ล่าสุดมีประเด็นร้อนแรงในเวบ Pantip โดยคุณ pairnow ได้ตั้งกระทู้ร้องเรียนว่าพนักงาน AIS สาขาใหญ่ ได้รับการว่าจ้างจากบุคคลภาพนอกบริษัท ทำการขโมยข้อมูลส่วนตัวไปให้แก่บุคคลอื่นเพื่อจุดประสงค์บางอย่าง โดยมีการส่งไปในรูปแบบของไฟล์ Excel ซึ่งข้อมูลนั้นมีบันทึกการโทรเข้าโทรออก รวมถึงพิกัดสถานที่ ของเบอร์โทรศัพท์ส่วนตัว ซึ่งไม่ใช่เพียงคุณ pairnow รายเดียวแต่มีการทำแบบนี้กับลูกค้าหลายราย แถมยังทำอย่างต่อเนื่องมาเป็นเวลาหลายปีอีกด้วย โดยทางคุณ pairnow ได้ร้องเรียนไปทาง Serenade Callcenter แต่ไม่ได้รับคำตอบที่น่าพอใจ เธอจึงได้ไปติดต่อกับผู้จัดการสาขา AIS Shop แห่งหนึ่งและมีการติดต่อสอบถามกันมาโดยตลอด โดยได้รับแจ้งว่าหน่วยงานต้นสังกัดทราบเรื่องแล้ว แต่ไม่มีความคืบหน้า
ต่อมามี HR ของทาง AIS ได้ติดต่อไปทางคุณ pairnow แล้วแต่ว่าทางลูกค้ารู้สึกว่าไม่ได้คำตอบอย่างที่ควรจะเป็น เพราะพนักงานคนนี้ไม่ได้ทำผิดเป็นครั้งแรก โดยอ้างว่าตนเองมีหลักฐานว่าพนักงานคนนี้รับเงินจากบุคคลอื่น ที่เข้ามาว่าจ้างให้ล้วงข้อมูล โดยมีหลักฐานย้อนหลังไปถึง 2-3 ปีเลยทีเดียว เธอจึงได้มาร้องเรียนขอคำตอบจาก AIS ที่ชัดเจนอย่างที่เธอเห็นสมควร
และทาง AIS ได้เข้ามาตอบในกระทู้แล้วนะครับว่าทำการตรวจสอบพบว่าพนักงานมีเจตนากระทำผิดจริง โดยอาศัยอำนาจหน้าที่กระทำผิดกฏข้อบังคับในเรื่องนโยบายความปลอดภัยข้อมูลของลูกค้า พนักงานที่ไม่มีส่วนเกี่ยวข้องจะไม่สามารถเข้าไปดูหรือตรวจสอบรายละเอียดและส่งให้ผู้ที่ไม่ใช่เจ้าของเลขหมายได้อย่างเด็ดขาด ทาง AIS จึงได้พิจารณาให้พนักงานคนดังกล่าวพ้นสภาพทันทีและจะมีการดำเนินการตามขั้นตอนของกฏหมายต่อไป
ใครที่สนใจสามารถไปตามอ่านกระทู้ประเด็นร้อนของ AIS กันได้ตามลิงค์นี้เลยครับ
หมดความเชื่อมั่น!!!. พนักงานบริษัท AIS ถือวิสาสะขโมยข้อมูลลูกค้าไปให้บุคคลภายนอก ไม่โดนเองไม่รู้
(อัพเดต) ล่าสุดทาง AIS ได้ออกมาชี้แจงเกี่ยวกับกรณีนี้แล้วครับ รายละเอียดจะมีดังนี้
เอไอเอส ทำทุกวิถีทาง เพื่อดูแลความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า
นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส เปิดเผยว่า “จากการที่มีลูกค้าเอไอเอสโพสต์ลงเว็ปไซต์พันทิป เรื่องพนักงานเอไอเอสอาศัยอำนาจหน้าที่ที่ตนได้รับมอบหมายนำข้อมูลรายละเอียดการโทรเข้า-ออกของลูกค้าไปให้กับบุคคลภายนอก ซึ่งเป็นการกระทำผิดของพนักงานต่อ “นโยบายการคุ้มครองสิทธิและการรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ” และ “ประมวลจริยธรรมทางธุรกิจ” ของบริษัท ซึ่งเอไอเอสรู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น และเมื่อทราบเรื่องดังกล่าวบริษัทฯ ก็มิได้นิ่งนอนใจ ได้ดำเนินการตรวจสอบอย่างเข้มข้นทันที
