นโยบายข้อมูลและความปลอดภัยเมื่อใช้ AI ในองค์กร: เส้นแบ่งที่ต้องวางก่อนเปิดใช้

เอกสารฉบับหนึ่งหลุดออกไป โดยไม่มีใครตั้งใจ

พนักงานคนหนึ่งได้รับสัญญาฉบับเต็มจากคู่ค้า มีทั้งชื่อบริษัท ตัวเลขดีล และเงื่อนไขลับ เขาเปิดบัญชี AI ส่วนตัวที่ใช้อยู่ทุกวัน วางสัญญาลงไป แล้วพิมพ์ว่าช่วยสรุปประเด็นเสี่ยงให้หน่อย ได้คำตอบที่ดีในสามสิบวินาที งานเดินเร็วขึ้นจริง คำถามที่ไม่มีใครถามในจังหวะนั้นคือ ข้อมูลนั้นไปอยู่ที่ไหน ใครเห็นได้บ้าง และบัญชีแบบที่เขาใช้ ปกป้องข้อมูลขององค์กรได้จริงหรือไม่

เรื่องแบบนี้เกิดขึ้นเงียบ ๆ ในองค์กรที่ยังไม่มีนโยบายข้อมูลสำหรับ AI พนักงานไม่ได้ตั้งใจทำผิด เขาแค่อยากทำงานให้เสร็จ ช่องว่างอยู่ที่องค์กรไม่เคยบอกว่าอะไรป้อนได้และอะไรห้าม บทนี้วางเส้นแบ่งที่ผู้บริหารและฝ่าย IT ต้องตัดสินก่อนเปิดให้ทีมใช้ AI ทั้งกรอบกฎหมายไทย ความต่างของบัญชีที่หลายคนมองข้าม และนโยบายที่เขียนเป็นลายลักษณ์อักษรแล้วใช้ได้จริง

ความปลอดภัยของ AI ในองค์กรเริ่มที่เส้นแบ่งว่าข้อมูลประเภทใดออกจากบ้านได้และประเภทใดห้าม ก่อนจะไปถึงตัวเครื่องมือด้วยซ้ำ เพราะเครื่องมือที่ปลอดภัยที่สุดก็ยังรั่วได้ถ้าไม่มีใครรู้ว่าเส้นอยู่ตรงไหน

เส้นแบ่งแรก: บัญชีผู้บริโภคกับบัญชีองค์กรไม่เหมือนกัน

จุดที่เข้าใจผิดบ่อยที่สุดคือคิดว่าบัญชี AI ทุกแบบจัดการข้อมูลเหมือนกัน ความจริงต่างกันมากระหว่างบัญชีที่พนักงานสมัครเองกับบัญชีระดับองค์กร และความต่างนี้คือหัวใจของเรื่องความปลอดภัย

สำหรับบัญชีระดับองค์กร ผู้ให้บริการรายหลักวางเงื่อนไขข้อมูลที่เข้มกว่าชัดเจน OpenAI ระบุว่าโดยค่าเริ่มต้น ข้อมูลจากบัญชีกลุ่มธุรกิจ ทั้ง ChatGPT Enterprise, Team และการใช้ผ่าน API จะไม่ถูกนำไปฝึกหรือปรับปรุงโมเดล เช่นเดียวกับ Anthropic ที่ระบุว่าโดยค่าเริ่มต้น ข้อมูลจากผลิตภัณฑ์เชิงพาณิชย์อย่าง Claude for Work และ API จะไม่ถูกนำไปฝึกโมเดล

ฝั่งบัญชีผู้บริโภคเรื่องต่างออกไป บัญชีส่วนตัวมักมีทางเลือกให้ข้อมูลถูกนำไปใช้พัฒนาระบบ และเงื่อนไขเปลี่ยนได้ตามนโยบายที่ปรับเป็นระยะ ตัวอย่างที่ชัดคือ Anthropic ปรับเงื่อนไขผู้ใช้ทั่วไปในปี 2025 ให้ทุกคนต้องเลือกเองว่าจะให้บทสนทนาถูกใช้ปรับปรุงโมเดลหรือไม่ ความหมายเชิงปฏิบัติคือ การให้พนักงานป้อนข้อมูลองค์กรลงบัญชีส่วนตัว มีความเสี่ยงที่ต่างจากการใช้บัญชีองค์กรที่มีเงื่อนไขข้อมูลชัดเจน

เกณฑ์ที่จำง่ายคือ ถ้างานแตะข้อมูลภายในหรือข้อมูลลูกค้า ให้ใช้บัญชีระดับองค์กรที่ตั้งค่าเงื่อนไขข้อมูลไว้ ไม่ใช่บัญชีส่วนตัวของพนักงาน ต่อให้บัญชีส่วนตัวจะสะดวกและประหยัดกว่าก็ตาม

