shortcut-sustain-news Home
shortcut-disclosure Goal
shortcut-blog Policy
shortcut-blog Report
shortcut-sustain-news News

Sustainability

ความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองความเป็นส่วนตัวที่ ทรู

ความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลถือเป็นประเด็นสำคัญในทุกอุตสาหกรรม โดยเฉพาะอย่างยิ่งผู้ให้บริการเทคโนโลยีเครือข่ายและการสื่อสารที่มีบทบาทหลักในการบรรเทาความเสี่ยงและปกป้องผู้ใช้งานจากการละเมิดสิทธิ์และภัยคุกคามออนไลน์
ดังนั้น ทรู (True) จึงมุ่งมั่นดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างเข้มงวด ทั้งการกำหนดมาตรการควบคุม การตรวจสอบ และการปรับปรุงแนวทางการจัดการอย่างต่อเนื่องเพื่อให้เป็นไปตามมาตรฐานสากล ตลอดจนการเสริมสร้างศักยภาพของบุคลากรภายในองค์กร การให้ความรู้แก่พันธมิตรทางธุรกิจ ผู้ร่วมงาน และผู้บริโภคอย่างต่อเนื่อง เพื่อสร้างสภาพแวดล้อมดิจิทัลที่ปลอดภัยสำหรับทุกคน และลดความเสี่ยงด้านกฎหมาย การเงิน รวมถึงชื่อเสียงของบริษัทฯ

โครงสร้างและการกำกับดูแล (Governance and Structure)

ทรูให้ความสำคัญกับการบริหารจัดการความปลอดภัยของข้อมูลส่วนบุคคลให้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) รวมถึงแนวทางและมาตรฐานสากล เช่น มาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ ISO 27001 โดยครอบคลุมทุกหน่วยธุรกิจ ได้แก่ TrueMove H, True Online, TrueVisions และ True Digital

แผนผังการรายงานและการดำเนินงาน

  • ฝ่ายเทคโนโลยีสารสนเทศและความปลอดภัย (IT & Security Division) และ แผนกความปลอดภัยทางธุรกิจ (Business Security Department): อยู่ภายใต้การดูแลของ หัวหน้าคณะผู้บริหารด้านเทคโนโลยีและความปลอดภัยระบบสารสนเทศ (CISO) โดยจะรายงานผลการดำเนินงานด้านความปลอดภัยสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ต่อ คณะกรรมการบริหารความเสี่ยง ความมั่นคงปลอดภัยไซเบอร์ และการเงิน รวมถึงคณะกรรมการผู้บริหาร
  • ฝ่ายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Division): จัดตั้งขึ้นเพื่อจัดการประเด็นการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ มีหน้าที่ควบคุมกระบวนการให้เป็นไปตามนโยบายบริษัทฯ และกฎหมาย PDPA โดยดำเนินงานภายใต้กลุ่มประธานเจ้าหน้าที่บริหารด้านกิจการองค์กร และรายงานผลต่อ คณะกรรมการการกำกับดูแลกิจการและความยั่งยืน รวมถึงคณะกรรมการผู้บริหาร