บริษัทฯ ขอยืนยันว่าการปกป้องและรักษาข้อมูลส่วนบุคคลของลูกค้าเป็นเรื่องที่บริษัทให้ความสำคัญอย่างสูงสุดมาโดยตลอด โดยปัจจุบันบริษัทฯได้กำหนดให้มี “นโยบายการคุ้มครองสิทธิและการรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ” “นโยบายความปลอดภัยข้อมูลและระบบสารสนเทศ” และ “ประมวลจริยธรรมทางธุรกิจ” ที่ระบุถึงความสำคัญของการคุ้มครองและรักษาข้อมูลส่วนบุคคลของลูกค้า ความหมายของข้อมูลส่วนบุคคล ช่องทางการรับข้อร้องเรียน กระบวนการตรวจสอบเมื่อมีการละเมิด บทลงโทษ และการคุ้มครองผู้ให้ข้อมูล รวมทั้งการมีคณะกรรมการกำกับดูแลเรื่องความปลอดภัยข้อมูลและระบบสารสนเทศซึ่งประกอบด้วยผู้บริหารระดับสูงจากแต่ละสายงานที่เกี่ยวข้อง , การอบรมให้ความรู้ด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศกับผู้พัฒนาระบบตามมาตรฐานการพัฒนาซอฟแวร์อย่างปลอดภัย (Secure Software Development Life Cycle :SSDLC)) การรักษาข้อมูลส่วนบุคคลของลูกค้าโดยพนักงานจะต้องทำแบบทดสอบภายหลังการฝึกอบรม และการสร้างจิตสำนึกเรื่องจริยธรรมทางธุรกิจให้แก่พนักงานตั้งแต่วันปฐมนิเทศ
และสิ่งสำคัญในกระบวนการทำงาน คือ การกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าตามอำนาจหน้าที่ความรับผิดชอบ และกำหนดให้มีรหัสผ่านในการเข้าถึงข้อมูลทุกครั้ง , การยกระดับความปลอดภัยของระบบสารสนเทศตามมาตรฐาน ISO270001 ที่ดาต้าเซ็นเตอร์ และการจัดให้มีการตรวจสอบโดยส่วนงานตรวจสอบภายในและโดยผู้เชี่ยวชาญอิสระจากภายนอกเป็นประจำ
อย่างไรก็ตาม จากเหตุการณ์ที่เกิดขึ้น แม้จะเป็นความผิดจากตัวบุคคลซึ่งใช้สิทธิในการเข้าถึงข้อมูลดังกล่าวเพื่อปฏิบัติหน้าที่ประจำวันไปในทางมิชอบ บริษัทฯก็มิได้นิ่งนอนใจ ได้มีการทบทวนและยกระดับการควบคุมการทำงานภายในเพื่อป้องกันการกระทำผิดและการทุจริตในองค์กร รวมถึงการเพิ่มมาตรการรักษาระบบรักษาความปลอดภัยทางด้านสารสนเทศของบริษัท เพื่อป้องกันไม่ให้เกิดเหตุการณ์ในลักษณะนี้ขึ้นอีกในอนาคต โดยในขั้นแรก บริษัทฯได้กำหนดให้ดำเนินการ อาทิ ในการเข้าถึงข้อมูลบนระบบสารสนเทศซึ่งเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าแต่ละครั้ง ให้พนักงานผู้มีสิทธิจำนวน 2 คนกรอกรหัสผ่านในการเข้าสู่ระบบ (Double Password) จากเดิมที่พนักงานผู้มีสิทธิสามารถใช้รหัสของตนเองเข้าถึงข้อมูลได้ , ปรับปรุงให้ระบบการทำงานของผู้ที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของลูกค้ามีลักษณะการทำงานแบบปิด (Close working environment) กล่าวคือ กำหนดให้พนักงานห้ามนำโทรศัพท์เคลื่อนที่ อุปกรณ์บันทึกข้อมูล เช่น USB Thumb drive เข้าไปในบริเวณสถานที่ปฏิบัติงาน เป็นต้น
สำหรับมาตรการในขั้นถัดไป บริษัทจะพิจารณาเพิ่มเรื่องการป้องกันทั้งในด้านบุคคลากร กระบวนการทำงานทั้งภายในและภายนอกองค์กร และระบบรักษาความปลอดภัย ระบบตรวจสอบความผิดปกติในการทำงานที่อาจนำไปสู่การละเมิดข้อมูลส่วนบุคคลของลูกค้า และขอให้ลูกค้าทุกท่านมั่นใจว่าบริษัทฯ จะทำทุกวิถีทางเพื่อดูแลความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า” นางวิไล กล่าวสรุป