- 05
- มิถุนายน
ก่อนนำ Claude AI เข้าองค์กร คำถามแรกของฝ่าย IT Security และ Compliance คือ "ข้อมูลปลอดภัยแค่ไหน ถูกเอาไป train โมเดลไหม ตรวจสอบย้อนหลังได้หรือเปล่า?" บทความนี้สรุป data governance และความปลอดภัยของ Claude เวอร์ชันองค์กร — มาตรฐานที่ผ่าน, การ train/retention, audit, และการวางตัวให้สอดคล้อง PDPA โดยมีหลักสำคัญที่ต้องเข้าใจตั้งแต่ต้น: Claude ประมวลผลบน cloud ของ Anthropic (ไม่ใช่ on-premise แบบระบบ ERP) ดังนั้น governance ที่ดีจึงเป็นเรื่องของ "การตั้งค่าและนโยบาย" ไม่ใช่แค่เชื่อใจ vendor
สรุปสั้นๆ: 5 เสาความปลอดภัย/governance
- มาตรฐาน: ISO 27001:2022, ISO/IEC 42001:2023 (AI), SOC 2 Type I & II, HIPAA-ready (มี BAA)
- การ train: ข้อมูล commercial (Team/Enterprise/API) ไม่ถูกใช้ train โมเดลโดย default
- Retention: ตั้งค่าได้ + ZDR (Zero Data Retention) addendum สำหรับ Enterprise
- Audit: audit logs เต็ม + Compliance API (Enterprise)
- ขอบเขตที่ต้องเข้าใจ: cert ครอบ infra ของ Anthropic — ไม่ใช่ ครอบแอปหรือวิธีใช้งานของคุณ
มาตรฐานที่ Anthropic ได้รับ
Anthropic ผ่านการรับรองมาตรฐานสากลด้านความปลอดภัยและการจัดการ AI ที่องค์กรไทยใช้เป็นเกณฑ์ในการ vendor assessment ได้
| มาตรฐาน | ครอบคลุม |
|---|---|
| ISO/IEC 27001:2022 | ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISMS) |
| ISO/IEC 42001:2023 | ระบบบริหารจัดการ AI (AI Management System) — มาตรฐานใหม่เฉพาะ AI |
| SOC 2 Type I & Type II | การควบคุมด้านความปลอดภัย (รายงานละเอียดขอผ่าน Trust Portal ภายใต้ NDA) |
| HIPAA-ready | มี BAA สำหรับลูกค้า commercial ที่ประมวลผลข้อมูลสุขภาพ |
ข้อควรเข้าใจเรื่องขอบเขต cert: มาตรฐานเหล่านี้รับรอง โครงสร้างพื้นฐานและการควบคุมภายในของ Anthropic (access control, incident response, vendor management) — ไม่ได้ รับรองว่าวิธีที่องค์กรคุณใช้ Claude จะ compliant โดยอัตโนมัติ ส่วนนั้นยังเป็นความรับผิดชอบขององค์กรในการตั้งค่าและกำหนดนโยบาย
ข้อมูลถูกเอาไป train โมเดลไหม + เก็บนานแค่ไหน
นี่คือคำถามที่ฝ่าย Compliance กังวลที่สุด คำตอบสั้นๆ คือสำหรับการใช้งานเชิงพาณิชย์ ข้อมูลไม่ถูกใช้ train
- ไม่ train โดย default — ข้อมูลจาก Team, Enterprise และ API ไม่ถูกนำไปฝึกโมเดลเป็นค่าเริ่มต้น (ต่างจากการใช้แบบ consumer บางกรณี)
- Retention ตั้งค่าได้ — Enterprise กำหนด custom retention ได้
- ZDR (Zero Data Retention) — addendum สำหรับ Enterprise ที่ไม่เขียนข้อมูลลง disk หลังจบ session เหมาะกับงานที่มีข้อมูล regulated (อ่านลึกที่บทความ Claude ZDR)
Access control + Audit — ใครเข้าถึงอะไร ตรวจย้อนได้ไหม
