เมื่อ AI กระจายไปทั่วองค์กร ใครรับผิดชอบเมื่อมันพลาด
ช่วงแรกที่องค์กรเริ่มใช้ AI ทุกอย่างดูคุมได้ มีไม่กี่ทีมที่ลอง พอผ่านไปไม่นาน AI โผล่อยู่ในงานหลายส่วน ทั้งบริการลูกค้า งานเอกสาร และการวิเคราะห์ คำถามที่ตามมาคือ ใครอนุมัติให้ใช้ตรงไหน ใครรับผิดชอบเมื่อคำตอบผิดไปถึงลูกค้า และองค์กรรู้ไหมว่าตอนนี้มี AI ทำงานอยู่กี่จุด
คำถามเหล่านี้คือเรื่องของ AI governance หรือการกำกับการใช้ AI ซึ่งคือชุดของนโยบาย บทบาทความรับผิดชอบ และการกำกับดูแลที่องค์กรวางไว้เพื่อใช้ AI อย่างรับผิดชอบ บทนี้อธิบายว่า AI governance ประกอบด้วยอะไร อิงกรอบสากลที่ได้รับการยอมรับอย่างไร เชื่อมกับกฎหมายไทยตรงไหน และทำไมการมีกรอบกำกับจึงช่วยให้องค์กรขยายการใช้ AI ได้อย่างปลอดภัย ไม่ใช่ถ่วงให้ช้า
AI governance มีไว้ให้ขยายการใช้ AI ได้อย่างมั่นใจ ไม่ใช่ไว้คอยห้าม องค์กรที่มีกรอบกำกับชัดเพิ่มการใช้ AI ได้เร็วกว่า เพราะแต่ละการใช้งานมีเจ้าของ มีการประเมินความเสี่ยง และมีคนดูแลหลังใช้ แทนการเสี่ยงเป็นราย ๆ แบบไร้ระบบ
เสาหลักที่กรอบสากลเห็นตรงกัน
แม้กรอบกำกับ AI จะมีหลายฉบับ แต่เสาหลักที่กรอบสากลสำคัญเห็นตรงกันมีไม่กี่อย่าง ซึ่งใช้เป็นแกนวางกรอบขององค์กรได้
ความรับผิดชอบและเจ้าของที่ชัด หลักการ AI ของ OECD ระบุว่าผู้เกี่ยวข้องกับ AI ต้องรับผิดชอบต่อการทำงานที่ถูกต้องของระบบตามบทบาทและบริบทของตน ทุกการใช้งาน AI ควรมีเจ้าของที่ตอบได้ว่าใครดูแลและใครรับผิดชอบเมื่อมีปัญหา
การประเมินความเสี่ยงก่อนใช้ กรอบ AI Risk Management Framework ของ NIST วางการทำงานเป็นวงจร ประเมินบริบทและผลกระทบของระบบ วัดความเสี่ยง แล้วจัดการลดความเสี่ยง ก่อนและระหว่างการใช้งาน ไม่ใช่รอให้เกิดปัญหาก่อน
ความโปร่งใสและการกำกับโดยคน OECD ย้ำเรื่องการเปิดเผยอย่างรับผิดชอบเพื่อให้เข้าใจและโต้แย้งผลของ AI ได้ พร้อมกลไกให้คนกำกับดูแลและคงอำนาจตัดสินใจไว้ งานที่มีผลต่อคนต้องมีคนอยู่ในวงตัดสิน ไม่ปล่อยให้ AI ชี้ขาดเอง
การเชื่อมกับการกำกับข้อมูล การกำกับ AI แยกจากการกำกับข้อมูลไม่ได้ เพราะ AI ทำงานบนข้อมูล เสาข้อมูลจึงเชื่อมตรงกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายความปลอดภัยขององค์กร
วางกรอบให้เป็นรูปธรรม
เสาหลักข้างต้นแปลเป็นการปฏิบัติได้ผ่านโครงกำกับที่จับต้องได้ ซึ่งกรอบอย่าง NIST และมาตรฐานระบบบริหารจัดการ AI อย่าง ISO/IEC 42001 วางแนวไว้ตรงกัน
หัวใจคือนโยบายการใช้ AI ที่ระบุกติกาว่าอะไรใช้ได้ ใช้อย่างไร พร้อมกระบวนการขออนุมัติก่อนนำระบบ AI ใหม่ไปใช้ องค์กรควรมีบัญชีรายการระบบ AI ที่ใช้อยู่ ทำการประเมินผลกระทบก่อนเริ่ม กำหนดเจ้าของของแต่ละระบบ และติดตามผลหลังใช้งานจริง โครงเหล่านี้ทำให้การกำกับเป็นกระบวนการที่ทำซ้ำได้ ไม่ใช่การตัดสินเป็นครั้ง ๆ
ข้อดีของการอิงกรอบที่ได้รับการยอมรับคือ องค์กรได้ภาษากลางในการพูดเรื่องความเสี่ยง และมาตรฐานอย่าง ISO/IEC 42001 ซึ่งเป็นมาตรฐานระบบบริหารจัดการ AI ฉบับแรกของโลก เปิดทางให้ขยายการใช้ AI ด้วยการควบคุมที่สม่ำเสมอ และแสดงต่อหน่วยงานกำกับ ลูกค้า และผู้เกี่ยวข้องได้ว่าองค์กรใช้ AI อย่างรับผิดชอบ
