ไทยเพิ่มมาตรฐานความปลอดภัยให้กลยุทธ์ AI ระดับชาติ – NCSA ประกาศแนวปฏิบัติความปลอดภัย AI ตามมาตรฐานสากล

วันที่ 1 ตุลาคม 2025 สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSA) ประกาศ “แนวปฏิบัติการใช้ปัญญาประดิษฐ์อย่างมั่นคงปลอดภัย” (AI Security Guideline) ไทยส่งเสริมการนำ AI มาใช้มาอย่างต่อเนื่อง ตอนนี้ได้จัดทำระบบด้านความปลอดภัยเพื่อสนับสนุนให้ภาคธุรกิจใช้ AI อย่างปลอดภัย

ประวัติการประกาศแนวปฏิบัติจาก NCSA

การประกาศแนวปฏิบัติครั้งนี้มีพื้นฐานมาจากกลยุทธ์ระดับชาติและแนวโน้มการกำกับดูแลระดับสากล ไทยได้อนุมัติ “แผนยุทธศาสตร์และแผนปฏิบัติการ AI แห่งชาติ (2022-2027)” ในปี 2022 เพื่อให้เศรษฐกิจเติบโตด้วยเทคโนโลยี AI การรับมือกับความเสี่ยงจากการใช้ AI ยังไม่ทันการณ์

สถานการณ์เปลี่ยนแปลงในปี 2025 ธนาคารแห่งประเทศไทย (ธปท.) ประกาศ “แนวปฏิบัติการบริหารจัดการความเสี่ยงของ AI สำหรับผู้ให้บริการทางการเงิน” เมื่อวันที่ 12 กันยายน ในภาคการแพทย์ กระทรวงสาธารณสุขลงนามบันทึกข้อตกลงร่วมกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 19 พฤษภาคม การโจมตีทางไซเบอร์ในภาคสาธารณสุขเพิ่มขึ้นกว่า 300% ในรอบ 3 ปีที่ผ่านมา ดังนั้นการรับมือด้านความปลอดภัยจึงเป็นเรื่องเร่งด่วน

ในขณะที่หลายภาคส่วนเร่งจัดทำแนวปฏิบัติของตนเอง NCSA ในฐานะหน่วยงานระดับชาติต้องนำเสนอแนวทางที่เป็นมาตรฐานเดียวกัน การประกาศแนวปฏิบัติเมื่อวันที่ 1 ตุลาคม มีสองวัตถุประสงค์หลัก คือจัดระเบียบสภาพแวดล้อมการกำกับดูแล และรองรับกรอบการทำงานระดับสากล

พลอากาศตรี อมร จอมเชย เลขาธิการ NCSA เข้าร่วม “ASEAN-Japan Cybersecurity Meeting” ที่โตเกียวในระหว่างวันที่ 7-9 ตุลาคม หลังจากการประกาศและเข้าร่วม “Singapore International Cyber Week” ในระหว่างวันที่ 21-23 ตุลาคม เพื่อนำเสนอกรอบการกำกับดูแล AI ของไทยอย่างแข็งขัน

เนื้อหาและลักษณะของแนวปฏิบัติ

แนวปฏิบัติประกอบด้วย 4 ส่วน ส่วนที่ 1 บทนำ ระบุชัดเจนถึงวิธีการใช้ AI ที่เหมาะสมและการใช้ที่ต้องห้าม การสร้าง Deepfake และการเผยแพร่ข้อมูลเท็จถูกเตือนว่าเป็นวัตถุประสงค์ที่ไม่ถูกต้องตามจรรยาบรรณ ในทางกลับกัน แนวปฏิบัติแนะนำให้ใช้ AI เพื่อเพิ่มประสิทธิภาพการทำงานและยกระดับคุณภาพชีวิตของประชาชน

ส่วนที่ 2 จัดระเบียบภัยคุกคามด้านความปลอดภัยที่เฉพาะเจาะจงกับ AI ระบุภัยคุกคามล่าสุดตาม OWASP Top 10 for Large Language Model Applications เช่น Data Poisoning, การละเมิดความเป็นส่วนตัว, Prompt Injection, Model Extraction, Model Poisoning

ส่วนที่ 3 เป็นแกนหลักทางเทคนิคของแนวปฏิบัติ แสดงมาตรการความปลอดภัยที่ต้องปฏิบัติในแต่ละขั้นตอนของ AI Lifecycle (การวางแผน การพัฒนา การใช้งาน การดำเนินการ การยกเลิก) ประเด็นสำคัญคือไม่ได้จัดทำมาตรฐานเฉพาะของไทย แต่แนะนำให้ปฏิบัติตามมาตรฐานสากลอย่างชัดเจน

การประเมินความปลอดภัย AI ต้องปฏิบัติตาม ISO/IEC 23894:2023 (การจัดการความเสี่ยง AI) การจัดการข้อมูลต้องปฏิบัติตาม ISO/IEC 27002:2022 (มาตรการความปลอดภัยสารสนเทศ)

