AI = พนักงานใหม่เก่งสุดๆ ที่ต้องกำกับ (ตอนนี้: มองว่าเขาอาจทำพังตรงไหน แล้วรับมือ)#

ทั้งซีรีส์นี้ผมชวนมองภาพเดียวกันตลอด — AI ก็เหมือนพนักงานใหม่ที่เก่งมากๆ คนหนึ่ง เก่งจนน่าตกใจ ทำงานเร็ว ไม่บ่น ไม่ลา แต่มีนิสัยแปลกๆ ที่เราต้องกำกับ

มาถึง Domain 2 นี้ เราขยับจาก “ตั้งกฎให้พนักงานคนนี้” (เรื่องของ Domain 1) มาสู่อีกหน้าที่ของหัวหน้า — “มองให้ออกว่าพนักงานคนนี้อาจทำพังตรงไหน แล้ววางแผนรับมือไว้ก่อน”

ลองคิดดูครับ เวลาเราได้พนักงานเก่งๆ แต่ใหม่มากเข้ามาคนหนึ่ง หัวหน้าที่ดีจะไม่รอให้เขาทำพังก่อนแล้วค่อยแก้ — แต่จะ นั่งคิดล่วงหน้า ว่า “งานไหนที่ถ้าเขาพลาดแล้วเจ็บหนัก งานไหนพลาดได้ไม่เป็นไร” แล้ววางคนคุม วางกระบวนการตรงจุดเสี่ยงไว้ก่อน นี่แหละครับคือสิ่งที่เรียกว่า การจัดการความเสี่ยง (risk management) ของ AI

และนี่คือจุดที่ผมอยากย้ำให้ชัดตั้งแต่ต้น Domain นี้ — มุมที่เราจะเล่ากันไม่ใช่มุม “ผู้ตรวจ” (auditor) ที่เดินเข้ามาตรวจว่าบริษัทคุณทำครบไหมแล้วให้คะแนน แต่เป็นมุม “เจ้าของความเสี่ยง” (risk owner) — คือคนที่ เป็นเจ้าของ ปัญหานี้เอง ต้องตัดสินใจเอง ต้องลงมือรับมือเอง และต้องรับผลถ้ามันพัง

เจ้าของความเสี่ยงไม่ได้ถามว่า “ฉันทำถูกตามเช็กลิสต์ไหม” แต่ถามว่า “ถ้าเจ้านี่พังขึ้นมา ฉันเสียหายแค่ไหน แล้วฉันยอมรับได้ไหม ถ้าไม่ได้จะทำยังไง” — กรอบทั้งสองที่เราจะคุยกันวันนี้ มีไว้ช่วยตอบคำถามนั้นนั่นเอง

ทำไมต้องมีกรอบเฉพาะของ AI — ของเดิมไม่พอเหรอ#

ก่อนจะแยกแยะว่าสองกรอบนี้ต่างกันยังไง ขอตอบคำถามที่เจ้าของกิจการหลายคนคิดในใจก่อน — “บริษัทฉันก็มีระบบจัดการความเสี่ยงอยู่แล้วนี่ มีกรอบความปลอดภัยไซเบอร์ใช้อยู่ จะมาต้องมีกรอบ AI แยกทำไม?”

คำตอบคือ AI มันมี ความเสี่ยงหน้าใหม่ ที่กรอบเดิมไม่เคยต้องรับมือ ผมขอเทียบให้เห็น

บรรทัดสุดท้ายคือหัวใจ — ความเสี่ยงของ AI ไม่ได้จบที่ “เครื่องพัง” แต่ลามไปถึง คนจริงๆ ที่เดือดร้อน และนั่นคือเหตุผลที่หน่วยงานทั่วโลกต้องออกกรอบเฉพาะสำหรับ AI ขึ้นมา ไม่เอากรอบ IT เดิมมาแปะแล้วจบ

ในโลกนี้มีหน่วยงานที่ออกกรอบ/กฎเกณฑ์เกี่ยวกับ AI อยู่หลายเจ้ามาก — ตั้งแต่องค์กรมาตรฐานสากลอย่าง ISO/IEC, กลุ่มประเทศเศรษฐกิจอย่าง OECD, สถาบันวิศวกรอย่าง IEEE, ไปจนถึงหน่วยงานด้านจริยธรรมของมหาวิทยาลัยต่างๆ และเพราะหลายกรอบยัง “อายุน้อย” เปลี่ยนแปลงเร็ว เจ้าของกิจการจึงต้องคอยเช็กว่ากำลังอ่านเวอร์ชันล่าสุดอยู่หรือเปล่า