ขอบเขตหน้าที่ของคณะกรรมการบริหารความเสี่ยง ความมั่นคงปลอดภัยไซเบอร์ และการเงิน

  • กำกับดูแลกรอบนโยบายและกระบวนการบริหารความเสี่ยงของบริษัทฯ ครอบคลุมกลยุทธ์ นโยบาย กฎระเบียบ และคู่มือการปฏิบัติงาน เพื่อประเมิน ติดตาม และเสนอแนะแนวทางจัดการความเสี่ยงด้านไซเบอร์และความเป็นส่วนตัวของข้อมูลต่อคณะกรรมการบริษัท
  • ทบทวนกรอบนโยบายและกระบวนการจัดการความเสี่ยงด้านไซเบอร์และข้อมูลส่วนบุคคลอย่างสม่ำเสมอ พร้อมเสนอแนะการปรับปรุงและกำหนดตัวชี้วัดความเสี่ยง (Risk Metrics) ของธุรกิจ
  • ส่งเสริมและขับเคลื่อนนโยบายโดยการสร้างความตระหนักรู้ด้านความเสี่ยงไซเบอร์ ผ่านการพัฒนาขั้นตอนการดำเนินงานที่เหมาะสมและการจัดสรรทรัพยากรอย่างเต็มประสิทธิภาพ
  • สนับสนุนการติดตามความเสี่ยงด้านไซเบอร์และความเป็นส่วนตัวของข้อมูลทั่วทั้งองค์กร พร้อมรายงานต่อคณะกรรมการบริษัทอย่างสม่ำเสมอ
  • กำกับดูแลและทบทวนผลการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองความเป็นส่วนตัว โดยมีการประชุมร่วมกับฝ่ายบริหารอย่างสม่ำเสมอเพื่ออภิปรายและให้ความเห็นต่อคณะกรรมการบริษัทเกี่ยวกับกลยุทธ์ระยะสั้น-ระยะยาว และงบประมาณที่เกี่ยวข้อง
  • ติดตามและประเมินผลการดำเนินงานด้านไซเบอร์และความเป็นส่วนตัวโดยเปรียบเทียบกับงบประมาณของบริษัทฯ

ข้อมูลผู้บริหารระดับสูง: คุณประสูน สินหา (Mr. Prasoon Sinha)

ดำรงตำแหน่งรองประธานผู้อำนวยการอาวุโส ฝ่ายบริหารการลงทุน ที่ Telenor Asia Pte Ltd ประเทศสิงคโปร์ ตั้งแต่เดือนกรกฎาคม 2021 โดยมีประสบการณ์การทำงานที่โดดเด่น ดังนี้:

 
  • 2017 – 2021: รองประธานเจ้าหน้าที่บริหาร (Deputy CEO) และประธานเจ้าหน้าที่บริหารฝ่ายการเงิน (CFO) ของ Wave Money ซึ่งเป็นบริษัทร่วมทุนด้านฟินเทคของ Telenor ในประเทศเมียนมา
  • 2014 – 2017: หัวหน้าฝ่ายบริหารผลการดำเนินงานเชิงรุก (Head of Dynamic Performance Management) ที่ Telenor ASA ณ กรุงออสโล ประเทศนอร์เวย์
  • 2008 – 2014: ดำรงตำแหน่งสำคัญหลายตำแหน่งที่ Telenor India เช่น CFO, หัวหน้าฝ่ายกลยุทธ์และวางแผนธุรกิจ และหัวหน้าฝ่ายวางแผนการเงินด้านเทคโนโลยี
  • ก่อนหน้านั้น: ดำรงตำแหน่งหัวหน้าฝ่ายปรับโฉมไอทีและวางแผนเทคโนโลยี (Head of IT Transformation and Technology Planning) ที่ Aircel Limited ประเทศอินเดีย ซึ่งเป็นผู้มีความเชี่ยวชาญระดับสูงด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยไซเบอร์

นโยบายความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูล
(Cybersecurity & Data Protection Policy)

ท่ามกลางสถานการณ์ที่อุตสาหกรรมโทรคมนาคมทั่วโลกต้องเผชิญกับการโจมตีทางไซเบอร์มากกว่า 6,000 ล้านครั้งต่อปี ทรูยึดมั่นในมาตรฐานจริยธรรมระดับสูงในการดำเนินธุรกิจกับพนักงาน พันธมิตร และผู้มีส่วนได้ส่วนเสียในทุกภูมิภาค โดยถือว่าความซื่อสัตย์ขององค์กรคือตัวชี้วัดความสำเร็จและการเติบโตที่ยั่งยืน

