ในปัจจุบันผู้มีส่วนได้ส่วนเสีย ไม่ว่าจะเป็นลูกค้า พนักงาน หน่วยงานตรวจสอบ และนักลงทุน ต่างให้ความสำคัญและต้องการให้ธุรกิจมีการคุ้มครองข้อมูลและความเป็นส่วนตัวไปพร้อมๆ กับการดำเนินธุรกิจที่คำนึงถึงปัจจัยด้านสิ่งแวดล้อม สังคม และบรรษัทภิบาล (Environmental, Social and Governance: ESG) มากขึ้น ซึ่งการบูรณาการการรายงานด้าน ESG ควบคู่ไปกับการมีมาตรการความปลอดภัยทางไซเบอร์และนโยบายความเป็นส่วนตัว (Cyber and Privacy) นั้นจะยิ่งเสริมสร้างความน่าเชื่อถือให้กับข้อมูล และส่งเสริมภาพลักษณ์ขององค์กรให้ดีขึ้น
ยิ่งไปกว่านั้น ความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวยังถือเป็นสองปัจจัยสำคัญใน ‘การวัดอันดับด้าน ESG’ หรือ ‘ESG Ratings’ โดยบทความ Want to advance on ESG? Cyber and privacy can help, while boosting trust in your brand ของ PwC ระบุว่า สถาบันจัดอันดับความน่าเชื่อถือด้าน ESG มักรวมประเด็นด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวเข้าไปเป็นคะแนนด้าน ESG (ESG Scores) โดยมีสัดส่วนคิดเป็นมากกว่า 25% ของคะแนนด้าน ESG โดยรวมทั้งหมดหรือมากกว่านั้นตามแต่อุตสาหกรรม ซึ่งนักลงทุนจะนำคะแนนที่ได้มาใช้ในการพิจารณาสถานะด้าน ESG ของแต่ละบริษัท ตัวอย่างเช่น MSCI ESG Research หน่วยงานที่มีความเชี่ยวชาญและความน่าเชื่อถือในด้านดัชนี ESG ในระดับสากล จัดให้ความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวคิดเป็นเกือบ 1 ใน 3 หรือ 29% ของคะแนนด้าน ESG สำหรับธุรกิจค้าปลีก, 28% สำหรับธุรกิจโทรคมนาคม และ 20% ของธุรกิจผู้ให้บริการสุขภาพ เป็นต้น
ข่าวที่เกี่ยวข้อง
- เมื่อ ‘เป้าหมายสีเขียว’ และ ‘เป้ายอดขาย’ ไม่สอดคล้องกัน เปิดช่องโหว่นโยบาย สิ่งแวดล้อม ในอุตสาหกรรมแฟชั่น
- ธปท. เตรียมออก Standard Practice ด้านสิ่งแวดล้อมในไตรมาส 3 พร้อมกำหนดให้แบงก์ส่งแผนและเป้าสีเขียวที่จับต้องได้ต้นปีหน้า
- Brand & Marketing Trend 2022: เปิดเทรนด์ยุคใหม่ของโลกหลังโควิด แบรนด์ถึงเวลาต้องเปลี่ยนครั้งใหญ่
แม้ว่าสถาบันจัดอันดับความน่าเชื่อถือต่างๆ ที่ให้คะแนนด้าน ESG จะมีเกณฑ์ในการประเมินด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวที่แตกต่างกันไป แต่ก็มีจุดร่วมที่เป็นพื้นฐานเดียวกันในการประเมิน นั่นคือยิ่งบริษัทมีรายละเอียดที่เปิดเผยต่อสาธารณะเกี่ยวกับโครงการความปลอดภัยด้านไซเบอร์และนโยบายความเป็นส่วนตัวมากเท่าไร ก็จะยิ่งได้รับคะแนนมากขึ้นเท่านั้น เช่น มีการเปิดเผยนโยบายและขั้นตอนในการดูแลความปลอดภัยและความเป็นส่วนตัวอย่างละเอียด หรือมีการแต่งตั้งผู้บริหารด้านความเป็นส่วนตัวที่รับผิดชอบโดยตรง เป็นต้น
นอกจากนี้เมื่อเกิดเหตุการณ์ข้อมูลรั่วไหล ซึ่งนอกจากจะส่งผลกระทบด้านการเงินและด้านชื่อเสียงแล้ว ยังสามารถส่งผลกระทบต่อการจัดอันดับด้าน ESG ของบริษัทได้ด้วย ทั้งนี้ นักวิเคราะห์ด้าน ESG ยังมองถึงตัวชี้วัดอื่นๆ เช่น ความถี่และผลกระทบของการรั่วไหล ขั้นตอนและความรวดเร็วในการจัดการ รวมไปถึงการสื่อสารให้ลูกค้า หน่วยงานกำกับดูแล และผู้มีส่วนเกี่ยวข้องได้รับทราบถึงแนวทางในการป้องกันและลดความเสี่ยงอย่างรวดเร็ว
