สารบัญ
AAISM Series — คู่มือคุม AI ในมุมคนบริหาร (ไม่ใช่มุมผู้ตรวจ) ตอนที่ 04 / Domain 1 — AI Governance & Program Management ซีรีส์นี้เล่าจากมุม “เจ้าของกิจการ / CISO ที่เอา AI มาใช้จริง” ว่าต้องตัดสินใจอะไรบ้าง (สารบัญเต็มจะตามมา)
📚 ตอนนี้ผมจะ ไม่ อธิบายตั้งแต่ศูนย์ว่า “framework คืออะไร” หรือ “ISO / NIST / COBIT เขาทำงานกันยังไง” เพราะเล่าไว้ละเอียดแล้วในซีรีส์ CyberSecurity Foundation ตอนที่ 08 — Frameworks ใครยังงงคำว่า framework กับ standard ต่างกันตรงไหน แวะไปอ่านปูพื้นก่อนได้ครับ ตอนนี้เราจะโฟกัสเฉพาะของที่เป็น AI โดยเฉพาะ กับคำถามที่เจ้าของกิจการต้องตอบจริงๆ
ลองนึกภาพโรงงานผลิตเครื่องสำอางขนาดกลางแห่งหนึ่ง (สมมติขึ้นมาให้เห็นภาพนะครับ) ปีนี้เจ้าของเริ่มเอา AI มาใช้จริงจัง — chatbot ตอบลูกค้าใน LINE, ใช้ AI ช่วยร่างแคปชั่นขายของ, แล้วก็เพิ่งลองให้ AI ช่วยคัดใบสมัครงานตอนรับพนักงานเข้าใหม่
อยู่มาวันหนึ่งมีคนในทีมถามขึ้นมากลางวงกินข้าวว่า “ที่เราใช้ AI กันอยู่เนี่ย มันมีกฎหมายอะไรคุมรึเปล่า เดี๋ยวโดนปรับ” เจ้าของนิ่งไปแป๊บ แล้วตอบว่า ”…ก็ไม่รู้เหมือนกันแฮะ”
นั่นแหละครับคือคำถามของตอนนี้ — “เราต้องทำตามกฎอะไรบ้าง? แล้วมาตรฐานไหนที่ควรเอามาใช้?”
ฟังเผินๆ เหมือนคำถามเดียว แต่จริงๆ มันคือคำถามสองอันที่คนชอบเอามาปนกันจนงง:
- กฎหมายที่เราต้องทำตาม — ฝ่าฝืน = โดนปรับ โดนฟ้อง (mandatory)
- มาตรฐาน/กรอบที่เราเลือกหยิบมาใช้เอง — ไม่ทำก็ไม่ผิดกฎหมาย แต่ทำแล้วชีวิตง่ายขึ้น (voluntary)
ทั้งสองอันเป็น “กฎ” เหมือนกัน แต่คนละชั้นกันเลย ถ้าแยกสองอันนี้ออกจากกันได้ ครึ่งนึงของความปวดหัวก็หายไปแล้วครับ
เปรียบเทียบง่ายๆ ก่อน — พนักงานใหม่ที่ชื่อ AI
ทั้งซีรีส์นี้ผมชวนมองว่า AI = พนักงานใหม่เก่งๆ คนนึงที่เราต้องกำกับ ไม่ใช่เครื่องมือวิเศษที่เสกแล้วจบ
ลองคิดแบบนี้ครับ เวลาเรารับพนักงานคนใหม่เข้ามา มันมีกฎสองชั้นที่คนคนนั้นต้องอยู่ใต้:
- กฎหมายแรงงาน — อันนี้รัฐบังคับ ไม่ทำตามโดนปรับ เช่น ค่าแรงขั้นต่ำ ชั่วโมงทำงาน ความปลอดภัย เราเลือกไม่ได้ว่าจะทำหรือไม่ทำ
- คู่มือพนักงาน / SOP ของบริษัท — อันนี้เราเขียนเอง เลือกเอง จะใช้แบบบริษัทอื่นก็ได้ จะแต่งเองก็ได้ มันคือ “วิธีที่ดี” ที่เราอยากให้คนทำงานเดินตาม แต่ไม่มีตำรวจมาจับถ้าไม่มี