เพื่อเสริมสร้างความปลอดภัย ทรูได้ประกาศใช้ นโยบายความมั่นคงปลอดภัยสารสนเทศของทรู (True Information Security Policy) ซึ่งครอบคลุมแนวทางปฏิบัติดังนี้:
  • รักษาความถูกต้องครบถ้วน (Integrity) ความลับ (Confidentiality) และความพร้อมใช้งาน (Availability) ของข้อมูลและสินทรัพย์ไอที
  • กำหนดบทบาท หน้าที่ และความรับผิดชอบด้านความปลอดภัยสารสนเทศอย่างชัดเจนในทุกระดับขององค์กร
  • กำหนดข้อกำหนดด้านความปลอดภัยสำหรับพันธมิตรภายนอก คู่ค้า และผู้ให้บริการ (Suppliers & Service Providers)
  • บริหารจัดการการเข้าถึงข้อมูล (Access Control) และป้องกันการเข้าถึง การสูญหาย หรือการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาต
  • ส่งเสริมการฝึกอบรมเพื่อสร้างวัฒนธรรมความตระหนักรู้ด้านความปลอดภัย (Security Awareness Culture)
  • สนับสนุนการพัฒนาระบบที่ปลอดภัยและการบริหารจัดการการเปลี่ยนแปลง (Change Management)
  • เฝ้าระวัง ตรวจจับ และตอบสนองต่อภัยคุกคามในเวลาที่เหมาะสมและมีประสิทธิภาพ
  • จัดเตรียมขั้นตอนการตอบสนองต่อเหตุการณ์ (Incident Response) เพื่อจัดการและบรรเทาความเสียหายจากการรั่วไหลของข้อมูล
  • ตรวจสอบและทบทวนการปฏิบัติตามนโยบายเพื่อค้นหาจุดที่ต้องปรับปรุง
  • พัฒนาระบบความปลอดภัยสารสนเทศอย่างต่อเนื่องผ่านการประเมินและอัปเดตระบบอย่างสม่ำเสมอ

นอกจากนี้ ทรูได้แต่งตั้งบุคลากรด้านไอทีและความปลอดภัยสารสนเทศโดยเฉพาะ เพื่อทำหน้าที่ดูแลและพัฒนาระบบ โดยจัดให้มีการประชุมร่วมกันระหว่างฝ่ายงานและผู้บริหารอย่างสม่ำเสมอ เพื่อประเมินสถานะและรายงานประเด็นสำคัญเพื่อการตัดสินใจที่รวดเร็ว

โครงสร้างการทำงานและผู้รับผิดชอบด้านไอทีและความปลอดภัย

ฝ่ายไอทีและความปลอดภัย และแผนกความปลอดภัยทางธุรกิจ รายงานตรงต่อ CISO ซึ่งมีหน้าที่รับผิดชอบหลักดังนี้:

  • กำหนดขั้นตอนในการควบคุมและตรวจสอบบุคคลภายนอกหรือหน่วยงานภายนอกที่ได้รับอนุญาตให้เข้าถึงข้อมูลและสินทรัพย์ของบริษัทฯ ให้ปฏิบัติตามนโยบายอย่างเคร่งครัด
  • ทบทวนนโยบายและแนวปฏิบัติของบริษัทฯ เป็นประจำ ประเมินความเสี่ยง และตรวจสอบให้แน่ใจว่าประเด็นที่มีความเสี่ยงสูงได้รับการบันทึกไว้ในทะเบียนความเสี่ยง (Risk Register) ของบริษัทฯ
  • หัวหน้าฝ่ายความปลอดภัย (Head of Security) ได้รับแต่งตั้งให้ดูแลการดำเนินงานด้านความปลอดภัยให้สอดคล้องกับนโยบาย พร้อมรายงานความคืบหน้าและเหตุการณ์ละเมิดนโยบายต่อฝ่ายบริหาร