แต่ในทางปฏิบัติ ถ้าจะให้จำแค่สองตัวที่ดังที่สุด ใช้กันกว้างที่สุด และเป็นตัวที่เจ้าของกิจการต้องรู้จัก คือ:

• NIST AI RMF — กรอบจัดการความเสี่ยง AI ของสถาบันมาตรฐานสหรัฐฯ (NIST = National Institute of Standards and Technology)
• EU AI Act — กฎหมาย AI ของสหภาพยุโรป

เส้นแบ่งที่ต้องเข้าใจก่อนอื่น: “สมัครใจ” vs “บังคับ”#

ก่อนจะลงรายละเอียดแต่ละตัว ผมอยากให้จำเส้นแบ่งใหญ่ที่สุดไว้ก่อน เพราะมันตอบคำถาม “ใช้อันไหน” ได้เกินครึ่งแล้ว — กรอบจัดการความเสี่ยง AI แบ่งเป็นสองพันธุ์

พันธุ์ที่ 1 — กรอบกฎหมาย (regulatory framework) = “บังคับ”

นี่คือพวกที่มีผลทางกฎหมาย ถ้าคุณเข้าข่ายแล้วไม่ทำตาม มี บทลงโทษ — ค่าปรับ หรือถูกสั่งห้ามใช้งาน EU AI Act เป็นตัวแทนของพันธุ์นี้ มันไม่ใช่ “คำแนะนำ” แต่เป็น “กฎ” ที่มีฟันไว้กัด

พันธุ์ที่ 2 — กรอบสมัครใจ (voluntary framework) = “แนะนำ”

นี่คือพวกที่รวบรวม “วิธีที่ดี” (best practices) มาให้เป็นระเบียบ หยิบมาใช้เมื่อไหร่ก็ได้ ใช้แค่บางส่วนก็ได้ ไม่ใช้ก็ไม่ผิดกฎหมาย NIST AI RMF เป็นตัวแทนของพันธุ์นี้ มันเหมือนคู่มือดีๆ ที่ผู้รู้เขียนให้ ไม่ใช่หมายเรียกจากศาล

ผมขอวางตารางสรุปเส้นแบ่งนี้ไว้ก่อนเลย เดี๋ยวเราจะค่อยๆ เติมรายละเอียดลงไป

มุมผู้บริหาร: คำถามแรกที่เจ้าของกิจการต้องถามไม่ใช่ “กรอบไหนดีกว่ากัน” แต่เป็น “ของเราเข้าข่ายกรอบที่ ‘บังคับ’ หรือเปล่า” เพราะถ้าเข้าข่าย EU AI Act คุณไม่มีสิทธิ์เลือก — ต้องทำ ส่วน NIST นั้นเลือกเอาเมื่อพร้อม คนละน้ำหนักการตัดสินใจกันเลย

NIST AI RMF — คู่มือ “วิธีกำกับ AI ให้ดี” 4 เครื่องยนต์#

มาเริ่มที่ตัวสมัครใจก่อน เพราะมันเป็นรากฐานความคิดที่ดี

NIST AI RMF (ชื่อเต็ม Artificial Intelligence Risk Management Framework) ถูกออกแบบมาให้องค์กรที่กำลังจะ ออกแบบ พัฒนา ติดตั้ง หรือใช้งาน AI หยิบไปใช้ จุดเด่นของมันคือ ไม่ผูกกับอุตสาหกรรมใดอุตสาหกรรมหนึ่ง (industry-agnostic) — โรงงาน โรงพยาบาล ธนาคาร ร้านค้า ใช้กรอบเดียวกันนี้ได้หมด

หัวใจของ NIST AI RMF คือการแบ่งงานจัดการความเสี่ยง AI ออกเป็น 4 หน้าที่หลัก (functions) ผมขอเรียกเล่นๆ ว่า “4 เครื่องยนต์” ที่หมุนวนต่อเนื่อง

