- 23
- กุมภาพันธ์
ปัจจุบันองค์กรจำนวนมากเริ่มนำ AI มาใช้ในงานประจำวัน ตั้งแต่การสรุปเอกสาร เขียนอีเมล ไปจนถึงการวิเคราะห์ข้อมูล แต่ถ้าใช้โดย ไม่มีนโยบายกำกับดูแล (AI Governance) องค์กรอาจเจอปัญหาร้ายแรง ตั้งแต่ข้อมูลความลับรั่วไหล ละเมิด PDPA ไปจนถึงผลลัพธ์ที่ไม่น่าเชื่อถือจน สร้างความเสียหายต่อธุรกิจโดยตรง
ทำไมองค์กรต้องมี AI Governance?
หลายคนอาจคิดว่า AI เป็นแค่เครื่องมือช่วยงาน ใช้ได้เลยไม่ต้องมีกฎอะไร แต่กรณีศึกษาจริงหลายกรณีพิสูจน์แล้วว่า การใช้ AI โดยไม่มีนโยบายกำกับ สร้างความเสียหายได้มหาศาล
กรณีที่ 1: พนักงาน Samsung ใส่ Source Code เข้า ChatGPT
ในปี 2023 พนักงาน Samsung Electronics หลายคนนำ Source Code ลับของบริษัท ไปใส่ใน ChatGPT เพื่อให้ช่วยแก้ Bug และปรับปรุงโค้ด ผลคือข้อมูลเหล่านั้นถูกส่งไปยัง Server ของ OpenAI และ อาจถูกนำไปใช้ Train โมเดลในอนาคต Samsung ต้องออกคำสั่งห้ามใช้ AI ภายนอกทั้งหมดในทันที
บทเรียน: ถ้าไม่มีนโยบายชัดเจนว่า "ข้อมูลอะไรห้ามใส่ AI" พนักงานจะใช้วิจารณญาณของตัวเอง ซึ่งมักนำไปสู่ความเสี่ยง
กรณีที่ 2: ทนายความอ้างคดีที่ไม่มีจริง
ทนายความในสหรัฐอเมริกาใช้ ChatGPT ค้นหาคดีอ้างอิงเพื่อยื่นต่อศาล ปรากฏว่า AI "แต่งคดีขึ้นมาเอง" (Hallucination) โดยอ้างชื่อคดี หมายเลขคดี และคำพิพากษาที่ไม่มีอยู่จริงทั้งหมด ทนายความถูกศาลลงโทษฐานยื่นเอกสารเท็จ
บทเรียน: AI สามารถสร้างข้อมูลที่ดูน่าเชื่อถือแต่เป็นเท็จ ถ้าไม่มี Human-in-the-Loop ตรวจสอบก่อนใช้งาน อาจเกิดความเสียหายร้ายแรง
กรณีที่ 3: AI Bias ในการรับสมัครงาน (Amazon)
Amazon เคยพัฒนาระบบ AI คัดกรองใบสมัครงาน แต่ต้องยกเลิกเพราะพบว่าระบบมี อคติทางเพศ (Gender Bias) โดยให้คะแนนผู้สมัครหญิงต่ำกว่าผู้สมัครชายอย่างเป็นระบบ สาเหตุเพราะ ข้อมูลที่ใช้ Train มาจากประวัติการจ้างงานในอดีต ซึ่งส่วนใหญ่เป็นผู้ชาย
บทเรียน: AI ไม่ได้เป็นกลางโดยอัตโนมัติ ถ้าข้อมูลที่ใช้ Train มีอคติ ผลลัพธ์ก็จะมีอคติตาม ต้องมี Fairness Audit ตรวจสอบเสมอ
กรณีที่ 4: ความเสี่ยงด้าน PDPA
เมื่อพนักงานนำ ข้อมูลส่วนบุคคลของลูกค้า (ชื่อ เบอร์โทร อีเมล ข้อมูลการเงิน) ไปใส่ใน AI ภายนอก ถือเป็นการ "ส่งข้อมูลส่วนบุคคลไปยังบุคคลที่สาม" ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งอาจผิดกฎหมายและมีโทษปรับสูงสุด 5 ล้านบาท
สรุป: ทำไมต้องมี AI Governance
- ป้องกันข้อมูลรั่วไหล — กำหนดชัดเจนว่าข้อมูลอะไรห้ามใส่ AI
- ลดความเสี่ยงทางกฎหมาย — ปฏิบัติตาม PDPA และกฎหมายที่เกี่ยวข้อง
- รับประกันความถูกต้อง — กำหนดให้คนต้องตรวจสอบก่อนใช้ผลลัพธ์จาก AI
- ป้องกันอคติ — ตรวจสอบความเป็นธรรมของผลลัพธ์จาก AI
- สร้างความน่าเชื่อถือ — แสดงให้ลูกค้าและคู่ค้าเห็นว่าองค์กรใช้ AI อย่างรับผิดชอบ
องค์ประกอบของ AI Governance Policy
