกฎระเบียบภายในและเป็นไปตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง อันได้แก่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลักเกณฑ์ด้านความเป็นส่วนตัวของข้อมูลในประกาศธนาคารแห่งประเทศไทย เรื่องการบริหารจัดการด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 นอกจากนี้ ธนาคารยังได้แต่งตั้งเจ้าหน้าที่ปกป้องข้อมูลเพื่อให้คำแนะนำและตรวจสอบการดำเนินงานของธนาคารอย่างเป็นอิสระ ตลอดจนทำหน้าที่ในการเป็นจุดศูนย์กลางเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูลเพื่อให้ธนาคารสามารถบริหารจัดการคุณภาพของข้อมูลได้อย่างยั่งยืน

เพื่อให้มั่นใจว่าการจัดการข้อมูลเป็นไปตามมาตรฐานสากล ธนาคารมีการจัดการวงจรชีวิตของข้อมูล (data lifecycle management) ซึ่งเป็นกระบวนการการจัดการข้อมูลตั้งแต่การเก็บรวบรวม การจัดเก็บ และทำลายเมื่อถึงเวลาที่ข้อมูลไม่มีความจำเป็นอีกต่อไป ทั้งนี้ เมื่อใดที่ธนาคารมีการประมวลผลข้อมูลส่วนบุคคล มาตรการความเป็นส่วนตัวจะถูกนำไปใช้ ซึ่งประกอบด้วย 5 ขั้นตอนดังแสดงในแผนภาพ นอกจากนี้หลักการการจัดเก็บข้อมูลเฉพาะที่จำเป็นและการจำกัดวัตถุประสงค์ของข้อมูลที่ต้องเก็บจะถูกนำมาพิจารณาในการประมวลผลข้อมูลเช่น การเก็บรวบรวม การใช้งานและการเปิดเผย

 

 

ความปลอดภัยทางไซเบอร์

ด้วยความซับซ้อนและความเชื่อมโยงของโครงสร้างพื้นฐานหลักของธนาคารเพื่อเปลี่ยนผ่านไปสู่นวัตกรรมดิจิทัลเทคโนโลยี (Digital Transformation) ส่งผลให้ธนาคารต้องให้ความสำคัญอย่างยิ่งต่อระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์เพื่อเสถียรภาพและความปลอดภัยของระบบและการดำเนินงานของธนาคาร ตลอดจนเพื่อบรรเทาความเสี่ยงด้ายภัยคุกคามทางไซเบอร์ซึ่งอาจส่งผลให้เกิดความสูญเสียทางการเงินและชื่อเสียง นอกจากนี้ ระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ยังเป็นพื้นฐานที่สำคัญของระบบธนาคารที่ช่วยสร้างและรักษาความเชื่อมั่นของลูกค้า

ธนาคารมีโครงสร้างการบริหารงานผ่านคณะกรรมการและคณะผู้บริหารในการกำกับดูแลทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล โดยในระดับคณะกรรมการ ได้มีการแต่งตั้งคณะกรรมการกำกับเทคโนโลยีสารสนเทศขึ้นเพื่อให้การดำเนินงานตามกลยุทธ์ของธนาคารเป็นไปอย่างมีประสิทธิภาพ โดยคณะกรรมการกำกับเทคโนโลยีสารสนเทศทำหน้าที่กำกับดูแลการบริหารจัดการเกี่ยวกับเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล
นอกจากนี้ ในระดับบริหาร ยังมีคณะกรรมการ 2 ชุด ทำหน้าที่ในการกำหนดกลยุทธ์ ทิศทาง และแนวทางในการขับเคลื่อนผลการดำเนินงานทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล ซึ่งรวมไปถึงภัยคุกคามทางไซเบอร์ โดยคณะกรรมการกำกับการลงทุนโครงการทำหน้าที่ควบคุมโครงสร้างพื้นฐานทางด้านไอที ตลอดจนการบริหารจัดการ การพัฒนาสมรรถภาพ และการประยุกต์ใช้ ในขณะที่คณะกรรมการความเสี่ยงทางด้าน non-financial risk ทำหน้าที่บริหารความมั่นคงปลอดภัยของข้อมูลและภัยคุกคามทางไซเบอร์ เพื่อรับประกันความปลอดภัยสูงสุดของระบบและการดำเนินธุรกิจของธนาคาร ทั้งนี้ เพื่อให้เกิดความมั่นใจว่าการดำเนินงานของธนาคารสอดคล้องกับนโยบายและมาตรฐานต่างๆ หน่วยงานตรวจสอบยังได้ดำเนินการทวนสอบผลการดำเนินงานทางด้านภัยคุกคามทางไซเบอร์และให้คำแนะนำเพื่อการปรับปรุงต่อไป

