(English below)
ในวันที่ทุกองค์กรต่างเร่งรีบนำ AI มาใช้เพื่อเพิ่มประสิทธิภาพและลดต้นทุน แต่คุณทราบหรือไม่ว่า ภายใต้ความอัจฉริยะนั้น หากขาดการกำกับดูแลที่ดี เทคโนโลยีนี้อาจกลายเป็น “ระเบิดเวลา” ที่สร้างความเสียหายมหาศาลให้กับธุรกิจของคุณได้
วันนี้ พวกเรา Prom Legal Solution ขอพาเจาะลึกประเด็นสำคัญเรื่อง “AI Risk and Governance” เพื่อให้ผู้ประกอบการเห็นภาพชัดเจนว่า ทำไมเรื่องนี้ถึงไม่ใช่แค่เทรนด์ แต่เป็นเรื่อง “ความอยู่รอด” ของธุรกิจในยุคดิจิทัล
ความเสี่ยงของ AI ไม่ใช่เรื่องไกลตัว และไม่ใช่เพียงทฤษฎีในห้องเรียน แต่มันคือ “ต้นทุน” ที่เกิดขึ้นจริง ดังเช่น ตัวอย่าง เหตุการณ์ที่เกิดขึ้นในปี 2022 คดี Air Canada กับ Chatbot ขี้โม้ กรณีศึกษาคลาสสิกที่เกิดขึ้นเมื่อลูกค้าสอบถามเรื่อง “ส่วนลดค่าตั๋วกรณีเดินทางไปร่วมงานศพ” ผ่าน Chatbot บนหน้าเว็บไซต์ โดย Chatbot ได้ให้ข้อมูลผิดพลาดว่าลูกค้าสามารถซื้อตั๋วราคาเต็มไปก่อน แล้วค่อยมาขอคืนเงินส่วนต่างทีหลังได้ แต่เมื่อลูกค้าทำตามคำแนะนำ สายการบินกลับปฏิเสธการจ่ายเงินคืน โดยอ้างว่า Chatbot ทำงานผิดพลาดและนโยบายจริงไม่สามารถทำได้
ต่อมาผลลัพธ์คือ และในปี 2024 คณะอนุญาโตตุลาการตัดสินให้ลูกค้าชนะคดี โดยให้เหตุผลว่า Chatbot ถือเป็นส่วนหนึ่งของเว็บไซต์ และบริษัทต้องรับผิดชอบต่อข้อมูลที่ปรากฏบนหน้าเว็บไซต์บ้านของตนเอง ไม่ว่าจะมาจากพนักงานที่เป็นมนุษย์หรือ AI ก็ตาม
เพื่อให้ธุรกิจใช้งาน AI ได้อย่างปลอดภัยและยั่งยืน เราสามารถประยุกต์ใช้กรอบการทำงานมาตรฐานโลกอย่าง NIST AI Risk Management Framework (AI RMF) ได้ ซึ่งประกอบด้วย 4 หัวใจสำคัญ ดังนี้
- GOVERN: สร้างรากฐานและวัฒนธรรมองค์กร
เริ่มจากการตั้งคณะทำงาน ที่ประกอบไปด้วย ฝ่าย IT ฝ่ายกฎหมาย ฝ่ายบุคคล และฝ่ายธุรกิจ พร้อมทั้งทำบัญชีขึ้นทะเบียนว่าในองค์กรมี AI ตัวไหนบ้าง และกำหนดนโยบายความเสี่ยงที่รับได้
- MAP: ค้นหาความเสี่ยงให้เจอ
ระบุบริบทว่า AI ถูกใช้ที่ไหน เพื่ออะไร และใครคือผู้ได้รับผลกระทบ เช่น พนักงาน ลูกค้า หรือสังคม เพื่อที่จะได้ระบุความเสี่ยงที่แท้จริง เช่น เรื่องอคติ ข้อมูลส่วนบุคคลรั่วไหล หรือการให้ข้อมูลเท็จ
- MEASURE: อย่าเชื่อจนกว่าจะได้วัดผล (Trust, but Verify)
เมื่อรู้ความเสี่ยงแล้ว ต้องมีตัวชี้วัดที่เป็นวิทยาศาสตร์ โดยจะต้องมีการทดสอบความแม่นยำในกลุ่มย่อยต่างๆ ว่ามีความเท่าเทียมหรือไม่ ทดสอบในสถานการณ์สุดโต่ง (Edge Cases) ทดสอบในสถานการณ์หรือกรณีที่การใช้งานไม่ปกติ หรือการจำลองการโจมตีทางไซเบอร์ (Red Teaming) เลียนแบบสถานการณ์ของการโจมตีทางไซเบอร์จริงโดยใช้กลยุทธ์ วิธีการ และขั้นตอนแบบเดียวกับอาชญากรไซเบอร์ เพื่อดูว่า AI จะหลุดข้อมูลอันตรายหรือไม่ และสุดท้าย ควรจะต้องมีการตรวจสอบความถูกต้องด้วย เพราะ AI มักจะสร้างคำตอบที่ดูน่าเชื่อถือแต่ผิดได้
- MANAGE: จัดการความเสี่ยงอย่างเป็นระบบ
เมื่อวัดผลแล้ว ก็ถึงเวลาเลือกวิธีจัดการ หากความเสี่ยงสูงเกินไป อาจต้องตัดสินใจไม่ใช้ และจะต้องสร้างระบบป้องกัน เช่น การใช้ Human-in-the-loop นั่นคือ ให้คนช่วยตรวจสอบก่อนตัดสินใจ หรือการใช้เทคนิค RAG (Retrieval-Augmented Generation) เชื่อมโยงระบบเข้ากับแหล่งข้อมูลภายนอก เพื่อให้ AI อ้างอิงข้อมูลจริงขององค์กร สร้างคำตอบที่มีความถูกต้อง และแม่นยำ สอดคล้องกับบริบทที่เฉพาะเจาะจงมากยิ่งขึ้น
หลายคนมักมองว่าการกำกับดูแล (Governance) เป็นเรื่องยุ่งยากและเป็น “ตัวถ่วง” ของธุรกิจ ที่จะต้องมานั่งเซทระบบมากมาย แต่ในความเป็นจริงแล้ว มันคือ “ตัวช่วย” ที่จะทำให้ธุรกิจของคุณขยายตัว ได้อย่างมั่นคงและได้รับความไว้วางใจจากลูกค้า
อย่ารอให้เกิดวิกฤตแล้วค่อยแก้ ผู้ประกอบการสามารถเริ่มต้นได้ตั้งแต่วันนี้ด้วยก้าวง่ายๆ คือการทำ AI Risk Register (บัญชีความเสี่ยง) กับระบบ AI เล็กๆ ในองค์กร แล้วค่อยขยายผลต่อไป เพราะเรื่องของ AI Risk คือ สิ่ง”Team Sport” ที่ทุกคนในองค์กรต้องช่วยกันค่ะ
#PromLegalSolution #บทความให้ความรู้ #AIGovernance #AIRisk #BusinessTech #NIST #PDPA #กฎหมายธุรกิจ #AiforBusiness
AI Risk and Governance: When Risk is Not Just Theory, But a “Cost” Businesses Must Pay
