ISO/IEC 42001: มาตรฐานใหม่ขององค์กรที่ต้องการใช้ AI อย่างน่าเชื่อถือ

ปัญญาประดิษฐ์ หรือ AI กำลังเปลี่ยนวิธีทำงานขององค์กรอย่างรวดเร็ว ตั้งแต่การวิเคราะห์ข้อมูล การให้บริการลูกค้า การตรวจจับความเสี่ยง ไปจนถึงการช่วยตัดสินใจของผู้บริหาร แต่ยิ่ง AI ถูกนำไปใช้ในกระบวนการสำคัญมากขึ้น คำถามที่ตามมาก็ยิ่งชัดเจนขึ้นว่า องค์กรจะมั่นใจได้อย่างไรว่า AI ที่ใช้อยู่นั้น “ปลอดภัย โปร่งใส เป็นธรรม และตรวจสอบได้”

นี่คือเหตุผลที่ ISO/IEC 42001 เริ่มมีบทบาทสำคัญในโลกธุรกิจ

ISO/IEC 42001:2023 เป็นมาตรฐานสากลสำหรับ Artificial Intelligence Management System หรือ AIMS ซึ่งกำหนดแนวทางในการจัดตั้ง นำไปใช้ รักษา และปรับปรุงระบบบริหารจัดการ AI ภายในองค์กรอย่างต่อเนื่อง โดย ISO ระบุว่าเป็นมาตรฐานระบบบริหารจัดการ AI ฉบับแรกของโลก และถูกออกแบบมาเพื่อช่วยให้องค์กรบริหารทั้ง “โอกาส” และ “ความเสี่ยง” จาก AI อย่างเป็นระบบ

ทำไม ISO/IEC 42001 จึงสำคัญ

หลายองค์กรเริ่มต้น AI จากการทดลองใช้เครื่องมือ เช่น chatbot, generative AI, analytics model หรือ automation tool แต่เมื่อการใช้งานขยายวงกว้างขึ้น ความท้าทายไม่ได้อยู่ที่เทคโนโลยีเพียงอย่างเดียวอีกต่อไป แต่อยู่ที่การกำกับดูแลว่า AI เหล่านั้นถูกพัฒนา ใช้งาน และติดตามผลอย่างเหมาะสมหรือไม่

ตัวอย่างคำถามที่ผู้บริหารควรถาม ได้แก่

• AI ใช้ข้อมูลจากแหล่งใด ข้อมูลนั้นมีคุณภาพและได้รับอนุญาตให้ใช้หรือไม่
• ผลลัพธ์จาก AI มี bias หรือความเอนเอียงหรือไม่
• ใครเป็นผู้รับผิดชอบเมื่อ AI ให้คำแนะนำผิดพลาด
• มีการติดตาม performance, accuracy, model drift และความเสี่ยงหลังใช้งานจริงหรือไม่
• องค์กรสามารถอธิบายการตัดสินใจของ AI ต่อ regulator, ลูกค้า หรือผู้ตรวจสอบได้หรือไม่

ISO/IEC 42001 ช่วยให้องค์กรตอบคำถามเหล่านี้ผ่านระบบบริหารจัดการ ไม่ใช่การควบคุมแบบเฉพาะกิจ โดยมาตรฐานนี้ครอบคลุมประเด็นอย่าง AI governance, risk management, impact assessment, lifecycle management และการกำกับดูแลผู้ให้บริการหรือ third party ที่เกี่ยวข้องกับ AI

ISO/IEC 42001 ไม่ใช่เรื่องของฝ่าย IT เท่านั้น

ความเข้าใจผิดที่พบบ่อยคือ AI governance เป็นเรื่องของฝ่าย IT หรือทีม Data Science เท่านั้น แต่ในความเป็นจริง AI ส่งผลต่อหลายมิติขององค์กร ทั้งกฎหมาย ความเป็นส่วนตัว ความปลอดภัยไซเบอร์ จริยธรรม การบริหารความเสี่ยง ประสบการณ์ลูกค้า และชื่อเสียงองค์กร

