บริษัทไทยเผชิญความเสี่ยง “Shadow AI” ～การใช้ AI โดยไม่ได้รับอนุญาตสร้างช่องโหว่ความปลอดภัย～

เทคโนโลยี AI สร้างสรรค์เติบโตอย่างรวดเร็ว บริษัทไทยเผชิญปัญหาสำคัญ พนักงานใช้เครื่องมือ AI โดยไม่ได้รับอนุญาต ปรากฏการณ์นี้เรียกว่า “Shadow AI” เป็นภัยคุกคามด้านไซเบอร์ซิเคิวริตี้รูปแบบใหม่ ส่งผลกระทบต่อข้อมูลลับของบริษัท เพิ่มความเสี่ยงต่อการละเมิดกฎหมาย PDPA

จุดเริ่มต้นของปัญหา Shadow AI

วันที่ 14 กันยายน 2025 สื่อบางกอกบิซนิวส์ตีพิมพ์บทความเตือนภัยเกี่ยวกับ “Shadow AI” Rex Huang ผู้อำนวยการฝ่ายแอปพลิเคชันของบริษัท Synology เตือนว่า พนักงานใช้เครื่องมือ AI ภายนอกที่ไม่ได้รับอนุมัติ บริษัทเผชิญความเสี่ยงด้านการรั่วไหลของข้อมูลและการโจมตีทางไซเบอร์

บทความอ้างอิงการคาดการณ์จากบริษัทวิจัย Gartner Gartner คาดว่าภายในปี 2027 การรั่วไหลข้อมูลที่เกี่ยวข้องกับ AI จะเพิ่มขึ้นกว่า 40% Shadow AI จะเป็นสาเหตุหลัก การส่งข้อมูลสำคัญไปยังระบบนอกการควบคุมขององค์กรเพิ่มความเสี่ยงต่อการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) และยุโรป (GDPR)

พื้นหลังระยะยาวของปัญหา

Shadow AI มีต้นกำเนิดจากปัญหา “Shadow IT” ที่เกิดขึ้นในช่วงทศวรรษ 2010 พนักงานหลีกเลี่ยงกระบวนการอนุมัติ IT อย่างเป็นทางการที่ซับซ้อน พนักงานใช้บริการแชร์ไฟล์และเครื่องมือจัดการโปรเจ็กต์ที่สมัครใช้เองในการทำงาน โครงสร้างเดียวกันนี้เกิดขึ้นใหม่ในเวที AI

AI สร้างสรรค์แพร่กระจายอย่างรวดเร็วหลังจาก ChatGPT เปิดตัวในช่วงปลายปี 2022 ปัญหา Shadow AI จึงชัดเจนขึ้น การสำรวจพบว่าในช่วง 1 ปี ตั้งแต่มีนาคม 2023 ถึงมีนาคม 2024 บริษัทป้อนข้อมูลเข้าเครื่องมือ AI ภายนอกเพิ่มขึ้น 485% ตัวเลขนี้แสดงความเร็วที่พนักงานนำเครื่องมือ AI เข้ามาในกระบวนการทำงาน

แรงจูงใจของพนักงานในการใช้ Shadow AI มีพื้นฐานมาจากเจตนาดี การเพิ่มประสิทธิภาพ การแก้ปัญหาอย่างสร้างสรรค์ และการตอบสนองเส้นตายที่เข้มงวดเป็นเหตุผลหลัก มีปัจจัยทางจิตวิทยาใหม่ที่เรียกว่า “AI Shame” เข้ามาเกี่ยวข้อง หมายถึงปรากฏการณ์ที่พนักงานเก่งและคนรุ่นใหม่ Gen Z ซ่อนการใช้ AI ในการทำงานจากเพื่อนร่วมงานและหัวหน้า

ความเป็นจริงของความเสี่ยงปัจจุบัน

รายงาน “ต้นทุนการละเมิดข้อมูล” ปี 2025 ที่ IBM เผยแพร่แสดงภัยคุกคามเชิงตัวเลขของ Shadow AI ข้อมูลเผยว่า Shadow AI เกี่ยวข้องกับการละเมิดข้อมูล 20% ของเหตุการณ์ทั่วโลก การละเมิดข้อมูลที่เกี่ยวข้องกับ Shadow AI มีต้นทุนเฉลี่ยต่อเหตุการณ์สูงกว่า 67 หมื่นดอลลาร์สหรัฐ เมื่อเทียบกับกรณีอื่น

บริษัทในประเทศไทยเผชิญความเสี่ยงทางกฎหมายสำคัญจาก Shadow AI โดยเฉพาะการละเมิด PDPA พนักงานป้อนข้อมูลส่วนบุคคลของลูกค้าเข้า Shadow AI เพื่อสร้างเนื้อหาการตลาดหรือวิเคราะห์ข้อมูล อาจไม่ได้รับความยินยอมล่วงหน้าตามที่ PDPA กำหนดอย่างเข้มงวด

บริการ AI ระดับโลกจำนวนมากตั้งเซิร์ฟเวอร์ไว้ต่างประเทศ พนักงานป้อนข้อมูลส่วนบุคคลเข้าบริการเหล่านี้อาจถือเป็นการโอนย้ายข้อมูลไปยังประเทศที่ไม่มีมาตรการคุ้มครองที่เหมาะสม หากพบการละเมิด PDPA บริษัทอาจเผชิญกับค่าปรับทางปกครองสูงสุด 5 ล้านบาท การเรียกร้องค่าเสียหายจากผู้เสียหาย โทษจำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท

สถานการณ์ในประเทศไทย

การนำ AI มาใช้ในบริษัทไทยขยายตัวอย่างรวดเร็ว การสำรวจของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) พบว่า องค์กรที่วางแผนใช้ AI ในปี 2024 เพิ่มขึ้นจาก 56.6% เป็น 73.3% จากปีก่อน สาเหตุมาจากความคาดหวังในการเพิ่มประสิทธิภาพการผลิต ปรับปรุงการจัดการภายใน สร้างมูลค่าเพิ่มให้ผลิตภัณฑ์และบริการ

ในระดับองค์กรยังคงมีความท้าทายใหญ่ ในปี 2024 มีรายงานอาชญากรรมไซเบอร์กว่า 40 หมื่นคดี ความเสียหายรวมเกิน 600 ล้านบาท การสำรวจบริษัทไทยพบว่า 60% ตอบว่า “ไม่มั่นใจ” ในความสามารถในการระบุเครื่องมือ AI ที่ไม่ได้รับอนุมัติในองค์กร

อุปสรรคในการนำ AI มาใช้อย่างเป็นทางการที่บริษัทไทยระบุคือ “การขาดแคลนบุคลากรที่มีทักษะ” “การขาดข้อมูลคุณภาพสูง” “การขาดโครงสร้างพื้นฐานและงบประมาณ” อุปสรรคเหล่านี้ทำให้กระบวนการนำ AI มาใช้อย่างเป็นทางการดำเนินไปอย่างช้าๆ พนักงานจึงต้องพึ่งพาเครื่องมือ AI สาธารณะที่ใช้งานง่าย

การคาดการณ์อนาคต

จากมุมมองของ BKK IT News Shadow AI ไม่เพียงเป็นปัญหาความปลอดภัยระดับบริษัทเท่านั้น Shadow AI จะส่งผลกระทบระยะยาวต่อเศรษฐกิจ ตลาดแรงงาน ระบบกฎหมายของไทย ในระยะสั้น Shadow AI อาจช่วยเติบโตทางเศรษฐกิจจากการเพิ่มประสิทธิภาพพนักงาน ในระยะยาวอาจเกิดความสูญเสียทางเศรษฐกิจจากการรั่วไหลข้อมูลที่เกิดขึ้นบ่อยครั้ง

ในตลาดแรงงานจะเกิดการจ้างงานและความต้องการทักษะใหม่ ตลาดงานไทยเห็นความต้องการตำแหน่งเฉพาะทางเพิ่มขึ้น เช่น “ไซเบอร์ซิเคิวริตี้ กาวเวอร์แนนซ์” “IT กาวเวอร์แนนซ์และคอมไพลแอนซ์” “ดาต้า กาวเวอร์แนนซ์” ในอนาคตต้องการบุคลากรที่สามารถแนะนำการใช้ AI อย่างมีจริยธรรมและความเป็นส่วนตัวของข้อมูล

มาตรการตอบสนองสำหรับบริษัท

การตอบสนองต่อ Shadow AI ไม่ใช่การห้ามหรือจำกัดเท่านั้น ต้องสร้างกรอบการทำงานที่เพิ่มประโยชน์จาก AI ให้สูงสุด พร้อมจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

ขั้นแรก การกำหนดนโยบายการใช้ AI ที่ชัดเจนเป็นสิ่งสำคัญ จัดประเภทเครื่องมือ AI ตามระดับความเสี่ยง แบ่งเป็นเครื่องมือที่ได้รับอนุมัติ เครื่องมือใช้ได้จำกัด เครื่องมือต้องห้าม การจัดหาเครื่องมือทางเลือกที่ได้รับอนุมัติก็มีประสิทธิภาพ การจัดสภาพแวดล้อมที่พนักงานใช้เครื่องมือทางการที่ปลอดภัยและมีประสิทธิภาพสูงจะลดการพึ่งพา Shadow AI ที่อันตราย

จำเป็นต้องติดตั้งเทคโนโลยีที่ตรวจสอบเครือข่ายและจุดปลายทาง เพื่อระบุและแสดงภาพแอปพลิเคชัน AI ที่ใช้ในองค์กรโดยอัตโนมัติ ใช้เครื่องมือความปลอดภัยที่มี AI ในการจัดการความเสี่ยง ตรวจจับพฤติกรรมผิดปกติ จัดประเภทข้อมูลลับอัตโนมัติ และทำการตอบสนองเหตุการณ์โดยอัตโนมัติ

การพัฒนาบุคลากรและวัฒนธรรมองค์กรเป็นสิ่งจำเป็น ให้การศึกษาอย่างต่อเนื่องเกี่ยวกับความเสี่ยงของ Shadow AI และผลกระทบของการละเมิด PDPA สร้างวัฒนธรรมโปร่งใสที่พนักงานปรึกษาได้อย่างเปิดเผยเมื่อพิจารณาใช้เครื่องมือ AI การตั้ง “คณะกรรมการ AI กาวเวอร์แนนซ์” ข้ามแผนกที่ประกอบด้วยตำแหน่ง IT กฎหมาย คอมไพลแอนซ์ ทรัพยากรบุคคล ตัวแทนแผนกธุรกิจต่างๆ เพื่อขับเคลื่อนกลยุทธ์ AI ที่สอดคล้องทั่วทั้งบริษัทเป็นสิ่งสำคัญ

ลิงก์บทความอ้างอิง

• ‘Shadow AI’ เปิดช่องโหว่ภัยคุกคาม ขโมยข้อมูลบุคคล – องค์กร – กรุงเทพธุรกิจ
• Shadow AI emerges as significant cybersecurity threat – Financial Management magazine
• What Is Shadow AI? Risks, Challenges, and How to Manage It – WitnessAI
• AI กับ PDPA ผลกระทบที่ธุรกิจต้องเตรียมรับมืออย่างจริงจัง
• What is Shadow AI? Why It’s a Threat and How to Embrace and Manage It | Wiz