พนักงาน AI ก็เป๊ะเลยครับ กฎหมาย AI (เช่น EU AI Act, PDPA) = กฎหมายแรงงาน · มาตรฐาน AI (เช่น ISO 42001, NIST AI RMF) = คู่มือพนักงานที่เราเลือกหยิบมาใช้
เอาล่ะ เริ่มจากชั้นที่ “เลือกได้” ก่อน เพราะมันเครียดน้อยกว่า 555+
ชั้นที่ 1 — มาตรฐาน/กรอบที่เรา “เลือกหยิบมาใช้” (voluntary)
ของพวกนี้คือเครื่องมือที่องค์กรกลางๆ ระดับโลกทำขึ้นมาให้เราใช้ฟรี (หรือซื้อมาตรฐานมาอ่าน) ไม่มีใครบังคับว่าต้องใช้ แต่ใช้แล้วได้สามอย่าง: ทำงานเป็นระบบ, คุยกับคู่ค้า/ลูกค้าต่างชาติได้ว่า “เราทำตามมาตรฐานสากลนะ”, และเตรียมตัวรับกฎหมายที่กำลังจะมาในอนาคต
ผมจะไม่ไล่ทุกตัวให้ครบเป็นพจนานุกรม เพราะน่าเบื่อและไม่มีประโยชน์ ขอเลือกตัวที่เจ้าของกิจการไทยน่าจะได้ยินบ่อยและเอาไปใช้ได้จริงมาเล่าแบบ “เอามาใช้ทำไม เหมาะกับใคร”
ISO/IEC 42001 — “ระบบบริหารจัดการ AI” ทั้งบริษัท
ถ้าคุณเคยได้ยิน ISO 9001 (ระบบบริหารคุณภาพ) หรือ ISO 27001 (ระบบความมั่นคงปลอดภัยข้อมูล) ตัวนี้ก็ตระกูลเดียวกันเลยครับ ISO/IEC 42001 คือมาตรฐานสำหรับ “ระบบบริหารจัดการ AI” (AI Management System) ออกปี 2023 เป็นมาตรฐาน สมัครใจ เน้นเรื่องใช้ AI อย่างมีจริยธรรม โปร่งใส และรับผิดชอบ
จุดเด่นของมันคือมันไม่ได้บอกว่า “โมเดลต้องเขียนโค้ดยังไง” แต่บอกว่า “องค์กรต้องตั้งกระบวนการกำกับ AI ยังไง” — ใครรับผิดชอบ, ทบทวนความเสี่ยงตอนไหน, ปรับปรุงต่อเนื่องยังไง เหมาะกับองค์กรที่อยากเอาจริง อยากได้ใบรับรองไปโชว์คู่ค้าว่า “เราคุม AI เป็นระบบ” หรือบริษัทที่มี ISO ตัวอื่นอยู่แล้วและอยากต่อยอด
เกร็ดที่มักงงกัน: ISO ยังมีอีกตัวคือ ISO/IEC 23053 ซึ่งเป็น “กรอบอธิบายว่าระบบ AI ที่ใช้ machine learning หน้าตาเป็นยังไง” — อันนี้เป็นเชิงเทคนิค/คำศัพท์ ไว้ให้ทีมเทคนิคคุยกันรู้เรื่อง ไม่ใช่ตัวที่เจ้าของกิจการต้องเอามาทำ ผมแยกให้เห็นว่ามันคนละบทบาทกับ 42001 ที่เป็นเรื่องบริหาร
NIST AI RMF — กรอบจัดการ “ความเสี่ยง” ของ AI
NIST AI Risk Management Framework ออกโดยสถาบันมาตรฐานของรัฐบาลสหรัฐฯ (NIST) เป็นกรอบ ใช้ฟรี ดาวน์โหลดได้ ที่ช่วยให้องค์กร “มองหา-ประเมิน-ลด” ความเสี่ยงของระบบ AI อย่างเป็นขั้นเป็นตอน