สิ่งที่น่าสนใจมากไปกว่านั้นคือ บริษัทที่ได้รับการให้ความเชื่อมั่นอย่างเป็นอิสระ (เช่น รายงาน SOC 2) ที่แสดงถึงการควบคุมที่เกี่ยวข้องกับความปลอดภัยในการเก็บรักษาข้อมูลส่วนตัวและความเป็นส่วนตัว ก็มักจะได้รับคะแนนจากนักวิเคราะห์ด้าน ESG เพิ่มขึ้นด้วย สำหรับปัจจัยพื้นฐานอื่นๆ ในการให้คะแนนยังมีเรื่องขอบเขตของนโยบายคุ้มครองข้อมูลส่วนบุคคล สิทธิที่ให้กับเจ้าของข้อมูลในการจัดการข้อมูลของตน ความถี่ในการตรวจสอบระบบความปลอดภัยของข้อมูล และการอัปเดตความยินยอมในการใช้ข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เป็นต้น
อย่างที่กล่าวไปข้างต้นว่าการจัดอันดับด้าน ESG ถือเป็นตัวชี้วัดหนึ่งที่สะท้อนถึงประสิทธิภาพในการดำเนินธุรกิจอย่างมีสำนึกรับผิดชอบขององค์กร นอกจากนี้ยังเป็นตัวช่วยสำคัญที่บรรดานักลงทุนเริ่มนำมาใช้พิจารณาประกอบการตัดสินใจลงทุนกันอย่างแพร่หลาย แต่ในความเป็นจริงแล้ว ยังมีบริษัทอีกจำนวนมากที่เผชิญปัญหาในการลงทุนด้าน ESG ให้สอดรับกับการลงทุนด้านไซเบอร์และความเป็นส่วนตัว ซึ่งหากผู้นำองค์กรสามารถบูรณาการให้ทั้งสามปัจจัยทำงานร่วมกันได้อย่างสอดคล้อง ก็จะเป็นการยกระดับกลยุทธ์ที่ช่วยสร้างความแตกต่างให้กับธุรกิจและเสริมสร้างความเชื่อมั่นให้กับแบรนด์ได้
4 ขั้นตอนขับเคลื่อนการทำงานร่วมกันของความปลอดภัยทางไซเบอร์ ความเป็นส่วนตัว และ ESG
บทความของ PwC ชิ้นนี้ ยังได้นำเสนอ 4 ขั้นตอนสำคัญที่จะช่วยเชื่อมโยงให้การทำงานด้านความปลอดภัยทางไซเบอร์ ความเป็นส่วนตัว และ ESG มีความสอดประสาน เพื่อเสริมสร้างความเชื่อมั่นให้กับลูกค้าและผู้มีส่วนได้ส่วนเสียในระยะยาว ดังต่อไปนี้
- ผู้บริหารต้องทำงานร่วมกัน ผู้บริหารระดับสูงไม่ว่าจะเป็นประธานเจ้าหน้าที่บริหารฝ่ายข้อมูล (Chief Data Officer: CDO) ประธานเจ้าหน้าที่บริหารฝ่ายความเป็นส่วนตัว (Chief Privacy Officer: CPO) และประธานเจ้าหน้าที่บริหารฝ่ายความปลอดภัย (Chief Security Officer: CSO) ควรมีการวางแผนงานในการขับเคลื่อนวาระด้าน ESG ร่วมกับผู้บริหารที่รับผิดชอบด้าน ESG และความรับผิดชอบต่อสังคม (Corporate Social Responsibility: CSR)
- เข้าใจกระแสของข้อมูลภายในองค์กร ผู้บริหารทั้งสามฝ่ายสามารถวางแผนงานด้านข้อมูลในรายละเอียดว่าได้รับข้อมูลมาอย่างไร และมีการเก็บ สร้าง ใช้ แลกเปลี่ยน และกำจัดที่ไหน ก่อนที่จะพิจารณาว่ามีการจัดเก็บข้อมูลที่ถูกต้องหรือไม่ หรือจัดเก็บข้อมูลมากหรือน้อยเกินไปหรือไม่ และที่สำคัญคือ ต้องใช้งานข้อมูลอย่างมีประสิทธิภาพควบคู่ไปกับการปฏิบัติตามกฎเกณฑ์ด้านความปลอดภัยและความเป็นส่วนตัว เพื่อสร้างความเชื่อมั่นให้กับลูกค้าและผู้มีส่วนได้ส่วนเสีย
- สร้างความแข็งแกร่งให้กับโครงการความปลอดภัยทางไซเบอร์และความเป็นส่วนตัว เพื่อปกป้องข้อมูลและสร้างความเชื่อมั่นจากผู้มีส่วนได้ส่วนเสีย โดยการมีกรอบที่ได้มาตรฐานและเป็นที่ยอมรับของอุตสาหกรรม ผนวกกับการประยุกต์ใช้เทคโนโลยีที่เหมาะสม จะช่วยให้ธุรกิจสามารถลดขั้นตอนที่ซ้ำซ้อนในการดูแลความปลอดภัยและลดความเสี่ยง ซึ่งในขั้นตอนนี้ ผู้เชี่ยวชาญเฉพาะทางด้าน ESG จะสามารถเข้ามาช่วยวางกรอบและเครื่องมือเพื่อลดต้นทุนและปรับปรุงความถูกต้องของการรายงานด้าน ESG ได้
- ตัดสินใจในการเปิดเผยข้อมูลร่วมกัน ผู้บริหารทั้งสามฝ่ายควรต้องตัดสินใจว่าจะเปิดเผยข้อมูลเกี่ยวกับความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวในมิติใดในรายงานด้าน ESG ของตน ทั้งนี้ ข้อมูลของแต่ละองค์กรจะแตกต่างกันไปตามระดับความพร้อมของโครงการ ผู้มีส่วนได้ส่วนเสียที่ธุรกิจต้องการจะสื่อสาร และมาตรฐานของตัวชี้วัดที่โครงการด้าน ESG ของบริษัทได้ทำการอ้างอิง
อ้างอิง:
