ท่ามกลางสมรภูมิเทคโนโลยีที่เติบโตอย่างก้าวกระโดด องค์กรธุรกิจทั่วภูมิภาคเอเชียแปซิฟิก (APAC) กำลังเผชิญหน้ากับความเสี่ยงครั้งใหญ่ของการใช้งานปัญญาประดิษฐ์ หากยังคงนิ่งเฉยเพื่อรอคอยให้หน่วยงานภาครัฐเป็นผู้กำหนดทิศทางและกฎระเบียบในการควบคุมเพียงฝ่ายเดียว ซึ่งอาจเป็นความล่าช้าที่ส่งผลเสียต่อความมั่นคงปลอดภัยและการเติบโตทางธุรกิจในอนาคตอันใกล้
วิกฤตช่องว่างด้านอัตลักษณ์และการเติบโตของภัยคุกคามเอไอในภูมิภาค
ความขัดแย้งเชิงนโยบายและการควบคุมเทคโนโลยีปัญญาประดิษฐ์ระหว่างหน่วยงานภาครัฐบาลกับผู้พัฒนา AI กำลังกลายเป็นประเด็นระดับโลกที่ส่งสัญญาณเตือนไปยังองค์กรธุรกิจทุกภาคส่วน ในขณะที่ฝั่งรัฐบาลมีความต้องการที่จะผลักดันและปรับใช้ระบบเอไอในวงกว้างและอย่างไร้ข้อจำกัดเพื่อสร้างขีดความสามารถในการแข่งขัน ฝั่งผู้พัฒนาเทคโนโลยีเอไอกลับเริ่มมีความวิตกกังวลและระมัดระวังมากขึ้นเกี่ยวกับการเปิดสิทธิ์ให้เข้าถึงข้อมูลทั้งหมดโดยไม่มีการคัดกรอง สถานการณ์ความตึงเครียดทางความคิดนี้ไม่ใช่เพียงแค่ข้อพิพาททางสัญญาเชิงพาณิชย์ทั่วไป แต่เป็นเครื่องสะท้อนถึงปัญหาธรรมาภิบาลเอไอในวงกว้างที่ทุกองค์กรที่ทำงานเกี่ยวข้องกับภาคส่วนสาธารณะจำเป็นต้องตระหนักอย่างเร่งด่วน
ความเสี่ยงดังกล่าวทวีความรุนแรงและเห็นได้ชัดเจนยิ่งขึ้นในภูมิภาคเอเชียแปซิฟิก จากรายงานแนวโน้มการบริหารจัดการอัตลักษณ์และการเข้าถึง (IAM Outlook) ประจำปี 2025 ของฟอร์เรสเตอร์ (Forrester) พบว่า อัตลักษณ์ของเครื่องจักรหรือระบบอัตโนมัติ (Machine Identities) ได้กลายเป็นช่องทางที่กลุ่มผู้ไม่หวังดีใช้ในการโจมตีทางไซเบอร์ที่เติบโตเร็วที่สุดและมีความเปราะบางมากที่สุดในภูมิภาค การเติบโตอย่างรวดเร็วนี้ถูกเร่งสปีดจากการที่องค์กรต่าง ๆ พากันรับเทคโนโลยีเจเนอเรทีฟเอไอ (Generative AI) และระบบเอไอเชิงปฏิบัติการอัตโนมัติ (Agentic AI) เข้ามาใช้งานในระบบโครงสร้างพื้นฐานอย่างรวดเร็วโดยไม่มีมาตรการรองรับที่รัดกุมพอ
นอกจากนี้ ผลการวิจัยจากเซลพอยต์ (SailPoint) ยังช่วยตอกย้ำให้เห็นถึงช่องว่างความปลอดภัยที่น่ากังวล โดยระบุว่าร้อยละ 82 ขององค์กรธุรกิจที่มีการปรับใช้ระบบเอไอเชิงปฏิบัติการ (AI Agents) ในปัจจุบัน ยังคงขาดการกำหนดผู้รับผิดชอบและขอบเขตความรับผิดชอบที่ชัดเจน องค์กรส่วนใหญ่ไม่สามารถตอบได้ว่าระบบเอไอเหล่านั้นกำลังเข้าถึงข้อมูลชุดใดบ้าง มีบทบาทในการครอบงำหรือส่งอิทธิพลต่อการตัดสินใจในเรื่องใด และที่สำคัญที่สุดคือใครจะเป็นผู้รับผิดชอบเมื่อระบบทำงานผิดพลาดจนเกิดความเสียหายขึ้น ซึ่งปัญหานี้แก่นแท้แล้วคือปัญหาด้านการบริหารจัดการอัตลักษณ์ เนื่องจากเอไอทุกระบบทำงานด้วยสิทธิ์การเข้าถึงข้อมูลจริงและตัดสินใจในกระบวนการทำงานจริง