ลองนึกภาพหัวหน้าที่กำลังกำกับพนักงานใหม่คนนั้น เขาต้องทำ 4 อย่างนี้

EU AI Act — กฎหมายที่แบ่ง AI เป็น 4 ระดับเสี่ยง#

ทีนี้มาที่ตัว “บังคับ” บ้าง

EU AI Act คือ กฎหมาย ที่สหภาพยุโรปออกมาเพื่อกำกับ AI ด้วยแนวคิด “ดูที่ความเสี่ยงเป็นหลัก” (risk-based) คือยิ่ง AI เสี่ยงสูงก็ยิ่งคุมเข้ม ยิ่งเสี่ยงต่ำก็ยิ่งปล่อยเบา ฟังดูเป็นธรรมดีใช่ไหมครับ

แต่จุดที่ทำให้เจ้าของกิจการไทยต้องสะดุ้งคือเรื่อง “ขอบเขตการบังคับใช้ข้ามพรมแดน” (extraterritorial) — กฎหมายนี้ไม่ได้บังคับแค่บริษัทในยุโรป แต่บังคับ ทุกองค์กรที่ระบบ AI ไปกระทบพลเมืองยุโรป ด้วย แปลว่าถ้าธุรกิจไทยของคุณมีลูกค้าในยุโรป หรือระบบ AI ของคุณประมวลผลข้อมูลคนยุโรป คุณก็อาจเข้าข่ายต้องทำตาม ทั้งที่ออฟฟิศอยู่กรุงเทพฯ นี่แหละครับคือคำตอบของเถ้าแก่ในฉากเปิด — “ขายของในไทย ก็เกี่ยวได้”

1
            ▲  ระดับ 1: เสี่ยงรับไม่ได้ (Unacceptable) → ห้ามใช้เด็ดขาด
2
           ▲▲  ระดับ 2: เสี่ยงสูง (High) → ใช้ได้ แต่คุมเข้มสุดๆ
3
          ▲▲▲  ระดับ 3: เสี่ยงจำกัด (Limited) → ใช้ได้ แค่ต้องบอกความจริง
4
         ▲▲▲▲  ระดับ 4: เสี่ยงต่ำ/ไม่มี (Minimal) → ใช้ได้ตามสบาย

สองกรอบนี้ต่างกันยังไง (เทียบให้เห็นทุกมุม)#

เราเห็นแต่ละตัวไปแล้ว ทีนี้มาวางเทียบกันแบบจัดเต็ม เพราะนี่คือหัวใจที่เจ้าของกิจการต้องเข้าใจเพื่อเลือกใช้ ผมขอเทียบ 4 มุมหลัก

แล้วเจ้าของกิจการควรใช้อันไหน? — คำตอบที่หลายคนคาดไม่ถึง#

มาถึงคำถามที่เป็นชื่อตอน — “อันไหนบังคับ อันไหนแนะนำ แล้วของเราใช้อันไหน”

คำตอบที่ตรงที่สุดคือ มันไม่ใช่คำถามแบบ “เลือกอันใดอันหนึ่ง” ครับ ในความเป็นจริงองค์กรที่ทำเรื่องนี้ดี มัก ใช้ทั้งสองตัวคู่กัน เพราะมันตอบคนละโจทย์

ลองคิดแบบนี้ครับ

ขั้นที่ 1 — ถามก่อนว่า “เราโดน EU AI Act บังคับไหม”

นี่คือคำถามบังคับที่ต้องตอบก่อนเสมอ เพราะถ้าใช่ คุณไม่มีสิทธิ์เลือก ดูง่ายๆ ว่า:

• AI ของคุณไปกระทบคนในยุโรปไหม (มีลูกค้ายุโรป? ประมวลผลข้อมูลคนยุโรป?)
• ถ้าใช่ → AI ตัวนั้นตกชั้นไหนในพีระมิด 4 ระดับ
• ถ้ามีตัวที่เป็น “เสี่ยงสูง” → ต้องทำตามเงื่อนไขหนักของ EU AI Act ไม่มีทางเลี่ยง

ขั้นที่ 2 — ใช้ NIST AI RMF เป็น “วิธีลงมือทำ”

