สร้างความเชื่อมั่นทางธุรกิจผ่านการทำงานร่วมกันด้านความปลอดภัยทางไซเบอร์ ความเป็นส่วนตัว และ ESG

โดย ชาญชัย ชัยประสิทธิ์
ประธานกรรมการบริหารและหุ้นส่วน บริษัท PwC ประเทศไทย
21 ธันวาคม 2565

ในปัจจุบัน ผู้มีส่วนได้ส่วนเสียไม่ว่าจะเป็น ลูกค้า พนักงาน หน่วยงานตรวจสอบ และนักลงทุนต่างให้ความสำคัญและต้องการให้ธุรกิจมีการคุ้มครองข้อมูลและความเป็นส่วนตัวไปพร้อม ๆ กับการดำเนินธุรกิจที่คำนึงถึงปัจจัยด้านสิ่งแวดล้อม สังคม และ บรรษัทภิบาล (Environmental, Social and Governance) มากขึ้น ซึ่งการบูรณาการการรายงานด้าน ESG ควบคู่ไปกับการมีมาตรการความปลอดภัยทางไซเบอร์และนโยบายความเป็นส่วนตัว  (Cyber and privacy) นั้นจะยิ่งเสริมสร้างความน่าเชื่อถือให้กับข้อมูล และส่งเสริมภาพลักษณ์ขององค์กรให้ดีขึ้น  

ยิ่งไปกว่านั้น ความปลอดภัยทางไซเบอร์และความเป็นส่วนตัว ยังถือเป็นสองปัจจัยสำคัญใน ‘การวัดอันดับด้าน ESG’ หรือ ‘ESG Ratings’ โดยบทความ Want to advance on ESG? Cyber and privacy can help, while boosting trust in your brand ของ PwC ระบุว่า สถาบันจัดอันดับความน่าเชื่อถือด้าน ESG มักรวมประเด็นด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวเข้าไปเป็นคะแนนด้าน ESG (ESG scores)  โดยมีสัดส่วนคิดเป็นมากกว่า 25% ของคะแนนด้าน ESG โดยรวมทั้งหมดหรือมากกว่านั้นตามแต่อุตสาหกรรม ซึ่งนักลงทุนจะนำคะแนนที่ได้มาใช้ในการพิจารณาสถานะด้าน ESG ของแต่ละบริษัท ตัวอย่าง เช่น MSCI ESG Research หน่วยงานที่มีความเชี่ยวชาญและความน่าเชื่อถือในด้านดัชนี ESG ในระดับสากล จัดให้ความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวคิดเป็นเกือบ 1 ใน 3 หรือ 29% ของคะแนนด้าน ESG สำหรับธุรกิจค้าปลีก 28% สำหรับธุรกิจโทรคมนาคม และ 20% ของธุรกิจผู้ให้บริการสุขภาพ เป็นต้น

แม้ว่าสถาบันจัดอันดับความน่าเชื่อถือต่าง ๆ ที่ให้คะแนนด้าน ESG จะมีเกณฑ์ในการประเมินด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวที่แตกต่างกันไป แต่ก็มีจุดร่วมที่เป็นพื้นฐานเดียวกันในการประเมิน นั่นคือ ยิ่งบริษัทมีรายละเอียดที่เปิดเผยต่อสาธารณะเกี่ยวกับโครงการความปลอดภัยด้านไซเบอร์และนโยบายความเป็นส่วนตัวมากเท่าไหร่ ก็จะยิ่งได้รับคะแนนมากขึ้นเท่านั้น เช่น มีการเปิดเผยนโยบายและขั้นตอนในการดูแลความปลอดภัยและความเป็นส่วนตัวอย่างละเอียด หรือมีการแต่งตั้งผู้บริหารด้านความเป็นส่วนตัวที่รับผิดชอบโดยตรง เป็นต้น 

นอกจากนี้ เมื่อเกิดเหตุการณ์ข้อมูลรั่วไหล ซึ่งนอกจากจะส่งผลกระทบด้านการเงินและด้านชื่อเสียงแล้ว ยังสามารถส่งผลกระทบต่อการจัดอันดับด้าน ESG ของบริษัทได้ด้วย ทั้งนี้ นักวิเคราะห์ด้าน ESG ยังมองถึงตัวชี้วัดอื่น ๆ เช่น ความถี่และผลกระทบของการรั่วไหล ขั้นตอนและความรวดเร็วในการจัดการ รวมไปถึงการสื่อสารให้ลูกค้า หน่วยงานกำกับดูแล และผู้มีส่วนเกี่ยวข้องได้รับทราบถึงแนวทางในการป้องกันและลดความเสี่ยงอย่างรวดเร็ว

สิ่งที่น่าสนใจมากไปกว่านั้น คือ บริษัทที่ได้รับการให้ความเชื่อมั่นอย่างเป็นอิสระ (เช่น รายงาน SOC 2) ที่แสดงถึงการควบคุมที่เกี่ยวข้องความปลอดภัยในการเก็บรักษาข้อมูลส่วนตัว และความเป็นส่วนตัว ก็มักจะได้รับคะแนนจากนักวิเคราะห์ด้าน ESG เพิ่มขึ้นด้วย สำหรับปัจจัยพื้นฐานอื่น ๆ ในการให้คะแนนยังมีเรื่องขอบเขตของนโยบายคุ้มครองข้อมูลส่วนบุคคล สิทธิที่ให้กับเจ้าของข้อมูลในการจัดการข้อมูลของตน ความถี่ในการตรวจสอบระบบความปลอดภัยของข้อมูล และการอัปเดตความยินยอมในการใช้ข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เป็นต้น