ผลกระทบลูกโซ่ในห่วงโซ่อุปทานและความเคลื่อนไหวของหน่วยงานกำกับดูแล
ผลกระทบจากช่องว่างด้านการบริหารจัดการอัตลักษณ์ของเอไอไม่ได้จำกัดอยู่เพียงแค่ระบบความปลอดภัยภายในองค์กรเท่านั้น แต่ยังสร้างความเสียหายต่อเนื่องไปยังภาคส่วนสำคัญอื่น ๆ สำหรับองค์กรธุรกิจในกลุ่มการธนาคาร โทรคมนาคม การบริการสาธารณสุข และโครงสร้างพื้นฐานที่สำคัญ การปล่อยให้เกิดช่องว่างนี้จะนำมาซึ่งความเสี่ยงที่ร้ายแรง เมื่อใดก็ตามที่หน่วยงานภาครัฐมีการนำระบบเอไอมาใช้งานโดยไม่มีแนวทางป้องกันหรือการวางกรอบธรรมาภิบาลที่เหมาะสม ความเสี่ยงเหล่านั้นจะไม่หยุดอยู่แค่ในระบบของรัฐ แต่จะกระจายตัวออกไปสู่วงกว้างทันที
ความเสี่ยงที่เกิดขึ้นจะถูกถ่ายทอดไปยังผู้ให้บริการเทคโนโลยี ผู้รับเหมา และผู้ให้บริการทุกรายที่เชื่อมต่อระบบเข้ากับหน่วยงานภาครัฐอย่างหลีกเลี่ยงไม่ได้ ไม่ว่าองค์กรเหล่านั้นจะมองเห็นความเสี่ยงนี้หรือไม่ก็ตาม ตัวอย่างที่เห็นได้ชัดคือ ธนาคารในภูมิภาคที่ทำหน้าที่ประมวลผลการชำระเงินให้กับรัฐ บริษัทโทรคมนาคมที่ดูแลโครงสร้างพื้นฐานภาคสาธารณะ หรือผู้ให้บริการทางการแพทย์ภายใต้สัญญาจ้างของรัฐ การมีเอไอที่ขาดการควบคุมอยู่บนจุดสูงสุดของห่วงโซ่อุปทานจะสร้างช่องโหว่ความมั่นคงปลอดภัยให้เกิดขึ้นในทุก ๆ จุดที่เชื่อมต่อลงมาด้านล่าง และความเสียหายนี้ยังครอบคลุมไปถึงข้อมูลของผู้บริโภค บันทึกประวัติของพลเมือง และข้อมูลส่วนบุคคลที่ถูกเอไอประมวลผลโดยปราศจากการควบคุมอัตลักษณ์ที่ถูกต้อง
ในปัจจุบัน หน่วยงานกำกับดูแลในหลายประเทศของภูมิภาคเอเชียเริ่มขยับตัวเพื่อตอบสนองต่อภัยคุกคามนี้แล้ว โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอินโดนีเซียได้กำหนดให้ธุรกิจต่าง ๆ ต้องเก็บรักษาข้อมูลที่มีความอ่อนไหวไว้ภายในประเทศและยกระดับการคุ้มครองข้อมูลข้ามพรมแดนให้เข้มงวดขึ้น ขณะที่ในประเทศเวียดนาม กฎหมายว่าด้วยปัญญาประดิษฐ์ (AI Law) ได้มีผลบังคับใช้ไปเมื่อเดือนมีนาคม ปี 2026 ที่ผ่านมา ซึ่งเป็นการสร้างกรอบทางกฎหมายที่ครอบคลุมทั้งกลุ่มผู้พัฒนา