ความเสี่ยงของการรั่วไหลของข้อมูลจากการนำ AI สร้างสรรค์มาใช้คืออะไร? การป้องกันด้วย "ข้อบังคับภายในองค์กรเกี่ยวกับ AI" โดยทนายความ

生成AIได้พัฒนาไปไกลกว่าการเป็นเพียงเครื่องมือสำหรับเพิ่มประสิทธิภาพการทำงาน และกลายเป็นโครงสร้างพื้นฐานที่สำคัญซึ่งมีผลต่อความสามารถในการแข่งขันขององค์กร อย่างไรก็ตาม การแพร่หลายอย่างรวดเร็วนี้ได้ก่อให้เกิดความเสี่ยงที่รุนแรงขึ้นเกี่ยวกับ “การรั่วไหลของข้อมูล” และ “การละเมิดความเป็นส่วนตัว” ซึ่งแตกต่างจากระบบ IT แบบดั้งเดิมอย่างมีนัยสำคัญ ในหลายองค์กร การให้ความสำคัญกับความสะดวกสบายมากเกินไปทำให้เกิดการใช้ “Shadow IT” โดยไม่มีการกำหนดกฎเกณฑ์ที่ชัดเจน ซึ่งส่งผลให้ข้อมูลลับถูกนำไปใช้ในการเรียนรู้ของโมเดล AI โดยไม่ได้ตั้งใจ

บทความนี้จะอธิบายกลไกการรั่วไหลที่เกิดจากลักษณะทางเทคนิคของ生成AI และจัดระเบียบความเสี่ยงที่อาจเกิดขึ้นจากมุมมองทางกฎหมาย เช่น กฎหมายป้องกันการแข่งขันที่ไม่เป็นธรรมและกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น นอกจากนี้ยังเน้นถึงความสำคัญของการจัดทำข้อบังคับภายในองค์กรเกี่ยวกับ AI ที่มีประสิทธิภาพ เพื่อป้องกันความเสี่ยงเหล่านี้ล่วงหน้าและเร่งการเติบโตของธุรกิจ

ความจำเป็นของ “ข้อบังคับภายในองค์กรเกี่ยวกับ AI” ที่เป็นเอกลักษณ์ในญี่ปุ่น

ในขณะที่การนำ AI สร้างสรรค์เข้าสู่สังคมกำลังเร่งตัวขึ้น หลายองค์กรในญี่ปุ่นมีแนวโน้มที่จะนำมาใช้เพียงเพราะ “สะดวก” โดยไม่ได้ประเมินความเสี่ยงอย่างเพียงพอ

โดยเฉพาะในธุรกิจขนาดกลางและขนาดเล็ก ความแตกต่างในความรู้ด้าน IT และการขาดแคลนทรัพยากรทางกฎหมายทำให้การใช้งานแบบเฉพาะกิจนำไปสู่ “วงจรลบ” สถานการณ์นี้หมายถึงการที่ไม่มีมาตรฐานการใช้งานที่ชัดเจนทำให้เกิดความสับสนในที่ทำงาน และการป้อนข้อมูลที่ไม่เหมาะสมโดยพนักงานบางคนทำให้ความเสี่ยงของการรั่วไหลของข้อมูลปรากฏขึ้น องค์กรที่รู้สึกถึงวิกฤตนี้มักจะใช้มาตรการ “ห้ามใช้ทั้งหมด” ก่อนที่จะพิจารณามาตรการที่เป็นรูปธรรม แต่ความสะดวกสบายที่ต้องการในที่ทำงานทำให้พนักงานยังคงใช้บัญชีส่วนตัวอย่างลับๆ ซึ่งเรียกว่า “Shadow IT (Shadow AI)”

ความน่ากลัวของการกลายเป็น Shadow IT คือข้อมูลลับทางธุรกิจที่สำคัญและข้อมูลส่วนบุคคลของลูกค้าอาจถูกส่งไปยังแพลตฟอร์มภายนอกและถูกนำไปใช้เป็นข้อมูลการเรียนรู้ของโมเดล AI ซึ่งองค์กรไม่สามารถควบคุมได้ การปล่อยให้สถานการณ์นี้ดำเนินต่อไปไม่เพียงแต่เพิ่มความเสี่ยงของการรั่วไหลของข้อมูลเท่านั้น แต่ยังอาจทำให้สูญเสีย “การจัดการความลับ” ภายใต้กฎหมายป้องกันการแข่งขันที่ไม่เป็นธรรมของญี่ปุ่น ซึ่งอาจนำไปสู่การละทิ้งการคุ้มครองในฐานะทรัพย์สินทางปัญญาขององค์กร

