คำตอบโดยสรุป
โรงพยาบาลในสหรัฐฯ ถูกปรับ 4.3 ล้านดอลลาร์ภายใต้กฎหมาย HIPAA เนื่องจากพนักงานนำบันทึกของคนไข้ไปใส่ใน ChatGPT สาธารณะเพื่อสรุปข้อมูล ซึ่งหน่วยงานกำกับดูแลถือเป็นการเปิดเผยข้อมูลโดยไม่ตั้งใจ การกระทำนี้นับเป็นการละเมิดความปลอดภัยข้อมูลที่ร้ายแรงแม้จะไม่มีเจตนาร้ายก็ตาม
เมื่อแชทบอททำพิษ: ถอดบทเรียนโรงพยาบาลโดนปรับ 150 ล้านบาท เพราะพนักงานก๊อปปี้ข้อมูลคนไข้ใส่ ChatGPT
พนักงานของคุณอาจกำลังละเมิดกฎหมายความเป็นส่วนตัวโดยไม่รู้ตัว เพียงเพราะอยากทำงานให้เสร็จเร็วขึ้น เรียนรู้วิธีป้องกันไม่ให้บริษัทของคุณกลายเป็นเหยื่อรายต่อไปของกฎหมายปกป้องข้อมูล
iReadCustomer Team
ผู้เขียน
พยาบาลกะดึกคนหนึ่งในโรงพยาบาลที่สหรัฐอเมริกาแค่อยากเลิกงานให้ตรงเวลา เธอมีบันทึกส่งมอบเวรคนไข้ที่เขียนยุ่งเหยิงยาว 20 หน้า เธอจึงก๊อปปี้ข้อความทั้งหมด เปิดแท็บ ChatGPT ฟรีขึ้นมา แล้วพิมพ์ว่า "ช่วยสรุปข้อมูลนี้ให้หน่อย"
การกดปุ่ม Enter เพียงครั้งเดียวในวันนั้น ทำให้โรงพยาบาลโดนปรับเงินถึง 4.3 ล้านดอลลาร์ (ราว 150 ล้านบาท) จากหน่วยงานกำกับดูแลของรัฐ
พยาบาลคนนี้ไม่ได้ตั้งใจจะขโมยข้อมูล และไม่มีแฮกเกอร์เจาะระบบเข้ามาขโมยไฟล์ใดๆ ทั้งสิ้น เธอแค่ใช้เครื่องมือออนไลน์ทั่วไปเพื่อช่วยให้ทำงานเสร็จเร็วขึ้น แต่ในมุมมองของกฎหมาย นี่คือการทำข้อมูลรั่วไหลที่ร้ายแรงที่สุดรูปแบบหนึ่ง
บทลงโทษ 150 ล้านบาท จากการพยายามประหยัดเวลา 5 นาที
หลายองค์กรยังเข้าใจผิดว่าการละเมิดข้อมูล (Data Breach) ต้องเกิดจากอาชญากรไซเบอร์ที่สวมเสื้อฮู้ดนั่งแฮกข้อมูลอยู่ในห้องมืด แต่ความจริงในยุคปัจจุบัน การรั่วไหลของข้อมูลมักเกิดจากพนักงานที่หวังดีและอยากทำงานให้มีประสิทธิภาพมากขึ้น
กรณีของโรงพยาบาลแห่งนี้จบลงด้วยการยอมความและจ่ายค่าปรับตามกฎหมาย HIPAA (กฎหมายคุ้มครองข้อมูลสุขภาพของสหรัฐฯ) สาเหตุหลักที่หน่วยงานกำกับดูแลสั่งปรับหนักขนาดนี้ เพราะพวกเขาถือว่าการนำข้อมูลเข้าสู่ระบบ AI สาธารณะ ถือเป็นการ "เปิดเผยข้อมูลโดยไม่ได้ตั้งใจ" (Unintentional Disclosure)
เมื่อคุณป้อนข้อมูลความลับลงในโมเดล AI สาธารณะ ข้อมูลนั้นจะหลุดออกจากความควบคุมของคุณทันที และอาจถูกนำไปใช้สอน AI ต่อไป
ความผิดพลาดนี้ไม่ได้ต้องการเจตนาร้ายเลย แค่พนักงานคนหนึ่งที่ไม่เข้าใจว่าเครื่องมือบนอินเทอร์เน็ตจัดการกับข้อมูลอย่างไร ก็เพียงพอที่จะทำให้บริษัทต้องจ่ายค่าปรับมหาศาลแล้ว
ทำไมพนักงานเก่งๆ ถึงยังแหกกฎบริษัท
หากถามว่าทำไมพนักงานถึงยังใช้ ChatGPT สาธารณะ ทั้งๆ ที่บริษัทอาจมีกฎห้าม คำตอบนั้นง่ายมาก นั่นคือความง่ายในการใช้งาน (User Experience หรือ UX) เป็นฝ่ายชนะเสมอ