ต่างจาก ISO 42001 ตรงที่ ISO เน้น “ระบบบริหารทั้งองค์กร + มีใบเซอร์” ส่วน NIST AI RMF เป็นเหมือน “คู่มือคิดเรื่องความเสี่ยง” ที่เบากว่า เริ่มง่ายกว่า ไม่ต้องสอบใบรับรอง เหมาะกับบริษัทที่อยากเริ่มต้น “คิดเป็นระบบ” โดยไม่ต้องลงทุนทำ certification เต็มรูปแบบ หลายบริษัทใช้ NIST AI RMF เป็นจุดตั้งต้น แล้วค่อยขยับไป ISO 42001 ทีหลังเมื่อพร้อม
ตัวเลือกอื่นที่ควรรู้จักไว้ (แต่ไม่ต้องเริ่มจากมัน)
นอกจากสองตัวหลักข้างบน ยังมีของอีกหลายชิ้นที่เจ้าของกิจการควร “รู้ว่ามีอยู่” เผื่อเจอในเอกสารหรือบทสนทนากับที่ปรึกษา ผมขอสรุปเป็นตารางในมุม “เหมาะกับใคร”:
| เครื่องมือ (สมัครใจ) | ใครออก | เอามาใช้ตอนไหน |
|---|---|---|
| ISO/IEC 42001 | ISO/IEC | อยากได้ระบบบริหาร AI ทั้งองค์กร + ใบรับรองไปโชว์คู่ค้า |
| NIST AI RMF | NIST (สหรัฐฯ) | อยากเริ่มคิดเรื่องความเสี่ยง AI เป็นระบบ แบบเบาๆ ไม่มีใบเซอร์ |
| OECD AI Principles | OECD (กลุ่มประเทศพัฒนาแล้ว) | อยากได้ “หลักการกว้างๆ” ระดับนโยบาย เช่น โปร่งใส เป็นธรรม ยั่งยืน ไว้เป็นเข็มทิศ |
| IEEE 7000 | IEEE (สมาคมวิศวกร) | ทีมพัฒนาอยากฝัง “คุณค่าของมนุษย์” เข้าไปตั้งแต่ตอนออกแบบระบบ |
| Singapore Model AI Governance Framework | หน่วยงานคุ้มครองข้อมูลของสิงคโปร์ | อยากได้คู่มือที่ทำมาเพื่อ “เอาไปใช้จริง” ในบริบทเอเชีย เข้าใจง่าย |
| CSA Four Pillars | Cloud Security Alliance | อยากได้วิธีบันทึก/ตรวจสอบโมเดลแบบเป็นเอกสาร (ดูหัวข้อถัดไป) |
ไม่ต้องตกใจกับจำนวนนะครับ คุณไม่ได้ต้องทำทุกตัว — ส่วนใหญ่เนื้อหามันซ้อนทับกันเยอะมาก เลือกตัวที่เป็นหลักหนึ่งสองตัวก็พอ
COBIT — เอากรอบ IT governance เดิมมาคุม AI
อันนี้น่าสนใจสำหรับบริษัทที่มีฝ่าย IT อยู่แล้ว COBIT เป็นกรอบกำกับดูแล IT ที่มีมานานก่อนยุค AI (เคยเล่าใน CyberSec EP.08) จุดประสงค์หลักของมันคือทำให้ “IT สอดคล้องกับเป้าหมายธุรกิจ + คุมความเสี่ยง + ใช้ทรัพยากรคุ้ม”
แทนที่จะหากรอบใหม่ทั้งหมด COBIT บอกว่า “เอาหลักการเดิมของฉันนี่แหละ มาครอบวงจรชีวิต AI ได้เลย” คิดง่ายๆ ว่ามันแบ่งงานกำกับ AI ออกตามจังหวะ:
- ตอนวางกลยุทธ์ — ผู้บริหารประเมินว่า AI จะกระทบธุรกิจยังไง ควรลงทุนแค่ไหน วัดผลกับเป้าองค์กรยังไง
- ตอนวางแผน/สร้าง — ตั้งโครงสร้างความรับผิดชอบ, นโยบายข้อมูล, จัดการเรื่อง bias กับช่องโหว่ความปลอดภัยตั้งแต่ต้น