โครงสร้างพื้นฐานและระบบด้านไอทีคือแกนหลักของธนาคาร ซึ่งได้รับการตรวจสอบ พัฒนา และรักษาสภาพเพื่อความมีประสิทธิภาพอยู่อย่างสม่ำเสมอ นอกจากนี้ ธนาคารยังได้ฝึกซ้อมแผนความต่อเนื่องทางธุรกิจเป็นประจำทุกปีเพื่อทดสอบการบริหารสถานการณ์และระยะเวลาเป้าหมายที่ใช้ในการกู้คืนเมื่อเกิดการหยุดชะงัก โดยในปี 2652 ธนาคารได้จัดการฝึกซ้อมแผนความต่อเนื่องทางธุรกิจขึ้น 2 ครั้ง ซึ่งบรรลุเป้าหมายเป็นอย่างดี ทั้งนี้ ธนาคารยังมุ่งปรับปรุงเสถียรภาพของเทคโนโลยีเพื่อให้สามารถรับมือกับภัยคุกคามต่างๆ และให้บริการลูกค้าได้อย่างต่อเนื่อง โดยธนาคารได้กำหนดมาตรฐานขั้นต่ำในการเตรียมตัวและการปรับตัวต่อการเปลี่ยนแปลงทางด้านไอที (IT Resilience Minimum Standard) ขึ้น เพื่อให้มั่นใจว่าระบบไอทีของธนาคารจะไม่หยุดชะงัก

ธนาคารมีระบบในการป้องกัน ตรวจจับ และตอบโต้การโจมตีทางไซเบอร์ โดยมีกรอบการดำเนินงานด้านภัยคุกคามทางไซเบอร์ของธนาคารอ้างอิงจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology – NIST) ประกอบไปด้วย 5 ส่วน ได้แก่ การระบุ การป้องกัน การตรวจจับ การตอบโต้ และการกู้คืน ทั้งยังมีเครือข่ายความมั่นคงอีกหลายชั้นเพื่อการป้องกันสูงสุด โดยธนาคารยังติดตามตรวจสอบผลการดำเนินงานตามกรอบดังกล่าวอย่างสม่ำเสมอและนำเสนอรายงานรายไตรมาสต่อคณะกรรมการย่อย นอกจากนี้ ธนาคารยังได้ทดสอบการตอบโต้ในสถานการณ์ฉุกเฉินเป็นประจำทุกปี เพื่อทดสอบระบบความปลอดภัยและตรวจหาจุดที่ต้องปรับปรุงต่อไป