บริบทไทย: PDPA และแนวทางของ ETDA
องค์กรไทยมีจุดอ้างอิงในประเทศที่ควรรู้ ด้านข้อมูล กรอบกำกับ AI ต้องสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่บังคับใช้แล้วและเป็นฐานทางกฎหมายของเสาข้อมูล
ด้านแนวทางกำกับ AI สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ ETDA ผ่านศูนย์ธรรมาภิบาลปัญญาประดิษฐ์ ได้ออกแนวทางกำกับดูแล AI สำหรับองค์กร รวมถึงคู่มือสำหรับผู้บริหาร โดยจัดรอบหลักธรรมาภิบาลเพื่อการใช้ AI ที่น่าเชื่อถือ ปลอดภัย และรับผิดชอบ พร้อมชุดหลักจริยธรรม AI ของไทยที่ครอบคลุมความโปร่งใส ความรับผิดชอบ ความเป็นธรรม และความมั่นคงปลอดภัย
จุดที่ต้องระวังคือ แนวทางของ ETDA เป็นระดับคำแนะนำ ไม่ใช่กฎหมายบังคับ และแม้จะมีการพูดถึงร่างกฎหมาย AI ของไทยอยู่ ก็ยังไม่ได้ประกาศใช้เป็นกฎหมาย องค์กรจึงควรใช้แนวทางเหล่านี้เป็นกรอบตั้งต้นที่ดี และติดตามความคืบหน้าของกฎหมายเป็นระยะ โดยไม่เข้าใจผิดว่ามีกฎหมาย AI บังคับใช้แล้ว
กล่องอัปเดต: สถานะกรอบและกฎหมาย (มิ.ย. 2569)
สถานะด้านล่างเปลี่ยนได้ ควรตรวจหน้าทางการเป็นระยะ ส่วนเสาหลักการกำกับด้านบนใช้ได้ข้ามฉบับ
- NIST AI RMF เป็นกรอบโดยสมัครใจ วางการทำงานสี่ส่วน กำกับ ระบุบริบท วัด และจัดการความเสี่ยง
- ISO/IEC 42001 เป็นมาตรฐานระบบบริหารจัดการ AI ฉบับแรก ประกาศปลายปี 2566 และขอรับรองได้
- หลักการ AI ของ OECD เป็นมาตรฐานระหว่างรัฐบาลฉบับแรก รับรองปี 2562 ปรับปรุงปี 2567
- ไทยมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บังคับใช้แล้ว และ ETDA ออกแนวทางกำกับ AI ระดับคำแนะนำ ส่วนกฎหมาย AI เฉพาะยังเป็นร่าง ไม่ได้ประกาศใช้
⚠️ ข้อควรระวัง
กรอบที่ไม่มีคนทำตามเท่ากับไม่มี เอกสารนโยบายกำกับที่ไม่มีเจ้าของและไม่มีกระบวนการจริงไม่ช่วยอะไร การกำกับเกิดเมื่อมีคนรับผิดชอบ มีบัญชีระบบที่ใช้ และมีการทบทวนจริง ไม่ใช่แค่มีเอกสาร
อย่าให้กรอบกลายเป็นเครื่องถ่วง เป้าของการกำกับคือขยายการใช้อย่างปลอดภัย ถ้ากระบวนการอนุมัติหนักจนทีมเลี่ยงไปใช้นอกระบบ จะได้ผลตรงข้าม ออกแบบให้กรอบสมดุลกับความเสี่ยงจริงของแต่ละงาน
อย่าอ้างกฎหมายที่ยังไม่มี ในการสื่อสารภายใน ระวังการพูดว่ามีกฎหมาย AI ไทยบังคับใช้แล้ว เพราะปัจจุบันยังเป็นแนวทางและร่าง การยึดข้อเท็จจริงนี้ช่วยให้นโยบายองค์กรตั้งอยู่บนฐานที่ถูกต้อง
ขั้นต่อไป
เริ่มจากสิ่งที่ทำได้เร็ว คือทำบัญชีว่าตอนนี้องค์กรใช้ AI ที่จุดใดบ้าง และกำหนดเจ้าของของแต่ละจุด จากนั้นร่างนโยบายการใช้ AI สั้น ๆ ที่อิงเสาหลักด้านบน แล้วค่อยขยับไปกระบวนการอนุมัติและการประเมินความเสี่ยง การเห็นภาพว่ามี AI อยู่ตรงไหนบ้างคือก้าวแรกของการกำกับที่ทำได้จริง
- 👉 นโยบายข้อมูลและความปลอดภัยเมื่อใช้ AI ในองค์กร เสาข้อมูลของกรอบกำกับ
- 👉 เริ่มใช้ AI ในองค์กร วางลำดับนำ AI เข้าองค์กรให้กำกับได้ตั้งแต่ต้น
- 👉 วัด ROI ของ AI ในองค์กร วัดคุณค่าควบคู่การกำกับความเสี่ยง
อัปเดตล่าสุด: 19 มิถุนายน 2569 · ประเภท: Guide