บทบาท “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) และ DPO

ทรูดำเนินงานภายใต้กรอบกฎหมาย PDPA อย่างเคร่งครัด โดยบริษัทฯ ทำหน้าที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ที่มีอำนาจหน้าที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูล และจะใช้ข้อมูลของลูกค้าตามวัตถุประสงค์ที่ได้รับความยินยอม (Consent) เท่านั้น

นอกจากนี้ บริษัทฯ ได้แต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อให้คำแนะนำแก่ผู้บริหารและพนักงาน โดย DPO ดำเนินงานอย่างเป็นอิสระในการตรวจสอบกิจกรรมภายใน และรายงานกรณีที่ไม่ปฏิบัติตามนโยบายหรือกฎหมายต่อฝ่ายบริหารโดยตรง

 

แนวปฏิบัติสำคัญภายใต้กฎหมาย PDPA

  • กำหนดหน้าที่และสิทธิ์การเข้าถึงข้อมูลของพนักงานอย่างชัดเจน
  • กำหนดระยะเวลาการจัดเก็บ การใช้ และการทำลายข้อมูลอย่างเคร่งครัดตามข้อตกลงความยินยอมของลูกค้า
  • มีกระบวนการควบคุมและตรวจสอบพันธมิตรภายนอกที่เข้าถึงข้อมูลส่วนบุคคล
  • บรรจุประเด็นการคุ้มครองข้อมูลส่วนบุคคลเป็นหัวข้อหลักในการตรวจสอบภายใน (Internal Audit) และรายงานต่อคณะกรรมการตรวจสอบ (Audit Committee) เพื่อแก้ไขทันทีหากพบการละเมิด
  • ประเมินกระบวนการแบ่งปันข้อมูลส่วนบุคคลร่วมกับหน่วยงานภายในและบุคคลภายนอกเป็นประจำทุกปีโดยผู้ตรวจสอบบัญชีทั้งภายในและภายนอก

โปรแกรมการบริหารจัดการไอทีและความปลอดภัย
(IT & Security Management Program)

