KM01/2569 AI in Governance, Risk and Compliance (GRC)

อ่าน 87 ครั้ง  เพิ่มองค์ความรู้

AI in Governance, Risk and Compliance (GRC) 

อบรมวันที่ 19 พฤศจิกายน 2568 ซึ่งจัดโดยคณะแพทยศาสตร์ศิริราชพยาบาล และบรรยายโดยทีมผู้เชี่ยวชาญจากบริษัท เคพีเอ็มจี ภูมิไชย สอบบัญชี จำกัด โดยการอบรมมุ่งเน้นการสร้างความเข้าใจเกี่ยวกับการนำปัญญาประดิษฐ์ (AI) มาใช้อย่างแพร่หลายในองค์กร โดยเฉพาะในภาคสาธารณสุข ซึ่งมาพร้อมกับโอกาสในการเพิ่มประสิทธิภาพและนวัตกรรม แต่ในขณะเดียวกันก็ก่อให้เกิดความท้าทายและความเสี่ยงใหม่ๆ ในมิติของการกำกับดูแล (Governance) การบริหารความเสี่ยง (Risk) และการปฏิบัติตามกฎระเบียบ (Compliance) หรือ GRC

บทสรุปสำหรับผู้บริหาร

GRC เปรียบเสมือน "รากฐานและโครงสร้าง" ที่ทำให้องค์กรมีความมั่นคง แข็งแรง และสามารถเติบโตได้อย่างยั่งยืนในระยะยาว GRC จึงเป็นหัวใจสำคัญในการนำ AI มาใช้อย่างยั่งยืนและมีความรับผิดชอบ 

ประเด็นสำคัญที่ต้องพิจารณา :

  1. ความกังวลหลักต่อการใช้ AI : ผลสำรวจผู้เข้าร่วมอบรมสอดคล้องกับแนวโน้มระดับโลก โดยชี้ให้เห็นว่าข้อกังวลสูงสุดสามอันดับแรกในการนำ AI มาใช้ ได้แก่ ความเป็นส่วนตัว (Privacy), ความปลอดภัยทางไซเบอร์ (Cyber Security) และ ความถูกต้องของข้อมูล (Misinformation/Inaccurate Outcomes) ซึ่งเป็นความเสี่ยงที่องค์กรต้องให้ความสำคัญเป็นอันดับแรก
  2. ความจำเป็นของกรอบการกำกับดูแล AI ที่น่าเชื่อถือ (Trusted AI Framework) : การนำ AI มาใช้อย่างมี
    ความรับผิดชอบจำเป็นต้องมีกรอบการกำกับดูแลที่ชัดเจน ครอบคลุมตั้งแต่ระดับองค์กร (นโยบาย, โครงสร้างกำกับดูแล) ไปจนถึงระดับกรณีการใช้งาน (Use Case) ซึ่งต้องมีการประเมินและควบคุมความเสี่ยงตลอดวงจรชีวิตของ AI ตั้งแต่การพัฒนา การนำไปใช้ จนถึงการเลิกใช้งาน
  3. ภาพรวมทางกฎหมายที่กำลังเปลี่ยนแปลง : ประเทศไทยกำลังอยู่ในช่วงการพัฒนาร่างพระราชบัญญัติ AI
    ซึ่งจะมีการจำแนกประเภทของ AI ตามระดับความเสี่ยง โดยเฉพาะอย่างยิ่ง AI ความเสี่ยงสูง (High-Risk AI)
    ซึ่งครอบคลุมถึงภาคสาธารณสุข (Healthcare) จะมีข้อบังคับและหน้าที่ความรับผิดชอบที่เข้มงวดทั้งต่อผู้พัฒนา (Service Provider) และผู้ใช้งาน (User) องค์กรจึงต้องเตรียมความพร้อมในการปฏิบัติตามกฎหมายที่จะเกิดขึ้น ควบคู่ไปกับการปฏิบัติตามกฎหมายปัจจุบัน เช่น PDPA
  4. ความเสี่ยงที่จำเพาะต่อ AI : นอกเหนือจากความเสี่ยงด้านเทคโนโลยีแบบดั้งเดิม AI ยังนำมาซึ่งภัยคุกคามรูปแบบใหม่ เช่น การวางยาข้อมูล (Data Poisoning), การหลอกลวงโมเดล (Model Evasion), การโจมตีแบบอนุมาน (Inference Attacks) และอคติ (Bias) ที่เกิดจากข้อมูลที่ใช้สอน ซึ่งอาจนำไปสู่การตัดสินใจที่ผิดพลาดและส่งผลกระทบร้ายแรง โดยเฉพาะในการวินิจฉัยทางการแพทย์
  5. ขั้นตอนที่ต้องดำเนินการ : องค์กรควรเริ่มต้นด้วยการจัดตั้งโครงสร้างการกำกับดูแล AI, จัดทำบัญชีรายการ AI ที่
    ใช้งานทั้งหมดในองค์กร (AI Inventory), ประเมินและจัดลำดับความเสี่ยงของ AI แต่ละตัว และสร้างความตระหนักรู้พร้อมทั้งจัดอบรมให้บุคลากรเข้าใจถึงนโยบายและแนวปฏิบัติที่ถูกต้อง