Shadow AI: ความเสี่ยงที่มองไม่เห็นเพราะไม่มีใครห้าม

เมื่อองค์กรไม่มีนโยบาย พนักงานไม่ได้หยุดใช้ AI พวกเขาใช้ต่อด้วยบัญชีส่วนตัวที่ตัวเองมี ปรากฏการณ์นี้เรียกว่า shadow AI คือการใช้เครื่องมือ AI นอกสายตาของฝ่าย IT โดยไม่มีการควบคุม

อันตรายของ shadow AI อยู่ที่การที่องค์กรมองไม่เห็นว่าข้อมูลอะไรไหลออกไปบ้าง เมื่อข้อมูลลับถูกป้อนเข้าบัญชีที่องค์กรไม่ได้ดูแล จะไม่มีบันทึก ไม่มีการควบคุมสิทธิ์ และเมื่อพนักงานคนนั้นลาออก บัญชีกับประวัติการใช้ก็ติดตัวเขาไป การสั่งห้ามใช้ AI มักดันให้คนหลบไปใช้แบบลับ ๆ มากกว่าเดิม ทางแก้ที่ได้ผลกว่าคือเปิดทางที่ปลอดภัยให้ใช้ พร้อมกรอบที่ชัดว่าอะไรทำได้

กรอบกฎหมายไทยที่องค์กรต้องรู้: PDPA

องค์กรในไทยมีเหตุผลทางกฎหมายเพิ่มที่ต้องวางนโยบายข้อมูลสำหรับ AI นั่นคือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันว่า PDPA ซึ่งบังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 และมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้กำกับดูแล

สาระที่เกี่ยวกับการใช้ AI โดยตรงคือ กฎหมายนี้คุมการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล การนำข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานไปป้อนเข้าระบบ AI ของบุคคลที่สามถือเป็นการประมวลผลและการส่งต่อข้อมูลรูปแบบหนึ่ง ซึ่งต้องมีฐานทางกฎหมายรองรับและต้องอยู่ในขอบเขตที่เจ้าของข้อมูลรับรู้ การเผลอวางข้อมูลส่วนบุคคลลงเครื่องมือ AI โดยไม่มีกรอบ จึงเพิ่มความเสี่ยงสองชั้นพร้อมกัน ทั้งด้านความลับและด้านการปฏิบัติตามกฎหมาย

ในทางปฏิบัติองค์กรไม่จำเป็นต้องเปลี่ยนทุกอย่างเพราะ PDPA แต่ต้องรวมการใช้ AI เข้าไว้ในนโยบายคุ้มครองข้อมูลที่มีอยู่ ระบุให้ชัดว่าข้อมูลส่วนบุคคลประเภทใดป้อนเข้า AI ได้ภายใต้เงื่อนไขใด และกำหนดผู้รับผิดชอบที่ตอบได้เมื่อมีคำถามเรื่องการปฏิบัติตามกฎหมาย

วางนโยบายข้อมูลที่ใช้ได้จริง สามเสาหลัก

นโยบายที่ดีคือกรอบสั้นที่พนักงานจำได้และทำตามได้ ส่วนเอกสารหนาที่ไม่มีใครเปิดอ่านช่วยอะไรไม่ได้ วางได้จากสามเสาหลัก

เสาแรก เลือกโครงสร้างบัญชีให้ถูก ถ้าใช้กันหลายคนและงานแตะข้อมูลภายใน ให้ขยับไปบัญชีระดับองค์กรแทนการรวมบัญชีส่วนตัวรายคน เพราะบัญชีองค์กรให้การจัดการบัญชีกลาง คุมสิทธิ์ได้ ปิดบัญชีพนักงานที่ลาออกได้ และมาพร้อมเงื่อนไขข้อมูลที่เข้มกว่า การลงทุนส่วนนี้คือฐานของความปลอดภัยที่เหลือ

เสาที่สอง จัดชั้นข้อมูลว่าอะไรป้อนได้และอะไรห้าม เขียนให้ชัดเป็นรายการที่พนักงานเปิดดูได้ทันที ข้อมูลที่ห้ามป้อนเด็ดขาดคือข้อมูลส่วนบุคคลของลูกค้าและพนักงาน เลขบัตรประชาชน รหัสผ่าน ความลับทางการค้า และสัญญาที่มีเงื่อนไขลับ ส่วนข้อมูลที่ป้อนได้คืองานทั่วไปที่ไม่ระบุตัวบุคคลและไม่ใช่ความลับ เส้นแบ่งที่เขียนไว้ล่วงหน้าช่วยให้พนักงานตัดสินใจถูกในจังหวะที่งานเร่ง

เสาที่สาม อบรมคนและทบทวนเป็นระยะ นโยบายมีค่าก็ต่อเมื่อคนเข้าใจ จัดอบรมสั้นให้ทีมรู้ว่าเส้นอยู่ตรงไหนและทำไม พร้อมย้ำว่า AI ตอบผิดได้และงานที่มีผลผูกพันต้องมีคนตรวจ จากนั้นทบทวนนโยบายเมื่อเครื่องมือหรือกฎหมายเปลี่ยน เพราะทั้งความสามารถของ AI และเงื่อนไขข้อมูลของผู้ให้บริการปรับได้เร็ว