ทรูพัฒนาระบบไอทีและกรอบการตรวจสอบที่สอดคล้องกับมาตรฐานสากลและแนวปฏิบัติที่ดีที่สุดในอุตสาหกรรม (Industry Best Practices) ดังนี้:
  1. ระบบการจัดการความปลอดภัยและขั้นตอนการดำเนินงาน
  • แผนต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP): มีการทดสอบระบบอย่างสม่ำเสมอเพื่อรองรับความยืดหยุ่นในการดำเนินงาน
  • กระบวนการแจ้งเตือนและยกระดับเหตุการณ์ (Escalation Process): กำหนดขั้นตอนการรายงานเหตุการณ์ด้านความปลอดภัยไปยังทีมตอบสนองและฝ่ายบริหารอย่างรวดเร็ว เพื่อการควบคุมและสืบสวนที่มีประสิทธิภาพ
  • คู่มือขั้นตอนการปฏิบัติงานภายใน: เช่น “ขั้นตอนการตอบสนองต่อเหตุการณ์ความปลอดภัยสารสนเทศ” และ “แนวทางการบริหารจัดการความเสี่ยงด้านไอที” เพื่อเป็นแนวทางทีละขั้นตอน (Step-by-step) ในการระบุและจัดการความเสี่ยง
  1. การรับรองมาตรฐาน: ISO/IEC 27001 ทรูได้รับการรับรองมาตรฐาน ISO/IEC 27001:2022 ซึ่งสะท้อนถึงการปฏิบัติตามข้อกำหนดอย่างสมบูรณ์ในทุกการดำเนินงาน โดยในปี 2024 ทรูได้อัปเกรดการรับรองจากเวอร์ชัน 2013 เป็นเวอร์ชัน 2022 ครอบคลุมการปฏิบัติงาน 100%
3. การธรรมาภิบาลข้อมูลและมาตรการป้องกันการดำเนินงาน
  • การจัดจำแนกข้อมูลและทบทวนสิทธิ์ (Data Classification & User Access Review)
    • ดำเนินการเป็นประจำทุกปีเพื่อจัดกลุ่มข้อมูลตามระดับความสำคัญและจัดการสิทธิ์การเข้าถึง
  • ระบบป้องกันข้อมูลรั่วไหล (Data Loss Prevention: DLP)
    • ติดตั้งและใช้งานระบบ DLP อย่างเต็มรูปแบบเพื่อป้องกันการรั่วไหลของข้อมูลโดยไม่ได้รับอนุญาต
  • แผนกู้คืนระบบจากภัยพิบัติ (Disaster Recovery Plan: DRP)
    • ทบทวนแผน DRP และแผนตอบสนองต่อเหตุการณ์สุกเฉินสำหรับระบบที่สำคัญ (Critical Systems) ทุกๆ ครึ่งปี
4. การทดสอบเจาะระบบ การสแกนช่องโหว่ และการตอบสนองต่อภัยคุกคาม
  • การทดสอบเจาะระบบและสแกนช่องโหว่ (Penetration & Vulnerability Testing): จำลองการโจมตีและตรวจจับพฤติกรรมผิดปกติด้วยเครื่องมือวิเคราะห์ขั้นสูง (Advanced Analytics) เพื่อป้องกันภัยคุกคามแบบเรียลไทม์ ดำเนินการตรวจสอบเซิร์ฟเวอร์มากกว่า 2,000 เครื่องเป็นประจำทุกปี
  • การสแกนช่องโหว่ระบบภายในและภายนอก: สแกนระบบภายในเป็นรายเดือน (Monthly) และระบบภายนอกเป็นรายสัปดาห์ (Weekly) โดยผลการตรวจพบจะถูกติดตามและแก้ไขตามระดับความเสี่ยงอย่างทันท่วงที
5. การประเมินความเสี่ยง การตรวจสอบ และการทวนสอบ
  • การตรวจสอบภายในและภายนอก: ตรวจสอบระบบที่ประมวลผลข้อมูลส่วนบุคคลเป็นประจำทุกปี เพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดทางกฎหมายและความปลอดภัย
  • การเฝ้าระวังเหตุการณ์ผิดปกติ (2024): ตรวจพบและป้องกันเหตุการณ์ผิดปกติได้สำเร็จจำนวน 15,119 ครั้ง
  • สถิติการเกิดเหตุการณ์: ในปี 2024 ทรูรายงานว่า ไม่มี กรณีข้อมูลสูญหาย ถูกทำลาย หรือถูกโจรกรรม (Zero Cases) และไม่มีผลกระทบต่อรายรับของบริษัทฯ จากเหตุการณ์ดังกล่าว
6. การสร้างความตระหนักรู้และศักยภาพของพนักงาน
  • การฝึกอบรมความตระหนักรู้ไซเบอร์: พนักงาน 100% เข้าร่วมการฝึกอบรมทั้งในรูปแบบออนไลน์และออนไซต์เพื่อสร้างแนวคิด “ความปลอดภัยต้องมาก่อน” (Security-first Mindset)
  • การพัฒนาทักษะไอที: เพิ่มศักยภาพบุคลากรไอทีในเรื่องภัยคุกคามและเทคโนโลยีเกิดใหม่ เช่น AI, NFT และการชำระเงินด้วยสกุลเงินดิจิทัล (Cryptocurrency)
  • เครือข่ายภายในองค์กร: จัดตั้งเวทีสถาปัตยกรรมความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Architecture Forum) และทูตความปลอดภัยไซเบอร์ (Cybersecurity Ambassador) เพื่อให้มั่นใจว่าพนักงานทุกคนปฏิบัติตามนโยบายและกฎหมาย PDPA อย่างถูกต้อง โดยพนักงานสามารถปรึกษาทีมธรรมาภิบาลข้อมูลและความปลอดภัย (Data & Security Governance) รวมถึงศูนย์ความเป็นส่วนตัวของข้อมูล (Data Privacy Center) ได้ตลอดเวลา

แนวปฏิบัติต่อข้อมูลส่วนบุคคลเพิ่มเติมและช่องทางการร้องเรียน

  • ความยินยอมทางการตลาด: บริษัทฯ จะใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด ประชาสัมพันธ์ หรือการวิเคราะห์ (Analytics) ก็ต่อเมื่อได้รับความยินยอมล่วงหน้าจากลูกค้าเท่านั้น และลูกค้ามีสิทธิ์ถอนความยินยอมได้ตลอดเวลา
  • มาตรการลงโทษ: ในกรณีที่มีการละเมิดนโยบายความเป็นส่วนตัวโดยพนักงาน คู่ค้า หรือพันธมิตรทางธุรกิจ บริษัทฯ จะพิจารณาลงโทษทางวินัยตามข้อบังคับของบริษัทฯ และ/หรือ ดำเนินคดีตามกฎหมายสูงสุด

กระบวนการจัดการเมื่อหน่วยงานรัฐขอข้อมูล
(Handling Authority Requests for Data Disclosure)

ทรูมีกระบวนการพิจารณาคำขอข้อมูลจากหน่วยงานที่มีอำนาจตามกฎหมาย โดยยึดหลักการ 4 ประการ:

  • ความโปร่งใส (Transparency):
    ตรวจสอบว่าคำขอมาจากหน่วยงานที่มีอำนาจชอบด้วยกฎหมาย และสอดคล้องกับความยินยอมที่ลูกค้าให้ไว้หรือไม่
  • ความจำเป็น (Necessity):
    ประเมินความเร่งด่วนและความจำเป็นของข้อมูลที่ขอ โดยต้องสอดรับกับแนวทางการแก้ปัญหาที่ผู้ขอเสนอมา
  • ความสมส่วน (Proportionality):
    กำหนดว่าปริมาณข้อมูลที่ขอมีความเหมาะสมและไม่เกินความจำเป็นต่อวัตถุประสงค์ที่ระบุไว้หรือไม่
  • สิทธิมนุษยชน (Human Rights):
    ตรวจสอบให้แน่ใจว่าสอดคล้องกับหลักสิทธิมนุษยชน และมีการประเมินว่าหากมีการนำข้อมูลไปใช้ในทางที่ผิด จะมีมาตรการเยียวยาและกระบวนการแก้ไขอย่างไร
True's Authority Request Process

หากพบสถานการณ์ที่เบี่ยงเบนหรือละเมินนโยบายความปลอดภัยและคุ้มครองข้อมูล สามารถแจ้งได้ที่:

ช่องทางการร้องเรียนและการรายงานเหตุมิชอบ (True Integrity Hotline)

อีเมล: TruePrivacy@truecorp.co.th
CyberSOC@truecorp.co.th

ศูนย์บริการลูกค้า:
True Call Center 1424
dtac Call Center 1678

สถานที่: ทรูช็อป และ ดีแทคช็อป ทุกสาขา

การพัฒนาปัญญาประดิษฐ์อย่างรับผิดชอบ
(Responsible Artificial Intelligence: RAI)

กฎบัตรปัญญาประดิษฐ์ของทรู (True’s AI Charter)

การประยุกต์ใช้เทคโนโลยีปัญญาประดิษฐ์ (AI) ภายในองค์กรของทรู ครอบคลุมการดำเนินงานใน 3 มิติสำคัญ เพื่อขับเคลื่อนการเปลี่ยนผ่านสู่การเป็นองค์กรที่ขับเคลื่อนด้วยข้อมูลและปัญญาประดิษฐ์อย่างยั่งยืน:

1. การกำหนดเป้าหมายเชิงจริยธรรม

2. การมุ่งเน้นการเตรียมความพร้อมให้กับบุคลากรทุกระดับในการเปลี่ยนผ่านองค์กรไปสู่การเป็น “Data-First” และ “AI-First Organization” อย่างเต็มรูปแบบ

3. การให้ความสำคัญกับหลักจริยธรรมเป็นอันดับแรกในการใช้งาน AI

 

ทรูขับเคลื่อนองค์กรสู่การเป็น Data-First และ AI-First Organization โดยได้จัดทำ “กฎบัตรปัญญาประดิษฐ์ของทรู” (True’s AI Charter) เพื่อเป็นแนวทางการกำกับดูแลการใช้ AI ภายในองค์กรภายใต้หลักการ 4 ประการ:

 

1. เจตนาดี (Good Intent): AI ต้องใช้เพื่อประโยชน์ของลูกค้า ไม่เป็นภัยต่อผู้อื่น

2. ความเป็นธรรม (Fairness): ลดอคติ (Bias) ป้องกันการเลือกปฏิบัติในผลลัพธ์

3. ความเป็นส่วนตัว (Data Privacy): ผลลัพธ์ของ AI ต้องเคารพสิทธิ์การเข้าถึงและข้อมูลส่วนบุคคล

4. ความโปร่งใส (Transparency): ผลการประมวลผลของ AI ต้องสามารถอธิบายเหตุผลได้ (Explainable AI)

ทรู คอร์ปอเรชั่น ย้ำจุดยืนบริษัทเทคฯ ไทย “ไม่ว่า AI จะฉลาดแค่ไหน ต้องใช้อย่างมีจริยธรรม เคารพสิทธิมนุษยชน โปร่งใส และตรวจสอบได้”

ในโลกดิจิทัลยุคปัจจุบันที่ขับเคลื่อนด้วยเทคโนโลยีอย่างรวดเร็ว ปัญญาประดิษฐ์ (AI) กำลังเข้ามามีบทบาทสำคัญอย่างยิ่งต่อทั้งภาคธุรกิจและสังคม ด้วยความสามารถในการประมวลผลที่เร็วกว่าสมองมนุษย์ถึง 200,000 เท่า ทำให้ AI สามารถวินิจฉัยโรคได้แม่นยำกว่า 95% และยังช่วยสนับสนุนการดำเนินงานด้านความยั่งยืน เช่น การรับมือกับการเปลี่ยนแปลงสภาพภูมิอากาศ

อย่างไรก็ตาม ในอีกด้านหนึ่ง AI ก็เปรียบเสมือน “ดาบสองคม” หากขาดกรอบการดำเนินงานที่ตั้งอยู่บนหลักจริยธรรม เทคโนโลยีนี้อาจนำไปสู่การละเมิดความเป็นส่วนตัว การแพร่กระจายข้อมูลเท็จ และการเพิ่มความเหลื่อมล้ำอันเนื่องมาจากอคติ (Bias) ที่แฝงอยู่ในข้อมูลที่ใช้ฝึกฝน AI ในฐานะองค์กรเทคโนโลยีที่ตระหนักถึงความสำคัญของการพัฒนา AI อย่างมีจริยธรรม ทรู คอร์ปอเรชั่น จึงขอเน้นย้ำความมุ่งมั่นในการสนับสนุนการใช้ AI อย่างถูกต้องและมีคุณธรรม

ปัญญาประดิษฐ์ (AI) เป็นเทคโนโลยีที่เชื่อมโยงอย่างใกล้ชิดกับการคุ้มครองข้อมูลส่วนบุคคล ในฐานะองค์กรที่ยึดมั่นในหลักธรรมาภิบาล ทรูให้ความสำคัญอย่างยิ่งกับการปกป้องข้อมูลส่วนบุคคลของลูกค้า ซึ่งถือเป็นอีกหนึ่งมิติของการเคารพสิทธิมนุษยชนในยุคดิจิทัล ทั้งนี้ บริษัทฯ ยึดหลักการ “Privacy and Security by Design” เพื่อให้มั่นใจว่าความเป็นส่วนตัวของลูกค้าจะได้รับการปกป้องตั้งแต่ขั้นตอนแรกเริ่มของการออกแบบระบบ นอกจากนี้ ทรูยังประเมินผลกระทบของทุกบริการที่มีการใช้ข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งบริการที่เกิดจากการนำเทคโนโลยี AI มาประยุกต์ใช้