ธนาคารได้พัฒนามาตรฐานขั้นต่ำขึ้น 2 มาตรฐาน ในปี 2562 ได้แก่ มาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลง (Cybersecurity and Resilience Minimum Standard) และมาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอที (IT Security Monitoring Minimum Standard)  โดยมาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงมุ่งเน้นการติดตามตรวจสอบเกี่ยวกับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงและประสิทธิภาพในการดำเนินงานอย่างทันท่วงที ซึ่งเป็นการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในปัจจุบันและอนาคต ตลอดจนภัยคุกคามที่คาดไม่ถึงหรือไม่เคยเกิดขึ้นมาก่อน ในขณะที่มาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอทีมีวัตถุประสงค์เพื่อกำหนดข้อบังคับในการควบคุมที่เกี่ยวข้องกับการตรวจตราความมั่นคงปลอดภัยทางไอที ซึ่งประกอบไปด้วย การตรวจสอบความสอดคล้องทางเทคนิค การตรวจสอบหาช่องโหว่ การทดสอบการเจาะระบบ การทบทวนรหัสความปลอดภัย และการติดตามตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย

ธนาคารได้พัฒนาโปรแกรมการฝึกอบรมออนไลน์ (e-learning) ในหัวข้อเกี่ยวกับภัยคุกคามทางไซเบอร์เพื่อสร้างความตระหนักและความเข้าใจ ตลอดจนให้ความรู้เกี่ยวกับวิธีการในการป้องกันการโจมตีทางไซเบอร์และการคุกคามทางไซเบอร์แก่พนักงาน โดยธนาคารได้กำหนดให้พนักงานทุกคนต้องผ่านการฝึกอบรมทางด้านความเสี่ยงของข้อมูล เพื่อให้พนักงานทุกคนตระหนักถึงความเสี่ยงของข้อมูลและการป้องกันภัยคุกคามทางไซเบอร์ต่างๆ เช่น มัลแวร์ พิชชิ่ง และสื่อสังคมออนไลน์ ทั้งนี้ คณะกรรมการธนาคารก็ผ่านการฝึกอบรมด้านภัยคุกคามทางไซเบอร์จากหน่วยงานภายนอก ซึ่งมีเนื้อหาครอบคลุมหลักการพื้นฐานในการบริหารภัยคุกคามทางไซเบอร์และการบริหารความเสี่ยงทางไซเบอร์ สถานภาพความปลอดภัย โลกาภิวัฒน์ของอาชญากรรมทางไซเบอร์ สถิติการละเมิดข้อมูล และการคุกคามทางไซเบอร์ในรูปแบบต่างๆ

 


คุ้มครองข้อมูลส่วนบุคคล

ในยุคดิจิทัล ข้อมูลของลูกค้าจำนวนมหาศาลได้ถูกสร้าง จัดเก็บ และแบ่งปันอย่างรวดเร็วทั้งในรูปแบบที่มีโครงสร้างชัดเจนและไม่ชัดเจน ซึ่งส่งผลให้เกิดความเสี่ยงในการแพร่กระจายของข้อมูลและความปลอดภัยทางไซเบอร์ที่เพิ่มมากขึ้นอย่างมีนัยสำคัญ ทั้งนี้ ด้วยตระหนักดีว่าข้อมูลของลูกค้ามีความสำคัญต่อการคิดค้นและพัฒนานวัตกรรมผลิตภัณฑ์เพื่อตอบสนองความต้องการของลูกค้า ธนาคารจึงยังคงยกให้เรื่องความเป็นส่วนตัวของข้อมูลลูกค้าเป็นวาระสำคัญที่จะต้องยึดมั่น โดยธนาคารให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนตัวของลูกค้าและยึดมั่นในการปกป้องความเป็นส่วนตัวและรักษาความลับของข้อมูลส่วนตัวของลูกค้า สอดคล้องกับกรอบการกำกับดูแลข้อมูลของธนาคาร ตลอดจนกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง

 

 