ดังนั้น สิ่งที่องค์กรในญี่ปุ่นต้องการจริงๆ ไม่ใช่การห้ามใช้ทั้งหมดหรือการปล่อยให้ที่ทำงานจัดการเอง แต่คือการจัดทำ “ข้อบังคับภายในองค์กรเกี่ยวกับ AI” ที่เป็นเอกลักษณ์โดยเข้าใจลักษณะเฉพาะของ AI สร้างสรรค์ การใช้เพียงแนวทางสำหรับบริการคลาวด์ทั่วไปไม่สามารถตอบสนองต่อกระบวนการเฉพาะของ AI สร้างสรรค์ที่ใช้ข้อมูลป้อนเข้าเป็นข้อมูลการเรียนรู้ (ซึ่งเป็นความเสี่ยงที่อาจกลายเป็นวัสดุสำหรับการเรียนรู้บริบทหรือการปรับแต่ง) การเข้าใจถึงความจำเป็นในการสร้างการกำกับดูแลเพื่อให้มั่นใจในความปลอดภัยของข้อมูล

https://monolith.law/corporate/establishment-of-ai-internal-regulationsและการใช้งาน AI สร้างสรรค์อย่างถูกต้องและปลอดภัยเป็นสิ่งสำคัญ

https://monolith.law/corporate/establishment-of-ai-internal-regulations

กลไกและตัวอย่างการรั่วไหลของข้อมูลโดย AI สร้างสรรค์ในญี่ปุ่น

เมื่อใช้ AI สร้างสรรค์ สิ่งที่ต้องระวังมากที่สุดคือ ข้อมูลที่ผู้ใช้ป้อนเข้าไป เช่น คำสั่งหรือข้อมูล อาจถูกส่งไปยังเซิร์ฟเวอร์ของผู้พัฒนาและให้บริการ AI ซึ่งอาจถูกใช้เป็น “ข้อมูลการเรียนรู้” ความแตกต่างที่สำคัญจากเครื่องมือค้นหาหรือบริการแปลภาษาแบบเดิมคือ ข้อมูลที่ป้อนเข้าไปอาจถูกนำไปใช้ภายในโมเดล AI และมีความเสี่ยงที่จะถูกนำเสนอเป็น “ส่วนหนึ่งของคำตอบ” เมื่อผู้ใช้รายอื่น (หรือบางครั้งพนักงานของบริษัทคู่แข่ง) สอบถามในอนาคต

กรณีการรั่วไหลของซอร์สโค้ดลับที่ Samsung Electronics

กรณีการรั่วไหลของซอร์สโค้ดที่ Samsung Electronics ในเกาหลีใต้ได้แสดงให้เห็นถึงความเสี่ยงที่เฉพาะเจาะจงจากกลไกนี้ ในเดือนพฤษภาคม ปีเรวะที่ 5 (2023) วิศวกรของบริษัทได้ป้อนซอร์สโค้ดที่มีความลับสูงลงใน ChatGPT ขณะทำการดีบักโปรแกรมที่เกี่ยวข้องกับเซมิคอนดักเตอร์ นอกจากนี้ ยังมีกรณีที่พนักงานอีกคนหนึ่งได้ป้อนบันทึกการประชุมที่มีแผนกลยุทธ์ผลิตภัณฑ์ที่ยังไม่เปิดเผยเพื่อให้ AI สรุปเนื้อหา

ข้อมูลเหล่านี้ถูกนำไปใช้เป็นวัสดุการเรียนรู้ภายในโมเดล AI เนื่องจากกลไกที่ OpenAI ใช้ในขณะนั้น ซึ่งใช้ข้อมูลที่ป้อนเข้าไปในการเรียนรู้ บทเรียนสำคัญจากกรณีนี้คือ แม้พนักงานจะไม่มีเจตนาร้าย แต่การกระทำที่ดูเหมือนจะเป็นการเพิ่มประสิทธิภาพในการทำงาน อาจนำไปสู่การรั่วไหลของข้อมูลที่ทำให้เกิดความเสียหายร้ายแรงต่อองค์กร

การรั่วไหล “ภายนอกและภายใน” จากข้อบกพร่องของระบบหรือการตั้งค่า

ความเสี่ยงจากการรั่วไหลไม่ได้จำกัดเพียงการใช้ข้อมูลในการเรียนรู้เท่านั้น ในเดือนมีนาคม ปีเรวะที่ 5 (2023) เกิดข้อบกพร่องในระบบของ ChatGPT ที่ทำให้ผู้ใช้บางรายสามารถดูชื่อประวัติการสนทนาของผู้อื่นได้ นี่เป็นข้อบกพร่องในโปรแกรมของผู้ให้บริการ ซึ่งแสดงให้เห็นว่าข้อมูลอาจถูกเปิดเผยได้แม้ผู้ใช้จะปฏิบัติตามกฎอย่างเคร่งครัด

นอกจากนี้ เครื่องมืออย่าง Microsoft 365 Copilot ที่เชื่อมโยงกับเอกสารภายในองค์กร หากการตั้งค่าการเข้าถึงไม่เหมาะสม พนักงานที่ไม่มีสิทธิ์อาจสามารถค้นหาและสรุปเอกสารลับผ่าน AI ได้ ซึ่งเป็นความเสี่ยงของการรั่วไหล “ภายใน”

การสูญเสีย “ความลับ” และการลดลงของความสามารถในการแข่งขันของบริษัท

ความเสียหายต่อความลับทางการค้า หมายถึงข้อมูลที่ถูกเรียนรู้จะสูญเสีย “ความลับ” ในพื้นที่ดิจิทัลอย่างถาวร