- ตอนเอาไปใช้จริง — รวม AI เข้าระบบเดิมอย่างปลอดภัย มีการทดสอบ มี change management ไม่ให้ของใหม่ไปพังของเก่า
- ตอนใช้งานประจำวัน — ดูแลให้ AI ทำงานนิ่ง บริการไม่ล่ม ปกป้องจากภัยไซเบอร์
- ตอนเฝ้าระวัง — วัดผลต่อเนื่อง เช็คว่ายัง compliant กับกฎที่เปลี่ยนไปเรื่อยๆ ไหม
ข้อดีคือถ้าองค์กรคุณคุ้นกับ COBIT อยู่แล้ว ไม่ต้องเรียนรู้ของใหม่ทั้งกระบิ แค่ขยายมุมมองมาครอบ AI
CSA “Four Pillars” — เอกสารกำกับโมเดลแบบเป็นชิ้นเป็นอัน
อันสุดท้ายที่ผมชอบเพราะมัน “จับต้องได้” คือกรอบ Four Pillars ของ Cloud Security Alliance (CSA) มันบอกว่าถ้าจะใช้ AI อย่างรับผิดชอบ ควรมีเอกสาร 4 ชิ้นนี้ติดตัวโมเดลไว้ ผมขอเล่าด้วยภาษาคน:
- Model Card — “บัตรประจำตัวโมเดล” บอกว่าโมเดลนี้ทำอะไรได้ ฝึกมาจากอะไร เก่ง/ไม่เก่งเรื่องไหน มีข้อจำกัดอะไร
- Data Sheet — “ใบบรรยายข้อมูล” ที่เอามาฝึก ใช้ข้อมูลอะไร มาจากไหน มีอคติ (bias) แฝงไหม
- Risk Card — “การ์ดความเสี่ยง” รวมความเสี่ยงที่เจอตอนพัฒนา/ใช้งาน พร้อมวิธีที่วางแผนจะแก้
- Scenario Planning — “ซ้อมสถานการณ์” สมมติว่าโมเดลถูกใช้ผิดทางหรือพังได้ยังไง แล้ววางแผนรับมือ
สี่ตัวนี้ทำงานต่อกันเป็นวงจรนะครับ เริ่มจากรู้จักข้อมูลและโมเดลก่อน (Data Sheet กับ Model Card) แล้วค่อยประเมินความเสี่ยง (Risk Card) จากนั้นก็ซ้อมสถานการณ์ (Scenario Planning) เจอความเสี่ยงใหม่ก็วนกลับมาอัปเดต เหมาะมากสำหรับบริษัทที่ “สร้าง” หรือ “ปรับแต่ง” โมเดลเอง เพราะมันบังคับให้เราจดทุกอย่างเป็นลายลักษณ์อักษร เวลามีปัญหาจะตามรอยได้
ชั้นที่ 2 — กฎหมายที่เรา “ต้องทำตาม” (mandatory)
ทีนี้มาถึงชั้นที่เครียดกว่า เพราะอันนี้ฝ่าฝืน = โดนปรับจริง โดนฟ้องจริง ไม่ใช่แค่ “เสียโอกาส”
เรื่องน่าปวดหัวคือกฎหมาย AI ทั่วโลกตอนนี้ยัง ใหม่มากและกระจัดกระจาย หลายประเทศยังร่างกันไม่เสร็จ บางอันออกในระดับรัฐ/มณฑลเท่านั้น ยังไม่มีคดีตัวอย่างให้ดูว่าศาลจะตีความยังไง พูดง่ายๆ คือมันคือสนามที่กติกายังเปลี่ยนทุกเดือน
ผมจะไม่ไล่กฎหมายทุกประเทศให้ครบ (เพราะอ่านแล้วลืม และไม่เกี่ยวกับเจ้าของกิจการไทยส่วนใหญ่) ขอเลือก สองตัวที่กระทบคนไทยจริงๆ มาเล่าให้ลึก แทนที่จะแตะทุกตัวแบบผิวๆ
EU AI Act — กฎหมายตัวใหญ่ที่ไกลแค่ไหนก็ตามมาถึง