1. วิวัฒนาการและภาพรวมความเสี่ยงของ AI ในระบบสาธารณสุข

1.1 วิวัฒนาการการใช้ AI ในระบบสาธารณสุขไทย

  • ช่วงเริ่มต้น (ก่อนปี 2020) : การใช้งานยังจำกัดอยู่ในวงแคบ ส่วนใหญ่เป็นโครงการนำร่องและงานวิจัย เช่น การใช้ AI ช่วยวิเคราะห์ในด้านรังสีวิทยา หรืองานสนับสนุนของโรงพยาบาล
  • ช่วงเร่งการพัฒนา (2020-2023) : การระบาดของ COVID-19 เป็นตัวเร่งสำคัญที่ทำให้เกิดการพัฒนาและนำเทคโนโลยีดิจิทัลและ AI มาใช้อย่างก้าวกระโดด เพื่ออำนวยความสะดวกในการให้บริการทางการแพทย์โดยไม่ต้องพบหน้ากัน
  • ช่วงตื่นตัวและใช้งานจริง (2023-2025) : มีการนำ AI มาใช้อย่างแพร่หลายและเป็นรูปธรรมมากขึ้น เช่น
    การช่วยอ่านฟิล์ม, การวินิจฉัยโรค, การแพทย์ทางไกล (Telemedicine), การวิเคราะห์ข้อมูลเพื่อคาดการณ์
    การเกิดโรค และการบริหารจัดการระบบหลังบ้าน เช่น การจัดคิว ซึ่งศิริราชเองก็เป็นหนึ่งในสถาบันชั้นนำของไทยที่มีการนำ AI มาใช้อย่างจริงจัง

