AAISM Series ตอนที่ 06 : D1 - สร้างเอง vs ซื้อ AI + คุม vendor + Shared Responsibility (ใครรับผิดถ้า AI พัง)

AAISM Series — คู่มือคุม AI ในมุมคนบริหาร (ไม่ใช่มุมผู้ตรวจ) ตอนที่ 06 / Domain 1 — AI Governance & Program Management ซีรีส์นี้เล่าจากมุม “เจ้าของกิจการ / CISO ที่เอา AI มาใช้จริง” ว่าต้องตัดสินใจอะไรบ้าง (สารบัญเต็มจะตามมา)

📚 ตอนนี้มีคำว่า “Shared Responsibility” โผล่มาเยอะ ใครยังไม่แม่นว่ามันคืออะไร — แนวคิด “แบ่งความรับผิดชอบกับเจ้าของระบบ” เนี่ย ผมเล่าไว้ละเอียดมากแล้วในซีรีส์ CyberSecurity Foundation ตอนที่ 32 — Cloud + Shared Responsibility (เช่าคอนโด vs ซื้อตึก) ใครยังงงว่าทำไม “ใช้ของคนอื่นแต่ก็ยังต้องรับผิดชอบบางส่วน” แวะไปปูพื้นก่อนได้ครับ ตอนนี้เราจะหยิบแนวคิดเดียวกันมาใส่บริบท AI โดยเฉพาะ กับคำถามที่เจ้าของกิจการต้องตัดสินใจจริงๆ

ตอนก่อนๆ เราคุยกันเรื่องว่า AI ต้องอยู่ใต้กฎอะไรบ้าง (มาตรฐานที่เลือกใช้ vs กฎหมายที่ต้องตาม) แล้วก็เรื่องว่าเอา AI ไปทำงานไหนถึงจะคุ้ม ตอนนี้เราจะมาถึงคำถามที่เจ้าของกิจการต้องเซ็นชื่อตัดสินใจจริงๆ แล้ว

“แล้วตกลงเราจะเอา AI มาจากไหน? สร้างเองหรือซื้อเขามา? แล้วถ้ามันพังขึ้นมา ใครรับผิด?”

ลองนึกภาพร้านขายของออนไลน์ขนาดกลางแห่งหนึ่ง (สมมติขึ้นมาให้เห็นภาพนะครับ) ปีนี้เจ้าของอยากได้ระบบ AI ตอบแชตลูกค้า 24 ชั่วโมง กับ AI ช่วยแนะนำสินค้าให้ตรงใจคนซื้อ พอคุยกับทีม IT ก็เจอทางแยกทันที คนนึงบอก “เขียนเองสิพี่ คุมได้หมด” อีกคนบอก “ซื้อเจ้าที่ขายอยู่แล้วดีกว่า เร็วกว่าเยอะ” เจ้าของฟังแล้วก็… งง เพราะทั้งสองคนพูดถูกในมุมของตัวเอง

นี่แหละครับคือหัวใจของตอนนี้ และมันไม่ได้จบแค่ “สร้างหรือซื้อ” เพราะถ้าเลือกซื้อ มันลากมาอีกสองคำถามที่หนักกว่า คือ “จะคุมคนขายยังไง” กับ “ถ้า AI ทำพลาด ใครต้องเป็นคนรับ” ซึ่งข้อหลังนี่แหละที่บริษัทส่วนใหญ่ตอบไม่ได้จนกระทั่งเกิดเรื่องแล้ว

ทบทวนแว่นที่เราใส่ — AI = พนักงานใหม่เก่งๆ ที่ต้องกำกับ#

ทั้งซีรีส์นี้ผมชวนมองว่า AI = พนักงานใหม่เก่งสุดๆ คนนึงที่เราต้องกำกับ ไม่ใช่เครื่องวิเศษที่เสกแล้วจบ

ตอนนี้แว่นอันนี้ใส่ได้พอดีเป๊ะเลย เพราะเวลาเราต้องการ “คนเก่ง” มาช่วยงาน เราก็มีทางเลือกเดียวกันนี่แหละ:

สร้างเอง (build) = ปั้นคนในบ้านขึ้นมาเอง ส่งไปเรียน เทรนเอง คุมได้ทุกอย่าง แต่ช้า แพง และต้องมีครูเก่งพอ
ซื้อมา / จ้างเอาท์ซอร์ส (buy) = จ้างเอเจนซี่หรือบริษัทรับเหมามาทำให้ เร็ว ไม่ต้องเทรนเอง แต่เราไม่ได้คุมเขาเต็มที่ และต้องไว้ใจว่าเขาทำงานได้มาตรฐานเรา

