
พนักงานในองค์กรของคุณ กำลังใช้ AI อยู่ทุกวัน แต่มีกี่คนที่รู้ว่า… ข้อมูลที่พิมพ์ลงไปนั้น อาจไม่ได้อยู่แค่ในหน้าจอของเราอีกต่อไปแล้ว?
ประเด็นนี้คือสิ่งที่ อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ หยิบขึ้นมาพูดในงานสัมมนาออนไลน์เรื่อง AI Governance และมันเป็นเรื่องที่ทุกองค์กรควรรู้ไว้ก่อนจะสายเกินไป
🔍 AI Governance คืออะไร และทำไมต้องสนใจ?
การนำ AI มาใช้งานในองค์กร ไม่ใช่แค่เรื่องของเทคโนโลยี แต่ต้องมี “ธรรมาภิบาล AI” หรือ AI Governance คอยควบคุมด้วย
หลักการอ้างอิงระดับสากลอย่าง OECD AI Principles ครอบคลุมหลายด้าน โดยประเด็นสำคัญที่อาจารย์เน้นย้ำในงาน ได้แก่
- ✅ ความโปร่งใส (Transparency)
- ✅ การอธิบายผลลัพธ์ได้ (Explainable AI)
- ✅ ความยุติธรรม (Fairness)
ตัวอย่างง่าย ๆ คือ AI ต้องไม่ตัดสินใจแบบมีอคติ เช่น เลือกปฏิบัติต่อผู้สมัครงานหรือผู้ขอกู้เงินโดยไม่เป็นธรรม
และสำหรับองค์กรที่อยากสร้างระบบจริงจัง ก็มีมาตรฐานสากลให้นำไปปรับใช้ได้เลย เช่น ISO/IEC 42001 (AI Management System) หรือ NIST AI RMF ซึ่งช่วยให้การใช้ AI มีกระบวนการตรวจสอบและบริหารความเสี่ยงอย่างเป็นระบบ
⚠️ Shadow AI — ภัยเงียบที่อาจทำลายองค์กร
หนึ่งในประเด็นที่อาจารย์เน้นย้ำมากที่สุดคือเรื่อง “Shadow AI”
Shadow AI คือการที่ พนักงานแอบนำเครื่องมือ AI ไปใช้เองโดยที่องค์กรไม่ได้อนุญาต และไม่มีนโยบายควบคุมที่ชัดเจน
ฟังดูไม่น่ากลัว แต่ลองนึกภาพว่า… พนักงานพิมพ์ข้อมูลเหล่านี้ลงใน AI ที่ใช้กันทั่วไป
- 📄 เรซูเม่ผู้สมัครงาน
- 👤 ข้อมูลลูกค้า
- 🏥 ข้อมูลสุขภาพ
- 💻 Source code ของโปรแกรม
อาจารย์อธิบายการกระทำนี้ว่าเป็นการใช้งาน AI โดยไร้ซึ่งการป้องกัน ทำให้อาจเกิดความเสี่ยงที่ข้อมูลขององค์กรที่พนักงานป้อนเข้าไปอาจถูกนำไปฝึก (Train) โมเดล AI ต่อไป หรือในบางแพลตฟอร์มอาจส่งต่อให้บริษัทโฆษณาด้วย
เมื่อข้อมูลรั่วออกไปแล้ว… ไม่มีทางเรียกคืนได้
🌐 AI Sovereignty — อธิปไตยทางข้อมูลที่กำลังถูกมองข้าม
อีกประเด็นที่น่าเป็นห่วงคือเรื่อง “อธิปไตยทาง AI” (AI Sovereignty)
เมื่อองค์กรหรือประเทศนำข้อมูลสำคัญไปประมวลผลบน ระบบ AI หรือคลาวด์ของต่างชาติ เท่ากับเราไม่สามารถควบคุมได้เลยว่าผู้ให้บริการจะนำข้อมูลเหล่านั้นไปทำอะไรต่อ
และแม้หลายแพลตฟอร์มจะมี นโยบายความเป็นส่วนตัวยาวเหยียด แต่ในทางปฏิบัติ มักมีเงื่อนไขแอบแฝงที่ขอสิทธิ์เข้าถึงข้อมูลแบบเบ็ดเสร็จอยู่ดี
🛡️ แล้วองค์กรและประเทศควรทำอย่างไร?
ระดับองค์กร:
อาจารย์ชี้ชัดว่า ยุคของการ “แบนไม่ให้ใช้ AI” นั้นหมดแล้ว เพราะพนักงานจะแอบใช้อยู่ดี สิ่งที่ควรทำแทนคือ:
- 🔒 สร้าง ระบบปิด (Gateway) ที่ให้พนักงานใช้ AI ได้อย่างปลอดภัยและมีการจำกัดสิทธิ์
- 🛑 ใช้ระบบที่สามารถ คัดกรองข้อมูลส่วนบุคคล (PII) ไม่ให้หลุดออกสู่โมเดลภายนอก
- 📋 ออก นโยบายการใช้งาน AI (AI Usage Policy) ที่ชัดเจน
- 🎓 ให้ความรู้และฝึกอบรมพนักงาน เพื่อสร้างความตระหนักรู้ถึงความเสี่ยง
ระดับประเทศ:
ปัจจุบันประเทศไทย ยังไม่มีกฎหมาย AI ที่บังคับใช้จริง (การกำกับดูแลยังอยู่ในรูปแบบแนวปฏิบัติหรือ Soft Law) และยังไม่มีหน่วยงานกำกับดูแล AI ระดับชาติโดยเฉพาะ เทียบกับ สกมช. ที่ดูแลด้านไซเบอร์ หรือ สคส. ที่ดูแลข้อมูลส่วนบุคคล แม้ล่าสุดกระทรวงดีอีและ ETDA จะเปิดรับฟังความเห็น ร่างหลักการกฎหมาย AI ฉบับแรกของไทย ซึ่งขณะนี้อยู่ระหว่างการปรับปรุงก็ตาม
อาจารย์จึงเสนอว่าภาครัฐควรเร่ง:
เร่งออก กฎหมายหรือแนวทางปฏิบัติ ที่เป็นรูปธรรมในการกำกับดูแล AI ระดับประเทศ
ผลักดันให้มีหน่วยงานที่ดูแลเรื่อง AI Sovereignty อย่างชัดเจน