เมื่อบริษัทคู่แข่งสอบถาม AI เกี่ยวกับปัญหาทางเทคนิคเฉพาะ และได้รับคำตอบที่เป็นวิธีแก้ปัญหาที่บริษัทของตนเองเคยป้อนเข้าไป นี่ไม่ใช่เรื่องที่เป็นไปไม่ได้ การป้อนข้อมูลลงใน AI สร้างสรรค์โดยไม่ระมัดระวัง ไม่เพียงแต่ทำให้ข้อมูลรั่วไหล แต่ยังเป็นเหตุการณ์ที่อาจสั่นคลอนผลการวิจัยและพัฒนาที่สะสมมานานหลายปีและความได้เปรียบเชิงกลยุทธ์ของบริษัท

ความเสี่ยงในการสูญเสียการคุ้มครองความลับทางการค้า ภายใต้กฎหมายป้องกันการแข่งขันที่ไม่เป็นธรรมของญี่ปุ่น

การป้อนข้อมูลลับเข้าสู่ AI ที่สร้างขึ้นอาจนำไปสู่ผลกระทบทางกฎหมายที่ร้ายแรง โดยทำให้ข้อมูลนั้นสูญเสียการคุ้มครองในฐานะ “ความลับทางการค้า” ตามกฎหมายของญี่ปุ่น ภายใต้กฎหมายป้องกันการแข่งขันที่ไม่เป็นธรรมของญี่ปุ่น ข้อมูลจะได้รับการคุ้มครองในฐานะความลับทางการค้าได้ก็ต่อเมื่อมีการปฏิบัติตามข้อกำหนดทั้งสามข้อดังต่อไปนี้

ในเรื่องของ “การจัดการความลับ” ตาม “แนวทางการจัดการความลับทางการค้า” และ “คู่มือการปกป้องข้อมูลลับ” ของกระทรวงเศรษฐกิจ การค้า และอุตสาหกรรมของญี่ปุ่น ข้อมูลต้องถูกจัดการในลักษณะที่ผู้ถือข้อมูลมีเจตนาที่จะรักษาความลับ และพนักงานต้องสามารถรับรู้ได้ หากพนักงานป้อนข้อมูลลับเข้าสู่ AI โดยไม่ได้รับอนุญาตจากบริษัท หรือบริษัทไม่ได้บังคับใช้การตั้งค่าที่เหมาะสม (เช่น การเลือกไม่เข้าร่วม) ศาลอาจตัดสินว่าบริษัทไม่ได้ดำเนินการที่เหมาะสมเพื่อปกป้องความลับ ซึ่งอาจทำให้การจัดการความลับถูกปฏิเสธได้

อ้างอิง: กระทรวงเศรษฐกิจ การค้า และอุตสาหกรรม｜ความลับทางการค้า～การปกป้องและการใช้ประโยชน์จากความลับทางการค้า～

ในเรื่องของ “การไม่เปิดเผยต่อสาธารณะ” หากข้อมูลที่ป้อนเข้าสู่ AI ถูกใช้ในการเรียนรู้และกลายเป็นแหล่งข้อมูลสำหรับการตอบคำถามให้กับผู้ใช้ทั่วโลก ข้อมูลนั้นจะไม่สามารถถือว่า “ไม่เปิดเผยต่อสาธารณะ” ได้อีกต่อไป หากขาดข้อกำหนดทางกฎหมายนี้ แม้ว่าข้อมูลจะถูกลอกเลียนแบบโดยบริษัทอื่น หรือพนักงานที่ย้ายงานนำข้อมูลออกไป ก็ไม่สามารถเรียกร้องการหยุดยั้งหรือค่าเสียหายตามกฎหมายป้องกันการแข่งขันที่ไม่เป็นธรรมของญี่ปุ่นได้ การป้อนข้อมูลเข้าสู่ AI โดยไม่ระมัดระวังจึงเท่ากับการละทิ้งมูลค่าของทรัพย์สินทางปัญญาของบริษัทเอง

ในแนวโน้มล่าสุด “แนวทางสำหรับผู้ประกอบการ AI (เวอร์ชัน 1.0)” ที่เผยแพร่ในเดือนเมษายน ปีเรวะที่ 6 (2024) ได้เน้นย้ำถึงการลดความเสี่ยงตลอดวงจรชีวิตของ AI โดยระบุว่าผู้ใช้ AI ควรระมัดระวังในการจัดการข้อมูลที่ป้อนและคำสั่ง เพื่อป้องกันการป้อนข้อมูลลับที่ไม่เหมาะสม หากองค์กรไม่สร้างการกำกับดูแลที่เหมาะสมตามแนวทางนี้ ความเสี่ยงที่จะหลุดออกจากกรอบการคุ้มครองทางกฎหมายจะยิ่งสูงขึ้น

อ้างอิง: กระทรวงเศรษฐกิจ การค้า และอุตสาหกรรม｜แนวทางสำหรับผู้ประกอบการ AI

การละเมิดสัญญาการรักษาความลับ (NDA) และความเสี่ยงตามสัญญาในญี่ปุ่น

ในธุรกิจหลายประเภท มักมีการทำสัญญาการรักษาความลับ (NDA) เพื่อปกป้องข้อมูลที่ได้รับจากคู่สัญญา การป้อนข้อมูลเข้าสู่ AI ที่สร้างขึ้นอาจขัดต่อข้อผูกพันตามสัญญานี้ และมีความเสี่ยงที่จะต้องรับผิดชอบในการชดใช้ค่าเสียหายจำนวนมาก