สำหรับองค์กรที่ต้องทำ governance จริงจัง ความสามารถด้าน access control และ audit เป็นของระดับ Enterprise
| ความสามารถ | มีตั้งแต่ |
|---|---|
| SSO (SAML/OIDC) + SCIM provisioning | Enterprise |
| Audit logs (user actions, data access) | Enterprise (Team พื้นฐาน) |
| Compliance API (ดึง log เข้า SIEM) | Enterprise |
| เลือก data residency (เช่น EU region) | Enterprise |
ดูการตั้งค่า policy ระดับ admin เพิ่มที่ Claude Team & PDPA และ การจัดการ User
วางตัวให้สอดคล้อง PDPA — Claude คือ "ผู้ประมวลผล"
ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เมื่อองค์กรส่งข้อมูลส่วนบุคคลให้ Claude ประมวลผล โครงสร้างความรับผิดชอบมักเป็นแบบนี้
- องค์กรคุณ = ผู้ควบคุมข้อมูล (Data Controller) — เป็นผู้กำหนดวัตถุประสงค์และมีหน้าที่ตามกฎหมาย
- Anthropic = ผู้ประมวลผลข้อมูล (Data Processor) — ประมวลผลตามคำสั่งภายใต้ DPA
- ประเด็น cross-border: Claude ประมวลผลบน cloud (สหรัฐฯ หรือ region ที่เลือกบน Enterprise) — การส่งข้อมูลส่วนบุคคลข้ามประเทศต้องพิจารณาฐานตาม PDPA มาตรา 28/29 และทำ DPA ให้ครบ
ต่างจาก ERP on-premise: ระบบ ERP ที่ติดตั้งในองค์กร ข้อมูลไม่ออกจากเครื่องคุณ — แต่ Claude เป็นบริการ cloud ดังนั้นจึงต้องใช้เครื่องมือ governance (DPA, retention control, ไม่ส่งข้อมูลเกินจำเป็น) แทนการ "เก็บข้อมูลไว้ในบ้าน" อย่าใช้เหตุผลความเป็นส่วนตัวของ on-prem มาเหมารวมกับ cloud AI
Best practice — governance ที่ควรทำก่อนเปิดใช้ทั้งองค์กร
- ทำ DPA กับ Anthropic และเก็บเอกสาร compliance จาก Trust Portal
- จัดชั้นข้อมูล (data classification) — กำหนดว่าข้อมูลระดับไหนห้ามส่งเข้า AI
- ออกนโยบายการใช้งาน — ห้ามวาง secret/PII เกินจำเป็น, กำหนด use case ที่อนุญาต
- เปิด audit + ส่งเข้า SIEM (Enterprise) เก็บ log ตามรอบที่ compliance กำหนด
- พิจารณา ZDR สำหรับงานที่มีข้อมูล regulated
ความปลอดภัยของ Claude ในองค์กรไม่ได้จบที่ "Anthropic มี cert อะไรบ้าง" — แต่อยู่ที่ว่าองค์กรตั้งค่าและกำหนดนโยบายการใช้งานอย่างไร เพราะ cert รับรอง infra ของผู้ให้บริการ ส่วนการใช้ให้ปลอดภัยคือหน้าที่ที่เราออกแบบร่วมกันได้
- มุมมอง data governance สำหรับองค์กรไทยที่นำ AI มาใช้
แหล่งอ้างอิง
- Anthropic Privacy Center — Certifications obtained
- Anthropic Trust Center
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
ต้องวาง governance Claude ให้ผ่าน compliance?
Grand Linux ช่วยจัดหา Claude Enterprise พร้อม DPA และให้คำปรึกษาการวาง data governance/PDPA สำหรับการใช้ AI ในองค์กร (บริการเสริม มีค่าใช้จ่าย)
ปรึกษา / ขอใบเสนอราคาโทร 02-347-7730 | sale@grandlinux.com