แล้วพอเป็น “คนของเอเจนซี่” ที่มาทำงานในบ้านเรา คำถามที่ตามมาทันทีคือ ถ้าคนคนนั้นทำงานพลาดจนลูกค้าเราเสียหาย ใครรับผิด? เราในฐานะคนจ้าง? หรือเอเจนซี่ที่ส่งคนมา? คำตอบมันก็ “แล้วแต่สัญญา” ใช่ไหมล่ะ นั่นแหละคือหัวใจของเรื่อง Shared Responsibility ที่เราจะคุยกันในตอนนี้

เริ่มกันก่อนด้วยเรื่องที่หลายคนข้าม แต่จริงๆ ต้องคิดก่อนทุกอย่าง นั่นคือ คุณค่าที่ AI ต้องเดินตาม

ก่อนสร้างก่อนซื้อ — AI ของคุณต้อง “ค่านิยมตรงกับบริษัท” ก่อน (Value Alignment)#

ก่อนจะถกเถียงกันว่าสร้างหรือซื้อ มีเรื่องที่ต้องตั้งหลักก่อน และมันเป็นเรื่องที่เจ้าของกิจการชอบมองข้ามเพราะฟังดูนามธรรม นั่นคือ “AI ที่เราจะเอามาใช้ มันต้องมีค่านิยมตรงกับบริษัทเราและสังคมที่เราอยู่”

ภาษาทางการเรียกว่า Value Alignment (การจัดให้คุณค่าตรงกัน) แปลเป็นภาษาคนคือ “ออกแบบให้ AI ทำตัวสอดคล้องกับสิ่งที่คนเราเห็นว่าถูกต้องและมีจริยธรรม”

กลับไปที่แว่นพนักงานใหม่ เวลาเรารับคนเก่งเข้ามาคนนึง ต่อให้เขาเก่งแค่ไหน ถ้าค่านิยมเขาขัดกับวัฒนธรรมบริษัท (เช่น เก่งแต่โกหกลูกค้าเก่ง หรือเก่งแต่เหยียดคน) เราก็เอามาใช้ไม่ได้ใช่ไหมล่ะ AI ก็เป๊ะเลย เก่งอย่างเดียวไม่พอ มันต้อง “เก่งในแบบที่บริษัทเรารับได้”

จุดที่สำคัญคือ ค่านิยมมันไม่เหมือนกันในแต่ละบริษัท แต่ละประเทศ AI ที่ออกแบบมาสำหรับตลาดอเมริกา อาจพูดอะไรบางอย่างที่คนไทยรับไม่ได้ หรือบริษัทที่เน้นบริการสุภาพอ่อนน้อม จะรับ chatbot ที่ตอบห้วนๆ แบบฝรั่งไม่ได้ ฉะนั้น “ค่านิยม” เป็นเรื่องที่เราต้องนิยามเอง ไม่มีใครนิยามให้

ในตำราเขาแบ่งเรื่องที่ต้องคิดออกเป็น 4 มุม ขอเล่าด้วยภาษาคนพร้อมตัวอย่างไทยสมมติ:

มุมที่ต้องดู	แปลเป็นภาษาคน	ตัวอย่าง (สมมติ)
ชุมชน/คนรอบข้าง (Community)	AI ต้องแก้ปัญหาจริงของคนที่ใช้ ไม่ใช่แก้ปัญหาในจินตนาการ และต้องปรับตามเสียงสะท้อนของคนในพื้นที่	ร้านสมมติทำ chatbot ภาษากลางเป๊ะ แต่ลูกค้าส่วนใหญ่อยู่ภาคใต้พิมพ์คำถิ่น บอตตอบไม่รู้เรื่อง → ต้องปรับให้เข้ากับคนใช้จริง
รากฐานจริยธรรม (Ethical Foundations)	ต้องเคารพสิทธิมนุษยชนพื้นฐาน ไม่เลือกปฏิบัติ และคิดถึงความต่างทางวัฒนธรรม	AI คัดใบสมัครงานสมมติ ดันให้คะแนนผู้ชายสูงกว่าโดยไม่ตั้งใจ เพราะข้อมูลเก่าที่เอามาฝึกมีผู้ชายเยอะ → ผิดหลักจริยธรรม
ทำตามกฎหมาย (Legal Compliance)	ต้องเคารพกฎหมายของประเทศที่เราอยู่ และไม่ผลิต/กระจายข้อมูลเท็จ	ในไทยมีกฎหมายเฉพาะ (เช่น เรื่องสถาบัน) ที่ AI ต่างชาติไม่รู้จัก → ต้องมีคนคุมไม่ให้บอตพูดพลาด
กลยุทธ์การใช้งานจริง (Operational Strategy)	ดึงคนที่เกี่ยวข้องมาช่วยออกแบบและประเมินเสี่ยงตั้งแต่ต้น แล้วคอยจูนต่อเนื่องจากของจริง	ก่อนเปิด chatbot ให้ลูกค้าใช้ ลองให้ทีมขายจริงช่วยเทสต์ก่อน เพราะเขารู้ว่าลูกค้าถามอะไรบ่อย