โดยทั่วไปแล้ว NDA จะมีข้อกำหนดว่า “ห้ามใช้ข้อมูลเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในสัญญา (ห้ามใช้เพื่อวัตถุประสงค์อื่น)” และ “ห้ามเปิดเผยข้อมูลแก่บุคคลที่สามโดยไม่ได้รับการยินยอมเป็นลายลักษณ์อักษรจากคู่สัญญา (ห้ามเปิดเผยแก่บุคคลที่สาม)” การที่พนักงานป้อนข้อมูลที่ได้รับจากคู่สัญญาเข้าสู่ AI เพื่อให้สรุปหรือวิเคราะห์ข้อมูลนั้น อาจถือเป็นการละเมิดข้อกำหนดเหล่านี้อย่างชัดเจน

ผู้ให้บริการ AI ถือเป็น “บุคคลที่สาม” จากมุมมองของคู่สัญญา ยกเว้นการใช้ API หรือแผนบริการแบบชำระเงินสำหรับองค์กร บริการที่ให้ตามข้อกำหนดทั่วไปมักจะเก็บข้อมูลที่ป้อนเข้าสู่เซิร์ฟเวอร์ของผู้พัฒนา และใช้เพื่อวัตถุประสงค์ต่างๆ เช่น การปรับปรุงโมเดล ซึ่งถือเป็นการใช้ข้อมูลที่ได้รับ “นอกเหนือจากวัตถุประสงค์ของสัญญา” และยังเป็นการให้ข้อมูลแก่ “บุคคลที่สาม”

นอกจากนี้ ตามคำเตือนที่เผยแพร่โดยสำนักงานดิจิทัลและศูนย์ความมั่นคงไซเบอร์ของคณะรัฐมนตรี (NISC) ในเดือนกุมภาพันธ์ ปีเรวะที่ 7 (2025) การใช้บริการ AI ที่มีฐานในต่างประเทศ เช่น DeepSeek อาจทำให้ข้อมูลถูกเก็บไว้ในเซิร์ฟเวอร์ต่างประเทศ และมีความเสี่ยงที่จะต้องปฏิบัติตามกฎหมายท้องถิ่น (เช่น การเซ็นเซอร์หรือการยึดข้อมูล) การวางข้อมูลของคู่สัญญาในสภาพแวดล้อมที่ไม่แน่นอนเช่นนี้ อาจเป็นเหตุผลที่แข็งแกร่งในการถูกกล่าวหาว่าละเมิดหน้าที่ในการดูแลรักษาตามสัญญา

การละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลและความเสี่ยงด้านความเป็นส่วนตัวในญี่ปุ่น

เมื่อมีการใช้ AI ที่สร้างขึ้นเพื่อจัดการข้อมูลส่วนบุคคล การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นและแนวทางที่เกี่ยวข้องเป็นสิ่งที่จำเป็นอย่างยิ่ง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ประกาศเตือนในเดือนมิถุนายน ปีเรวะที่ 5 (2023) เกี่ยวกับการแพร่หลายของบริการ AI ที่สร้างขึ้น โดยได้ระบุข้อกำหนดที่ผู้ประกอบการต้องปฏิบัติตามอย่างชัดเจน

การระบุวัตถุประสงค์การใช้งานและข้อควรระวังในการทำโปรไฟล์

ตามมาตรา 21 วรรค 1 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น เมื่อได้รับข้อมูลส่วนบุคคล จะต้องแจ้งหรือประกาศวัตถุประสงค์การใช้งานให้แก่เจ้าของข้อมูลโดยเร็ว ยกเว้นในกรณีที่ได้ประกาศวัตถุประสงค์การใช้งานไว้ล่วงหน้าแล้ว การนำข้อมูลส่วนบุคคลที่ได้รับมาให้ AI เรียนรู้ จำเป็นต้องพิจารณาว่าการกระทำดังกล่าวอยู่ในขอบเขตของวัตถุประสงค์การใช้งานที่มีอยู่แล้วหรือไม่ หรือควรระบุวัตถุประสงค์ใหม่ว่าเป็น “การเรียนรู้และการสร้างผลลัพธ์โดย AI” หรือไม่

โดยเฉพาะอย่างยิ่ง ในกรณีที่ใช้ AI ในการคัดเลือกบุคลากรหรือประเมินผลการทำงาน และทำการวิเคราะห์ (โปรไฟล์) บุคลิกภาพหรือความเหมาะสมของผู้สมัคร อาจส่งผลกระทบอย่างมากต่อสิทธิและผลประโยชน์ของเจ้าของข้อมูล ดังนั้นจึงจำเป็นต้องระบุและชี้แจงวัตถุประสงค์การใช้งานดังกล่าวให้ชัดเจนยิ่งขึ้น ในการอภิปรายเกี่ยวกับการแก้ไขกฎหมายที่จะมีผลบังคับใช้ตั้งแต่ปีเรวะที่ 7 (ปี 2025) เป็นต้นไป ได้ให้ความสำคัญกับ “สิทธิที่จะไม่ถูกตัดสินโดยการทำโปรไฟล์” และการรักษาความโปร่งใส โดยมีแนวโน้มที่จะเพิ่มความเข้มงวดในการควบคุมการตัดสินใจอัตโนมัติโดย AI