นี่คือกฎหมาย AI ที่ครบเครื่องที่สุดในโลกตอนนี้ครับ ออกโดยสหภาพยุโรป (EU) เริ่มมีผลบางส่วนตั้งแต่ปี 2024 หัวใจของมันคือ แบ่ง AI ตามระดับความเสี่ยง แล้วคุมหนักเบาต่างกัน ขอสรุปด้วยภาษาคนเป็น 4 ชั้นแบบนี้
| ระดับความเสี่ยง | ตัวอย่าง (เล่าด้วยภาษาคน) | กฎหมายว่ายังไง |
|---|---|---|
| ห้ามเลย | ระบบให้คะแนนความดีของพลเมือง (social scoring), หลอกล่อจิตใจคน | ใช้ไม่ได้ ผิดกฎหมายทันที |
| เสี่ยงสูง | AI คัดคนเข้าทำงาน, AI ตัดสินเรื่องสำคัญในชีวิตคน | ใช้ได้ แต่ต้องมีคนคุม มีเอกสาร โปร่งใส เข้มมาก |
| เสี่ยงจำกัด | chatbot, ภาพ/วิดีโอ deepfake | ใช้ได้ แต่ต้อง “บอกให้รู้” ว่านี่คือ AI นะ |
| เสี่ยงน้อย | ตัวกรองสแปม, AI ในเกม | แทบไม่มีข้อบังคับพิเศษ |
ทีนี้คำถามสำคัญสำหรับเจ้าของกิจการไทยทุกคน คือ “กฎหมายของยุโรป เกี่ยวอะไรกับฉันที่อยู่เมืองไทย?”
คำตอบคือ เกี่ยว ครับ ถ้าธุรกิจคุณ “เอื้อมไปถึง” คนในยุโรป จุดนี้สำคัญมาก EU AI Act มีลักษณะ “เอื้อมข้ามพรมแดน” (extraterritorial) แปลว่าต่อให้บริษัทคุณตั้งอยู่ในไทย แต่ถ้าคุณส่งสินค้า/บริการที่มี AI ไปขายให้ลูกค้าในยุโรป หรือผลลัพธ์ของ AI คุณไปใช้กับคนในยุโรป คุณก็อาจต้องอยู่ใต้กฎนี้ด้วย เหมือนที่ GDPR (กฎหมายข้อมูลส่วนบุคคลของยุโรป) เคยทำให้บริษัทไทยที่มีลูกค้ายุโรปต้องปรับตัวมาแล้ว
บทลงโทษก็ไม่ใช่เล่นๆ — โทษปรับสูงสุดของ EU AI Act ไปได้ถึงระดับเปอร์เซ็นต์ของรายได้ทั้งปีทั่วโลกของบริษัท ซึ่งเป็นตัวเลขที่ทำให้บริษัทขนาดกลางสะดุ้งได้เลย ฉะนั้นถ้าธุรกิจคุณมีลูกค้ายุโรปแม้แต่นิดเดียว อันนี้ต้องให้ที่ปรึกษากฎหมายดูจริงจัง
PDPA — กฎหมายไทยที่ AI ของคุณชนแน่ๆ
ในประเทศไทย ตอนนี้เรายังไม่มี “กฎหมาย AI” เฉพาะที่บังคับใช้แล้ว แต่อย่าเพิ่งดีใจครับ เพราะมีกฎหมายอีกตัวที่ AI ของคุณ “ชน” แน่ๆ คือ PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล)
เหตุผลง่ายมาก — AI แทบทุกตัวกินข้อมูลส่วนบุคคลเข้าไปทำงาน ไม่ว่าจะ chatbot ที่เก็บข้อความลูกค้า, AI คัดใบสมัครงานที่อ่านประวัติผู้สมัคร, หรือระบบแนะนำสินค้าที่วิเคราะห์พฤติกรรมการซื้อ ทั้งหมดนี้คือการประมวลผลข้อมูลส่วนบุคคล ซึ่ง PDPA คุมอยู่ และฝ่าฝืนก็มีโทษปรับจริง
ทำให้แม้ “กฎหมาย AI ไทย” ยังไม่มา แต่เจ้าของกิจการไทยก็ต้องคิดเรื่องนี้ตั้งแต่วันนี้ เช่น
- เก็บข้อความที่ลูกค้าคุยกับ chatbot ไปทำอะไรต่อ ขอความยินยอมหรือยัง