มุมผู้บริหาร: Value Alignment ฟังดูเป็นเรื่องปรัชญา แต่จริงๆ มันคือ “ตะแกรงคัด” ที่เจ้าของกิจการต้องตั้งก่อนเลือก vendor หรือก่อนสั่งทีมสร้างเอง ถ้าเจ้าของยังตอบไม่ได้ว่า “AI ของเราห้ามทำอะไรเด็ดขาด” (เช่น ห้ามตัดสินใจเรื่องคนโดยไม่มีมนุษย์ดู หรือห้ามพูดเรื่องอ่อนไหว) แปลว่ายังไม่พร้อมเลือกซื้อหรือสร้าง เพราะคุณจะไม่รู้ว่าตัวเลือกไหน “ผ่าน” หรือ “ตก”

แล้ว Value Alignment มันไม่ใช่ทำครั้งเดียวจบ มันต้องคอยตรวจตลอดอายุการใช้งานของ AI เพราะ AI มันดริฟต์ได้ (ค่อยๆ เพี้ยนไปจากเดิม) สิ่งที่ทำให้มันอยู่ในร่องในรอยได้มี 4 ตัวช่วยหลัก:

มีกรอบ/แนวทางชัด ตั้งกติกาไว้ตั้งแต่ต้นว่า AI ควรทำตัวยังไง
มีคนคอยดูแลตลอด ไม่ใช่ปล่อยให้มันรันเองแล้วหายไป มนุษย์ต้องคอยจูน
ปรับองค์กรให้รับ AI ได้ วัฒนธรรมบริษัทกับ AI ต้องไปด้วยกัน ไม่ใช่ฝืนกัน
มีการตรวจสอบเป็นระยะ เช็คเป็นช่วงๆ ว่า AI ยังทำตามค่านิยมที่ตั้งไว้ไหม

จำตรงนี้ไว้นะครับ เพราะพอเราตัดสินใจ “ซื้อ” AI จากคนอื่น ตัวช่วยทั้ง 4 นี้แหละที่จะยากขึ้นทันที เพราะ AI ไม่ได้อยู่ในมือเราคนเดียวแล้ว

คำถามใหญ่ — สร้างเอง (Build) หรือซื้อมา (Buy)?#

มาถึงทางแยกหลักของตอนนี้ การเอา AI เข้าบริษัทมีสองทางใหญ่ๆ:

ซื้อซอฟต์แวร์ AI สำเร็จรูป (commercial off-the-shelf) คือของที่เขาทำเสร็จแล้ว เราแค่เอามาใช้
สร้างเอง / พัฒนาในบ้าน (in-house) คือทีมเราเขียน/ปั้นขึ้นมาเอง แล้วเอาไปวางบน cloud หรือเครื่องในออฟฟิศ (on-premises)

แต่ก่อนจะลงรายละเอียด มีกับดักหนึ่งที่ต้องเตือนก่อน

กับดักที่เจอบ่อย — “AI แอบเข้าบ้านโดยไม่มีใครตัดสินใจ”: ทุกวันนี้ซอฟต์แวร์ที่บริษัทใช้อยู่แล้ว (โปรแกรมบัญชี อีเมล แอปแชต) มัน “แถม” ฟีเจอร์ AI มาให้เรื่อยๆ โดยที่ไม่มีใครนั่งตัดสินใจว่าจะใช้ไหม พนักงานก็เปิดใช้กันเอง สุดท้ายบริษัทมี AI เต็มไปหมดโดยไม่มีใครกำกับ อันนี้อันตรายกว่าการตั้งใจซื้ออีก เพราะ “ไม่มีใครเป็นเจ้าของ” เจ้าของกิจการต้องรู้ว่าในบ้านมี AI อะไรซ่อนอยู่บ้าง ก่อนจะคุมมันได้