เส้นแบ่งระหว่างการให้ข้อมูลแก่บุคคลที่สามและ “การมอบหมาย” ภายใต้กฎหมายญี่ปุ่น

เมื่อป้อนข้อมูลส่วนบุคคลเข้าสู่บริการ AI สิ่งสำคัญคือการพิจารณาว่าการกระทำดังกล่าวเข้าข่ายเป็น “การให้ข้อมูลแก่บุคคลที่สาม” ตามมาตรา 27 วรรค 1 ของกฎหมายญี่ปุ่น หรือเป็น “การมอบหมาย” โดยทั่วไปแล้ว หากข้อมูลที่ป้อนถูกใช้โดยนักพัฒนา AI เพื่อการเรียนรู้ของโมเดลของตนเอง จะถือว่าผู้มอบหมายไม่สามารถควบคุมวัตถุประสงค์การใช้งานได้อย่างสมบูรณ์ และมีแนวโน้มสูงที่จะถูกพิจารณาว่าเป็นการให้ข้อมูลแก่บุคคลที่สาม ในกรณีนี้ จำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลล่วงหน้า แต่ในทางปฏิบัติ การได้รับความยินยอมเฉพาะจากบุคคลจำนวนมากที่ไม่ระบุชื่อเกี่ยวกับการป้อนข้อมูล AI นั้นเป็นเรื่องที่ยากมาก

ในทางกลับกัน หากมีการรับประกันตามสัญญาว่าข้อมูลที่ป้อนไม่ถูกใช้ในการเรียนรู้ (เช่น การใช้ API หรือแผนบริการแบบชำระเงินสำหรับองค์กรบางประเภท) จะสามารถจัดการในกรอบของ “การมอบหมาย” ได้ง่ายขึ้น อย่างไรก็ตาม ในกรณีนี้ บริษัทจะต้องปฏิบัติตามหน้าที่ในการกำกับดูแลที่จำเป็นและเหมาะสมต่อผู้รับมอบหมาย (ผู้ประกอบการ AI) ตามมาตรา 25 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น

ประเด็นเกี่ยวกับการให้ข้อมูลแก่บุคคลที่สามในต่างประเทศ

เมื่อใช้บริการ AI ที่ให้บริการโดยธุรกิจต่างประเทศ เช่น OpenAI (สหรัฐอเมริกา) หรือ DeepSeek (จีน) จะมีการบังคับใช้ “ข้อจำกัดในการให้ข้อมูลแก่บุคคลที่สามในต่างประเทศ” ตามมาตรา 28 ของกฎหมายญี่ปุ่น หากต้องการให้ข้อมูลแก่ธุรกิจที่ตั้งอยู่ในประเทศที่ไม่ได้รับการยอมรับว่ามีมาตรฐานการคุ้มครองเทียบเท่ากับญี่ปุ่น จำเป็นต้องให้ข้อมูลเกี่ยวกับระบบกฎหมายท้องถิ่นแก่เจ้าของข้อมูลและต้องได้รับความยินยอมเป็นรายบุคคล

โดยเฉพาะอย่างยิ่ง ในการเตือนของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและสำนักงานดิจิทัลในเดือนกุมภาพันธ์ ปีเรวะที่ 7 (2025) ได้แสดงความกังวลเกี่ยวกับการละเมิดความเป็นส่วนตัวที่เกิดจากความเสี่ยงทางภูมิรัฐศาสตร์ ซึ่งอาจเกิดจากการที่ข้อมูลถูกเก็บไว้ในเซิร์ฟเวอร์ที่ตั้งอยู่ในจีน โดยอาจถูกตรวจสอบหรือยึดข้อมูลโดยรัฐบาลตาม “กฎหมายข้อมูลแห่งชาติ” ของจีน การป้อนข้อมูลส่วนบุคคลในบริการที่มีความเสี่ยงเช่นนี้อาจถูกพิจารณาว่าเป็นการละเมิดสิทธิและผลประโยชน์ของเจ้าของข้อมูลอย่างไม่เป็นธรรม ดังนั้นจึงจำเป็นต้องพิจารณาอย่างรอบคอบ

มาตรการด้านระบบเพื่อลดความเสี่ยงให้น้อยที่สุด

เพื่อให้ข้อบังคับภายในของบริษัท AI มีประสิทธิภาพ จำเป็นต้องสร้าง “รั้วกั้น” ทางระบบ ไม่ใช่เพียงพึ่งพาความตระหนักส่วนบุคคลของพนักงานเท่านั้น การผสมผสานเทคโนโลยี AI ล่าสุดกับข้อบังคับสามารถเพิ่มความปลอดภัยทางกฎหมายได้อย่างมาก

การตั้งค่า Opt-Out และการใช้ API เพื่อความปลอดภัย

มาตรการพื้นฐานที่สุดคือการยืนยันว่าไม่มีการใช้ข้อมูลที่ป้อนเพื่อการเรียนรู้ของ AI โดยการตั้งค่า “Opt-Out” ในบริการสำหรับบุคคล เช่น ChatGPT สามารถปิดฟังก์ชันประวัติจากหน้าการตั้งค่าเพื่อปฏิเสธการเรียนรู้ได้ แต่การปล่อยให้พนักงานแต่ละคนดำเนินการเองไม่แนะนำจากมุมมองของการควบคุมองค์กร