- เอาประวัติพนักงานไปป้อนให้ AI ภายนอก (เช่น ChatGPT) วิเคราะห์ ข้อมูลรั่วไปไหม
- AI คัดคนเข้าทำงานของเรา มันเลือกปฏิบัติ (เช่น เหยียดเพศ/อายุ) โดยไม่ตั้งใจรึเปล่า ซึ่งนอกจาก PDPA ยังโยงกฎหมายแรงงานด้วย
(เรื่อง PDPA กับความเป็นส่วนตัวพื้นฐาน ผมเล่าไว้ใน CyberSec EP.49 ใครอยากปูพื้นแวะไปได้)
ความจริงที่ต้องยอมรับ — กฎหมายยังตามไม่ทัน AI
จุดที่ผมอยากให้เจ้าของกิจการเข้าใจมากที่สุดในตอนนี้คือ — กฎหมายวิ่งช้ากว่าเทคโนโลยีเสมอ เรียกว่ามี “ช่องว่าง” (regulatory gap) ที่กว้างมาก
ปัญหาที่ตามมามีหลายชั้น:
- แต่ละประเทศคุมไม่เหมือนกัน ทำให้บริษัทที่ทำธุรกิจหลายประเทศต้องปวดหัวว่าจะทำตามกฎไหน บางทีกฎสองประเทศก็ขัดกันเอง
- บางอุตสาหกรรมมีกติกาชัด บางอันยังเถื่อน เช่น วงการสุขภาพรับเรื่องกำกับ AI ไวมากเพราะเกี่ยวกับชีวิตคนไข้ ส่วนวงการการเงินหรือการศึกษายังคุมเรื่องความเป็นธรรม/อคติได้ไม่ครบ
- ช่องว่างที่ร้ายที่สุดอยู่ในบริษัทเราเอง — คือไม่มีใครรู้ว่า “ใครเป็นเจ้าของเรื่องกำกับ AI” สุดท้าย AI ที่เอามาใช้ก็ไม่สอดคล้องกับนโยบายและกลยุทธ์ของบริษัท
ข้อสุดท้ายนี่แหละครับคือสิ่งที่เจ้าของกิจการแก้ได้ “วันนี้เลย” โดยไม่ต้องรอกฎหมาย — แค่ชี้ตัวคนรับผิดชอบให้ชัด
มุมผู้บริหาร — แล้วฉันควรทำยังไงดี?
มาถึงตรงนี้เจ้าของกิจการคงเริ่มเห็นภาพแล้วว่าทำไมมันถึงงง เพราะมัน “งง” จริงๆ ครับ 555+ แต่จัดการได้ ผมขอสรุปเป็นวิธีคิดของคนบริหารแบบไม่ต้องเป็นผู้เชี่ยวชาญ
มุมผู้บริหาร: ก่อนตัดสินใจเรื่องกฎ AI ลองตอบคำถาม 5 ข้อนี้กับตัวเองให้ได้ก่อน
- ธุรกิจเราเอื้อมไปถึงต่างประเทศไหม? ถ้ามีลูกค้า/คู่ค้าในยุโรป → EU AI Act อาจตามมาถึง อย่ามองข้าม
- AI ของเรากินข้อมูลส่วนบุคคลรึเปล่า? ถ้าใช่ (เกือบทุกตัวใช่) → PDPA คุมอยู่แล้ว ต้องดูเรื่องความยินยอมและการรั่วไหล
- AI ของเราตัดสินใจเรื่องที่กระทบชีวิตคนไหม? (เช่น คัดคนเข้าทำงาน อนุมัติสินเชื่อ) → ถือเป็น “ความเสี่ยงสูง” ต้องมีคนคุม มีเอกสาร มีกระบวนการอุทธรณ์
- เราอยากได้แค่ “กรอบความคิด” หรือ “ใบรับรอง”? อยากเริ่มเบาๆ → NIST AI RMF · อยากเอาจริงมีใบเซอร์ → ISO 42001
- ใครในบริษัทเป็นเจ้าของเรื่องนี้? ถ้ายังตอบไม่ได้ ให้แก้ข้อนี้ก่อนข้ออื่นทั้งหมด