ส่วนที่ 4 จัดการกรอบการกำกับดูแลองค์กร ต้องการให้รวมความเสี่ยงที่เกี่ยวข้องกับ AI เข้ากับกรอบการจัดการความเสี่ยงทั้งองค์กร (ERM) และระบุอย่างชัดเจนถึงการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) และ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ (CSA) นอกจากนี้ยังแนะนำให้ปฏิบัติตาม ISO/IEC 42001:2023 สำหรับระบบการจัดการ AI

กลุ่มเป้าหมายของแนวปฏิบัติกว้างขวาง ครอบคลุมผู้บริหารระดับสูง ทีมพัฒนาและดำเนินการ AI เจ้าหน้าที่ความปลอดภัยไซเบอร์ ผู้ใช้งานปลายทาง เจ้าของข้อมูล หน่วยงานกำกับดูแล และภาคประชาสังคม กำหนดความปลอดภัย AI ไม่ใช่เฉพาะปัญหาของแผนกเทคโนโลยี แต่เป็นปัญหาการกำกับดูแลของทั้งองค์กรและสังคม

เจตนาเชิงกลยุทธ์ของการปฏิบัติตามมาตรฐานสากล

การที่ไทยไม่จัดทำมาตรฐานความปลอดภัยที่ซับซ้อนเฉพาะของตนเอง แต่อ้างอิงมาตรฐาน ISO โดยตรง มีเจตนาเชิงกลยุทธ์

ประการแรก แนวปฏิบัตินี้ช่วยลดภาระการปฏิบัติตามข้อกำหนดของบริษัทข้ามชาติ บริษัทข้ามชาติที่ดำเนินการรับรอง ISO อยู่แล้ว สามารถลดต้นทุนการปรับให้เข้ากับท้องถิ่นสำหรับการเข้าสู่ตลาดไทยให้เหลือน้อยที่สุด

ประการที่สอง แนวปฏิบัตินี้ช่วยเพิ่มความน่าเชื่อถือระดับสากลของบริษัทในประเทศ บริษัทไทยที่ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดที่ได้รับการยอมรับทั่วโลก สามารถขยายโซลูชัน AI ที่พัฒนาเองไปต่างประเทศได้ง่ายขึ้น

ประการที่สาม แนวปฏิบัตินี้ช่วยรักษาความยืดหยุ่นของการกำกับดูแล NCSA สามารถหลีกเลี่ยงความยุ่งยากในการแก้ไขกฎหมายตามความก้าวหน้าของเทคโนโลジีอย่างรวดเร็ว เพียงแค่ติดตามการอัปเดตมาตรฐาน ISO ที่อ้างอิง ก็สามารถป้องกันไม่ให้แนวปฏิบัติล้าสมัย

ผลกระทบต่อภาคธุรกิจและความสัมพันธ์กับการปฏิบัติตาม PDPA

พลอากาศตรี อมร เลขาธิการ NCSA กล่าวในขั้นตอนการร่างเมื่อเดือนมกราคม 2025 ว่าแนวปฏิบัตินี้มุ่งเน้น “การจัดความสอดคล้องด้านความปลอดภัยระหว่าง พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ (CSA) และ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)” ในส่วนที่ 4 ของแนวปฏิบัติที่สมบูรณ์ ระบุอย่างชัดเจนถึงการปฏิบัติตาม PDPA และ CSA

นี่เป็นข้อความที่ชัดเจนว่า หากมาตรการความปลอดภัยของ AI ไม่เพียงพอ จะไม่สามารถบรรลุการคุ้มครองข้อมูลที่ PDPA กำหนด สำหรับบริษัทที่พิจารณาใช้ AI การปฏิบัติตามแนวปฏิบัตินี้เป็นเงื่อนไขเบื้องต้นเพื่อหลีกเลี่ยงความเสี่ยงจากการละเมิด PDPA

บริษัทที่ดำเนินธุรกิจ AI ในไทยต้องเข้าใจ “โครงสร้างสองชั้น” นี้ หากบริษัทอยู่ในอุตสาหกรรมที่มีการกำกับดูแล เช่น การเงินหรือการแพทย์ ไม่สามารถดูเพียงแนวปฏิบัติของ NCSA เพียงอย่างเดียว บริษัทต้องปฏิบัติตามแนวปฏิบัติในแนวดิ่งของภาคส่วนที่ตนเองสังกัดเป็นอันดับแรก (เช่น แนวปฏิบัติของ ธปท.) จากนั้น “แนวปฏิบัติความปลอดภัย AI” ของ NCSA จะทำหน้าที่เป็นมาตรฐานการดำเนินการ แสดงวิธีการดำเนินการทางเทคนิค “มาตรการความปลอดภัยที่เหมาะสม” ที่แนวปฏิบัติเฉพาะภาคส่วนกำหนด