1.2 วิวัฒนาการของความเสี่ยง

  • ยุคกระบวนการ Manual : ความเสี่ยงหลักเกิดจาก Human Error และ Operational Risk เช่น การทำงานผิดพลาด การทุจริต ซึ่งผลกระทบมักจำกัดอยู่ในวงแคบ
  • ยุค Digital Transformation : เมื่อข้อมูลถูกเปลี่ยนเป็นดิจิทัลและระบบเชื่อมโยงกันมากขึ้น ความเสี่ยงใหม่ๆ ที่มีความสำคัญสูงได้เกิดขึ้น ได้แก่
    • Cyber Security Risk : การโจมตีทางไซเบอร์ที่อาจทำให้ข้อมูลจำนวนมหาศาลรั่วไหล
    • System Failure Risk : ระบบล่มที่ส่งผลให้การทำงานหยุดชะงัก
    • Third-Party Risk : ความเสี่ยงจากคู่ค้าหรือ Vendor ที่เข้าถึงข้อมูลขององค์กร
  • ยุค AI : AI ทำให้การประมวลผลรวดเร็วและขยายวงกว้าง (Large Scale) ส่งผลให้ความเสี่ยงมีลักษณะที่รุนแรงและซับซ้อนขึ้น ได้แก่
    • AI Bias and Inaccuracy : ความเสี่ยงจากการที่ AI เรียนรู้จากข้อมูลที่มีอคติ (Bias) หรือข้อมูลที่
      ไม่ถูกต้อง นำไปสู่การตัดสินใจที่เลือกปฏิบัติหรือไม่เป็นธรรม เช่น การวินิจฉัยที่แตกต่างกันตามเชื้อชาติ
    • AI Hallucination : การที่ AI สร้างข้อมูลที่ไม่มีอยู่จริงขึ้นมาเอง ซึ่งเป็นอันตรายอย่างยิ่งในทางการแพทย์
    • Privacy Risk Conflict : หลักการทำงานของ AI บางอย่างขัดแย้งกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) เช่น หลักการ Data Minimization (เก็บข้อมูลเท่าที่จำเป็น) ของ PDPA ขัดกับธรรมชาติของ AI ที่ต้องการข้อมูลจำนวนมากในการเรียนรู้ (Data Hunger)
    • AI Third-Party Risk : ความรับผิดชอบที่ยังไม่ชัดเจนในกรณีที่ AI ที่พัฒนาโดย Vendor ทำงานผิดพลาด ใครคือผู้รับผิดชอบระหว่างผู้พัฒนาและผู้ใช้งาน

2. กรอบกฎหมายและข้อบังคับที่เกี่ยวข้อง

2.1 กฎหมายปัจจุบันและอนาคต

การเติบโตของ AI นำไปสู่ความพยายามในการออกกฎหมายเพื่อกำกับดูแล โดยมีพัฒนาการจากหลักการ (Principles) สู่กฎหมาย (Laws) เช่น EU AI Act ของสหภาพยุโรป สำหรับประเทศไทย ปัจจุบันยังไม่มีกฎหมาย Aโดยตรง แต่หน่วยงานกำกับดูแลในบางภาคส่วน เช่น ธนาคารแห่งประเทศไทย ได้ออกแนวปฏิบัติเกี่ยวกับการบริหารความเสี่ยงด้าน AI สำหรับสถาบันการเงินแล้ว ซึ่งในอนาคตอันใกล้ ภาคสาธารณสุขก็จำเป็นต้องมีกฎระเบียบที่ชัดเจนเช่นกัน

2.2 ร่างพระราชบัญญัติ AI ของไทย

  • หลักการพื้นฐาน
    1. การกระทำหรือการตัดสินใจโดย AI ให้ถือว่ามีผลผูกพันทางกฎหมาย
    2. มนุษย์ยังคงต้องเป็นผู้รับผิดชอบต่อผลของการกระทำที่เกิดจาก AI
  • การจำแนกความเสี่ยงของ AI : แบ่งเป็น 3 ระดับ
    1. AI ที่มีความเสี่ยงจนต้องห้าม (Prohibited Risk): ห้ามพัฒนาและใช้งานโดยเด็ดขาด เช่น AI ที่ปรับเปลี่ยนพฤติกรรมมนุษย์โดยไม่รู้ตัว หรือ AI ที่ใช้ในการให้คะแนนทางสังคม (Social Scoring)
    2. AI ความเสี่ยงสูง (High-Risk AI) : ใช้งานได้แต่ต้องอยู่ภายใต้การกำกับดูแลที่เข้มงวด ครอบคลุมถึง AI ที่ส่งผลกระทบต่อความปลอดภัยในชีวิต เช่น ระบบสาธารณสุข (Healthcare), โครงสร้างพื้นฐาน, การขนส่ง และ AI ที่ส่งผลต่อสิทธิขั้นพื้นฐาน เช่น การพิจารณาสินเชื่อ, การจ้างงาน
    3. AI ความเสี่ยงทั่วไป (General Risk) : AI ประเภทอื่นๆ ที่ไม่เข้าข่ายสองประเภทข้างต้น