ผู้ให้บริการ และผู้ใช้งานระบบเอไอ ด้านประเทศสิงคโปร์ได้ก้าวไปอีกขั้นด้วยการเปิดตัวกรอบธรรมาภิบาลเอไอต้นแบบสำหรับเอไอเชิงปฏิบัติการอัตโนมัติ (Model AI Governance Framework for Agentic AI) เป็นแห่งแรกของโลก เพื่อเป็นแนวทางที่มีโครงสร้างชัดเจนในการควบคุมความเป็นอิสระของเอไอตั้งแต่เริ่มต้นและรักษาการกำกับดูแลโดยมนุษย์อย่างมีประสิทธิภาพ
กฎเหล็ก 3 ประการที่องค์กรธุรกิจและรัฐบาลไม่สามารถผลัดวันประกันพรุ่งได้อีกต่อไป
แม้ว่าทิศทางของกฎระเบียบจากภาครัฐจะมีความชัดเจนมากขึ้นเรื่อย ๆ แต่การรอคอยให้กฎหมายคลอดออกมาบังคับใช้หลังจากที่ระบบเอไอถูกฝังรากลึกเข้าไปในกระบวนการทำงานขององค์กรแล้ว ย่อมเป็นเรื่องที่ยากลำบากในการนำมาปฏิบัติและสร้างความยุ่งยากซับซ้อนในการบังคับใช้มากกว่าการสร้างระบบธรรมาภิบาลฝังไว้ตั้งแต่เริ่มต้น ดังนั้น สำหรับทั้งหน่วยงานรัฐและองค์กรธุรกิจที่เชื่อมต่อกัน มีแนวทางสำคัญ 3 ประการที่ไม่สามารถผัดผ่อนได้อีกต่อไป ประการแรกคือ การกำหนดขอบเขตและระบุตัวตนผู้เป็นเจ้าของระบบอย่างชัดเจนก่อนที่จะเริ่มกระบวนการปรับใช้ เนื่องจากการสร้างกรอบธรรมาภิบาลหลังจากเอไอทำงานไปแล้วนั้น ไม่ใช่การควบคุม แต่เป็นเพียงแค่การบรรเทาความเสียหายที่เกิดขึ้นเท่านั้น เพราะเอไอที่ฝังอยู่ในกระบวนการทำงานจะสะสมสิทธิ์การเข้าถึงข้อมูลและสร้างความผูกพันกับระบบปฏิบัติการจนยากจะควบคุมในภายหลัง
องค์กรธุรกิจที่สามารถบริหารจัดการความเสี่ยงจากเอไอได้อย่างมีประสิทธิภาพและสม่ำเสมอ มักจะมีการกำหนดพารามิเตอร์การทำงานไว้ล่วงหน้าอย่างชัดเจน ไม่ว่าจะเป็นการระบุว่าระบบได้รับอนุญาตให้ทำสิ่งใดได้บ้าง ข้อมูลประเภทไหนที่สามารถเข้าถึงได้ ขอบเขตอำนาจในการตัดสินใจโดยอิสระมีแค่ไหน และกระบวนการใดบ้างที่จำเป็นต้องผ่านการอนุมัติจากมนุษย์โดยไม่มีข้อยกเว้น มาตรการนี้รวมไปถึงข้อมูลของผู้ใช้งานด้วย เนื่องจากเอไอที่สามารถเข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลได้โดยไม่มีขอบเขตและขาดการตรวจสอบ ไม่เพียงแต่จะสร้างความเสี่ยงด้านความปลอดภัยทางไซเบอร์เท่านั้น แต่ยังสร้างความเสี่ยงร้ายแรงในการละเมิดกฎหมายควบคุม ซึ่งในปัจจุบันข้อผูกพันด้านการคุ้มครองข้อมูลกำลังมีความเข้มงวดขึ้นพร้อม ๆ กันในหลายประเทศทั่วภูมิภาคเอเชียแปซิภิก