เลือกที่อยู่ให้ AI ก่อน — วางบนเครื่องตัวเอง vs วางบน cloud#

พอตัดสินใจจะเอา AI มา เรื่องแรกที่ต้องเลือกคือ “จะให้มันอยู่ที่ไหน” ซึ่งมีสองแบบ และแต่ละแบบมีข้อดีข้อเสียคนละขั้ว ขอสรุปเป็นตารางในมุมคนบริหาร:

	วางบนเครื่องตัวเอง (Internal / On-premises)	วางบน Cloud (เช่าของคนอื่น)
ข้อดี	• คุมระบบได้เต็มที่ ปรับแต่งได้ตามใจ • จูนให้เก่งเฉพาะงานเราได้ • คุมความปลอดภัย/ความเป็นส่วนตัวของข้อมูลได้ง่ายกว่า เพราะข้อมูลไม่ออกนอกบ้าน	• ขยาย/ลดขนาดได้ตามต้องการ ช่วงพีคก็เพิ่ม ช่วงเงียบก็ลด • ไม่ต้องดูแลเครื่องเอง เขาดูให้ • ลงทุนตอนเริ่มต้นถูกกว่ามาก ไม่ต้องซื้อเครื่องแพงๆ
ข้อเสีย	• ต้องซื้อเครื่องแรงๆ เปลืองไฟ เปลืองทรัพยากร • ขยายลำบาก เครื่องเต็มก็จบ • ต้องมีคนเก่งพอจะดูแล (หายากและแพง)	• คุมโครงสร้างพื้นฐานไม่ได้ เสี่ยง ติดหล่ม vendor (vendor lock-in) • อาจช้าเพราะวิ่งผ่านเน็ตและแชร์เครื่องกับคนอื่น • ข้อมูลออกนอกบ้าน — ความปลอดภัย/ความเป็นส่วนตัวควบคุมยากขึ้น

จุดที่อยากให้เจ้าของกิจการจับให้ได้คือ ทั้งสองทางไม่มีอันไหน “ดีกว่า” แบบเด็ดขาด มันคือการแลกกัน วางบนเครื่องตัวเอง = ได้อำนาจควบคุม แลกกับต้นทุนและความยุ่งยาก ส่วนวางบน cloud = ได้ความเร็วและความยืดหยุ่น แลกกับการต้องไว้ใจคนอื่นและข้อมูลออกนอกบ้าน

มีจุดหนึ่งที่ต้องระวังเป็นพิเศษถ้าเลือก cloud คือ ถ้าข้อมูลที่เอาไปฝึก AI เป็นข้อมูลที่กฎหมายความเป็นส่วนตัวคุมอยู่ (เช่น PDPA) “ที่ตั้งทางกายภาพ” ของ cloud สำคัญมาก เพราะข้อมูลคนไทยที่ไหลไปเก็บที่ server ต่างประเทศ อาจชนกฎหมายได้ อันนี้เป็นเรื่องที่เจ้าของกิจการต้องถาม vendor ตรงๆ เลยว่า “ข้อมูลฉันไปเก็บที่ไหน”

6 คำถามที่ต้องตอบให้ได้ก่อนเซ็น “สร้าง vs ซื้อ”#

ทีนี้ตำราเขาให้กรอบคิดที่ผมว่าดีมากสำหรับเจ้าของกิจการ คือ 6 คำถามที่ต้องตอบก่อนตัดสินใจสร้างหรือซื้อ ขอเล่าแต่ละข้อพร้อมแปลว่ามัน “หมายความว่าอะไรในชีวิตจริง”:

ต้นทุนรวมของสองทางต่างกันแค่ไหน? ไม่ใช่แค่ค่าสร้าง/ค่าซื้อตอนแรก แต่รวมค่าดูแลรายเดือนรายปีด้วย ของบางอย่างซื้อถูกแต่ค่าใช้รายเดือนแพงจนตาเหลือก
เรามีข้อมูล + ความสามารถ + เวลา พอจะสร้างให้ดีเท่าหรือดีกว่าของที่ซื้อได้ไหม? ข้อนี้โหดที่สุด เพราะเจ้าของหลายคนคิดว่า “ทีมเราทำได้” แต่จริงๆ ไม่มีข้อมูลพอ ไม่มีคนพอ สุดท้ายสร้างไม่เสร็จ
ความเสี่ยงด้านกฎหมายของสองทางต่างกันยังไง? กฎ AI ที่กำลังจะมาอาจกระทบของที่เราสร้างเอง หรือของที่เราซื้อ ไม่เท่ากัน
สร้างหรือซื้อ อันไหนเข้ากับ “วิธีทำงาน AI” ที่เรามีอยู่มากกว่า? ถ้าบริษัทยังไม่มีทีม AI เลย การสร้างเองมันฝืนมาก
เรื่องความเป็นส่วนตัวของข้อมูล สองทางต่างกันแค่ไหน? ถ้าซื้อ ข้อมูลอาจต้องส่งให้คนขาย ส่วนสร้างเอง ข้อมูลอยู่กับเรา แต่เราต้องคุมเองทั้งหมด
เสี่ยง “ติดหล่ม vendor” (vendor lock-in) แค่ไหน? ถ้าซื้อแล้ววันหลังอยากเปลี่ยนเจ้า ย้ายออกได้ไหม หรือติดแหง็กเพราะข้อมูลกับระบบผูกกับเขาหมดแล้ว