In an era where every organization is rushing to adopt AI to boost efficiency and cut costs, did you know that beneath that brilliance, without proper governance, this technology could become a “ticking time bomb” causing massive damage to your business?
Today, Prom Legal Solution invites you to delve deep into the critical issue of “AI Risk and Governance” to give entrepreneurs a clear picture of why this is not just a trend, but a matter of “survival” in the digital age.
AI risk is not a distant issue nor just a classroom theory. It is a real “cost” that occurs, as seen in the Air Canada and the “Hallucinating Chatbot” case. This classic case study arose in 2022, when a customer inquired about a “bereavement fare discount” via the chatbot on the website. The chatbot incorrectly stated that the customer could buy a full-price ticket first and request a refund for the difference later. However, when the customer followed this advice, the airline refused the refund, claiming the chatbot malfunctioned and the actual policy did not allow this.
In 2024,the Civil Resolution Tribunal ruled in favor of the customer, reasoning that the chatbot wasis considered part of the website, and the company must be responsible for the information appearing on its “front door,” whether it comes from a human employee or AI.
To use AI safely and sustainably, we can apply a global standard framework like the NIST AI Risk Management Framework (AI RMF), which consists of 4 key pillars:
1.GOVERN: Build the Foundation and Organizational Culture
Start by establishing a working committee consisting of IT, Legal, HR, and Business departments. Create an AI Inventory to register what AI exists in the organization and define acceptable risk policies.
2.MAP: Identify the Risks
Identify the context: where is AI used, for what purpose, and who are the stakeholders (e.g., employees, customers, or society)? This allows for the identification of real risks, such as Bias, Data Privacy leaks, or Misinformation.
3. MEASURE: Trust, but Verify
Once risks are known, there must be scientific metrics. This involves testing accuracy across different subgroups to ensure fairness, testing in Edge Cases (extreme or unusual usage scenarios) , and conducting Red Teaming (simulating cyberattacks using the same strategies as cybercriminals) to see if AI leaks dangerous data. Finally, accuracy verification is a must because AI can often generate answers that look credible but are actually wrong.
4. MANAGE: Manage Risks Systematically
After measurement, it’s time to choose a management method. If the risk is too high, the decision might be not to use it. Defensive systems must be built, such as using Human-in-the-loop to have humans verify before decisions are made , or using RAG (Retrieval-Augmented Generation) techniques to link the system with external data sources so AI references the organization’s actual data, creating correct and precise answers consistent with specific contexts.
Many people view Governance as complicated and a “Blocker” for business that requires setting up many systems. But in reality, it is an “Enabler” or “Helper” that allows your business to scale securely and gain trust from customers.
Don’t wait for a crisis to fix it. Entrepreneurs can start today with simple steps: creating an AI Risk Register for small AI systems in the organization, then expanding. Because AI Risk is a shared responsibility that everyone in the organization must help with.
#PromLegalSolution #KnowledgeArticle #AIGovernance #AIRisk #BusinessTech #NIST #PDPA #BusinessLaw #AIforBusiness