อย่างที่กล่าวไปข้างต้นว่า การจัดอันดับด้าน ESG ถือเป็นตัวชี้วัดหนึ่งที่สะท้อนถึงประสิทธิภาพในการดำเนินธุรกิจอย่างมีสำนึกรับผิดชอบขององค์กร นอกจากนี้ ยังเป็นตัวช่วยสำคัญที่บรรดานักลงทุนเริ่มนำมาใช้พิจารณาประกอบการตัดสินใจลงทุนกันอย่างแพร่หลาย แต่ในความเป็นจริงแล้ว ยังมีบริษัทอีกจำนวนมากที่เผชิญปัญหาในการลงทุนด้าน ESG ให้สอดรับการลงทุนด้านไซเบอร์และความเป็นส่วนตัว ซึ่งหากผู้นำองค์กรสามารถบูรณาการให้ทั้งสามปัจจัยทำงานร่วมกันอย่างสอดคล้องก็จะเป็นการยกระดับกลยุทธ์ที่ช่วยสร้างความแตกต่างให้กับธุรกิจและเสริมสร้างความเชื่อมั่นให้กับแบรนด์ได้ 

สี่ขั้นตอนขับเคลื่อนการทำงานร่วมกันของความปลอดภัยทางไซเบอร์ ความเป็นส่วนตัว และ ESG

บทความของ PwC ชิ้นนี้ ยังได้นำเสนอสี่ขั้นตอนสำคัญที่จะช่วยเชื่อมโยงให้การทำงานด้านความปลอดภัยทางไซเบอร์ ความเป็นส่วนตัว และ ESG มีความสอดประสานเพื่อเสริมสร้างความเชื่อมั่นให้กับลูกค้าและผู้มีส่วนได้ส่วนเสียในระยะยาว ดังต่อไปนี้

1. ผู้บริหารต้องทำงานร่วมกัน ผู้บริหารระดับสูงไม่ว่าจะเป็น ประธานเจ้าหน้าที่บริหารฝ่ายข้อมูล (Chief Data Officer: CDO) ประธานเจ้าหน้าที่บริหารฝ่ายความเป็นส่วนตัว (Chief Privacy Officers: CPO) และประธานเจ้าหน้าที่บริหารฝ่ายความปลอดภัย (Chief Security Officers: CSOs) ควรมีการวางแผนงานในการขับเคลื่อนวาระด้าน ESG ร่วมกับผู้บริหารที่รับผิดชอบด้าน ESG และความรับผิดชอบต่อสังคม (Corporate Social Responsibility: CSR) 
2. เข้าใจกระแสของข้อมูลภายในองค์กร ผู้บริหารทั้งสามฝ่ายสามารถวางแผนงานด้านข้อมูลในรายละเอียดว่า ได้รับข้อมูลมาอย่างไร และมีการเก็บ สร้าง ใช้ แลกเปลี่ยน และกำจัดที่ไหน ก่อนที่จะพิจารณาว่า มีการจัดเก็บข้อมูลที่ถูกต้องหรือไม่ หรือจัดเก็บข้อมูลมากหรือน้อยเกินไปหรือไม่ และที่สำคัญ คือ ต้องใช้งานข้อมูลอย่างมีประสิทธิภาพควบคู่ไปกับการปฏิบัติตามกฎเกณฑ์ด้านความปลอดภัยและความเป็นส่วนตัว เพื่อสร้างความเชื่อมั่นให้กับลูกค้า และผู้มีส่วนได้ส่วนเสีย
3. สร้างความแข็งแกร่งให้กับโครงการความปลอดภัยทางไซเบอร์และความเป็นส่วนตัว เพื่อปกป้องข้อมูลและสร้างความเชื่อมั่นจากผู้มีส่วนได้ส่วนเสีย โดยการมีกรอบที่ได้มาตรฐานและเป็นที่ยอมรับของอุตสาหกรรม ผนวกกับการประยุกต์ใช้เทคโนโลยีที่เหมาะสม จะช่วยให้ธุรกิจสามารถลดขั้นตอนที่ซ้ำซ้อนในการดูแลความปลอดภัยและลดความเสี่ยง ซึ่งในขั้นตอนนี้ ผู้เชี่ยวชาญเฉพาะทางด้าน ESG จะสามารถเข้ามาช่วยวางกรอบและเครื่องมือเพื่อลดต้นทุนและปรับปรุงความถูกต้องของการรายงานด้าน ESG ได้
4. ตัดสินใจในการเปิดเผยข้อมูลร่วมกัน ผู้บริหารทั้งสามฝ่ายควรต้องตัดสินใจว่า จะเปิดเผยข้อมูลเกี่ยวกับความปลอดภัยทางไซเบอร์ และความเป็นส่วนตัวในมิติใดในรายงานด้าน ESG ของตน ทั้งนี้ ข้อมูลของแต่ละองค์กรจะแตกต่างกันไปตามระดับความพร้อมของโครงการ ผู้มีส่วนได้เสียที่ธุรกิจต้องการสื่อสาร และมาตรฐานของตัวชี้วัดที่โครงการด้าน ESG ของบริษัทได้ทำการอ้างอิง

อ้างอิง:

• Want to advance on ESG? Cyber and privacy can help, while boosting trust in your brand, PwC

หมายเหตุ: บทความนี้ถูกเผยแพร่เป็นครั้งแรกเมื่อวันที่ 21 ธันวาคม 2565 ทาง The Standard Wealth