มุมผู้บริหาร: ขอเตือนเรื่อง “vendor lock-in” เป็นพิเศษ เพราะมันคือกับดักที่เจ็บตอนหลัง ตอนเซ็นสัญญาทุกอย่างดูสวยงาม ราคาดี ใช้ง่าย แต่พอผ่านไป 2-3 ปี ข้อมูลทั้งหมดอยู่ในระบบเขา พนักงานชินกับของเขา จะย้ายไปเจ้าอื่นทีนึงเหมือนรื้อบ้าน คนขายรู้ว่าเราย้ายยาก ก็ค่อยๆ ขึ้นราคาได้ คำถามที่เจ้าของต้องถามตั้งแต่วันแรกคือ “ถ้าวันหนึ่งฉันอยากเลิกใช้คุณ ฉันเอาข้อมูลฉันออกได้ไหม และออกในรูปแบบที่เอาไปใช้ต่อได้จริงหรือเปล่า”

สรุปง่ายๆ สำหรับเจ้าของกิจการ mass ส่วนใหญ่ ก็คือ ถ้าเพิ่งเริ่ม ไม่มีทีม AI ของตัวเอง การ “ซื้อ” สำเร็จรูปมักเป็นจุดเริ่มที่ฉลาดกว่า เพราะของพวกนี้มีคนใช้มาก่อน รู้ต้นทุน รู้ผลลัพธ์ ความเสี่ยงน้อยกว่า ส่วนการ “สร้างเอง” เหมาะกับองค์กรที่มีข้อมูลเยอะ มีทีมพอ และต้องการความได้เปรียบที่ลอกกันไม่ได้ แต่ก็ต้องยอมรับความไม่แน่นอนสูงและเส้นทางที่ยังไม่ชัด

ถ้าเลือก “ซื้อ” — แล้วจะคุมคนขาย (Vendor) ยังไง#

พอตัดสินใจซื้อ คำถามต่อมาที่เจ้าของกิจการต้องคิดคือ “ฉันจะมั่นใจในคนขายได้ยังไง” เพราะการซื้อ AI ไม่เหมือนซื้อโต๊ะซื้อเก้าอี้ที่จ่ายเงินแล้วจบ มันเป็นความสัมพันธ์ยาว ที่คนขายจะอยู่กับเรา (และอยู่กับข้อมูลเรา) ไปอีกนาน

กลับไปแว่นพนักงานอีกที มันเหมือนการ “จ้างเอเจนซี่ส่งคนเก่งมาทำงานในบ้านเรา” เราต้องเช็ค 2 จังหวะ คือ ตอนรับเข้า กับ ระหว่างที่ทำงานด้วยกัน

จังหวะที่ 1 — ตอนรับ vendor เข้ามา (คัดกรองก่อน)#

ตอนแรกเข้า ให้ใช้ขั้นตอนจัดซื้อปกติของบริษัทนี่แหละ (ประเมินความเสี่ยงตามขนาดของดีล) แต่เพราะนี่เป็น AI โดยเฉพาะ มีอีก 3 เรื่องที่ต้องถามเพิ่มเป็นพิเศษ:

ค่านิยมและกลยุทธ์ AI ของคนขาย ตรงกับเราไหม? กลับไปเรื่อง Value Alignment ตอนต้น ถ้าคนขายมองเรื่องจริยธรรม AI คนละทางกับเรา อนาคตมีปัญหาแน่
เขาทำเรื่อง “โปร่งใส + อธิบายได้” หรือเปล่า? ถ้า AI ของเขาตัดสินอะไรแล้วอธิบายไม่ได้เลยว่าทำไม (กล่องดำสนิท) เวลามีปัญหาเราจะตอบลูกค้าหรือผู้กำกับไม่ได้
เขาดูแลความปลอดภัยและความเป็นส่วนตัวของข้อมูลยังไง? ข้อมูลเราที่ส่งให้เขา ปลอดภัยแค่ไหน เก็บที่ไหน ใครเข้าถึงได้บ้าง

