ข่าว

(อัพเดต) กรณีลูกค้าร้องเรียน AIS เรื่องโดนขโมยข้อมูล ได้รับคำชี้แจงแล้ว!

ล่าสุดมีประเด็นร้อนแรงในเวบ Pantip โดยคุณ pairnow ได้ตั้งกระทู้ร้องเรียนว่าพนักงาน AIS สาขาใหญ่ ได้รับการว่าจ้างจากบุคคลภาพนอกบริษัท ทำการขโมยข้อมูลส่วนตัวไปให้แก่บุคคลอื่นเพื่อจุดประสงค์บางอย่าง โดยมีการส่งไปในรูปแบบของไฟล์ Excel ซึ่งข้อมูลนั้นมีบันทึกการโทรเข้าโทรออก รวมถึงพิกัดสถานที่ ของเบอร์โทรศัพท์ส่วนตัว ซึ่งไม่ใช่เพียงคุณ pairnow รายเดียวแต่มีการทำแบบนี้กับลูกค้าหลายราย แถมยังทำอย่างต่อเนื่องมาเป็นเวลาหลายปีอีกด้วย โดยทางคุณ pairnow ได้ร้องเรียนไปทาง Serenade Callcenter แต่ไม่ได้รับคำตอบที่น่าพอใจ เธอจึงได้ไปติดต่อกับผู้จัดการสาขา AIS Shop แห่งหนึ่งและมีการติดต่อสอบถามกันมาโดยตลอด โดยได้รับแจ้งว่าหน่วยงานต้นสังกัดทราบเรื่องแล้ว แต่ไม่มีความคืบหน้า

ต่อมามี HR ของทาง AIS ได้ติดต่อไปทางคุณ pairnow แล้วแต่ว่าทางลูกค้ารู้สึกว่าไม่ได้คำตอบอย่างที่ควรจะเป็น เพราะพนักงานคนนี้ไม่ได้ทำผิดเป็นครั้งแรก โดยอ้างว่าตนเองมีหลักฐานว่าพนักงานคนนี้รับเงินจากบุคคลอื่น ที่เข้ามาว่าจ้างให้ล้วงข้อมูล โดยมีหลักฐานย้อนหลังไปถึง 2-3 ปีเลยทีเดียว เธอจึงได้มาร้องเรียนขอคำตอบจาก AIS ที่ชัดเจนอย่างที่เธอเห็นสมควร

และทาง AIS ได้เข้ามาตอบในกระทู้แล้วนะครับว่าทำการตรวจสอบพบว่าพนักงานมีเจตนากระทำผิดจริง โดยอาศัยอำนาจหน้าที่กระทำผิดกฏข้อบังคับในเรื่องนโยบายความปลอดภัยข้อมูลของลูกค้า พนักงานที่ไม่มีส่วนเกี่ยวข้องจะไม่สามารถเข้าไปดูหรือตรวจสอบรายละเอียดและส่งให้ผู้ที่ไม่ใช่เจ้าของเลขหมายได้อย่างเด็ดขาด ทาง AIS จึงได้พิจารณาให้พนักงานคนดังกล่าวพ้นสภาพทันทีและจะมีการดำเนินการตามขั้นตอนของกฏหมายต่อไป

ใครที่สนใจสามารถไปตามอ่านกระทู้ประเด็นร้อนของ AIS กันได้ตามลิงค์นี้เลยครับ

หมดความเชื่อมั่น!!!. พนักงานบริษัท AIS ถือวิสาสะขโมยข้อมูลลูกค้าไปให้บุคคลภายนอก ไม่โดนเองไม่รู้

ais_pairnow

(อัพเดต) ล่าสุดทาง AIS ได้ออกมาชี้แจงเกี่ยวกับกรณีนี้แล้วครับ รายละเอียดจะมีดังนี้

เอไอเอส ทำทุกวิถีทาง เพื่อดูแลความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า

นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส เปิดเผยว่า “จากการที่มีลูกค้าเอไอเอสโพสต์ลงเว็ปไซต์พันทิป เรื่องพนักงานเอไอเอสอาศัยอำนาจหน้าที่ที่ตนได้รับมอบหมายนำข้อมูลรายละเอียดการโทรเข้า-ออกของลูกค้าไปให้กับบุคคลภายนอก ซึ่งเป็นการกระทำผิดของพนักงานต่อ “นโยบายการคุ้มครองสิทธิและการรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ” และ “ประมวลจริยธรรมทางธุรกิจ” ของบริษัท ซึ่งเอไอเอสรู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น และเมื่อทราบเรื่องดังกล่าวบริษัทฯ ก็มิได้นิ่งนอนใจ ได้ดำเนินการตรวจสอบอย่างเข้มข้นทันที