SGS ระบุว่า การนำ AIMS ไปใช้จำเป็นต้องอาศัยมุมมองแบบสหสาขา ซึ่งอาจเกี่ยวข้องกับทีมกฎหมาย privacy, operations, marketing, R&D, sales, HR, IT และ risk management ขึ้นอยู่กับลักษณะของ use case

ดังนั้น ISO/IEC 42001 จึงควรถูกมองเป็น “management system” ระดับองค์กร คล้ายกับที่ ISO/IEC 27001 เป็นกรอบบริหารความมั่นคงปลอดภัยสารสนเทศ ไม่ใช่เพียง checklist ทางเทคนิค

องค์กรจะได้ประโยชน์อะไรจาก ISO/IEC 42001

ประโยชน์สำคัญของ ISO/IEC 42001 คือการทำให้องค์กรสามารถใช้ AI ได้อย่างมั่นใจและควบคุมได้มากขึ้น โดยเฉพาะในกรณีที่ AI เข้าไปเกี่ยวข้องกับการตัดสินใจทางธุรกิจ การให้บริการลูกค้า ข้อมูลส่วนบุคคล หรือกระบวนการที่มีผลกระทบสูง

1. สร้างความเชื่อมั่นให้ผู้บริหารและผู้มีส่วนได้ส่วนเสีย

องค์กรสามารถแสดงให้เห็นว่าการใช้ AI ไม่ได้เป็นเพียงการทดลองเทคโนโลยี แต่มีนโยบาย บทบาท ความรับผิดชอบ การควบคุม และกระบวนการติดตามผลที่ชัดเจน

2. ลดความเสี่ยงจากการใช้ AI อย่างไม่เหมาะสม

AI อาจสร้างความเสี่ยงจากข้อมูลที่ไม่ถูกต้อง bias การละเมิดข้อมูลส่วนบุคคล การตัดสินใจที่อธิบายไม่ได้ หรือการพึ่งพาโมเดลโดยไม่มี human oversight มาตรฐานนี้ช่วยให้องค์กรบริหารความเสี่ยงเหล่านี้อย่างเป็นระบบ

3. รองรับการเติบโตของ AI use cases ในอนาคต

เมื่อองค์กรมี governance framework ที่ชัดเจน การขยาย AI จาก pilot ไปสู่ enterprise-wide adoption จะทำได้ง่ายขึ้น เพราะมีแนวทางกลางในการประเมิน อนุมัติ พัฒนา ใช้งาน และ monitor AI systems

4. เตรียมพร้อมต่อกฎระเบียบและความคาดหวังของตลาด

หลายประเทศและอุตสาหกรรมเริ่มให้ความสำคัญกับ AI regulation และ responsible AI มากขึ้น การมี AIMS ตามมาตรฐานสากลช่วยให้องค์กรอยู่ในสถานะที่พร้อมกว่าในการตอบคำถามจาก regulator, partner, auditor และลูกค้า

5. เพิ่มความสามารถในการแข่งขัน

ในอนาคต ลูกค้าและคู่ค้าจะไม่ได้ถามเพียงว่าองค์กร “ใช้ AI หรือไม่” แต่จะถามว่า “ใช้ AI อย่างรับผิดชอบหรือไม่” องค์กรที่มีแนวทาง AI governance ที่ชัดเจนจึงมีโอกาสสร้างความน่าเชื่อถือและความแตกต่างในตลาด

จุดเริ่มต้นของการทำ ISO/IEC 42001

การเริ่มต้นไม่จำเป็นต้องเริ่มจากการทำ certification ทันที แต่องค์กรควรเริ่มจากการเข้าใจสถานะปัจจุบันของตนเองก่อนว่า AI ถูกใช้อยู่ที่ไหน ใช้เพื่ออะไร และมีความเสี่ยงระดับใด