จังหวะที่ 2 — ระหว่างทำงานด้วยกัน (คุมต่อเนื่อง)#

อันนี้คือจุดที่บริษัทส่วนใหญ่พลาด คือคัดตอนแรกเข้มมาก แต่พอเซ็นสัญญาแล้วก็ปล่อยเลย ไม่ตามต่อ ทั้งที่ AI มันเปลี่ยนได้ตลอด ของที่ใช้ดีปีนี้อาจเพี้ยนปีหน้า

สิ่งที่ต้องมีคือ ข้อตกลงระดับบริการ (SLA — Service Level Agreement) ที่ชัดเจน แปลเป็นภาษาคนคือ “สัญญาว่าคนขายต้องทำให้ได้แค่ไหน” เช่น ระบบต้องไม่ล่มเกินกี่ชั่วโมงต่อเดือน ตอบสนองเร็วแค่ไหน แก้ปัญหาภายในกี่วัน แล้ว SLA นี้ต้อง เอามาทบทวนเป็นระยะ (ตามความเสี่ยง) ไม่ใช่เซ็นแล้วลืม

มุมผู้บริหาร: จุดที่ตำราย้ำและผมว่าสำคัญมากคือ คนที่บริษัทมอบหมายให้ “ดูแล vendor AI” ต้องเข้าใจวิสัยทัศน์และกลยุทธ์ AI ของบริษัทเราก่อน ไม่งั้นเขาจะดูแค่ “ระบบล่มไหม จ่ายเงินตรงไหม” แบบจัดซื้อทั่วไป แต่ดูไม่เป็นว่า “AI ตัวนี้ยังเดินตามค่านิยมที่เราตั้งไว้ไหม” ซึ่งเป็นคนละเรื่องกัน และอย่าลืมว่าข้อมูลจากคนที่ดูแล vendor นี่แหละ เป็นวัตถุดิบสำคัญในการประเมินว่า “ที่จ่ายเงินไปคุ้มไหม” (ROI) ในแต่ละปี

คำถามที่แพงที่สุด — ถ้า AI ที่ซื้อมาทำพัง ใครรับผิด? (Shared Responsibility)#

มาถึงหัวใจที่สุดของตอนนี้ และเป็นคำถามที่ทำให้เจ้าของกิจการนอนไม่หลับได้จริงๆ

“AI ที่ฉันซื้อมามันตอบลูกค้าผิด / ตัดสินใจพลาด / ทำข้อมูลรั่ว — ตกลงใครรับผิดชอบ? ฉัน? หรือคนขาย?”

นี่คือเรื่อง Shared Responsibility (การแบ่งความรับผิดชอบ) แนวคิดเดียวกับ Cloud Shared Responsibility ที่ผมเล่าไว้ใน CyberSec EP.32 (เช่าคอนโด vs ซื้อตึก) เลยครับ ใครยังไม่แม่นแวะไปอ่านก่อนได้ แต่พอเป็น AI มันมีมุมที่หนักขึ้นไปอีก

ของสำเร็จรูปดี แต่มันมาพร้อม “เส้นแบ่งที่เบลอ”#

AI สำเร็จรูป (off-the-shelf) คือ AI ที่คนอื่นสร้างเสร็จแล้วขายให้เราใช้ ข้อดีคือเริ่มเร็ว แก้ปัญหาได้ทันใจ แต่ความเสี่ยงหลักของมันคือ “เส้นแบ่งความรับผิดชอบที่ไม่ชัด” ทั้งเรื่องระบบ เรื่องข้อมูล และเรื่องจริยธรรม ตำราชี้ความเสี่ยงไว้ 3 ก้อนหลัก ขอเล่าด้วยตัวอย่างไทยสมมติ:

ความเสี่ยง	ปัญหาคืออะไร	ตัวอย่าง (สมมติ)
ใครเป็นเจ้าของ/ใครดูแล (Accountability & Ownership)	ถ้าไม่มีใครนิยามว่า “ใครดูแลส่วนไหน” พอระบบเริ่มเพี้ยนหรือไม่ compliant ก็ไม่มีใครรับ ต่างคนต่างชี้นิ้ว	ร้านสมมติซื้อ AI ตอบแชต พอบอตตอบผิดจนลูกค้าโวย ทีมในร้านบอก “คนขายต้องแก้” คนขายบอก “ตั้งค่าผิดเอง” — สุดท้ายไม่มีใครแก้
เรื่องจริยธรรม (Ethical)	พอ AI ทำพลาด เช่นตอบผิด หรือมีอคติ ก็เกิดความสับสนว่าใครต้องรับผิดชอบความเสียหายนั้น	AI แนะนำสินค้าของร้านสมมติ ดันแนะนำของแพงให้คนรายได้น้อยซ้ำๆ จนมีคนร้องเรียนว่าเอาเปรียบ แล้วใครผิดล่ะ คนเขียนอัลกอริทึม หรือร้านที่เอามาใช้?
ความปลอดภัยข้อมูล (Data Security)	พอแชร์ข้อมูลให้บุคคลที่สาม = เพิ่มภาระดูแล + เพิ่มช่องให้ถูกโจมตี	ร้านส่งข้อมูลลูกค้าให้ระบบ AI ภายนอกประมวลผล แล้วฝั่งคนขายโดนแฮ็ก ข้อมูลลูกค้าร้านเราหลุดไปด้วย

ความจริงที่เจ้าของกิจการต้องยอมรับ — “หน้าที่นิยามเส้นแบ่ง เป็นของเราคนเดียว”#

ตรงนี้คือประโยคที่สำคัญที่สุดของทั้งตอน และผมอยากให้เจ้าของกิจการขีดเส้นใต้ไว้เลย

“การนิยามให้ชัดว่าใครรับผิดชอบอะไร ระหว่างบริษัทเรากับคนขาย AI สำเร็จรูป เป็นหน้าที่ของบริษัทผู้ซื้อแต่เพียงผู้เดียว”

อ่านไม่ผิดครับ มันเป็นหน้าที่ของ เรา ไม่ใช่คนขาย เหตุผลตรงไปตรงมามาก คือคนและกระบวนการที่เอาข้อมูลไปป้อนเข้า AI สำเร็จรูปตัวนั้น ส่วนใหญ่ก็คือ พนักงานเราและขั้นตอนของเราเอง ฉะนั้นต่อให้ AI เป็นของคนอื่น แต่ “วิธีเราเอามันมาใช้” เป็นของเรา ความรับผิดชอบเลยตกที่เราอยู่ดี

แปลเป็นการกระทำจริงก็คือ เจ้าของกิจการต้องนั่งลงทำเอกสารแบ่ง 3 กองให้ชัด:

ส่วนที่เรารับผิดชอบเต็มๆ เช่น ข้อมูลที่เราป้อนเข้าไป การตัดสินใจสุดท้ายที่เอาผลของ AI ไปใช้ และการมีคนคอยตรวจผลลัพธ์
ส่วนที่คนขายรับผิดชอบเต็มๆ เช่น ตัวโมเดลทำงานถูกต้อง ระบบไม่ล่ม และความปลอดภัยฝั่งเขา
ส่วนที่รับผิดชอบร่วมกัน เช่น การแจ้งเตือนเมื่อมีเหตุ และการอัปเดตที่กระทบทั้งสองฝั่ง

ข่าวดีคือ ทุกวันนี้คนขาย AI สำเร็จรูปดีๆ หลายเจ้า เขาทำเอกสารบอกไว้แล้วว่า “ฝั่งคุณรับผิดชอบอะไรบ้าง” ฉะนั้นงานของเจ้าของกิจการคือ “ไปหาเอกสารนั้นมาอ่านให้เข้าใจ” และอย่าทึกทักเอาเองว่าคนขายดูแลให้หมด

กับดักที่อันตรายที่สุด — “ซื้อมาแล้วคิดว่าคนขายดูแลหมด”: นี่คือความเข้าใจผิดที่แพงที่สุด เจ้าของหลายคนคิดว่า “ก็จ่ายเงินซื้อแล้วนี่ มันต้องเป็นเรื่องของคนขายสิ” ผิดครับ มันเหมือนเช่าคอนโดอยู่ (กลับไปภาพ EP.32) นิติบุคคลดูแลตึก ดูแลลิฟต์ ดูแลระบบส่วนกลางให้ก็จริง แต่ของในห้องคุณ ประตูคุณล็อกไหม คุณเอาใครเข้าห้องบ้าง อันนี้เป็นเรื่องของคุณ ถ้าของหายในห้องเพราะคุณไม่ล็อกประตู จะไปโทษนิติบุคคลไม่ได้ AI ก็เป๊ะเลย

