Skip to content Skip to footer

ใช้ AI ในองค์กร… แต่ปลอดภัยพอหรือยัง

Article,News & Events,Prinya’s Articles

ใช้ AI ในองค์กร… แต่ปลอดภัยพอหรือยัง

พนักงานในองค์กรของคุณ กำลังใช้ AI อยู่ทุกวัน แต่มีกี่คนที่รู้ว่า… ข้อมูลที่พิมพ์ลงไปนั้น อาจไม่ได้อยู่แค่ในหน้าจอของเราอีกต่อไปแล้ว?

ประเด็นนี้คือสิ่งที่ อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ หยิบขึ้นมาพูดในงานสัมมนาออนไลน์เรื่อง AI Governance และมันเป็นเรื่องที่ทุกองค์กรควรรู้ไว้ก่อนจะสายเกินไป

🔍 AI Governance คืออะไร และทำไมต้องสนใจ?

การนำ AI มาใช้งานในองค์กร ไม่ใช่แค่เรื่องของเทคโนโลยี แต่ต้องมี “ธรรมาภิบาล AI” หรือ AI Governance คอยควบคุมด้วย

หลักการอ้างอิงระดับสากลอย่าง OECD AI Principles ครอบคลุมหลายด้าน โดยประเด็นสำคัญที่อาจารย์เน้นย้ำในงาน ได้แก่

  • ✅ ความโปร่งใส (Transparency)
  • ✅ การอธิบายผลลัพธ์ได้ (Explainable AI)
  • ✅ ความยุติธรรม (Fairness)

ตัวอย่างง่าย ๆ คือ AI ต้องไม่ตัดสินใจแบบมีอคติ เช่น เลือกปฏิบัติต่อผู้สมัครงานหรือผู้ขอกู้เงินโดยไม่เป็นธรรม

และสำหรับองค์กรที่อยากสร้างระบบจริงจัง ก็มีมาตรฐานสากลให้นำไปปรับใช้ได้เลย เช่น ISO/IEC 42001 (AI Management System) หรือ NIST AI RMF ซึ่งช่วยให้การใช้ AI มีกระบวนการตรวจสอบและบริหารความเสี่ยงอย่างเป็นระบบ

⚠️ Shadow AI — ภัยเงียบที่อาจทำลายองค์กร

หนึ่งในประเด็นที่อาจารย์เน้นย้ำมากที่สุดคือเรื่อง “Shadow AI”

Shadow AI คือการที่ พนักงานแอบนำเครื่องมือ AI ไปใช้เองโดยที่องค์กรไม่ได้อนุญาต และไม่มีนโยบายควบคุมที่ชัดเจน

ฟังดูไม่น่ากลัว แต่ลองนึกภาพว่า… พนักงานพิมพ์ข้อมูลเหล่านี้ลงใน AI ที่ใช้กันทั่วไป

  • 📄 เรซูเม่ผู้สมัครงาน
  • 👤 ข้อมูลลูกค้า
  • 🏥 ข้อมูลสุขภาพ
  • 💻 Source code ของโปรแกรม

อาจารย์อธิบายการกระทำนี้ว่าเป็นการใช้งาน AI โดยไร้ซึ่งการป้องกัน ทำให้อาจเกิดความเสี่ยงที่ข้อมูลขององค์กรที่พนักงานป้อนเข้าไปอาจถูกนำไปฝึก (Train) โมเดล AI ต่อไป หรือในบางแพลตฟอร์มอาจส่งต่อให้บริษัทโฆษณาด้วย

เมื่อข้อมูลรั่วออกไปแล้ว… ไม่มีทางเรียกคืนได้

🌐 AI Sovereignty — อธิปไตยทางข้อมูลที่กำลังถูกมองข้าม

อีกประเด็นที่น่าเป็นห่วงคือเรื่อง “อธิปไตยทาง AI” (AI Sovereignty)

เมื่อองค์กรหรือประเทศนำข้อมูลสำคัญไปประมวลผลบน ระบบ AI หรือคลาวด์ของต่างชาติ เท่ากับเราไม่สามารถควบคุมได้เลยว่าผู้ให้บริการจะนำข้อมูลเหล่านั้นไปทำอะไรต่อ

และแม้หลายแพลตฟอร์มจะมี นโยบายความเป็นส่วนตัวยาวเหยียด แต่ในทางปฏิบัติ มักมีเงื่อนไขแอบแฝงที่ขอสิทธิ์เข้าถึงข้อมูลแบบเบ็ดเสร็จอยู่ดี

🛡️ แล้วองค์กรและประเทศควรทำอย่างไร?

ระดับองค์กร:

อาจารย์ชี้ชัดว่า ยุคของการ “แบนไม่ให้ใช้ AI” นั้นหมดแล้ว เพราะพนักงานจะแอบใช้อยู่ดี สิ่งที่ควรทำแทนคือ:

  • 🔒 สร้าง ระบบปิด (Gateway) ที่ให้พนักงานใช้ AI ได้อย่างปลอดภัยและมีการจำกัดสิทธิ์
  • 🛑 ใช้ระบบที่สามารถ คัดกรองข้อมูลส่วนบุคคล (PII) ไม่ให้หลุดออกสู่โมเดลภายนอก
  • 📋 ออก นโยบายการใช้งาน AI (AI Usage Policy) ที่ชัดเจน
  • 🎓 ให้ความรู้และฝึกอบรมพนักงาน เพื่อสร้างความตระหนักรู้ถึงความเสี่ยง

ระดับประเทศ:

ปัจจุบันประเทศไทย ยังไม่มีกฎหมาย AI ที่บังคับใช้จริง (การกำกับดูแลยังอยู่ในรูปแบบแนวปฏิบัติหรือ Soft Law) และยังไม่มีหน่วยงานกำกับดูแล AI ระดับชาติโดยเฉพาะ เทียบกับ สกมช. ที่ดูแลด้านไซเบอร์ หรือ สคส. ที่ดูแลข้อมูลส่วนบุคคล แม้ล่าสุดกระทรวงดีอีและ ETDA จะเปิดรับฟังความเห็น ร่างหลักการกฎหมาย AI ฉบับแรกของไทย ซึ่งขณะนี้อยู่ระหว่างการปรับปรุงก็ตาม

อาจารย์จึงเสนอว่าภาครัฐควรเร่ง:

เร่งออก กฎหมายหรือแนวทางปฏิบัติ ที่เป็นรูปธรรมในการกำกับดูแล AI ระดับประเทศ

ผลักดันให้มีหน่วยงานที่ดูแลเรื่อง AI Sovereignty อย่างชัดเจน

Related Content