3. ภัยคุกคามทางไซเบอร์และความท้าทายในภาคสาธารณสุข

3.1 ความท้าทายในการนำ AI มาใช้

การจะเป็นศูนย์กลางการแพทย์ระดับโลกต้องไม่ทิ้งนวัตกรรม แต่การใช้ AI ในเรื่องสุขภาพ "ต้องวางรากฐานเรื่อง
ธรรมาภิบาล (Governance) รวมถึงความปลอดภัยทางด้านไซเบอร์ให้ชัดเจน" ซึ่งสอดคล้องกับความท้าทายหลักที่
ภาคสาธารณสุขเผชิญ คือ

  • คุณภาพของข้อมูล (Data Quality) : AI ต้องการข้อมูลคุณภาพสูงในการเรียนรู้ หากข้อมูลมีอคติหรือไม่ถูกต้อง ผลลัพธ์ก็จะผิดพลาด
  • ทักษะบุคลากร (Skills) : บุคลากรทางการแพทย์ต้องมีความสามารถในการใช้งานและตรวจสอบผลลัพธ์จาก AI
  • ประเด็นทางกฎหมาย (Legal Issues)  : ความรับผิดชอบเมื่อเกิดความผิดพลาด และการปฏิบัติตามกฎหมายคุ้มครองข้อมูล
  • ผลตอบแทนการลงทุน (ROI) : การนำ AI มาใช้ในทางการแพทย์ต้องผ่านการวิจัยและทดลองอย่างยาวนาน ทำให้เห็นผลตอบแทนการลงทุนได้ช้ากว่าภาคส่วนอื่น

3.2 ภัยคุกคามทางไซเบอร์ที่จำเพาะต่อ AI

  • การวางยาข้อมูล (Data Poisoning) : ผู้ไม่หวังดีแอบใส่ข้อมูลที่บิดเบือนเข้าไปในชุดข้อมูลที่ใช้สอน (Training Data) เพื่อให้โมเดล AI เรียนรู้สิ่งที่ผิดและให้ผลลัพธ์ที่ไม่ถูกต้อง
    • ตัวอย่างใน Healthcare : ฝังแพทเทิร์นขนาดเล็กในภาพ CT Scan เพื่อหลอกให้ AI วินิจฉัยโรคมะเร็งผิดพลาด
    • การป้องกัน : จำกัดสิทธิ์การเข้าถึงชุดข้อมูล, ตรวจสอบข้อมูลก่อนนำไปสอน, ฝึกโมเดลให้ทนทานต่อข้อมูลที่ผิดปกติ
  • การหลอกลวงโมเดล (Model Evasion / Adversarial Attack) : การสร้างข้อมูลนำเข้าที่ถูกปรับแต่งเล็กน้อย (เช่น การเพิ่มสัญญาณรบกวน หรือ Noise) เพื่อหลอกให้ AI ตีความผิดพลาด โดยไม่ต้องแก้ไขข้อมูลต้นฉบับ
    • ตัวอย่างใน Healthcare : ใส่สัญญาณรบกวนเข้าไปในข้อมูลจากเครื่องวัดคลื่นหัวใจ ทำให้ AI อ่านค่าผิดและรายงานผลวิกฤตปลอม
    • การป้องกัน : ตรวจจับสัญญาณที่ผิดปกติก่อนป้อนข้อมูล, ใช้โมเดลที่ทนทาน (Robust Model),
      ใช้หลายโมเดลในการยืนยันผล
  • การโจมตีแบบอนุมาน (Inference Attacks) : ผู้ไม่หวังดีพยายาม "เดา" ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่ AI
    ได้เรียนรู้ไป โดยการตั้งคำถามชี้นำซ้ำๆ เพื่อให้ AI เผลอเปิดเผยข้อมูลสำคัญออกมา
    • ตัวอย่างใน Healthcare : ถามคำถามเจาะจงเกี่ยวกับอายุ อาการ และช่วงเวลาที่เข้ารับการรักษา
      เพื่ออนุมานว่าผู้ป่วยที่มีชื่อเสียงคนหนึ่งเป็นโรคอะไร
    • การป้องกัน: ทำข้อมูลให้เป็นนิรนาม (Anonymization) ก่อนนำไปสอน, จำกัดคำตอบของ AI ไม่ให้เจาะจงรายบุคคล, ปฏิเสธการตอบคำถามที่เจาะลึกหรือซ้ำซาก
  • การดึงข้อมูลจากโมเดล (Model Extraction) : ความพยายามในการขโมยข้อมูลหรือ "สูตร" การทำงานของโมเดล AI
    • ตัวอย่างใน Healthcare : ใช้ Prompt ที่เจาะจงเพื่อสั่งให้ AI สร้างภาพตัวอย่างของรอยโรคขึ้นมา
      ซึ่งอาจเป็นภาพที่สร้างจากข้อมูลของผู้ป่วยจริง
    • การป้องกัน : เช่นเดียวกับการโจมตีแบบอนุมาน คือการป้องกันข้อมูลตั้งแต่ต้นทางและจำกัดความสามารถในการให้ข้อมูลของ AI