ตรงนี้คือจุดที่สวยงาม — NIST ตอบคำถามที่ EU AI Act ไม่ได้ตอบ EU AI Act บอกว่า “คุณต้องจัดการความเสี่ยง AI ให้ดีนะ” แต่ไม่ได้บอกละเอียดว่า “ทำยังไง” ส่วน NIST AI RMF ด้วย 4 เครื่องยนต์ (Govern → Map → Measure → Manage) นี่แหละคือ “วิธีทำ” ที่จับต้องได้

พูดง่ายๆ คือ

EU AI Act บอกว่า “ต้องไปถึงไหน” — NIST AI RMF บอกว่า “เดินไปยังไง”

แม้บริษัทคุณจะไม่โดน EU AI Act บังคับเลย (เช่น ไม่มีลูกค้ายุโรป) การหยิบ NIST AI RMF มาใช้ก็ยังคุ้มมาก เพราะมันทำให้คุณกำกับ AI อย่างเป็นระบบ ไม่ใช่ทำมั่วๆ และถ้าวันหนึ่งธุรกิจโตจนต้องเข้าตลาดยุโรป คุณก็มีฐานพร้อมอยู่แล้ว

ขั้นที่ 3 — อย่าลืมว่ายังมีกรอบอื่นเป็นทางเลือก

นอกจากสองตัวนี้ ยังมีมาตรฐานสากลอย่าง ISO/IEC ที่ออกแนวทางจัดการความเสี่ยง AI มาเช่นกัน และเครื่องมือที่แปลงความเสี่ยง AI เป็น ตัวเลขเงิน (เช่น แนวทางของ FAIR Institute) ซึ่งเหมาะกับองค์กรที่อยากคุยความเสี่ยงกับผู้บริหารระดับสูงเป็นภาษาเงินๆ ทองๆ — แต่สองตัวนั้นเป็นเรื่องของตอนอื่น ตอนนี้แค่รู้ว่า “โลกนี้ไม่ได้มีแค่สองกรอบ” ก็พอ

มุมผู้บริหาร: ถ้าจะให้สรุปการตัดสินใจในประโยคเดียวสำหรับเจ้าของกิจการ — “เช็กก่อนว่าโดนกฎหมายยุโรปบังคับไหม (ถ้าโดนคือต้องทำ) แล้วใช้คู่มือของ NIST เป็นวิธีลงมือกำกับ ไม่ว่าจะโดนบังคับหรือไม่ก็ตาม” เพราะตัวหนึ่งคือ “เส้นที่ต้องข้ามให้ได้ตามกฎหมาย” อีกตัวคือ “วิธีเดินไปให้ถึงเส้นนั้นอย่างมีระบบ” สองอันนี้ไม่ได้แข่งกัน มันเสริมกัน

กับดักที่เจ้าของกิจการมักตกเรื่องสองกรอบนี้#

ก่อนจบ ผมขอรวบกับดักที่เจอบ่อย เผื่อใครกำลังจะเริ่ม จะได้ไม่พลาด

• กับดักที่ 1 — คิดว่าต้อง “เลือกอันใดอันหนึ่ง” ไม่ใช่เลยครับ ตัวหนึ่งเป็นกฎหมาย (ที่ต้องทำถ้าเข้าข่าย) อีกตัวเป็นวิธีทำ ใช้คู่กันได้และควรใช้คู่กัน
• กับดักที่ 2 — “ขายของในไทย ไม่เกี่ยวกับยุโรป” อย่าด่วนสรุป EU AI Act บังคับข้ามพรมแดน ถ้า AI ของคุณไปแตะคนยุโรปได้ ก็เข้าข่ายได้ ทั้งที่ออฟฟิศอยู่ไทย
• กับดักที่ 3 — “กฎหมาย (EU) ต้องละเอียดกว่าในทุกเรื่อง” ไม่จริง เรื่องวิธีตรวจคู่ค้า third-party คู่มือสมัครใจอย่าง NIST กลับลงลึกกว่า กรอบแต่ละตัวเก่งคนละด้าน
• กับดักที่ 4 — จัดชั้นความเสี่ยงตาม “ชนิดเทคโนโลยี” แทนที่จะดู “งานที่มันทำ” แชทบอทไม่ได้เสี่ยงต่ำเสมอ AI ตัวเดียวกันถ้าเอาไปทำงานอนุมัติสินเชื่อ ก็ขยับเป็นเสี่ยงสูงได้ทันที ระดับเสี่ยงขึ้นกับ การใช้งาน ไม่ใช่ตัวเทคโนโลยี
• กับดักที่ 5 — “ซื้อ AI เขามา ความรับผิดชอบเป็นของคนขาย” ผิด ในฐานะ “ผู้นำไปใช้” (deployer) คุณมีหน้าที่ของตัวเองตามกฎหมาย โยนให้ผู้ขายทั้งหมดไม่ได้
• กับดักที่ 6 — มองว่า NIST “เบากว่า” เลยไม่ต้องจริงจัง ความยืดหยุ่นของ NIST เป็นดาบสองคม — มันไม่ขีดเส้นให้ แปลว่าคุณต้องกล้าตัดสินใจเองว่ารับความเสี่ยงได้แค่ไหน ถ้าไม่มีคนกล้าตัดสิน ความยืดหยุ่นจะกลายเป็นความว่างเปล่า