บริษัทฯ ขอยืนยันว่าการปกป้องและรักษาข้อมูลส่วนบุคคลของลูกค้าเป็นเรื่องที่บริษัทให้ความสำคัญอย่างสูงสุดมาโดยตลอด โดยปัจจุบันบริษัทฯได้กำหนดให้มี “นโยบายการคุ้มครองสิทธิและการรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ” “นโยบายความปลอดภัยข้อมูลและระบบสารสนเทศ” และ “ประมวลจริยธรรมทางธุรกิจ” ที่ระบุถึงความสำคัญของการคุ้มครองและรักษาข้อมูลส่วนบุคคลของลูกค้า ความหมายของข้อมูลส่วนบุคคล ช่องทางการรับข้อร้องเรียน กระบวนการตรวจสอบเมื่อมีการละเมิด บทลงโทษ และการคุ้มครองผู้ให้ข้อมูล รวมทั้งการมีคณะกรรมการกำกับดูแลเรื่องความปลอดภัยข้อมูลและระบบสารสนเทศซึ่งประกอบด้วยผู้บริหารระดับสูงจากแต่ละสายงานที่เกี่ยวข้อง , การอบรมให้ความรู้ด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศกับผู้พัฒนาระบบตามมาตรฐานการพัฒนาซอฟแวร์อย่างปลอดภัย (Secure Software Development Life Cycle :SSDLC)) การรักษาข้อมูลส่วนบุคคลของลูกค้าโดยพนักงานจะต้องทำแบบทดสอบภายหลังการฝึกอบรม และการสร้างจิตสำนึกเรื่องจริยธรรมทางธุรกิจให้แก่พนักงานตั้งแต่วันปฐมนิเทศ

และสิ่งสำคัญในกระบวนการทำงาน คือ การกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าตามอำนาจหน้าที่ความรับผิดชอบ และกำหนดให้มีรหัสผ่านในการเข้าถึงข้อมูลทุกครั้ง , การยกระดับความปลอดภัยของระบบสารสนเทศตามมาตรฐาน ISO270001 ที่ดาต้าเซ็นเตอร์ และการจัดให้มีการตรวจสอบโดยส่วนงานตรวจสอบภายในและโดยผู้เชี่ยวชาญอิสระจากภายนอกเป็นประจำ

อย่างไรก็ตาม จากเหตุการณ์ที่เกิดขึ้น แม้จะเป็นความผิดจากตัวบุคคลซึ่งใช้สิทธิในการเข้าถึงข้อมูลดังกล่าวเพื่อปฏิบัติหน้าที่ประจำวันไปในทางมิชอบ บริษัทฯก็มิได้นิ่งนอนใจ ได้มีการทบทวนและยกระดับการควบคุมการทำงานภายในเพื่อป้องกันการกระทำผิดและการทุจริตในองค์กร รวมถึงการเพิ่มมาตรการรักษาระบบรักษาความปลอดภัยทางด้านสารสนเทศของบริษัท เพื่อป้องกันไม่ให้เกิดเหตุการณ์ในลักษณะนี้ขึ้นอีกในอนาคต โดยในขั้นแรก บริษัทฯได้กำหนดให้ดำเนินการ อาทิ ในการเข้าถึงข้อมูลบนระบบสารสนเทศซึ่งเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าแต่ละครั้ง ให้พนักงานผู้มีสิทธิจำนวน 2 คนกรอกรหัสผ่านในการเข้าสู่ระบบ (Double Password) จากเดิมที่พนักงานผู้มีสิทธิสามารถใช้รหัสของตนเองเข้าถึงข้อมูลได้ , ปรับปรุงให้ระบบการทำงานของผู้ที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของลูกค้ามีลักษณะการทำงานแบบปิด (Close working environment) กล่าวคือ กำหนดให้พนักงานห้ามนำโทรศัพท์เคลื่อนที่ อุปกรณ์บันทึกข้อมูล เช่น USB Thumb drive เข้าไปในบริเวณสถานที่ปฏิบัติงาน เป็นต้น

สำหรับมาตรการในขั้นถัดไป บริษัทจะพิจารณาเพิ่มเรื่องการป้องกันทั้งในด้านบุคคลากร กระบวนการทำงานทั้งภายในและภายนอกองค์กร และระบบรักษาความปลอดภัย ระบบตรวจสอบความผิดปกติในการทำงานที่อาจนำไปสู่การละเมิดข้อมูลส่วนบุคคลของลูกค้า และขอให้ลูกค้าทุกท่านมั่นใจว่าบริษัทฯ จะทำทุกวิถีทางเพื่อดูแลความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า” นางวิไล กล่าวสรุป