4. กรณีศึกษาและบทเรียน

  • เคสที่ 1 : แชทบอทแนะนำโภชนาการ : แชทบอทให้คำแนะนำในการลดน้ำหนักที่รุนแรงเกินไป (เช่น ให้บริโภคพลังงานต่ำมาก) ซึ่งอาจเป็นอันตรายต่อสุขภาพ
    • บทเรียน : AI ที่ไม่มีการกำกับดูแลอาจให้คำแนะนำที่ไม่ปลอดภัย (Unsafe Outcome) และขาด
      ความรับผิดชอบ (Accountability)
  • เคสที่ 2 : AI วิเคราะห์โรคตาของ Google : โมเดลทำงานได้ดีในห้องปฏิบัติการ แต่เมื่อนำไปใช้จริงกลับปฏิเสธภาพถ่ายจำนวนมาก (ประมาณ 20%) เนื่องจากคุณภาพแสงและภาพไม่ดีเท่าในห้องแล็บ
    • บทเรียน: การทดสอบในสภาพแวดล้อมจริงเป็นสิ่งสำคัญ และผู้ใช้งานต้องได้รับการฝึกอบรมให้สามารถรับมือกับผลลัพธ์ที่ผิดปกติได้
  • เคสที่ 3 : Med-Gemini และภาวะ "Hallucination" : โมเดล AI ทางการแพทย์ของ Google เกิดอาการ "คิดไปเอง" โดยอ้างถึงรอยโรคในส่วนของร่างกายที่ไม่มีอยู่จริงในทางกายวิภาคศาสตร์
    • บทเรียน : ความน่าเชื่อถือของโมเดล (Model Reliability) เป็นสิ่งสำคัญ และต้องมีกระบวนการตรวจสอบที่เข้มงวดก่อนนำไปใช้งานจริง เพื่อป้องกันอันตราย

5. การสร้างกรอบการกำกับดูแล AI ที่น่าเชื่อถือ (Trusted AI Framework)

► ระดับองค์กร (Entity Level)