วิธีที่แน่นอนกว่าคือการใช้ผ่าน API (Application Programming Interface) ผู้ให้บริการ AI หลักๆ ได้ระบุในข้อบังคับว่าโดยหลักการแล้วจะไม่ใช้ข้อมูลที่ส่งผ่าน API เพื่อการเรียนรู้ของโมเดล การสร้างฟรอนต์เอนด์ภายในองค์กรที่ใช้ API จะช่วยป้องกันการใช้ข้อมูลที่ป้อนเพื่อการเรียนรู้ซ้ำได้ในเชิงระบบ

การรับประกันทางสัญญาด้วยแผนบริการแบบชำระเงินสำหรับองค์กร

เมื่อองค์กรต้องการนำ AI มาใช้ การพิจารณาแผนบริการแบบชำระเงินสำหรับองค์กร เช่น ChatGPT Enterprise หรือ Azure OpenAI Service เป็นสิ่งที่ควรพิจารณา บริการเหล่านี้มีข้อบังคับสำหรับองค์กรที่เข้มงวดกว่าบริการสำหรับบุคคล โดยสิทธิ์ในข้อมูลจะเป็นของบริษัทผู้ใช้ การไม่ใช้ข้อมูลเพื่อการเรียนรู้ของโมเดล และการเข้ารหัสข้อมูลขณะส่งและเก็บ (AES-256, TLS 1.2+ เป็นต้น) ได้รับการรับรองในสัญญา

นอกจากนี้ การเลือกบริการที่ได้รับการตรวจสอบอิสระ เช่น SOC 2 Type 2 เป็นหลักฐานที่แสดงว่าระบบการจัดการความปลอดภัยมีมาตรฐานในระดับหนึ่ง และมีประโยชน์ในการอธิบายความสมเหตุสมผลในการเลือกผู้ขายและความเหมาะสมในการจัดการความเสี่ยง อย่างไรก็ตาม การมีหรือไม่มีการรับรองเหล่านี้ไม่ได้หมายความว่ามีการปฏิบัติตามหน้าที่ดูแลอย่างดีทันที จำเป็นต้องพิจารณาเพิ่มเติมตามลักษณะการใช้งานและความเสี่ยงเฉพาะ

การประมวลผลการปิดบังและการทำข้อมูลให้ไม่ระบุตัวตน

ในเชิงเทคนิค การนำการประมวลผล “การปิดบัง” มาใช้ โดยการแทนที่ชื่อบุคคลหรือชื่อโครงการเฉพาะในโปรมต์ด้วยเครื่องหมายหรือสัญลักษณ์ก่อนการป้อนข้อมูลเป็นสิ่งที่มีประสิทธิภาพ ด้วยวิธีนี้ แม้ว่าอาจเกิดการรั่วไหลที่ไม่คาดคิดจากแพลตฟอร์ม ข้อมูลนั้นจะไม่เชื่อมโยงกับบุคคลหรือความลับทางธุรกิจเฉพาะเจาะจง ทำให้สามารถลดความเสียหายให้น้อยที่สุด

จุดสำคัญของข้อบังคับภายในองค์กร AI เพื่อป้องกันการรั่วไหลของข้อมูลในญี่ปุ่น

ข้อบังคับภายในองค์กรที่มีประสิทธิภาพไม่ควรเป็นเพียงแค่ “การเรียงลำดับของข้อห้าม” เท่านั้น แต่ควรเป็นแนวทางการปฏิบัติที่ชัดเจนซึ่งช่วยให้พนักงานสามารถตัดสินใจได้ทันทีว่าในขอบเขตใดที่สามารถใช้ AI ได้ และหลีกเลี่ยงความเสี่ยงทางกฎหมายได้

การ “นิยามใหม่” และการจัดลำดับชั้นของข้อมูลที่ห้ามป้อน

การหลีกเลี่ยงการใช้คำที่คลุมเครือเช่น “ห้ามป้อนข้อมูลลับ” และการจัดลำดับชั้นของข้อมูลตามลักษณะของมันเป็นสิ่งสำคัญ

• ระดับ 1 (ข้อมูลที่ห้ามโดยเด็ดขาด): ข้อมูลที่ยังไม่เปิดเผยที่ได้รับจากคู่ค้าตาม NDA, ผลประกอบการที่ยังไม่ประกาศของบริษัท, อัลกอริทึมเฉพาะ, ข้อมูลส่วนบุคคลเช่นชื่อและที่อยู่ของลูกค้า
• ระดับ 2 (ข้อมูลที่อนุญาตภายใต้เงื่อนไข): บันทึกการประชุมที่มีการทำให้ชื่อเฉพาะเป็นนิรนาม, การจัดระเบียบข้อมูลเทคโนโลยีที่เป็นที่รู้จัก, การตรวจสอบอีเมลธุรกิจที่เป็นแบบแผน
• ระดับ 3 (ขอบเขตการใช้งานที่แนะนำ): การตรวจสอบไวยากรณ์ของภาษาการเขียนโปรแกรม, การอธิบายแนวคิดทั่วไป, การระดมความคิด