ประการต่อมาที่สำคัญไม่แพ้กันคือเรื่องของความเป็นเจ้าของและการตรวจสอบได้ หลายครั้งที่ระบบเอไอถูกนำมาติดตั้งและรวมเข้ากับกระบวนการทำงานที่สำคัญ แต่หลังจากนั้นผู้รับผิดชอบระบบกลับย้ายสายงานหรือลาออกไป ส่งผลให้พารามิเตอร์การเข้าถึงข้อมูลไม่เคยได้รับการทบทวน และพฤติกรรมของเอไอก็ไม่เคยได้รับการตรวจสอบอย่างต่อเนื่อง ในบริบทของหน่วยงานภาครัฐ ความรับผิดชอบที่กระจัดกระจายเช่นนี้จะนำไปสู่ความล้มเหลวของความเชื่อมั่นจากสาธารณะ ส่วนในบริบทขององค์กรธุรกิจ โดยเฉพาะธนาคาร บริษัทประกันภัย และผู้ให้บริการทางการแพทย์ สิ่งนี้จะกลายเป็นความเสี่ยงสำคัญต่อการปฏิบัติตามกฎระเบียบของทางการ ระบบเอไอทุกระบบจึงจำเป็นต้องมีชื่อผู้รับผิดชอบที่ชัดเจนตลอดเวลา และมีโปรโตคอลที่เป็นทางการในการส่งต่อการดูแลเมื่อมีการเปลี่ยนแปลงบุคลากร เพื่อสร้างแนวทางการจัดการอัตลักษณ์ที่ยืดหยุ่นและพร้อมปรับเปลี่ยนสิทธิ์การเข้าถึงให้สอดคล้องกับการวิวัฒนาการของเอไออยู่เสมอ
“คำถามง่าย ๆ ที่คณะกรรมการบริหารและทีมผู้บริหารระดับสูงของทุกองค์กรควรถามตัวเองในวันนี้คือ สำหรับทุกระบบเอไอที่กำลังปฏิบัติการอยู่ในองค์กรของเรา เราสามารถระบุชื่อบุคคลที่ต้องเป็นผู้รับผิดชอบต่อระบบนั้นในปัจจุบันได้ทันทีหรือไม่?” — เอริค คอง, รองประธานระดับโลกประจำภูมิภาคอาเซียนของเซลพอยต์
การสร้างโครงสร้างการกำกับดูแลโดยมนุษย์และการแปรเปลี่ยนความร่วมมือสู่พันธมิตรเชิงกลยุทธ์
แนวทางประการที่สองคือการทำให้การกำกับดูแลโดยมนุษย์สามารถบังคับใช้ได้จริงในเชิงโครงสร้าง ระบบปัญญาประดิษฐ์ไม่ว่าจะมีความสามารถขั้นสูงหรือมีความซับซ้อนทางเทคโนโลยีมากเพียงใดก็ตาม ก็ยังคงขาดแคลนวิจารณญาณเชิงบริบท (Contextual Judgement) ซึ่งเป็นสิ่งจำเป็นอย่างยิ่งสำหรับการตัดสินใจในเรื่องที่มีผลกระทบสูง เอไอไม่สามารถชั่งน้ำหนักผลกระทบต่อประโยชน์สาธารณะในการตัดสินใจจัดซื้อจัดจ้าง ไม่สามารถประเมินมิติทางจริยธรรมของผลลัพธ์ที่จะเกิดขึ้นกับประชาชน หรือไม่สามารถรับรู้ได้ว่าเมื่อใดที่สถานการณ์บางอย่างหลุดขอบเขตจากคำสั่งเดิมที่ได้รับ สิ่งเหล่านี้ล้วนเป็นความรับผิดชอบของมนุษย์โดยธรรมชาติ และไม่มีความก้าวหน้าทางเทคโนโลยีใดจะมาทดแทนได้ ดังนั้น คำถามหลักจึงไม่ใช่แค่เรื่องการดึงมนุษย์เข้ามาอยู่ในกระบวนการ แต่คือระบบและกระบวนการรอบตัวเอไอนั้นเอื้ออำนวยให้มนุษย์สามารถเข้ามาแทรกแซงได้จริงหรือไม่ หรือเป็นเพียงแค่ตัวหนังสือที่สวยหรูบนแผ่นกระดาษในขณะที่เอไอยังคงทำงานโดยปราศจากความรับผิดชอบในทางปฏิบัติ