นโยบาย AI Governance ที่ดีต้องครอบคลุม 6 องค์ประกอบหลัก ดังนี้:
1. ข้อมูลที่ห้ามใส่ AI
กำหนด รายการข้อมูลที่ห้ามนำเข้า AI ภายนอกโดยเด็ดขาด เพื่อป้องกันข้อมูลรั่วไหลและการละเมิดกฎหมาย:
| ประเภทข้อมูล | ตัวอย่าง | เหตุผลที่ห้าม |
|---|---|---|
| ข้อมูลส่วนบุคคล | ชื่อ-นามสกุล, เลขบัตรประชาชน, อีเมลลูกค้า | ละเมิด PDPA |
| ข้อมูลการเงิน | งบการเงิน, เลขบัญชีธนาคาร, ราคาต้นทุน | ความลับทางธุรกิจ |
| Source Code | โค้ดระบบภายใน, API Key, Credentials | ทรัพย์สินทางปัญญา + ความปลอดภัย |
| ข้อมูลลูกค้า | รายชื่อลูกค้า, ประวัติการซื้อ, สัญญา | ละเมิด PDPA + ความลับทางธุรกิจ |
| ความลับทางธุรกิจ | แผนธุรกิจ, กลยุทธ์การตลาด, สูตรการผลิต | เสียเปรียบทางการแข่งขัน |
2. ประเภทของ AI ที่อนุญาต
องค์กรควรจำแนก AI ออกเป็น 3 ระดับ พร้อมกำหนดนโยบายการใช้งานที่แตกต่างกัน:
| ประเภท | ตัวอย่าง | ข้อจำกัด |
|---|---|---|
| Public AI | ChatGPT, Gemini, Claude (เวอร์ชันฟรี) | ห้ามใส่ข้อมูลลับ / ข้อมูลส่วนบุคคล |
| Enterprise AI | ChatGPT Enterprise, Azure OpenAI, Google Vertex AI | ใช้ได้ ภายใต้สัญญา DPA (Data Processing Agreement) |
| Self-hosted AI | Llama, Mistral, โมเดลที่ติดตั้งบน Server ขององค์กร | ปลอดภัยที่สุด — ข้อมูลไม่ออกนอกองค์กร |
3. กระบวนการอนุมัติ (Approval Process)
กำหนดชัดเจนว่า ใครมีอำนาจอนุมัติการใช้ AI Tool ใหม่ ในองค์กร โดยควรมีขั้นตอน:
- ผู้ขอใช้งาน ต้องยื่นคำขอระบุ: ชื่อ AI Tool, วัตถุประสงค์, ประเภทข้อมูลที่จะใช้
- IT Security ประเมินความเสี่ยง: ข้อมูลถูกส่งไปไหน? มี DPA หรือไม่? สอดคล้องกับ PDPA หรือไม่?
- ผู้บริหาร/DPO อนุมัติหรือปฏิเสธ พร้อมกำหนดเงื่อนไขการใช้งาน
- ทบทวนทุก 6 เดือน ตรวจสอบว่า AI Tool ที่อนุมัติแล้วยังเหมาะสมอยู่หรือไม่
4. Human-in-the-Loop
หลักการสำคัญที่สุดของ AI Governance คือ "AI ช่วยตัดสินใจ แต่คนต้องตรวจสอบก่อนใช้" โดยเฉพาะในงานที่มีผลกระทบสูง:
- AI ช่วยร่างเอกสาร → คนต้อง Review ก่อนส่ง
- AI ช่วยวิเคราะห์ข้อมูล → คนต้องตรวจสอบ ความถูกต้องของผลลัพธ์
- AI ช่วยคัดกรองใบสมัคร → คนต้องพิจารณาขั้นสุดท้าย
- AI สร้างรายงาน → คนต้องยืนยัน ตัวเลขและข้อมูลอ้างอิง
หลักการ: ยิ่งผลลัพธ์จาก AI มีผลกระทบสูง (การเงิน, กฎหมาย, การจ้างงาน) ยิ่งต้องมี Human-in-the-Loop ที่เข้มงวดมากขึ้น
5. Audit Trail
องค์กรต้องบันทึกว่า ใครใช้ AI อะไร เมื่อไหร่ ทำอะไร เพื่อให้ตรวจสอบย้อนหลังได้ ข้อมูลที่ควรบันทึกได้แก่:
- ชื่อผู้ใช้งาน และ AI Tool ที่ใช้
- วันที่และเวลาที่ใช้งาน
- ประเภทของงานที่ใช้ AI ช่วย (เช่น สรุปเอกสาร, เขียนโค้ด, วิเคราะห์ข้อมูล)
- ผลลัพธ์ถูกนำไปใช้ในงานอะไร
6. Training & Awareness
พนักงานทุกคนต้อง ได้รับการอบรม เกี่ยวกับนโยบาย AI ขององค์กร ก่อนเริ่มใช้งาน โดยครอบคลุม:
- ข้อมูลอะไรห้ามใส่ AI และทำไม
- AI Tool ไหนใช้ได้ ไหนใช้ไม่ได้
- วิธีตรวจสอบความถูกต้องของผลลัพธ์จาก AI
- ความเสี่ยงของ AI Hallucination
- ขั้นตอนการรายงาน เมื่อพบว่ามีการใช้ AI ไม่เหมาะสม
PDPA กับ AI — ตารางประเมินความเสี่ยง
เมื่อองค์กรใช้ AI ร่วมกับข้อมูลส่วนบุคคล ต้องประเมินความเสี่ยงตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างรอบคอบ:
| สถานการณ์ | เสี่ยง PDPA? | คำแนะนำ |
|---|---|---|
| ใส่ชื่อลูกค้าเข้า ChatGPT | เสี่ยงสูง | ห้าม — ถือเป็นการส่งข้อมูลส่วนบุคคลไปยังบุคคลที่สาม |
| ใช้ AI วิเคราะห์ข้อมูลรวม (Aggregate Data) | เสี่ยงต่ำ | ได้ ถ้าทำ Anonymize แล้ว ไม่สามารถระบุตัวบุคคลได้ |
| ใช้ AI ตัดสินใจเรื่องสินเชื่อ | เสี่ยงสูง | ต้อง แจ้งเจ้าของข้อมูล และขอความยินยอมก่อน |
| ใช้ AI สรุปรายงานภายใน (ไม่มีข้อมูลส่วนบุคคล) | ไม่เสี่ยง | ได้ แต่ระวังอย่าใส่ข้อมูลลับทางธุรกิจใน Public AI |
| ใช้ AI คัดกรองใบสมัครงาน | เสี่ยงสูง | ต้องแจ้งผู้สมัคร + ต้องมี Human-in-the-Loop + ต้องตรวจ Bias |
| ใช้ Enterprise AI (มี DPA) ประมวลผลข้อมูลลูกค้า | เสี่ยงปานกลาง | ได้ ถ้ามี DPA ที่รัดกุม + Privacy Impact Assessment |
คำเตือน: การละเมิด PDPA มีโทษปรับสูงสุด 5 ล้านบาท และเจ้าของข้อมูลสามารถฟ้องเรียกค่าเสียหายทางแพ่งได้ไม่จำกัดวงเงิน การใช้ AI โดยไม่ระวังอาจทำให้องค์กรตกเป็นจำเลยโดยไม่รู้ตัว
AI Ethics Framework สำหรับองค์กรไทย
นอกจากนโยบายปฏิบัติงานแล้ว องค์กรควรมี กรอบจริยธรรม AI (AI Ethics Framework) เป็นหลักการระดับสูงที่ใช้ตัดสินใจในสถานการณ์ที่นโยบายไม่ได้ครอบคลุม:
| หลักการ | ความหมาย | การนำไปปฏิบัติ |
|---|---|---|
| ความโปร่งใส (Transparency) | อธิบายได้ว่า AI ทำอะไร ตัดสินใจอย่างไร | แจ้งลูกค้าเมื่อใช้ AI ประมวลผลข้อมูล, บันทึก AI Decision Log |
| ความเป็นธรรม (Fairness) | AI ไม่เลือกปฏิบัติตามเพศ เชื้อชาติ อายุ | ทำ Bias Testing ก่อน Deploy, ตรวจสอบผลลัพธ์เป็นระยะ |
| ความรับผิดชอบ (Accountability) | มีผู้รับผิดชอบชัดเจนเมื่อ AI ทำงานผิดพลาด | กำหนด AI Owner ทุก Use Case, มี Escalation Path |
| ความเป็นส่วนตัว (Privacy) | ปกป้องข้อมูลส่วนบุคคลตาม PDPA | ทำ Privacy Impact Assessment (PIA) ก่อนใช้ AI กับข้อมูลส่วนบุคคล |
| ความปลอดภัย (Security) | ป้องกัน AI จากการถูกโจมตีหรือหลอกลวง | ทดสอบ Adversarial Attack, ตรวจ Prompt Injection |
Template นโยบาย AI สำหรับองค์กร
สำหรับองค์กรที่ต้องการเริ่มสร้างนโยบาย AI Governance ต่อไปนี้คือ Checklist หัวข้อที่ควรมี:
| ☐ | 1. ขอบเขตและวัตถุประสงค์ — นโยบายนี้ครอบคลุมใคร ใช้กับ AI ประเภทไหน |
| ☐ | 2. คำจำกัดความ — AI, Machine Learning, Generative AI คืออะไรในบริบทขององค์กร |