กล่องอัปเดต: สถานะการใช้ข้อมูลตามค่าเริ่มต้น (มิ.ย. 2569)

เงื่อนไขข้อมูลของผู้ให้บริการเปลี่ยนได้ ข้อมูลด้านล่างยืนยัน ณ มิถุนายน 2569 จากหน้าทางการของแต่ละราย ก่อนวางนโยบายให้เปิดหน้าทางการตรวจซ้ำเสมอ

ประเภทบัญชี สถานะการนำข้อมูลไปฝึกโมเดล (ค่าเริ่มต้น)
บัญชีองค์กร OpenAI (Enterprise, Team, API) ไม่นำไปฝึกโมเดล
บัญชีองค์กร Anthropic (Claude for Work, API) ไม่นำไปฝึกโมเดล
บัญชีผู้บริโภคทั่วไป มีทางเลือกให้ข้อมูลถูกใช้พัฒนาระบบ เงื่อนไขปรับเป็นระยะ ต้องตรวจการตั้งค่าเอง

หลักที่ไม่เปลี่ยนคือ บัญชีองค์กรออกแบบมาเพื่อข้อมูลที่อ่อนไหว ส่วนบัญชีส่วนตัวไม่ใช่ ไม่ว่าตัวเลขหรือชื่อแผนจะเปลี่ยนไปอย่างไร

ประเภทบัญชี	สถานะการนำข้อมูลไปฝึกโมเดล (ค่าเริ่มต้น)
บัญชีองค์กร OpenAI (Enterprise, Team, API)	ไม่นำไปฝึกโมเดล
บัญชีองค์กร Anthropic (Claude for Work, API)	ไม่นำไปฝึกโมเดล
บัญชีผู้บริโภคทั่วไป	มีทางเลือกให้ข้อมูลถูกใช้พัฒนาระบบ เงื่อนไขปรับเป็นระยะ ต้องตรวจการตั้งค่าเอง

⚠️ ข้อควรระวังที่มักถูกมองข้าม

ค่าเริ่มต้นไม่ใช่หลักประกันถาวร การที่บัญชีองค์กรไม่นำข้อมูลไปฝึกโมเดลโดยค่าเริ่มต้น ไม่ได้แปลว่าทุกการตั้งค่าปลอดภัยเท่ากัน ฝ่าย IT ต้องตรวจการตั้งค่าจริงของบัญชี และอ่านเงื่อนไขสัญญาระดับองค์กรก่อนเปิดให้ทีมใช้ ไม่ใช่อนุมานจากค่าเริ่มต้นเพียงอย่างเดียว

ความเสี่ยงไม่ได้จบที่การฝึกโมเดล แม้ข้อมูลจะไม่ถูกนำไปฝึก การส่งข้อมูลลับออกนอกองค์กรก็ยังเป็นการเพิ่มจุดที่ข้อมูลอาจรั่วได้อยู่ดี การจัดชั้นข้อมูลว่าอะไรไม่ควรออกจากองค์กรเลย จึงสำคัญกว่าการดูแค่ว่าผู้ให้บริการเอาไปฝึกหรือไม่

นโยบายที่ไม่มีคนรู้เท่ากับไม่มี เอกสารนโยบายที่เก็บในไดรฟ์โดยไม่มีใครอ่านไม่ช่วยอะไร ความปลอดภัยเกิดเมื่อพนักงานหน้างานรู้เส้นแบ่งและทำตามได้ การสื่อสารและอบรมจึงเป็นส่วนหนึ่งของนโยบาย ไม่ใช่ขั้นตอนเสริม

ขั้นต่อไป

เริ่มจากสิ่งที่ทำได้ในสัปดาห์นี้ คือเขียนรายการสั้นว่าข้อมูลประเภทใดห้ามป้อนเข้า AI เด็ดขาด แล้วสื่อสารให้ทีมรู้ จากนั้นค่อยขยับไปเรื่องโครงสร้างบัญชีและการรวมเข้ากับนโยบาย PDPA ที่มีอยู่ การมีเส้นแบ่งที่ชัดแม้เพียงข้อเดียว ดีกว่าปล่อยให้ทุกคนเดาเอง

👉 ChatGPT กับ Gemini กับ Claude เลือกตัวไหนดี ดูความต่างของแผนองค์กรแต่ละค่ายก่อนเลือก
👉 ใช้ AI เป็นที่ปรึกษาธุรกิจ มุมใช้ AI กับงานตัดสินใจในองค์กร
👉 AI ฟรี กับ เสียเงิน เลือกแบบไหน เกณฑ์เลือกแผน รวมถึงแผนระดับองค์กร

อัปเดตล่าสุด: 19 มิถุนายน 2569 · ประเภท: Guide

ค้นหาเนื้อหา