การนิยามด้วยตัวอย่างที่ชัดเจนเช่นนี้จะช่วยลดต้นทุนการตัดสินใจของพนักงานและยับยั้งการละเมิดที่ไม่รู้ตัวได้

กระบวนการอนุมัติข้อยกเว้นและรายงานการใช้งานที่คาดหวัง (Context Report)

การห้ามแบบทั่วไปอาจนำไปสู่การใช้ AI ที่ไม่ถูกต้อง ดังนั้นควรมี “กระบวนการอนุมัติข้อยกเว้น” สำหรับกรณีที่จำเป็นต้องป้อนข้อมูลขั้นสูงในงานเฉพาะ (เช่น การตรวจสอบสัญญาเฉพาะ) ใน AI โดยกำหนดให้มีการยื่น “รายงานการใช้งานที่คาดหวัง (Context Report)” ซึ่งประกอบด้วย 3 องค์ประกอบต่อไปนี้แทนการยื่นคำขอเพียงแค่ “ต้องการใช้”

1. Tool (เครื่องมือ): ใช้ AI รุ่นใดและตั้งค่าอย่างไร (เช่น การเลือกไม่เข้าร่วม, การใช้ API)
2. Input (ข้อมูลที่ป้อน): ข้อมูลประเภทใดที่ป้อน (มีข้อมูลส่วนบุคคลหรือไม่)
3. Output (ผลลัพธ์): ใช้ผลลัพธ์เพื่อวัตถุประสงค์ใด (ใช้ภายในองค์กร, ส่งให้ลูกค้า, เผยแพร่บนเว็บ)

การให้ฝ่ายกฎหมายหรือฝ่าย IT ตรวจสอบรายงานนี้ล่วงหน้าจะช่วยให้สามารถควบคุมความเสี่ยงและประโยชน์ได้อย่างเป็นระบบ

ข้อกำหนดพิเศษเกี่ยวกับการจัดการข้อมูลส่วนบุคคล

ข้อบังคับควรกำหนดข้อกำหนดพิเศษเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยหลักการแล้วห้าม “การป้อนข้อมูลส่วนบุคคลในสภาพที่สามารถระบุตัวบุคคลได้” และหากจำเป็นต้องใช้ในงาน ควรระบุขั้นตอนการขอความยินยอมที่เหมาะสมตามกฎหมายหรือการเพิ่มข้อมูลในนโยบายความเป็นส่วนตัวล่วงหน้า

นอกจากนี้ หากใช้ในการโปรไฟล์เช่นการคัดเลือกพนักงาน ควรเข้าใจข้อจำกัดของการตัดสินใจของ AI (ความเสี่ยงของการสร้างภาพลวงตา) และควรรวมหลักการ “Human-in-the-loop” ที่ให้มนุษย์เป็นผู้ตัดสินใจขั้นสุดท้ายเสมอ

ระบบการตรวจสอบและการตอบสนองหลังเกิดเหตุ

การกำหนดและเผยแพร่ข้อบังคับเพียงอย่างเดียวไม่เพียงพอสำหรับการกำกับดูแลที่ดี จำเป็นต้องมีการตรวจสอบอย่างต่อเนื่องว่ากฎที่กำหนดไว้นั้นถูกปฏิบัติตามจริงหรือไม่ และต้องมีการเตรียมพร้อมสำหรับสถานการณ์ฉุกเฉินในข้อบังคับด้วย

การบันทึกการใช้งานและสิทธิ์ในการตรวจสอบ

บริษัทต้องระบุสิทธิ์ในการบันทึกและตรวจสอบการใช้งาน AI ผ่านเครือข่ายภายในอย่างชัดเจน การเก็บบันทึกนี้ทำหน้าที่เป็น “การป้องกันเชิงรุก” เพื่อค้นหาการใช้งานที่ไม่เหมาะสม (เช่น การป้อนข้อมูลส่วนบุคคลมากเกินไป) ได้อย่างรวดเร็ว นอกจากนี้ เมื่อเกิดเหตุการณ์ขึ้น บันทึกเหล่านี้จะเป็นฐานข้อมูลดิจิทัลฟอเรนซิก (การเก็บรักษาหลักฐาน) เพื่อระบุว่าใคร ป้อนข้อมูลอะไร และเมื่อใด

การตอบสนองเบื้องต้นเมื่อเกิดเหตุการณ์

เมื่อเกิดกรณีที่สงสัยว่ามีการรั่วไหลของข้อมูล ต้องกำหนดเส้นทางการรายงานและขั้นตอนการตอบสนอง การรั่วไหลจากการป้อนข้อมูลใน AI นั้นแตกต่างจากการสูญหายทางกายภาพ เพราะการหยุดการแพร่กระจายของข้อมูลทำได้ยากมาก ดังนั้น ควรพิจารณาการขอให้ผู้ให้บริการ AI ลบข้อมูลทันทีหลังจากที่พบเหตุการณ์ และในขณะเดียวกันต้องจัดตั้งทีมตอบสนองฉุกเฉินเพื่อปฏิบัติตามข้อกำหนดการรายงานทางกฎหมายต่อคู่ค้าและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับผลกระทบ (ตามกฎหมายมาตรา 26 เป็นต้น)