| ☐ | 3. AI Tool ที่อนุญาต — รายชื่อ AI ที่ผ่านการประเมินแล้ว แบ่งตามระดับ (Public/Enterprise/Self-hosted) |
| ☐ | 4. ข้อมูลที่ห้ามใส่ AI — รายการข้อมูลที่ห้ามโดยเด็ดขาด พร้อมตัวอย่างให้ชัดเจน |
| ☐ | 5. กระบวนการอนุมัติ — ขั้นตอนการขออนุมัติใช้ AI Tool ใหม่ และผู้มีอำนาจอนุมัติ |
| ☐ | 6. Human-in-the-Loop — กำหนดว่างานประเภทไหนต้องมีคนตรวจสอบก่อนใช้ผลลัพธ์จาก AI |
| ☐ | 7. Audit Trail — วิธีการบันทึกการใช้งาน AI และระยะเวลาเก็บรักษา Log |
| ☐ | 8. PDPA Compliance — มาตรการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล |
| ☐ | 9. AI Ethics — หลักจริยธรรม AI ขององค์กร (Transparency, Fairness, Accountability) |
| ☐ | 10. Training & Awareness — แผนการอบรมพนักงาน ความถี่ และเนื้อหาที่ต้องครอบคลุม |
| ☐ | 11. Incident Response — ขั้นตอนเมื่อเกิดเหตุการณ์ข้อมูลรั่วไหลหรือ AI ทำงานผิดพลาด |
| ☐ | 12. การทบทวนและปรับปรุง — ทบทวนนโยบายอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีเทคโนโลยีใหม่ |
Saeree ERP กับ AI Governance
ในปัจจุบัน Saeree ERP ยังไม่มีฟีเจอร์ AI แต่อยู่ในแผนพัฒนาเร็วๆ นี้ อย่างไรก็ตาม Saeree ERP มีระบบพื้นฐานที่ พร้อมรองรับ AI Governance ตั้งแต่วันนี้:
| ความต้องการ AI Governance | ฟีเจอร์ใน Saeree ERP |
|---|---|
| Audit Trail — ต้องบันทึกว่าใครทำอะไรเมื่อไหร่ | มีระบบ Audit Trail บันทึกทุก Transaction โดยอัตโนมัติ ตรวจสอบย้อนหลังได้ทั้งหมด |
| Access Control — จำกัดสิทธิ์การเข้าถึงข้อมูล | ระบบ Role-Based Access Control (RBAC) กำหนดสิทธิ์ถึงระดับเมนูและปุ่ม |
| Data Protection — ปกป้องข้อมูลส่วนบุคคล | เข้ารหัสข้อมูลสำคัญ, HTTPS ทุก Connection, รองรับ 2FA |
| Approval Workflow — กระบวนการอนุมัติ | ระบบ Approval Workflow หลายระดับ รองรับการอนุมัติแบบลำดับขั้น |
| Compliance — ปฏิบัติตามกฎหมาย | ออกแบบสอดคล้องกับ PDPA และมาตรฐานความปลอดภัย OWASP Top 10 |
หมายเหตุ: เมื่อ Saeree ERP พัฒนาฟีเจอร์ AI ในอนาคต ระบบพื้นฐานด้าน Audit Trail, Access Control และ Approval Workflow ที่มีอยู่แล้วจะช่วยให้การนำ AI มาใช้เป็นไปอย่าง ปลอดภัย โปร่งใส และตรวจสอบได้ ตามหลัก AI Governance
การใช้ AI ในองค์กรไม่ใช่แค่เรื่องของเทคโนโลยี แต่เป็นเรื่องของ "คน กระบวนการ และนโยบาย" ที่ต้องเดินไปพร้อมกัน องค์กรที่มี AI Governance ที่ดีจะสามารถใช้ AI ได้อย่างเต็มประสิทธิภาพ โดยไม่ต้องเสี่ยงกับข้อมูลรั่วไหล ละเมิดกฎหมาย หรือผลลัพธ์ที่ไม่น่าเชื่อถือ
- ทีมพัฒนา Saeree ERP
หากองค์กรของคุณต้องการระบบ ERP ที่มีระบบ Audit Trail และ Access Control พร้อมรองรับ AI Governance สามารถนัดหมาย Demo หรือติดต่อทีมที่ปรึกษาเพื่อพูดคุยเพิ่มเติม