แนวทางเริ่มต้นที่เหมาะสม ได้แก่

สำรวจ AI use cases ทั้งองค์กร

ระบุว่าองค์กรมีการใช้ AI ในหน่วยงานใดบ้าง ทั้งที่เป็นระบบทางการ เครื่องมือสำเร็จรูป หรือการใช้ generative AI ในการทำงานประจำวัน

จัดกลุ่มความเสี่ยงของ AI use cases

ไม่ใช่ทุก use case มีความเสี่ยงเท่ากัน เช่น AI ที่ช่วยสรุปเอกสารภายในอาจมีความเสี่ยงต่างจาก AI ที่ใช้คัดกรองลูกค้า ประเมินเครดิต หรือให้คำแนะนำด้านสุขภาพ

กำหนด AI policy และ governance structure

องค์กรควรกำหนดหลักการใช้ AI บทบาทผู้รับผิดชอบ กระบวนการอนุมัติ use case และกลไก escalation เมื่อพบความเสี่ยง

วางกระบวนการ AI risk & impact assessment

ก่อนนำ AI ไปใช้งานจริง ควรมีการประเมินผลกระทบต่อผู้ใช้งาน ลูกค้า ข้อมูลส่วนบุคคล ความปลอดภัย ความเป็นธรรม และความสามารถในการอธิบายผลลัพธ์

กำหนด lifecycle management

AI ไม่ใช่ระบบที่ติดตั้งแล้วจบ แต่ต้องมีการ monitor, review, retrain, audit และ retire เมื่อไม่เหมาะสมต่อการใช้งาน

ISO/IEC 42001 กับองค์กรไทย

สำหรับองค์กรไทย ISO/IEC 42001 มีความเกี่ยวข้องมากขึ้น โดยเฉพาะองค์กรที่กำลังนำ AI ไปใช้ในงานสำคัญ เช่น ธนาคาร ประกันภัย โทรคมนาคม ค้าปลีก พลังงาน สุขภาพ ภาครัฐ และองค์กรขนาดใหญ่ที่มีข้อมูลจำนวนมาก

ประเด็นที่องค์กรไทยควรให้ความสำคัญ ได้แก่ ความสอดคล้องกับ PDPA, cybersecurity control, data governance, third-party AI service, cloud AI platform และการใช้ generative AI ของพนักงานในชีวิตประจำวัน

ในทางปฏิบัติ ISO/IEC 42001 ควรเชื่อมโยงกับกรอบการบริหารอื่นที่องค์กรมีอยู่แล้ว เช่น ISO/IEC 27001, data governance framework, enterprise risk management, internal audit และ digital transformation governance เพื่อไม่ให้ AI governance กลายเป็นงานแยกส่วน

บทสรุป

AI จะสร้างมูลค่าให้องค์กรได้จริงก็ต่อเมื่อองค์กรสามารถบริหารความเสี่ยงและสร้างความเชื่อมั่นควบคู่ไปกับการสร้างนวัตกรรม

ISO/IEC 42001 จึงไม่ใช่เพียงมาตรฐานเพื่อการรับรอง แต่เป็นกรอบคิดสำคัญสำหรับองค์กรที่ต้องการยกระดับจากการ “ทดลองใช้ AI” ไปสู่การ “บริหารจัดการ AI อย่างเป็นระบบ”

สำหรับผู้บริหาร คำถามสำคัญอาจไม่ใช่ว่าองค์กรควรใช้ AI หรือไม่ เพราะคำตอบในวันนี้ชัดเจนขึ้นเรื่อย ๆ ว่า “ควร” แต่คำถามที่สำคัญกว่าคือ

องค์กรของเราพร้อมกำกับดูแล AI ให้ปลอดภัย น่าเชื่อถือ และสร้างคุณค่าทางธุรกิจได้อย่างยั่งยืนแล้วหรือยัง

ISO/IEC 42001 คือหนึ่งในจุดเริ่มต้นที่ช่วยให้องค์กรตอบคำถามนี้ได้อย่างมั่นใจมากขึ้น