แล้วเรื่อง “กฎเปลี่ยนตลอด” จะตามทันยังไง? ผมไม่แนะนำให้เจ้าของกิจการนั่งอ่านกฎหมายเองทุกฉบับหรอกครับ เสียเวลาและไม่ใช่งานเรา สิ่งที่ทำได้จริงคือ
- เลือกมาตรฐานหลักหนึ่งตัวเป็นหลักยึด (เช่น NIST AI RMF) แล้วเดินตามมันก่อน ดีกว่าไม่มีอะไรเลย
- ตั้งคนหรือทีมที่ “คอยตามข่าว” กฎ AI ที่เกี่ยวกับธุรกิจเรา (โยงกับเรื่อง AI governance committee ที่เล่าในตอนก่อนๆ)
- มีที่ปรึกษากฎหมายที่ไว้ใจได้ ไว้ถามตอนจะทำอะไรเสี่ยงๆ โดยเฉพาะถ้าแตะตลาดยุโรป
- อย่ารอให้กฎหมายมาครบก่อนแล้วค่อยทำ — เพราะกว่ามันจะครบ ธุรกิจคุณใช้ AI ไปไกลแล้ว ทำเท่าที่ทำได้ตั้งแต่วันนี้ดีกว่า
สรุปสั้นๆ ให้ตัวเองจำได้
อ่านมาถึงตรงนี้ ขอจดกันลืมไว้สามอย่างครับ
อย่างแรก — แยก “บังคับ” กับ “แนะนำ” ให้ออก กฎหมาย (EU AI Act, PDPA) = ฝ่าฝืนโดนปรับ ต้องทำ · มาตรฐาน (ISO 42001, NIST AI RMF) = เลือกหยิบมาใช้ ไม่ทำก็ไม่ผิดกฎหมาย แต่ทำแล้วดีกับตัวเอง สองอันนี้คนละชั้นกัน อย่าเอามาปนกัน
อย่างที่สอง — กฎต่างชาติก็ตามมาถึงไทยได้ EU AI Act เอื้อมข้ามพรมแดนเหมือนที่ GDPR เคยทำ ถ้าธุรกิจคุณมีลูกค้ายุโรป อย่าคิดว่า “ไม่เกี่ยว” และในไทย PDPA คุม AI ที่ใช้ข้อมูลส่วนบุคคลอยู่แล้วตั้งแต่วันนี้
อย่างที่สาม — กฎหมายตามไม่ทัน AI เป็นเรื่องปกติ อย่ารอให้กติกาครบ ให้เลือกมาตรฐานหลักหนึ่งตัวมายึด ตั้งคนรับผิดชอบให้ชัด แล้วเดินไปก่อน ปรับตามทางได้
ถ้าจะสรุปแบบที่เจ้าของกิจการหลายคนน่าจะพยักหน้าตาม — “งั้นก็ไม่ต้องรู้กฎหมายทุกข้อใช่มะ แค่รู้ว่าอันไหนบังคับ อันไหนแค่แนะนำ แล้วหาคนช่วยดูให้ถูกจุด” ใช่เลยครับ นั่นแหละคืองานของคนบริหาร
ตอนหน้าเราจะขยับจากคำถาม “ต้องทำตามกฎอะไร” ไปสู่คำถามที่เจ้าของกิจการชอบถามมากกว่า — “เอา AI ไปทำงานไหนถึงจะคุ้ม? งานแบบไหนที่ไม่ควรเอา AI ไปแตะ?” เรื่อง use case กับการคิด business case ของ AI ในมุมเงินๆ ทองๆ ไว้เจอกันครับ
อ้างอิงเนื้อหา: AAISM — Domain 1: Section 1.3 (AI Standards, Frameworks, and Regulations) แหล่งสาธารณะที่อ้างถึงโดยตรง: ISO/IEC 42001 & 23053 (iso.org) · NIST AI Risk Management Framework (nist.gov) · OECD AI Principles (oecd.org) · EU Artificial Intelligence Act (กฎหมายสหภาพยุโรป) · CSA AI Model Risk Management Framework (cloudsecurityalliance.org) · พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