สถาบันการเงินได้รับความไว้วางใจในการเก็บข้อมูลจำนวนมหาศาลของลูกค้า ซึ่งทำให้กรอบการกำกับดูแลและกลยุทธ์การบรรเทาความเสี่ยงในรูปแบบเดิมไม่เพียงพออีกต่อไป การกำกับดูแลข้อมูลมีความสำคัญอย่างยิ่งในการจัดการและประมวลผลข้อมูลอย่างปลอดภัยและมีประสิทธิภาพ จึงมีความจำเป็นที่จะต้องมีการกำหนดโครงสร้างการกำกับดูแลข้อมูลในระดับองค์กร ธนาคารได้พัฒนาโครงสร้างการกำกับดูแลข้อมูลอย่างเหมาะสมภายใต้พื้นฐานหลักการกำกับดูแล 3 ชั้น ควบคุมโดยโครงสร้างองค์กรที่มีการจัดสรรหน้าที่และความรับผิดชอบที่ชัดเจน และอยู่ภายใต้การดูแลของผู้บริหารระดับสูงของธนาคารผ่านการประชุมอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการดำเนินงานจะเป็นไปในทิศทางเดียวกันในทุกขั้นตอนในการดำเนินธุรกิจ ยิ่งไปกว่านั้น การกำกับดูแลข้อมูลยังเป็นองค์ประกอบสำคัญในการสร้างความปลอดภัยควบคู่กับการสร้างมาตรการรักษาความปลอดภัยเพื่อตรวจจับ สืบสวน บริหาร และยับยั้งภัยคุกคามความปลอดภัยที่อาจจะเกิดขึ้นหรือกิจกรรมที่น่าสงสัย โดยมาตรการเหล่านี้ประกอบด้วยการบริหารจัดการภัยคุกคามทางไซเบอร์ การควบคุมการเข้าถึงข้อมูลตามบทบาทหน้าที่ ระบบการตรวจสอบในสภาพแวดล้อมทางไอที การตรวจตราปฏิกิริยาและการควบคุม และกระบวนการบริหารจัดการการละเมิดข้อมูล

กลไกในการรักษาความเป็นส่วนตัวของข้อมูลที่ธนาคารดำเนินการนั้นตั้งอยู่บนพื้นฐานของการปกป้องการใช้ข้อมูลของลูกค้าและการปฏิบัติตามระเบียบและกฎหมายที่เกี่ยวข้อง โดยลูกค้าจะต้องให้ความยินยอมในการนำข้อมูลไปใช้และมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ ทั้งนี้ ธนาคารได้วางแผนที่จะนำแบบฟอร์มแสดงความยินยอมที่ได้รับการปรับปรุงใหม่มาใช้ในทุกจุดของการให้บริการ ทั้งที่สำนักงานสาขา การทำธุรกรรมผ่านโทรศัพท์มือถือและการทำธุรกรรมออนไลน์ ภายในปี 2563 เพื่อสร้างมาตรฐานที่ดีขึ้นในการเก็บและบริหารจัดการข้อมูล ในขณะเดียวกัน ธนาคารยังได้นำเสนอประกาศเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการปกป้องข้อมูลให้กับลูกค้าเพื่อความโปร่งใส อันจะทำให้ลูกค้าสามารถใช้สิทธิของตนเองได้อย่างเป็นอิสระ (เพิกถอนความยินยอม การเข้าถึง และการแก้ไขข้อมูลส่วนตัว) นอกจากนี้ การดำเนินงานทางด้านการปกป้องความเป็นส่วนตัวของข้อมูลของธนาคารยังครอบคลุมถึงห่วงโซ่อุปทานของธนาคาร โดยจริยธรรมสำหรับคู่ค้าธุรกิจและนโยบายการจัดจ้างหน่วยงานภายนอกมีข้อกำหนดเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูล รวมทั้งยังมีหลักเกณฑ์ในการคัดเลือกคู่ค้าที่เข้มงวดและกำหนดให้มีการรับรองเกี่ยวกับการบริหารจัดการข้อมูลในภาคผนวกแนบท้ายเพื่อป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การเปิดเผย หรือการละเมิดข้อมูล