แนวทางประการที่สามคือการสร้างความสัมพันธ์แบบสองทางร่วมกับหน่วยงานภาครัฐในด้านธรรมาภิบาล สำหรับองค์กรธุรกิจที่มีการเชื่อมต่อกับภาคสาธารณะ ความคิดเดิม ๆ ที่มักจะมองว่าธรรมาภิบาลเอไอเป็นเพียงเรื่องภายในองค์กรแล้วนิ่งรอให้รัฐบาลออกกฎข้อบังคับมาให้นั้น เป็นแนวทางที่เริ่มใช้ไม่ได้ผลและยากที่จะรักษาความสามารถในการแข่งขันเอาไว้ได้ เนื่องจากรัฐบาลทั่วทั้งเอเชียกำลังเพิ่มความเข้มงวดในการตรวจสอบห่วงโซ่อุปทานเทคโนโลยีอย่างละเอียด ความเป็นผู้ใหญ่และความพร้อมด้านธรรมาภิบาลเอไอ (Governance Maturity) จึงเริ่มกลายมาเป็นเงื่อนไขสำคัญในการคัดเลือกผู้เข้าร่วมประมูลงาน ไม่ใช่เป็นเพียงแค่เช็คลิสต์เพื่อการปฏิบัติตามกฎหมายแบบในอดีต
องค์กรธุรกิจที่สามารถแสดงให้เห็นถึงความรับผิดชอบที่ชัดเจนต่อระบบเอไอ มีการควบคุมสิทธิ์การเข้าถึงข้อมูลที่รัดกุม และมีระบบการกำกับดูแลที่สามารถตรวจสอบย้อนหลังได้ ย่อมเป็นกลุ่มที่มีความพร้อมมากกว่าในการรักษาและขยายความสัมพันธ์ทางธุรกิจกับภาคส่วนสาธารณะ ยิ่งไปกว่านั้น โอกาสที่แท้จริงยังก้าวล้ำไปกว่าเรื่องของการปฏิบัติตามกฎเกณฑ์ทั่วไป เพราะองค์กรที่เข้าไปมีส่วนร่วมเชิงรุกกับรัฐบาลในการพัฒนาธรรมาภิบาลเอไอ ร่วมแบ่งปันข้อมูลเชิงลึกจากการใช้งานจริง และช่วยกำหนดนิยามว่าเอไอที่มีความรับผิดชอบในทางปฏิบัติควรเป็นอย่างไร จะสามารถยกระดับตนเองขึ้นมาเป็นพันธมิตรเชิงกลยุทธ์ (Strategic Partner) ที่แท้จริง แทนที่จะเป็นเพียงแค่คู่ค้าหรือผู้ค้าที่ต้องถูกตรวจสอบอย่างใกล้ชิด ในภูมิภาคที่กรอบธรรมาภิบาลเอไอยังอยู่ระหว่างการจัดทำและพัฒนา การวางตำแหน่งแห่งที่ขององค์กรในลักษณะนี้จะสร้างมูลค่าและความได้เปรียบในระยะยาว ซึ่งเป็นสิ่งที่การปฏิบัติตามกฎหมายแบบตั้งรับไม่มีวันให้ได้
ปฏิบัติการเร่งด่วน 3 ขั้นตอนที่องค์กรธุรกิจในเอเชียแปซิฟิกต้องลงมือทำทันที
ในสภาวะที่หน้าต่างแห่งโอกาสด้านกฎระเบียบกำลังแคบลงเรื่อย ๆ และการตรวจสอบห่วงโซ่อุปทานทวีความเข้มข้นขึ้นอย่างต่อเนื่อง องค์กรธุรกิจทั่วทั้งภูมิภาคเอเชียแปซิฟิก โดยเฉพาะกลุ่มที่ดำเนินธุรกิจอยู่ในห่วงโซ่อุปทานหรืออยู่ใกล้ชิดกับหน่วยงานภาครัฐ จำเป็นต้องดำเนินการตามขั้นตอนเร่งด่วน 3 ประการในทันที ขั้นตอนแรกคือการจัดทำบัญชีรายชื่อระบบเอไอ (Full Inventory) ของเอไอเชิงปฏิบัติการทุกตัวที่กำลังทำงานอยู่ในองค์กรอย่างละเอียด ซึ่งรวมไปถึงเครื่องมือหรือซอฟต์แวร์ของบุคคลที่สามที่ถูกนำมาฝังไว้ในกระบวนการทำงาน พร้อมทั้งทำการแต่งตั้งและระบุตัวตนผู้เป็นเจ้าของที่มีชื่อชัดเจนในแต่ละระบบ เพราะหากองค์กรปราศจากความสามารถในการมองเห็นภาพรวมของระบบทั้งหมด การสร้างธรรมาภิบาลในการควบคุมย่อมไม่มีวันเกิดขึ้นได้จริง