  1. Operating Model : กำหนดโครงสร้างและผู้รับผิดชอบที่ชัดเจน อาจเป็นทีมที่จัดตั้งขึ้นโดยเฉพาะ หรือทีมเฉพาะกิจที่มาจากหลายสายงาน
  2. AI Principles : กำหนดหลักการพื้นฐานในการพัฒนาและใช้งาน AI ขององค์กร เช่น ต้องมีมนุษย์เป็นศูนย์กลาง (Human-Centric) โปร่งใส และเป็นธรรม
  3. Policies & Procedures : สร้างนโยบายและขั้นตอนปฏิบัติที่ชัดเจน เช่น นโยบายการใช้ AI สาธารณะ (เช่น ChatGPT) กับข้อมูลขององค์กร
  4. Training & Awareness : จัดอบรมให้บุคลากรเข้าใจนโยบาย ความเสี่ยง และแนวปฏิบัติที่ถูกต้อง

► ระดับกรณีการใช้งาน (Use Case Level)

  1. Risk Assessment : ประเมินความเสี่ยงของ AI แต่ละตัวตามกรอบการประเมินที่กำหนดไว้
  2. Controls : ออกแบบการควบคุมตลอดวงจรชีวิตของ AI ตั้งแต่การเตรียมข้อมูล การพัฒนา การทดสอบ ไปจนถึงการใช้งานจริง
  3. Metrics & Monitoring : กำหนดตัวชี้วัดเพื่อติดตามประสิทธิภาพและความผิดปกติของ AI อย่างต่อเนื่อง
  4. Assurance : จัดให้มีการตรวจสอบหรือประเมินโมเดล AI เป็นระยะ เพื่อให้แน่ใจว่ายังคงทำงานได้ถูกต้องและเหมาะสมกับสภาพแวดล้อมปัจจุบัน

► กรอบการประเมินความเสี่ยง AI 10 มิติของ KPMG (Trusted AI Framework) 

  1. Privacy : การคุ้มครองข้อมูลส่วนบุคคล
  2. Security : ความปลอดภัยของข้อมูลและระบบ
  3. Safety: ความปลอดภัยต่อชีวิตและร่างกายของมนุษย์
  4. Transparency : ความโปร่งใสและสามารถอธิบายการตัดสินใจได้
  5. Accountability : ความสามารถในการตรวจสอบและระบุผู้รับผิดชอบ
  6. Data Integrity : ความถูกต้องและครบถ้วนของข้อมูล
  7. Fairness : ความยุติธรรมและไม่เลือกปฏิบัติ
  8. Sustainability : ความยั่งยืนและผลกระทบต่อสิ่งแวดล้อม
  9. Reliability : ความน่าเชื่อถือและความแม่นยำของผลลัพธ์
  10. Human-centricity : การมีมนุษย์เป็นศูนย์กลางในการออกแบบและใช้งาน

6. ขั้นตอนถัดไปและข้อเสนอแนะ

  1. จัดตั้งโครงสร้างการกำกับดูแล AI : ระบุผู้รับผิดชอบและบทบาทหน้าที่ให้ชัดเจน
  2. จัดทำบัญชีรายการ AI (AI Inventory) : สำรวจและจัดทำรายการ AI ทั้งหมดที่ใช้งานอยู่ในองค์กร เพื่อให้ทราบว่ามีความเสี่ยงอยู่ที่ใดบ้าง
  3. ประเมินและบริหารจัดการความเสี่ยง : นำ AI ใน Inventory มาประเมินและจัดลำดับความเสี่ยง (เช่น High/Medium/Low Risk) เพื่อกำหนดมาตรการควบคุมที่เหมาะสม
  4. ติดตามตรวจสอบตลอดวงจรชีวิต AI : สร้างกระบวนการมอนิเตอร์ตั้งแต่การพัฒนาไปจนถึงการเลิกใช้งาน (Retirement)
  5. จัดอบรมและสร้างความตระหนักรู้ : สื่อสารนโยบายและแนวปฏิบัติให้บุคลากรทั่วทั้งองค์กรได้รับทราบและปฏิบัติตาม

เอกสารประกอบ

ดาวน์โหลด