ทางเลือกเมื่อ “ไม่มีความรู้ทำเอง”#

ถ้าบริษัทไม่มีความเชี่ยวชาญในบ้านที่จะสร้าง AI เองเลย ตำราบอกว่ามีทางเลือกที่สมเหตุสมผล 2 ทาง ทางแรกคือ จับมือกับ vendor (ตามที่เล่าไปข้างบน) ทางที่สองคือ เข้าร่วมกลุ่มความร่วมมือกลางๆ อย่าง CoSAI (Coalition for Secure AI) ซึ่งเป็นการรวมตัวกันเพื่อแชร์แนวทางการทำ AI ให้ปลอดภัย เหมาะกับองค์กรที่อยากเรียนรู้จากคนอื่นแทนที่จะคลำเองคนเดียว

ประเด็นคือ ไม่รู้ ไม่ใช่ข้อแก้ตัวที่จะปล่อยเบลอ ไม่ว่าจะเลือกจับมือ vendor หรือเข้ากลุ่ม สุดท้ายเจ้าของกิจการก็ยังต้องเป็นคนนิยามเส้นแบ่งความรับผิดชอบอยู่ดี

สรุปสั้นๆ ให้ตัวเองจำได้#

อ่านมาถึงตรงนี้ ขอจดกันลืมไว้สี่อย่างครับ

อย่างแรก ตั้งค่านิยมก่อนเลือกเครื่องมือ ก่อนถกว่าสร้างหรือซื้อ ต้องตอบให้ได้ก่อนว่า “AI ของเราห้ามทำอะไร” (Value Alignment) ไม่งั้นจะตัดสินไม่ได้ว่าตัวเลือกไหนผ่านหรือตก

อย่างที่สอง สร้าง vs ซื้อ คือการแลกกัน ไม่มีอันไหนดีกว่าเด็ดขาด สร้างเอง = คุมได้แต่แพงและช้า ส่วนซื้อ = เร็วแต่ต้องไว้ใจคนอื่นและระวัง vendor lock-in สำหรับคนเพิ่งเริ่ม “ซื้อ” มักเป็นจุดตั้งต้นที่ฉลาดกว่า

อย่างที่สาม ซื้อแล้วต้องคุมคนขายต่อเนื่อง ไม่ใช่เซ็นแล้วลืม คัดตอนแรกเข้า (ค่านิยม + โปร่งใส + ความปลอดภัยข้อมูล) แล้วคุมต่อด้วย SLA ที่ทบทวนเป็นระยะ และคนที่ดูแล vendor ต้องเข้าใจกลยุทธ์ AI ของบริษัท

อย่างที่สี่ ความรับผิดชอบสุดท้ายเป็นของผู้ซื้อเสมอ ต่อให้ AI เป็นของคนขาย แต่หน้าที่นิยามว่า “ใครรับผิดอะไร” เป็นของเราคนเดียว อย่าซื้อมาแล้วคิดว่าคนขายดูแลให้หมด ทำเอกสารแบ่ง 3 กองให้ชัด คือของเรา / ของเขา / ของร่วมกัน

ถ้าจะสรุปแบบที่เจ้าของกิจการหลายคนน่าจะพยักหน้าตาม ก็คือ “งั้นซื้อ AI ก็เหมือนจ้างเอเจนซี่ส่งคนมาทำงานในบ้าน เก่งแค่ไหนก็ต้องเช็คค่านิยม คุมงานต่อเนื่อง และเขียนให้ชัดว่าถ้าพลาดใครรับ” ใช่เลยครับ นั่นแหละคืองานของคนบริหาร

ตอนหน้าเราจะขยับจากเรื่อง “เอา AI มาจากไหน” ไปสู่เรื่องกติกาที่ต้องเขียนให้คนในบ้านเดินตาม นั่นคือ “พนักงานใช้ AI ได้แค่ไหน? เอาข้อมูลบริษัทไปใส่ ChatGPT ได้ไหม?” เรื่องนโยบายการใช้ AI ที่ยอมรับได้ (Acceptable Use Policy) ไว้เจอกันครับ

อ้างอิงเนื้อหา: AAISM — Domain 1: Section 1.6 (AI Strategies — Value Alignment, Build vs. Buy, Vendors, Shared Responsibility) แหล่งสาธารณะที่อ้างถึงโดยตรง: World Economic Forum — AI Value Alignment (weforum.org) · OECD AI Principles (oecd.org) · Coalition for Secure AI / CoSAI · พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)