ฝ่ายไอทีมักจะเตรียมเครื่องมือที่ปลอดภัยสูงสุดให้พนักงานใช้ แต่เครื่องมือเหล่านั้นมักจะทำงานช้า ต้องล็อกอินหลายขั้นตอน ต้องต่อระบบเครือข่ายจำเพาะ (VPN) และหน้าตาการใช้งานก็ล้าสมัย ในขณะที่ ChatGPT ตอบคำถามได้ทันที ใช้งานง่าย และรวดเร็วกว่ามาก
เมื่อพนักงานต้องเลือกระหว่างการทำงานให้เสร็จใน 5 นาทีด้วยเครื่องมือภายนอก กับการใช้เวลา 2 ชั่วโมงด้วยระบบของบริษัท พวกเขาจะเลือกทางที่เร็วกว่าเสมอ นี่คือสิ่งที่เราเรียกว่า "Shadow AI" หรือการที่พนักงานแอบนำเครื่องมือ AI มาใช้เองโดยที่บริษัทไม่รู้และควบคุมไม่ได้
ปัญหาไม่ได้อยู่ที่พนักงานของคุณไม่มีความรับผิดชอบ แต่อยู่ที่ระบบขององค์กรไม่สามารถตอบสนองความเร็วที่พวกเขาต้องการในการแข่งขันยุคปัจจุบันได้
กับดักระดับโลก: จาก GDPR ถึง PDPA ของไทย
อย่าคิดว่าเรื่องนี้เป็นแค่ปัญหาของวงการแพทย์ในสหรัฐอเมริกาเท่านั้น หากคุณทำธุรกิจในอุตสาหกรรมที่มีการควบคุมข้อมูลอย่างเข้มงวด เช่น การเงิน กฎหมาย หรือแม้แต่ฝ่ายบุคคล (HR) คุณกำลังยืนอยู่บนความเสี่ยงเดียวกัน
หากฝ่ายบุคคลของคุณก๊อปปี้เรซูเม่ของผู้สมัครงานไปให้ AI ช่วยคัดกรอง หรือผู้บริหารฝ่ายการเงินอัปโหลดตารางรายรับรายจ่ายเพื่อหาแนวโน้มธุรกิจ นั่นหมายความว่าคุณกำลังส่งมอบข้อมูลส่วนบุคคลและข้อมูลความลับทางการค้าให้คนแปลกหน้า
การใช้ข้อมูลที่มีกฎหมายควบคุมร่วมกับ AI สาธารณะ เปรียบเสมือนการยื่นบัตรเชิญให้หน่วยงานกำกับดูแลเข้ามาสั่งปรับบริษัทของคุณ
ในยุโรป กฎหมาย GDPR สามารถสั่งปรับได้สูงสุดถึง 20 ล้านยูโร (ราว 780 ล้านบาท) หรือ 4% ของรายได้รวมทั่วโลกของบริษัท นอกจากนี้ กฎหมาย AI ฉบับใหม่ของยุโรป (EU AI Act) รวมถึงกฎหมาย PDPA ในสิงคโปร์และประเทศไทย ก็มีบทลงโทษที่รุนแรงไม่แพ้กัน หากตรวจสอบพบว่าคุณนำข้อมูลของลูกค้าไปประมวลผลในระบบที่ไม่มีมาตรฐานความปลอดภัยเพียงพอ
4 ขั้นตอนการใช้ AI อย่างปลอดภัยโดยไม่ผิดกฎหมาย
คุณไม่สามารถห้ามพนักงานใช้ AI ได้ เพราะนั่นเท่ากับเป็นการลดขีดความสามารถในการแข่งขันของบริษัทเอง สิ่งที่คุณต้องทำคือการสร้าง "เส้นทางที่ปลอดภัย" ให้พวกเขาเดิน นี่คือ 4 สิ่งที่คุณต้องเริ่มทำในวันพรุ่งนี้
1. ใช้บัญชีระดับองค์กรที่มีสัญญาคุ้มครองข้อมูล
หยุดให้พนักงานใช้บัญชี AI แบบฟรีเด็ดขาด คุณต้องอัปเกรดไปใช้บัญชีระดับองค์กร (Enterprise) และต้องแน่ใจว่าผู้ให้บริการ AI มีการเซ็นสัญญาข้อตกลงในการประมวลผลข้อมูล (Data Processing Agreement) หรือในทางการแพทย์เรียกว่า BAA (สัญญาที่ระบุชัดเจนว่าผู้ให้บริการจะไม่นำข้อมูลไปใช้ประโยชน์อื่น) บัญชีระดับองค์กรที่ได้มาตรฐาน จะต้องมีการรับประกันเป็นลายลักษณ์อักษรว่าข้อมูลที่พิมพ์ลงไป จะไม่ถูกนำไปใช้ฝึกฝนโมเดล AI ของพวกเขาต่อ (Zero Data Retention)
2. นำระบบมาไว้ในบ้าน (On-Premise) สำหรับข้อมูลอ่อนไหวสูงสุด