สรุปสั้นๆ ให้ตัวเองจำได้#

อ่านมาถึงตรงนี้ ขอจดกันลืมไว้สามอย่างครับ

อย่างแรก — เส้นแบ่งใหญ่สุดคือ “บังคับ vs แนะนำ” EU AI Act เป็นกฎหมาย มีโทษ ถ้าเข้าข่ายก็ต้องทำ ส่วน NIST AI RMF เป็นคู่มือสมัครใจ หยิบมาใช้เมื่อพร้อม นี่คือเรื่องแรกที่ต้องแยกให้ออก

อย่างที่สอง — สองตัวนี้ “เสริมกัน” ไม่ใช่ “แข่งกัน” EU AI Act บอกว่าต้องไปถึงไหน (เส้นที่ต้องข้าม) NIST AI RMF บอกว่าเดินไปยังไง (4 เครื่องยนต์ Govern-Map-Measure-Manage) องค์กรที่ทำดีมักใช้ทั้งคู่

อย่างที่สาม — เราคือ “เจ้าของความเสี่ยง” ไม่ใช่ผู้ตรวจ ทั้งสองกรอบมีไว้ช่วยเราตัดสินใจ ไม่ใช่ไว้ให้คนอื่นมาตรวจแล้วให้คะแนน คำถามที่เราต้องตอบเองคือ “AI เราตกชั้นไหน เสี่ยงแค่ไหน รับได้ไหม ถ้าไม่ได้จะทำยังไง” — และในฐานะผู้นำไปใช้ (deployer) ความรับผิดชอบนั้นเป็นของเรา โยนให้คนขายทั้งหมดไม่ได้

ถ้าจะสรุปแบบที่เจ้าของกิจการหลายคนน่าจะพยักหน้าตาม — “งั้นก็แค่เช็กก่อนว่าโดนกฎหมายบังคับไหม แล้วใช้คู่มือ NIST เป็นวิธีกำกับให้เป็นระบบ ใช่มะ” ใช่เลยครับ นั่นแหละคือหัวใจของการเลือกใช้สองกรอบนี้

ตอนหน้าเราจะลงลึกต่อในเรื่องที่ค้างไว้ — “แล้วจะขีดเส้นยังไงว่าความเสี่ยงแค่ไหนที่บริษัทเรา ‘ยอมรับได้’” เรื่องการจัดชั้นความเสี่ยงและการกำหนดขีดจำกัดที่ยอมรับได้ (acceptable limits) ในมุมที่จับต้องได้จริง — ไว้เจอกันครับ

อ้างอิงเนื้อหา: AAISM — Domain 2: Section 2.3 (AI Risk Frameworks) ครอบทั้ง 2.3.1 (NIST AI RMF), 2.3.2 (EU AI Act) และ 2.3.3 (NIST vs EU AI Act) แหล่งสาธารณะที่อ้างถึงโดยตรง: National Institute of Standards and Technology, Artificial Intelligence Risk Management Framework (AI RMF 1.0), 2023 (nist.gov) · European Union, Artificial Intelligence Act (Regulation (EU) 2024/1689), eur-lex.europa.eu · ข้อมูลระดับเสี่ยงอ้างอิง Future of Life Institute, “EU AI Act Compliance Checker” (artificialintelligenceact.eu)