การสร้างความตระหนักรู้เกี่ยวกับการบริหารจัดการความเป็นส่วนตัวของข้อมูลให้กับพนักงานผ่านการสื่อสารและการฝึกอบรมให้ความรู้ยังเป็นมาตรการหนึ่งที่มีประสิทธิภาพในการบริหารจัดการความเป็นส่วนตัวของข้อมูลของธนาคาร ธนาคารได้จัดการฝึกอบรมพนักงานเดี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการปกป้องข้อมูล (เช่น การเข้าถึงข้อมูลตามบทบาทหน้าที่ การรั่วไหลของข้อมูล ฯลฯ) และครอบคลุมเนื้อหาที่เกี่ยวข้องกับการบริหารความเสี่ยงทางด้านข้อมูล การป้องกันการโจมตีทางไซเบอร์ การใช้สื่อสังคมออนไลน์ การรั่วไหลของข้อมูล และความเป็นส่วนตัวของข้อมูล

ด้วยปริมาณของข้อมูลจำนวนมหาศาลที่ธนาคารจัดเก็บในการดำเนินธุรกิจประจำวัน คุณภาพของข้อมูลยังมีความสำคัญไม่ยิ่งหย่อนไปกว่าการกำกับดูแลข้อมูลและการปกป้องความเป็นส่วนตัวของข้อมูล เพราะคุณภาพช่วยประเมินจะเป็นประโยชน์ต่อการนำไปใช้ในบริบทต่างๆ ได้อย่างเหมาะสม ธนาคารจึงให้ความสำคัญกับคุณภาพของข้อมูล (กำหนดโดยความแม่นยำ ความตรงต่อเวลา ความสมบูรณ์ และความน่าเชื่อถือ) และการตรวจสอบย้อนกลับข้อมูล (โดยใช้ข้อมูลรายละเอียดที่อธิบายถึงความเป็นมาของข้อมูลเพื่อให้สามารถอ่านข้อมูลได้อย่างชัดเจนทั่วทุกกลุ่มในระดับเล็กที่สุด) โดยธนาคารมีระบบการตรวจสอบและถ่วงดุลเพื่อรับรองความเหมาะสมในการบริหารจัดการข้อมูลที่สอดคล้องกับกฎระเบียบภายในและเป็นไปตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง อันได้แก่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลักเกณฑ์ด้านความเป็นส่วนตัวของข้อมูลในประกาศธนาคารแห่งประเทศไทย เรื่องการบริหารจัดการด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 นอกจากนี้ ธนาคารยังได้แต่งตั้งเจ้าหน้าที่ปกป้องข้อมูลเพื่อให้คำแนะนำและตรวจสอบการดำเนินงานของธนาคารอย่างเป็นอิสระ ตลอดจนทำหน้าที่ในการเป็นจุดศูนย์กลางเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูลเพื่อให้ธนาคารสามารถบริหารจัดการคุณภาพของข้อมูลได้อย่างยั่งยืน

เพื่อให้มั่นใจว่าการจัดการข้อมูลเป็นไปตามมาตรฐานสากล ธนาคารมีการจัดการวงจรชีวิตของข้อมูล (data lifecycle management) ซึ่งเป็นกระบวนการการจัดการข้อมูลตั้งแต่การเก็บรวบรวม การจัดเก็บ และทำลายเมื่อถึงเวลาที่ข้อมูลไม่มีความจำเป็นอีกต่อไป ทั้งนี้ เมื่อใดที่ธนาคารมีการประมวลผลข้อมูลส่วนบุคคล มาตรการความเป็นส่วนตัวจะถูกนำไปใช้ ซึ่งประกอบด้วย 5 ขั้นตอนดังแสดงในแผนภาพ นอกจากนี้หลักการการจัดเก็บข้อมูลเฉพาะที่จำเป็นและการจำกัดวัตถุประสงค์ของข้อมูลที่ต้องเก็บจะถูกนำมาพิจารณาในการประมวลผลข้อมูลเช่น การเก็บรวบรวม การใช้งานและการเปิดเผย