ขั้นตอนที่สองคือการทบทวนและตรวจสอบสิทธิ์การเข้าถึงข้อมูลของระบบเอไอที่มีอยู่ทั้งหมดในปัจจุบัน โดยใช้หลักการกำหนดสิทธิ์ขั้นต่ำที่จำเป็น (Principle of Least Privilege) ระบบเอไอและเอไอเชิงปฏิบัติการควรจะได้รับสิทธิ์การเข้าถึงข้อมูลในระดับที่น้อยที่สุดเท่าที่จำเป็นในการปฏิบัติหน้าที่ตามฟังก์ชันของตนเองเท่านั้น การปล่อยให้สิทธิ์การเข้าถึงที่เคยได้รับอนุมัติตั้งแต่ช่วงเริ่มต้นการติดตั้งระบบทิ้งไว้โดยไม่มีการเข้ามาตรวจสอบหรือทบทวนอย่างสม่ำเสมอ ถือเป็นหนึ่งในสาเหตุที่พบได้บ่อยที่สุดของการเกิดช่องโหว่ความปลอดภัยและการรั่วไหลของข้อมูลที่ควบคุมไม่ได้ในระดับองค์กร
ขั้นตอนสุดท้ายคือการนำประเด็นความรับผิดชอบและความเสี่ยงของเอไอเข้าสู่การกำกับดูแลของคณะกรรมการบริหารองค์กร (Board-level Risk Oversight) อย่างเป็นทางการ ในยุคปัจจุบัน คำถามสำคัญสำหรับผู้บริหารระดับสูงไม่ใช่เพียงแค่คำถามที่ว่าองค์กรมีการนำเทคโนโลยีปัญญาประดิษฐ์เข้ามาใช้งานแล้วหรือยัง แต่ต้องเปลี่ยนไปสู่คำถามที่ว่า สถาปัตยกรรมการกำกับดูแลและธรรมาภิบาลรอบ ๆ ตัวเอไอที่มีอยู่นั้น มีความแข็งแกร่งเพียงพอที่จะต้านทานและผ่านการตรวจสอบอย่างเข้มงวดจากหน่วยงานกำกับดูแลในปัจจุบันได้หรือไม่ ท่ามกลางสภาพแวดล้อมทางธุรกิจที่ภาครัฐกำลังยกระดับและเพิ่มความเข้มงวดของข้อกำหนดในห่วงโซ่อุปทานทั่วมั้งภูมิภาค ประเด็นนี้ไม่ใช่เรื่องของฝ่ายปฏิบัติการไอทีอีกต่อไป แต่เป็นวาระสำคัญขององค์กรที่ต้องได้รับการพิจารณาและตัดสินใจจากคณะกรรมการบริหารเท่านั้น องค์กรที่สามารถจัดการกับสิ่งเหล่านี้ได้อย่างถูกต้องและทันท่วงที จะไม่เพียงแค่สามารถหลีกเลี่ยงความเสี่ยงทางกฎหมายและธุรกิจเท่านั้น แต่จะกลายเป็นผู้ที่มีความพร้อมสูงสุดในการสร้างการเติบโต คว้าโอกาสในการเป็นคู่ค้ากับภาครัฐ และขับเคลื่อนนวัตกรรมเอไอด้วยความมั่นใจอย่างเต็มเปี่ยมบนรากฐานที่มั่นคงแข็งแรง
#ธรรมาภิบาลเอไอ #ความปลอดภัยไซเบอร์ #เทคโนโลยีเอเชีย #ความเสี่ยงองค์กร #กฎหมายเอไอ #นวัตกรรมธุรกิจ