การอัปเดตอย่างต่อเนื่อง (การกำกับดูแลแบบอไจล์)

เทคโนโลยี AI ที่พัฒนาและกฎระเบียบทางกฎหมายทั้งในและนอกประเทศญี่ปุ่นกำลังเปลี่ยนแปลงอย่างรวดเร็ว เช่น การกำหนด “แนวทางสำหรับผู้ให้บริการ AI” ในปีเรวะ 6 (ค.ศ. 2024) และการแก้ไขกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่คาดว่าจะเกิดขึ้นในปีเรวะ 7 ถึง 8 (ค.ศ. 2025-2026) กฎเหล่านี้มีการอัปเดตอยู่เสมอ

ดังนั้น ไม่ควรถือว่าข้อบังคับภายในเป็นสิ่งที่ทำครั้งเดียวแล้วเสร็จ แต่ควรมีการทบทวนเป็นระยะในรอบสั้น ๆ ประมาณครึ่งปีถึงหนึ่งปี เพื่อให้สอดคล้องกับลักษณะทางเทคนิคและความเสี่ยงทางภูมิศาสตร์ใหม่ ๆ (เช่น การเกิดขึ้นของบริการใหม่อย่าง DeepSeek) ซึ่งเป็นการปฏิบัติ “การกำกับดูแลแบบอไจล์” ที่จำเป็น

สรุป: การใช้ “ข้อบังคับภายในองค์กรเกี่ยวกับ AI” เพื่อก้าวไปข้างหน้าอย่างมั่นใจ

ความสะดวกสบายที่ AI สร้างขึ้นนั้นไม่ใช่เพียงแค่ทางเลือกสำหรับองค์กรอีกต่อไป แต่กลายเป็นแหล่งที่มาของความสามารถในการแข่งขันที่จำเป็นสำหรับการอยู่รอด อย่างไรก็ตาม ความเสี่ยงของ “การรั่วไหลของข้อมูล” ที่ได้กล่าวถึงในบทความนี้ อาจทำให้ความลับทางการค้าซึ่งองค์กรได้สร้างขึ้นมาด้วยความพยายามอย่างยาวนานกลายเป็นสิ่งที่ไม่มีค่าในชั่วข้ามคืน ทำให้สูญเสียการคุ้มครองทางกฎหมายและความเชื่อมั่นจากสังคม แต่การกลัวความเสี่ยงมากเกินไปจนถึงขั้นห้ามใช้ AI โดยสิ้นเชิงนั้น จะทำให้องค์กรหยุดชะงักและส่งเสริมการใช้งานที่ไม่เป็นระเบียบในเบื้องหลัง ซึ่งเป็นความเสี่ยงใหญ่อีกประการหนึ่ง

สิ่งที่จำเป็นจริงๆ คือการวาง “รั้วป้องกัน” ที่แข็งแกร่งโดยอิงจากความรู้ทางกฎหมาย เพื่อสร้างสภาพแวดล้อมที่พนักงานสามารถใช้พลังของ AI ได้อย่างปลอดภัยและเต็มที่ ข้อบังคับภายในองค์กรที่ชัดเจนไม่ใช่เพียงเอกสารควบคุม แต่เป็นการแสดงเจตจำนงขององค์กรในการกำหนดคุณค่าของข้อมูลและปกป้องมัน ซึ่งจะกลายเป็นพื้นฐานของ “ความเชื่อมั่น” ต่อคู่ค้าและสังคม เมื่อองค์กรเข้าใจกลไกของ AI และความเสี่ยงทางกฎหมายอย่างถูกต้อง และทำให้มาตรการทางเทคนิคและข้อบังคับภายในองค์กรทำงานร่วมกันเหมือนล้อรถยนต์ ทั้งนี้ AI ที่สร้างขึ้นจะกลายเป็นแรงขับเคลื่อนที่แท้จริงในการพัฒนาธุรกิจ

คำแนะนำเกี่ยวกับมาตรการโดยสำนักงานกฎหมายของเรา

สำนักงานกฎหมายโมโนลิธเป็นสำนักงานกฎหมายที่มีประสบการณ์มากมายทั้งในด้าน IT โดยเฉพาะอินเทอร์เน็ตและกฎหมายในประเทศญี่ปุ่น ธุรกิจ AI มีความเสี่ยงทางกฎหมายมากมาย จึงจำเป็นต้องได้รับการสนับสนุนจากทนายความที่เชี่ยวชาญในปัญหาทางกฎหมายเกี่ยวกับ AI สำนักงานของเรามีทีมงานที่ประกอบด้วยทนายความและวิศวกรที่เชี่ยวชาญในด้าน AI ซึ่งให้การสนับสนุนทางกฎหมายขั้นสูงแก่ธุรกิจ AI ที่ใช้ ChatGPT เป็นต้น โดยครอบคลุมการจัดทำสัญญา การตรวจสอบความถูกต้องตามกฎหมายของโมเดลธุรกิจ การคุ้มครองสิทธิในทรัพย์สินทางปัญญา การจัดการความเป็นส่วนตัว และการจัดทำข้อบังคับภายในเกี่ยวกับ AI รายละเอียดเพิ่มเติมสามารถดูได้ในบทความด้านล่างนี้