ทรู คอร์ปอเรชั่น มุ่งมั่นในการพัฒนาและใช้งานปัญญาประดิษฐ์ (AI) อย่างรับผิดชอบ โดยขับเคลื่อนภายใต้หลักการสำคัญ 4 ประการ ดังนี้:

1. ความโปร่งใส (Transparency): การให้ข้อมูลที่ชัดเจนและสามารถอธิบายถึงกระบวนการทำงาน รวมถึงการตัดสินใจของ AI ได้ โดยอ้างอิงจากหลักฐานและข้อเท็จจริง

2. การเคารพสิทธิมนุษยชน (Respect for Human Rights): การยึดมั่นในศักดิ์ศรี ความเป็นส่วนตัว และเสรีภาพของแต่ละบุคคล พร้อมตรวจสอบให้แน่ใจว่า AI จะไม่ก่อให้เกิดอันตรายต่อมนุษย์

3. ความเป็นธรรมและการยอมรับความแตกต่าง (Fairness and Inclusion): การรับประกันว่า AI จะให้ผลลัพธ์ที่เที่ยงธรรม ปราศจากอคติและการเลือกปฏิบัติต่อบุคคลใดบุคคลหนึ่ง

4. การออกแบบที่เน้นมนุษย์เป็นศูนย์กลาง (Human-Centered Design): การให้ความสำคัญกับสุขภาวะ ความปลอดภัย และการเข้าถึงใช้งานได้อย่างสะดวกของผู้ใช้ทุกคนเป็นอันดับแรก

 

ทรู คอร์ปอเรชั่น ถือเป็นองค์กรแรกในประเทศไทยที่ประกาศใช้นโยบายปัญญาประดิษฐ์ที่รับผิดชอบ (Responsible AI: RAI) ในระดับองค์กรตามกรอบการทำงานของ GSMA โดยบริษัทฯ ได้บูรณาการกรอบทำงาน RAI นี้เข้ากับกระบวนการดำเนินงานภายใน พร้อมทั้งจัดทำแนวทางการประเมินผลการดำเนินงานที่สอดคล้องกับมาตรฐานสากล เพื่อรับประกันการใช้งาน AI ที่ปลอดภัย เป็นธรรม และยั่งยืน ซึ่งเป็นไปตามแนวปฏิบัติที่ดีที่สุดในระดับสากล

ความสำเร็จของแอปพลิเคชัน True iService ประสบความสำเร็จอย่างโดดเด่น โดยมีผู้ใช้งานเป็นประจำทุกเดือน (Monthly Active Users) สูงถึง 5.2 ล้านราย และในช่วงปี 2021 ถึง 2022 แอปพลิเคชันมีอัตราการเติบโตสูงถึง 12%เป้าหมายหลักของ True iService คือการพัฒนาบริการตนเองแบบอัตโนมัติ (Automated Self-services) ที่ตอบโจทย์ความต้องการของลูกค้าทั้งก่อนและหลังการขายอย่างสะดวกสบายผ่านแอปพลิเคชัน เช่น การชำระบิลค่าบริการ, การลงทะเบียนเปิดเบอร์โทรศัพท์ใหม่, การสมัครแพ็กเกจอินเทอร์เน็ตมือถือและอินเทอร์เน็ตบ้าน (ไฟเบอร์), การตรวจสอบและแก้ไขปัญหาการใช้งานเบื้องต้นด้วยตนเอง