ความหมายของ Soft Law และแนวโน้มในอนาคต

แนวปฏิบัตินี้อยู่ในตำแหน่งของ “Soft Law” ที่ไม่มีผลผูกพันทางกฎหมาย หลีกเลี่ยงการนำกฎระเบียบที่เข้มงวดเช่น AI Act ของ EU มาใช้ในขณะนี้ และใช้แนวทางที่สอดคล้องกับ “Model AI Governance Framework” ของสิงคโปร์ และ “ASEAN Guide on AI Governance and Ethics”

การเลือกนี้ทำให้ไทยไม่เสียเปรียบในการแข่งขันดึงดูดการลงทุนในภูมิภาค ASEAN ไทยสามารถปกป้องระบบนิเวศ AI ภายในประเทศได้ แนวปฏิบัตินี้ไม่กำหนดภาระการปฏิบัติตามข้อกำหนดที่หนักหน่วงจาก Hard Law ที่เข้มงวดล่วงหน้าสำหรับนวัตกรรมภายในประเทศในช่วงเริ่มต้น เช่น SCB X และ Thai Language Large Language Model (ThaiLLM)

อย่างไรก็ตาม ปัญหาการกำกับดูแลที่กว้างขวางกว่า เช่น “จริยธรรม” “ความเป็นธรรม” “ความโปร่งใส” “สิทธิมนุษยชน” ของ AI ไม่ได้รับการแก้ไขในแนวปฏิบัตินี้ ปัญหาเหล่านี้ยังคงอยู่ในขอบเขตของร่าง “กฎหมาย AI” ที่ ETDA (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์) เป็นผู้นำการหารือ

BKK IT News มองว่าแนวปฏิบัตินี้อาจเป็นต้นแบบของส่วน “ความปลอดภัยและการจัดการความเสี่ยง” ของ “กฎหมาย AI” ที่จะประกาศในอนาคต หากเหตุการณ์ความปลอดภัยที่ร้ายแรงจาก AI เกิดขึ้นบ่อยครั้ง กระบวนการยกระดับเนื้อหาของแนวปฏิบัตินี้เป็นกฎระเบียบที่จำเป็นอาจดำเนินการ

การดำเนินการที่บริษัทไทยควรทำ

สำหรับบริษัทที่พิจารณานำ AI มาใช้ในไทย การตอบสนองต่อแนวปฏิบัตินี้เป็นหนึ่งในทางเลือก บริษัทที่ต้องการให้แน่ใจในการปฏิบัติตาม PDPA บริษัทที่ต้องการเพิ่มความน่าเชื่อถือในตลาดสากล หรือบริษัทที่ได้รับการร้องขอการดำเนินการทางเทคนิคจากหน่วยงานกำกับดูแลเฉพาะภาคส่วน การปฏิบัติตามแนวปฏิบัตินี้เป็นทางเลือกที่มีประสิทธิภาพ

การดำเนินการที่เป็นรูปธรรม สามารถพิจารณาการได้รับการรับรองมาตรฐานสากล เช่น ISO/IEC 42001 (ระบบการจัดการ AI) และ ISO/IEC 23894 (การจัดการความเสี่ยง AI) การรับรองเหล่านี้มีผลไม่เพียงในตลาดไทย แต่ยังมีผลในการขยายธุรกิจในตลาดสากล

นอกจากนี้ การรวมความเสี่ยงที่เกี่ยวข้องกับ AI เข้ากับกรอบการจัดการความเสี่ยงทั้งองค์กร (ERM) และสร้างระบบที่ผู้บริหารระดับสูงรับผิดชอบ เป็นอีกทางเลือกหนึ่ง การจัดเตรียมโครงสร้างองค์กรที่จัดการความปลอดภัย AI ไม่ใช่เฉพาะปัญหาของห้อง CISO แต่เป็นความรับผิดชอบร่วมกันของ CEO คณะกรรมการและทีมพัฒนา เป็นหนึ่งในทางเลือก

การกำกับดูแล AI ของไทยกำลังได้รับการจัดเตรียมอย่างค่อยเป็นค่อยไป โดยสร้างสมดุลระหว่างการส่งเสริมนวัตกรรมและการจัดการความเสี่ยง บริษัทต้องติดตามการเคลื่อนไหวนี้และปรับกลยุทธ์ AI ของตนอย่างยืดหยุ่น

ลิงก์บทความอ้างอิง

• Thailand’s New AI Guideline – Inside Tech Law
• AI Alert: Thailand’s New AI Guideline | United States | Global law firm … – Norton Rose Fulbright
• สกมช. ประกาศแนวปฏิบัติการใช้ปัญญาประดิษฐ์อย่างมั่นคงปลอดภัย (AI Security Guidelines)
• Thailand Issues AI Risk Management Guidelines for Financial … – Tilleke & Gibbins
• Thailand’s draft AI law: A new era for governance and innovation – Norton Rose Fulbright