หากบริษัทของคุณจัดการกับข้อมูลที่มีความลับระดับสูงสุด เช่น สูตรการผลิต การควบรวมกิจการ หรือประวัติการรักษาพยาบาล การพึ่งพาระบบคลาวด์ภายนอกอาจเสี่ยงเกินไป ทางออกคือการตั้งเซิร์ฟเวอร์และรันโมเดล AI ภายในเครือข่ายของบริษัทคุณเอง (On-premise inference) วิธีนี้ทำให้มั่นใจได้ 100% ว่าไม่มีข้อความใดแม้แต่ตัวอักษรเดียวที่จะหลุดออกไปสู่อินเทอร์เน็ตภายนอก
3. เปิดใช้ระบบบันทึกประวัติการใช้งานแบบละเอียด
ผู้ตรวจสอบทางกฎหมายไม่ได้ต้องการแค่คำสัญญา พวกเขาต้องการหลักฐาน คุณต้องวางระบบ AI ที่สามารถเก็บบันทึกประวัติการใช้งาน (Audit Logs) ได้อย่างละเอียด คุณต้องสามารถตอบผู้ตรวจสอบได้ทันทีว่า เมื่อวันอังคารที่ผ่านมาเวลาบ่ายสองโมง มีใครเข้าถึงข้อมูลส่วนนี้บ้าง และนำข้อมูลไปประมวลผลอย่างไร หากระบบของคุณไม่มีบันทึกเหล่านี้ คุณจะแพ้คดีทันทีที่ถูกตรวจสอบ
4. ทำให้ระบบปลอดภัย ใช้งานง่ายเทียบเท่าระบบภายนอก
ข้อนี้สำคัญที่สุด ระบบ AI ที่ปลอดภัยของบริษัทคุณ ต้องใช้งานง่ายและรวดเร็วเทียบเท่ากับ ChatGPT สาธารณะ หากคุณสร้างระบบที่ปลอดภัยแต่พนักงานต้องเสียเวลารอโหลดนาน 3 นาทีต่อการถามหนึ่งครั้ง พนักงานก็จะกลับไปแอบใช้เครื่องมือภายนอกเหมือนเดิม คุณต้องลงทุนกับการออกแบบหน้าตาการใช้งาน (UX) ให้ดี เพื่อดึงดูดให้พนักงานอยากใช้ระบบของบริษัทอย่างเต็มใจ
คำถามที่พบบ่อย
ทำไมการนำข้อมูลใส่ ChatGPT ถึงถือว่าผิดกฎหมาย?
เพราะโมเดล AI สาธารณะมักนำข้อมูลที่ผู้ใช้ป้อนเข้าไปเพื่อไปใช้ฝึกฝนโมเดลต่อ เมื่อคุณนำข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นความลับของลูกค้าไปใส่ จึงถือเป็นการเปิดเผยข้อมูลให้บุคคลที่สามโดยไม่ได้รับอนุญาต ซึ่งขัดต่อกฎหมายคุ้มครองข้อมูลอย่าง HIPAA, GDPR หรือ PDPA
อะไรคือสาเหตุหลักที่พนักงานแอบใช้ AI สาธารณะ?
สาเหตุหลักคือความสะดวกและรวดเร็ว (UX) ระบบไอทีภายในของบริษัทมักจะมีความซับซ้อน ต้องใช้ VPN และทำงานช้า ในขณะที่เครื่องมือสาธารณะสามารถให้คำตอบและช่วยลดเวลาการทำงานได้ทันที พนักงานจึงเลือกทางที่เร็วกว่าเพื่อผลลัพธ์ของงาน
บริษัทจะใช้ AI อย่างไรไม่ให้ผิดกฎหมายคุ้มครองข้อมูล?
บริษัทควรเปลี่ยนไปใช้ AI ระดับองค์กร (Enterprise) ที่มีสัญญาคุ้มครองข้อมูลระบุชัดเจนว่าจะไม่เก็บข้อมูลไปฝึกฝนโมเดลต่อ หรือสำหรับข้อมูลที่อ่อนไหวมาก ควรพิจารณาติดตั้ง AI บนเซิร์ฟเวอร์ภายในบริษัท (On-premise) และต้องมีระบบบันทึกประวัติการใช้งาน (Audit Logs) ที่ตรวจสอบได้
กฎหมายใดบ้างที่ครอบคลุมถึงการทำข้อมูลรั่วไหลผ่าน AI?
กฎหมายหลักๆ ได้แก่ HIPAA ในกลุ่มสาธารณสุขของสหรัฐฯ, GDPR ในยุโรปที่ปรับสูงสุดถึง 4% ของรายได้, PDPA ในสิงคโปร์และไทย รวมถึงกฎหมาย AI ฉบับใหม่ของยุโรป (EU AI Act) ที่ควบคุมเรื่องความปลอดภัยของข้อมูลอย่างเข้มงวด